Zum Inhalt
Home » Patientendaten in der Cloud

Patientendaten in der Cloud

  • von
Datenschutz^

Alle Vorteile der Cloud – 100% rechtskonform!

Das Thema Datenhaltung und Datensicherheit in der Cloud hat in den letzten Jahren erhöhte Aufmerksamkeit bekommen – so auch unter Ärzten, die gerne eine cloud-basierte Arztsoftware zum Management der Ordination und zur Verwaltung von Patientendaten verwenden möchten. Unser Ziel ist es, Ärzten alle Vorteile, die eine moderne cloud-basierte Software bietet, zugänglich zu machen und gleichzeitig sicherzustellen, dass alle rechtlichen Vorgaben einer Speicherung von Patientendaten in der Cloud eingehalten werden.

Rechtssicherheit mit Latido

Um für unsere Kunden eine (rechts)sichere Ordinationslösung zu entwerfen, haben wir von Anfang an mit ao. Univ.Prof. Dr. Dietmar Jahnel, einem der renommiertesten österreichischen Juristen im Bereich des Datenschutzrechtes, zusammengearbeitet. Er ist Professor für Verfassungs- und Verwaltungsrecht und Rechtsinformatik an der Universität Salzburg und gilt als Experte im Datenschutzrecht. Er ist daher ein idealer Partner um unser Vorhaben einer cloud-basierten Arztsoftware auf „rechtssichere Beine“ zu stellen. Prof. Jahnel hat für uns die rechtlichen Rahmenbedingungen und Vorgaben genau unter die Lupe genommen und berät uns, wenn neue Fragestellungen aufkommen. In den nachfolgenden Zeilen wollen wir ausgewählte Fragen des Datenschutzes, welche im Zuge von zahlreichen Gesprächen häufig an uns herangetragen wurden, beantworten.

Ist eine webbasierte Ordinationssoftware wie Latido melde- bzw. genehmigungspflichtig?

Grundsätzlich bedarf laut Datenschutzgesetz (DSG) jede Datenverarbeitung bis 25.5.2018 einer Meldung an die Datenschutzbehörde (DSB). Von dieser Generalbestimmung gibt es jedoch zahlreiche Ausnahmen. Die wichtigste Ausnahmebestimmung bilden die Standardanwendungen. Standardanwendungen sind bestimmte vordefinierte Datenverarbeitungen, die typischerweise in Unternehmen vorgenommen werden. Die Liste aller Standardanwendungen wird vom Bundeskanzleramt verwaltet. Da es sich bei Latido um eine Standardanwendung für die Patientenverwaltung und die Honorarabrechnung handelt, besteht keine Melde- und Genehmigungspflicht. Es kommt somit auch zu keiner Registrierung und Vergabe einer Datenverarbeitungsregister-Nummer.

Ist es erlaubt, Patientendaten außerhalb der Ordination zu speichern?

Die Speicherung von Patientendaten unterliegt sowohl den Bestimmungen des DSG als auch – im Falle einer Speicherung von Patientendaten in der Cloud – jenen des Gesundheitstelematikgesetzes (GTelG). Diese Gesetze enthalten explizit aufgezählte Datensicherheitsmaßnahmen, welche von Ärzten verpflichtend einzuhalten sind. Außerdem sind Ärzte dafür verantwortlich, dass die Datenweitergabe zu einem im Gesetz angeführten Zweck erfolgt sowie die Integrität und Vertraulichkeit der weitergegebenen Gesundheitsdaten gewährleistet ist. Da es sich bei Arztsoftware-Lösungen wie Latido um eine Datenverwendung zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik und der Gesundheitsbehandlung handelt, welche den obigen Anforderungen entspricht, ist festzuhalten, dass alle Patientendaten auch außerhalb der Ordination, also auch in der Cloud, gespeichert werden dürfen.

Gibt es räumliche Einschränkungen hinsichtlich der Speicherung von Patientendaten in der Cloud?

Die Zulässigkeit der Übermittlung und Überlassung von Daten ist grundsätzlich abhängig vom Ort, an dem sich der zum Speichern verwendete Server befindet. Solange sich dieser in Österreich oder im EWR-Raum befindet, ist die Übermittlung und Überlassung ex-lege keinen Beschränkungen unterworfen und es bedarf keiner Genehmigung durch die DSB. Sollte sich der Server jedoch in einem Drittstaat befinden, so muss nachgewiesen werden, dass dieser über einen angemessenen Datenschutz verfügt. Zu diesem Zweck wird vom Bundeskanzleramt eine Liste (DSAV) mit Drittstaaten, welche über einen angemessenen Datenschutz verfügen, geführt. Selbst die Datenspeicherung in den USA ist seit 1.8.2016 zulässig, jedoch nur wenn der Dienstleister in die „Privacy Shield List“ eingetragen ist und sich zur Einhaltung der im „EU-USA-Datenschutzschild“ vorgesehenen Grundsätze verpflichtet. Im Ergebnis kann festgehalten werden, dass die Speicherung von Patientendaten auf Servern in Österreich oder dem EWR-Raum unbedenklich ist. Latido hat sich in diesem Zusammenhang für die ProfitBricks GmbH, einen deutschen Hosting-Anbieter entschieden, denn das Unternehmen garantiert, dass Daten ausschließlich in Deutschland gespeichert werden!

Wie hat die Übertragung von Patientendaten zu erfolgen?

Hinsichtlich der Art der Übermittlung von Patientendaten ist das GTelG sowie das DSG maßgeblich. Diese Gesetze sehen vor, dass die Datenübertragung verpflichtend in verschlüsselter Form  nach dem aktuellsten Stand der Technik zu erfolgen hat.

Bedarf die externe Speicherung des Einverständnisses des Patienten bzw. des Arztes?

Nachdem das ÄrzteG verpflichtend die Führung einer Patientendatenverwaltung vorsieht, ist eine Zustimmung des Patienten zur Datenverarbeitung und externen Speicherung von Patientendaten in der Cloud nicht erforderlich. Die Zustimmung des Arztes ist nur dann einzuholen, wenn der Dienstleister beabsichtigt einen Sub-Dienstleister unter anderem zum Hosting heranzuziehen. Sofern der Arzt im Software-Lizenzvertrag von der vorgesehenen externen Speicherung informiert wird und durch Unterfertigung einer solchen zustimmt, werden die rechtlichen Vorgaben eingehalten.

Haben Sie noch weitere Fragen an uns?

Wir hoffen wir konnten Ihnen mit der Beantwortung von häufig gestellten Fragen von ÄrztInnen zum Thema Patientendaten in der Cloud weiterhelfen. Informieren Sie sich noch heute über die Vorzüge der Cloud. Sollten Sie Fragen zu Latido oder unserem Sicherheitskonzept haben, dann zögern Sie nicht uns zu kontaktieren. Wir freuen uns über Ihre Kontaktaufnahme!