Gesundheitsdienstleister stehen momentan vor großen Herausforderungen: Dazu zählen der Wunsch mehr Zeit für Patient:innen, patientenzentrierte Diagnostik und Behandlung zu ermöglichen und gleichzeitig dem zunehmenden Kosten- und Personaldruck gerecht zu werden. Cloud-Computing-Dienste, wie von Amazon Web Services (AWS) können dabei helfen, diese Herausforderungen zu bewältigen. So kann die Nutzung von solchen Diensten unter anderem IT-Kosten deutlich senken und damit Ressourcen für andere wichtige Aufgaben freimachen. Neben den Kosteneinsparungen, profitieren Gesundheitsdienstleister und die Forschung aber auch von Cloud-Diensten bei der Steigerung ihrer Innovationsfähigkeit. Der Einsatz von neusten Technologien, wie maschinellem Lernen, ermöglicht es Forscher:innen, Ärzt:innen und Pflegepersonal - etwa durch schnellere Datenanalysen, Diagnosen oder ein erleichtertes Terminmanagement - ihre tägliche Arbeit zu entlasten und die Behandlung auf einzelne Patient:innen abzustimmen.
Ein zentraler Punkt beim Einsatz von Cloud-Diensten im Gesundheitswesen ist der Umgang mit sensiblen Informationen, wie Patientendaten. Auch hier können Gesundheitsdienstleister von der Erfahrung, den Skaleneffekten, und großen Investitionen von Cloud-Anbietern profitieren. AWS stellt beispielsweise ausgeklügelte technische und physische Maßnahmen zur Verfügung, um einen unbefugten Zugriff auf Kundendaten zu verhindern und verfügt über Teams von Sicherheitsexperten, die Systeme rund um die Uhr überwachen, um Kundeninhalte zu schützen. Durch eine Reihe von Funktionen für Datenschutz, Akkreditierungen und vertragliche Vereinbarungen können AWS Dienste im Einklang mit den Anforderungen aus der Datenschutzgrundverordnung (DSGVO) und des sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) genutzt werden. Die vertraglichen Zusagen zum Schutz der Kundendaten von AWS gehen dabei über die Anforderungen der Schrems-II-Entscheidung hinaus. AWS setzt weiterhin die langjährige Erfolgsbilanz fort, zu weitgehende und unangemessene Anfragen von Strafverfolgungsbehörden anzufechten. Wie AWS in seinem aktuellen Information Request Report festhält, wurden keine Unternehmens- oder Regierungsdaten, die sich außerhalb der Vereinigten Staaten befinden, von AWS an die U.S. Regierung offen gelegt.
Die Rahmenbedingungen für die Verarbeitung von sensiblen Daten ändern sich jedoch schnell und sind vielfältig. Daher stellen sich Gesundheitsdienstleister trotz solcher Maßnahmen und Zusagen auf Seite des Cloud-Anbieters die Frage, ob der Einsatz von Cloud-Diensten für sie in Frage kommen kann. Prof. Dr. Dr. Christian Dierks, Fachanwalt für Sozialrecht und Medizinrecht sowie Facharzt für Allgemeinmedizin und Professor für Gesundheitssystemforschung an der Charité Berlin, gibt in seinem folgenden Gastbeitrag zu dieser Frage Auskunft.
___________________________________________________________________
Gastbeitrag von Prof. Dr. Dr. Christian Dierks
Sie sind sich unsicher, ob die Verarbeitung von Gesundheitsdaten in der Cloud im Einklang mit den für Ihre Organisation geltenden Regeln möglich ist? Gute Nachrichten: Aktuelle Entwicklungen auf deutscher und europäischer Ebene bestätigen erneut, dass die Nutzung der Cloud möglich ist – sowohl im öffentlichen Sektor als auch im Gesundheitswesen.
Das Angebot digitaler Produkte und Dienstleistungen im Gesundheitssektor – wie elektronische Patientenakten und Krankenhausinformationssysteme, telemedizinische Leistungen oder digitale Gesundheitsanwendungen – nimmt stetig zu und führt zu einer immer größer werdenden Menge an Gesundheitsdaten. Die technischen Entwicklungen steigern die Möglichkeiten der Datennutzung – aber auch die Gefahren für Datenmissbrauch. Die Speicherung und Verarbeitung der Daten innerhalb der On-Premises-Lösungen in eigenen Rechenzentren geraten zunehmend an ihre Grenzen. Ein steigender Kostendruck, der Bedarf an skalierbaren IT-Ressourcen sowie der einfache Zugang zu neusten Technologien bewegen Akteure zurecht dazu, ihre Daten in die Cloud umzuziehen. Die Nutzung von Dienstleistern für Cloud-Computing, wie Amazon Web Services (AWS), kann die Sicherheit der Daten erheblich erhöhen. Gleichzeitig können Kapazitäten freigesetzt und Potentiale für Innovationen in der Gesundheitsversorgung und -forschung geschaffen werden.
Schrems-II: „Angst“ vor dem „Drittlandstransfer“
Spätestens seit dem vielbeachteten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) im Jahr 2020, wird die Möglichkeit des Einsatzes von Dienstleistern für Cloud-Computing, die ihren Konzernsitz in den USA haben, sowohl in Fachkreisen als auch in der breiten Öffentlichkeit noch intensiver debattiert. Die große Sorge der Datenschützenden ist hier stets das Risiko eines Zugriffs auf – auch in Europa gespeicherte – Daten durch die US-Behörden. Die Herausgabe von Daten an US-Institutionen wäre für das Unternehmen, auf dessen Daten zugegriffen werden würde, ein sogenannter „Drittlandstransfer“. Hervorzuheben ist jedoch, dass dieser zulässig sein kann, zum Beispiel wenn bestimmte Schutzmaßnahmen getroffen werden.
Die DSGVO und der EuGH halten den Einsatz von Cloud-Computing unter bestimmten Voraussetzungen für zulässig
Anders als teilweise behauptet ist seit der Schrems-II-Entscheidung des EuGH keineswegs der Einsatz von Cloud-Dienstleistern mit US-Konzernverbindungen pauschal verboten. Verkürzt sagt der EuGH, dass die Unternehmen beim Einsatz solcher Dienstleister „geeignete Garantien“ im Sinne des Kapitel V der Datenschutz-Grundverordnung (DSGVO) schaffen müssen, um die Daten angemessen zu schützen, damit ein Drittlandstransfer nicht ohne angemessene Schutzmaßnahmen stattfindet. Solche Maßnahmen können durch vertragliche Absprachen, interne organisatorische Konzepte und technische Vorkehrungen sichergestellt werden.
Herausforderungen im Gesundheitssektor
Organisationen im deutschen Gesundheitswesen müssen neben dem hohen Schutzniveau, das die DSGVO für sensible Gesundheitsdaten fordert, auch noch Bundes- und Landesregelungen beachten. So gelten beispielsweise für Krankenkassen die Vorschriften aus dem Sozialgesetzbuch (SGB) V und X und für Hersteller Digitaler Gesundheitsanwendungen (DiGA), den sogenannten „Apps auf Rezept“, die Regelungen der DiGAV. Krankenhäuser wiederum sind den Vorschriften in den Landeskrankenhausgesetzen unterworfen, deren Regelungen nicht bundesweit einheitlich sind. Diese Zersplitterung der relevanten rechtlichen Rahmenbedingungen erschwert es Unternehmen des Gesundheitssektors, einen Überblick über die jeweils geltenden Regelungen zu erhalten. Aber auch hier gilt: Der Einsatz von Cloud-Dienstleistern ist auch nach diesen Vorschriften erlaubt, unter Beachtung bestimmter Maßnahmen. Die Speicherung von Gesundheits- und Sozialdaten in der Cloud ist auch in Deutschland vor dem Hintergrund der genannten Regelungen rechtlich möglich.
Aktuelle Entwicklungen bestätigen erneut: Cloud-Nutzung im Gesundheitswesen ist möglich
Aktuelle Entwicklungen auf deutscher und europäischer Ebene zeigen einmal mehr, dass die Nutzung von Cloud-Services rechtlich zulässig ist – auch im öffentlichen Sektor und im Gesundheitswesen. Im Jahr 2022 wurden in den Landeskrankenhausgesetzen in Berlin und Bayern die Regelungen zum Einsatz von Auftragsverarbeitern überarbeitet, sodass Krankenhäuser in diesen Bundesländern nun leichter Cloud-Dienstleister einsetzen können. In einem wegweisenden Beschluss hat das Oberlandesgericht (OLG) Karlsruhe im September des Jahres 2022 entschieden, dass öffentliche Krankenhäuser einen Anbieter für digitales Entlassmanagement beauftragen dürfen, der die europäische Tochtergesellschaft einer US-Mutter als Hosting-Anbieterin einbindet. Die Vergabekammer Bund bestätigte diese Auffassung für Sozialdaten im März 2023.
Deutschland nähert sich somit an die Ansichten und die Rechtsprechung in anderen europäischen Staaten an. So wurde in Frankreich vom Conseil d’État bereits in den Jahren 2020 und 2021 entschieden, dass der Einsatz eines Cloud-Dienstleisters mit Konzernverbindungen in die USA zulässig ist, wenn die Daten verschlüsselt sind. Der Europäische Datenschutzausschuss (EDSA) hat sich in seinem Bericht zur „Coordinated Enforcement Action“ zum Einsatz von Cloud-Dienstleistern im öffentlichen Sektor geäußert. Hervorzuheben ist auch hier, dass der Einsatz von Cloud-Dienstleistern mit Konzernverbindungen in die USA unter Einhaltung eines Maßnahmenkatalogs zulässig sein kann. Auch mit Blick auf den Drittlandstransfer tut sich etwas: Endlich nimmt das sogenannte EU-U.S. Data Privacy Framework Formen an, auf dessen Grundlage noch dieses Jahr von der EU-Kommission ein Angemessenheitsbeschluss erlassen werden soll, der die USA als ein Drittland mit einem angemessenen Schutzniveau anerkennt.
Unser Fazit: Cloud geht nicht – gibt’s nicht
Auch wenn die Rechtslage gerade in Deutschland unübersichtlich ist – lassen Sie sich nicht abschrecken, wenn Sie rechtliche Bedenken in Bezug auf den Einsatz von Cloud-Dienstleistern für Gesundheits- und Sozialdaten hören. Lassen Sie die für Ihr Unternehmen geltenden rechtlichen Rahmenbedingungen prüfen und informieren Sie sich, wie der Einsatz von Cloud-Dienstleistern auch für Ihre Daten möglich gemacht werden kann.
Neugierig geworden? Weitere Informationen zu Ihrem Weg in die Cloud finden Sie hier.
Über den Autor
Prof. Dr. med. Dr. iur. Christian Dierks ist Fachanwalt für Sozialrecht und Medizinrecht, Facharzt für Allgemeinmedizin und Professor für Gesundheitssystemforschung an der Charité Berlin. Seit 1990 löst er rechtliche Herausforderungen an der Schnittstelle von Medizin, Recht und Informationstechnologie. Er ist Gründer und Managing Partner von Dierks+Company, einem Beratungsunternehmen, das sich auf die Förderung von Innovationen im Gesundheitswesen und in den Life Sciences spezialisiert hat.
