„Hochsensible medizinische Daten, unter anderem von Patienten aus Deutschland und den Vereinigten Staaten, sind einem Bericht zufolge auf ungesicherten Servern gelandet.

Die Bilder seien hochauflösend und mit vielen Informationen versehen, fast alle davon personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

Wenn Patienten in einer MRT-Röhre untersucht werden, werden diese Bilder von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes „Picture Archiving and Communication System“ (PACS), wie es in den Berichten weiter heißt. Auch Röntgenaufnahmen und Bilder aus der Computertomographie landen demnach auf diesen Servern.“

So oder ähnlich konnte man es in verschiedenen Presseberichten vor einigen Tagen lesen.

Cloud-basierte Lösungen sind aus der modernen Bürowelt nicht mehr wegzudenken. Zahlreiche Unternehmen vertrauen hier im großen Umfang auf IT-Servicedienstleister, welche Cloud-basierte Lösungen für zahlreiche IT-Anwendungen anbieten.

Vielfach werden hierbei Unternehmensdaten durch Speicherung in der Cloud verarbeitet. Da in diesen Datensätzen häufig personenbezogene Daten enthalten sind, unterliegen diese Anwendungen den strengen Voraussetzungen des Datenschutzes.

Regelmäßig stellen diese Anwendungen Auftragsverarbeitungsverhältnisse dar, sodass die Unternehmen, welche auf Cloud-basierte Lösungen setzen, mit den jeweiligen Dienstleistern und Anbietern Auftragsverarbeitungsverträge zu schließen haben.

Diese Problematik ist nicht neu und auch bekannt, weshalb sich zahlreiche Anbieter dazu entschlossen haben, Ihren Kunden eigene Auftragsbearbeitungsverträge zur Verfügung zu stellen, woraus sich auch der Servicegedanke der entsprechenden Dienstleistungsunternehmen erkennen lässt.

Besonders problematisch wird es dann, wenn es sich um Unternehmen handelt, die besonderen Pflichten zur Vertraulichkeit bzw. Berufsgeheimnispflichten unterliegen.

Entsprechende Anwendungen z. B. in einer Rechtsanwaltskanzlei, einem Steuerbüro, in einer Arztpraxis oder auch in einer Behörde erfordern daher ein gesteigertes Maß an Datenschutzsicherheit, da neben den rein datenschutzrechtlichen Aspekten auch regelmäßig Berufsgeheimnispflichten, wie z. B. die anwaltliche Verschwiegenheit, dass Arztgeheimnis sowie das Sozialgeheimnis erfordern, dass Unberechtigte nicht mit den entsprechenden Inhalten in Kontakt kommen.

In den meisten der von den jeweiligen Dienstleistern angebotenen Auftragsverarbeitungsverträgen sind diese Berufsgeheimnispflichten meist nicht berücksichtigt, z. B. in der Art, dass lediglich Mitarbeiter auf Seiten des Dienstleisters tätig werden, die auf die entsprechenden Berufsgeheimnispflichten der Kunden verpflichtet worden sind.

Dies ist hoch problematisch, da insbesondere im Bereich von beratenden Berufen also Steuerbüros, Notaren, Rechtsanwälten, aber auch bei Ärzten und sonstigen Heilberufen ein Verstoß gegen das Berufsgeheimnis regelmäßig einen Straftatbestand darstellt.

Auch verschiedene Sicherheitslösungen wie z. B. eine Firewall oder ein System zur Prüfung von E-Mails setzen heute auf die Cloud.

Dabei können Dateien zu einer intensiveren Prüfung in die „Sandbox“ eines Dienstleisters übertragen werden. Dort finden aufwendige Verhaltensprüfungen statt, die so nur in leistungsfähigen Rechenzentren, also in der Cloud, ausgeführt werden können.

Hierbei ist jedoch vielfach zu beachten, dass sich möglicherweise die Unternehmen, die auf entsprechende Sicherheitssysteme setzen, nicht darüber im Klaren sind, dass auch diese Sicherheitsprüfung unter Datenschutzgesichtspunkten relevant ist. Auch hier können regelmäßig Auftragsverarbeitungsverhältnisse vorliegen.

Sollten also auch Sie in Ihrem Unternehmen besonderen Berufsgeheimnispflichten unterliegen, so haben Sie dafür Sorge zu tragen, dass die Verträge mit Ihren Clouddienstleistern dann entsprechend ausgestaltet sind. Auch müssen Sie beim Einsatz von Sicherheitslösungen besonders prüfen, ob Dateien in der Cloud geprüft werden und ob diese Funktion genutzt wird.

Aus der Praxis haben wir die Erfahrung gemacht, dass insbesondere bei sehr international ausgerichteten Dienstleistern häufig nicht das Problembewusstsein vorliegt, dass es Berufsgeheimnispflichten gibt.

Ohne die Verpflichtung auf das Berufsgeheimnis, ist aus unserer Sicht eine Cloud-basierte Anwendung zur Datenverarbeitung nicht legal.

Sollte es zu einer Kompromittierung von Daten kommen – ähnlich wie im oben beschriebenen Fall mit den Röntgenbildern – so ist dafür der Berufsgeheimnisträger verantwortlich und er muss mit strafrechtlichen Konsequenzen rechnen.

Schützen Sie sich und nutzen Sie das Beratungsangebot spezialisierter Anwaltskanzleien wie z. B. Caemmerer Lenz in Karlsruhe.

Wir denken weiter …

Caemmerer Lenz - Ihr leistungsfähiger Datenschutzpartner

Caemmerer Lenz - Datenschutzpartner für die öffentliche Verwaltung