Patientendaten in der Cloud? Das war bis jetzt ein heikles Thema. Deshalb musste jeder unterschreiben, dass er sich einverstanden erklärt, wenn eigene Daten herumgeschickt werden. Aufgeklärt, was das tatsächlich bedeutet, hat so gut wie niemand. Heute haben Patienten von den Datenskandalen im Gesundheitswesen gehört. Trotzdem ist es vielen unbekannt: Ärzte dürfen Patientendaten nicht per Internet herumschicken und auch nicht mit Patienten mailen. Betrachtet man die betreffende Gesetzgebung reicht es auch nicht aus, den Patienten um eine Einwilligung zu bitten. Die Sprechstundenhilfe müsste aufklären, was mit den Daten alles passieren könnte und muss sich dann auch sicher sein, dass der Patient ihre Ausführungen verstanden hat. Eine Aufgabe, die sie gar nicht leisten kann, dazu fehlt ihr schlicht das sicherheitstechnische Knowhow.
Mit Hinblick auf den 1. Juli hat dies nun für Krankenkassen, den Medizinischen Dienst der Krankenversicherung (MDK) und den Krankenhäusern in allen Bundesländern eine neue Bedeutung. Dann nämlich müssen diese Institutionen einen rechtskonformen Weg zur elektronischen Übermittlung von Patientendaten gefunden und umgesetzt haben. Dies ist eine Vorgabe der Vereinbarung zum Prüfverfahren nach § 275 Absatz 1c SGB V gemäß § 17c Absatz 2 KHG. Für den Datenschutzbeauftragten und Leiter des Institutes für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG), Prof. Dr. Thomas Jäschke, war diese Vereinbarung ein zwingender Grund, zu erläutern, unter welchen Bedingungen ein Cloud-Dienst für den elektronischen Austausch von Patientendaten geeignet ist:
„Mit Cloud-Angeboten kann ein Krankenhaus bei der elektronischen Kommunikation erheblich Kosten sparen und meist sind die Plattformen angenehm zu bedienen. Leider ist es jedoch für die Verantwortlichen nicht ganz so einfach, festzustellen, wie es tatsächlich um die Sicherheit im elektronischen Datenaustausch bestellt ist. Da müsste man schon über spezifisch sicherheitstechnisches Hintergrundwissen verfügen. Aus diesem Grund entwickelt ein Pilotprojekt im Rahmen der Trusted Cloud Initiative des Bundesministeriums für Wirtschaft und Energie (BMWi) auf Basis des ISO-Standards 27018 (ISO/IEC 27018:14) und der Datenschutz-Gesetzeslage zurzeit einen Anforderungskatalog, nach dem sich Cloud-Dienste zertifizieren lassen können. Die Version dieses Katalogs, des „Trusted Cloud Datenschutz Profils“ (TCDP), wird im Verlauf des Aprils 2015 veröffentlicht.
Im TCDP sind dann Schutzklassen formuliert, anhand derer man sofort erkennen kann, ob ein Dienst für das für das Gesetz nötige Sicherheitsniveau verfügt. Ein Zertifikat nach dem TDCP wird Rechtsfolge haben. Damit ist gemeint, dass der Anwender bereits alle seine rechtlichen Verpflichtungen erfüllt, indem er einen Anbieter mit passendem Sicherheits-profil auswählt. Er muss den Anbieter selbst nicht mehr überprüfen, wie es das BDSG eigentlich verlangt. Für Patientendaten kommen dabei nur Dienste infrage, die mit Schutzklasse 3 oder 3+ zertifiziert sind.“