Darauf sollten Sie bei Datenschutz in der Cloud achten: IT-Fachanwalt Stephan Hansen-Oest...

Darauf sollten Sie bei Datenschutz in der Cloud achten: IT-Fachanwalt Stephan Hansen-Oest im Interview

    von -

    Beim Thema Cloud Computing im allgemeinen und Health Cloud im speziellen sorgen sich viele um den Datenschutz. Wir haben bei Stephan Hansen-Oest, Fachanwalt für IT-Recht und Datenschutz-Experte, nachgefragt.

    Seit dem EuGH-Urteil zur Unrechtmäßigkeit des Safe Harbor Abkommens errichten US-amerikanische Cloud-Anbieter Rechenzentren in Deutschland. Reicht diese Maßnahme aus? Worauf sollten Endkunden jetzt besonders achten, wenn sie Cloud Computing nutzen?

    Die Nutzung von Rechenzentren in Deutschland ist ein erster, guter und wichtiger Schritt. Er ist allerdings nicht die Lösung aller Probleme. Denn auch bei einer Verarbeitung der Daten im Ausland findet häufig Support und Wartung der Server in den deutschen Rechenzentren durch Personal in den USA statt. In rechtlicher Hinsicht wird hierin in aller Regel auch eine Kenntnisnahme von personenbezogenen Daten auf den Servern möglich sein. In diesem Fall ist dann jedoch datenschutzrechtlich von einer Übermittlung von personenbezogenen Daten aus dem deutschen Rechenzentrum in die USA oder einen sonstigen Drittstaat auszugehen. In dem Fall besteht dann erneut die Ausgangsproblematik, dass es an einer Rechtfertigung für diesen Drittstaatentransfer fehlen kann.

    Kunden, die gleichwohl Cloud Computing eines US-Anbieters in einem deutschen Rechenzentrum nutzen wollen, sollten in jedem Fall einen Auftragsdatenverarbeitungsvertrag mit dem Anbieter schließen. Ferner ist die Frage der Wartung aus dem Ausland zu klären. Wenn eine Wartung z.B. aus den USA erfolgt, sollten im Hinblick auf diese Wartung zumindest die EU-Standardvertragsklauseln vereinbart werden. Ob diese jedoch langfristig eine verlässliche, rechtliche Alternative darstellen, bleibt abzuwarten. Denn aktuell ist davon auszugehen, dass auch die EU-Standardvertragsklauseln möglicherweise in der Zukunft vom EuGH überprüft werden. Wenn wir dabei die Grundsätze der Safe-Harbor-Entscheidung des EuGH zu Grunde legen, spricht einiges dafür, dass auch die EU-Standardvertragsklauseln möglicherweise für unwirksam erklärt werden.

    Sie führen auch Schulungen für betriebliche Datenschutzbeauftragte durch? Welche Erkenntnisse überraschen die Teilnehmer dabei oft am meisten?

    In meinen Schulungen lege ich besonderen Wert auf eine didaktische Vorgehensweise. Das Datenschutzrecht ist eine sehr komplexe Rechtsmaterie, die Schulungsteilnehmer sehr schnell überfordern kann. Ich arbeite viel mit Storytelling und modernen „gehirngerechten“ Lernmethoden. Viele Teilnehmer sind im Ergebnis dann überrascht darüber, dass 80 Prozent des Datenschutzrechts doch recht einfach zu handhaben sind, wenn man die Grundsätze verstanden hat.

    Datenschutz spielt schon bei der Produktentwicklung eine große Rolle. Dabei gibt es zwei Ansätze: Privacy by Design und Privacy by Default. Welchen Ansatz würden Sie bei der Nutzung einer Health Cloud bevorzugen und warum?

    Das ist mit der Datenschutz-Grundverordnung (DSGVO), die ab 25. Mai 2018 in allen EU-Mitgliedstaaten gilt, keine entscheidende Frage mehr. Denn dann gilt ganz klar, dass beide Grundsätze gleichermaßen zu berücksichtigen sind. Und auch jetzt schon sind beide Ansätze beim Thema Cloud Computing zugleich zu berücksichtigen. „Privacy by Design“ ist bei der Entwicklung einer Health Cloud zwingend zu berücksichtigen. Dazu gehört insbesondere Datenminimierung und vor allem auch Methoden der Anonymisierung und Pseudonymisierung. Wenn wir über Gesundheitsdaten in der Cloud sprechen, reden wir zudem nicht nur über Datenschutzrecht, sondern wir reden vor allem auch über die Einhaltung der ärztlichen Schweigepflicht. Diese sieht vor, dass ein unbefugter Zugriff von Dritten auf Gesundheitsdaten zu verhindern ist. Da die ärztliche Schweigepflicht sehr weitgehend ist und den Kreis der Zugriffsberechtigten stets sehr eng fasst, sind Methoden der Datenverschlüsselung für eine Health Cloud unerlässlich. Dieses ist allerdings auch technisch nicht ganz trivial.

    So ist z.B ohne eine wirksame Einwilligung des Patienten eine unverschlüsselte Speicherung auf den Servern eines Rechenzentrums derzeit unzulässig. Die Rechtslage könnte sich auch im medizinischen Bereich diesbezüglich grundsätzlich ändern. Das anwaltliche Standesrecht hat sich diesbezüglich z.B. erst kürzlich zugunsten von Möglichkeiten der Nutzung von Rechenzentren und Auftragsdatenverarbeitern verändert. Es ist durchaus denkbar, dass auch das ärztliche Berufsrecht diesen Weg beschreitet. Für Krankenhäuser gibt es diese Möglichkeit bereits in einigen Bundesländern, in denen die Krankenhausgesetze entsprechende Regelungen vorsehen. So sieht der Grundsatz „Privacy by Design“ auch vor, dass eine Health Cloud grundsätzlich in einer Standardkonfiguration betrieben wird, die größtmöglichen Datenschutz gewährleistet. Das würde z.B. bedeuten, dass Zugriffsrechte sehr restriktiv vorgegeben werden. Und auch die Verschlüsselung dürfte Standard und nicht nur optionale „Bonusfunktion“ sein.

     

    stephan-hansen-oest.jpgStephan Hansen-Oest ist Rechtsanwalt und Fachanwalt für IT-Recht in Flensburg. Er berät bundesweit Unternehmen und öffentliche Stellen im Datenschutzrecht, auch in der Funktion als externer Datenschutzbeauftragter. Darüber hinaus ist der rechtlich anerkannte Sachverständige für das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, das European Privacy Seal sowie das Gütesiegel Datenschutz Mecklenburg-Vorpommern auch als Auditor tätig. Stephan Hansen-Oest bloggt zum Thema Datenschutz unter https://www.datenschutz-guru.de

     

    Titelbild: ©flaticon.com / Freepik

    Das HealthDataSpace-Redaktionsteam umfasst Digithurst und Telepaxx Mitarbeiter verschiedener Abteilungen, die ihre Erfahrungen und ihr Wissen zu relevanten Themen einbringen. Fragen, Feedback, Anregungen gerne an: info@healthdataspace.de

    KEINE KOMMENTARE

    Kommentieren