Gesundheitsdaten in der Cloud

Transkript

1 Gesundheitsdaten in der Cloud Ursula Widmer Dr. Widmer & Partner, Rechtsanwälte Bern Zusammenfassung Cloud Computing ist auch im Gesundheitsmarkt ein bedeutendes Thema. Allerdings gelten für Gesundheitsdaten besondere rechtliche Rahmenbedingungen betreffend Geheimhaltung, Datenschutz und Datensicherheit. Dies stellt besondere Anforderungen an die Vertragsgestaltung zwischen Auftraggeber und Cloud-Anbietern. Die massgeblichen rechtlichen Regelungen sind allerdings nicht einheitlich, sondern variieren je nachdem, ob Bundesrecht oder kantonales Recht anwendbar ist und im letzteren Fall das Recht welchen Kantons. So ist es denkbar, dass z.b. für ein Privatspital Cloud Computing unter Voraussetzungen möglich ist, welche für ein kantonales öffentliches Spital ausgeschlossen sind. Diese Situation ist vergleichbar mit derjenigen auf internationaler Ebene, wo die rechtlichen Anforderungen bezüglich Datenschutz und Datensicherheit von Staat zu Staat unterschiedlich sind und zwar auch innerhalb der EU. Ob Cloud Computing für Gesundheitsdaten rechtlich zulässig ist oder nicht, ist somit fallweise zu entscheiden. 1 Praxisbeispiele aus Europa und den USA Cloud Computing Services werden zunehmend auch im Medizinalsektor diskutiert und genutzt. Davon betroffen sind insbesondere auch patientenbezogene Daten. Die Nutzung von Cloud Services wird gefördert durch die nationalen ehealth-projekte und sowie den Kostendruck und die Effizienzanforderungen, die an die Leistungserbringer (Spitäler, Ärzte, Apotheken, Labors etc.) aber auch an weitere Akteure im Gesundheitswesen, etwa die Träger der obligatorischen (sozialen) Krankenversicherung, gestellt werden. Aus den USA sind eine Reihe von Beispielen bekannt, in denen Spitäler cloud-basierte Kommunikations- und Collaboration-Lösungen sowohl für den internen Informationsaustausch zwischen den Mitarbeitern als auch im Verhältnis zu externen Dritten, z.b. vor- und nachbehandelnde Ärzte, einsetzen. Eine wachsende Anzahl von Anbietern bieten spezifisch für medizinische Leistungserbringer entwickelte Cloud-Lösungen an: Für die Patientenadministration, Datencenter-Applikationen für bildgebende Systeme, die Validierung von Rechnungen oder Backup- und Sicherheits-Lösungen. Solche Applikationen basieren häufig auf den Diensten großer Cloud-Anbieter wie Amazon Web Services (AWS) oder der Azure Plattform von Microsoft. In den USA stellt der Health Insurance Portability and Accountability Act (HIPAA) in Bezug auf den Datenschutz und die Datensicherheit elektronischer Patientendaten zwingende Anforderungen an die HIPAA-unterstellten Leistungserbringer, Inkassostellen, Versicherer und weiteren Akteure. Damit diese die Cloud-Angebote nutzen können, müssen diese selbst ebenfalls HIPAA-kompatibel sein. So weist etwa Amazon darauf hin, wie ihre Cloud-Dienste für HIPAA-kompatible Anwendungen eingesetzt werden können und Microsoft bietet für ihren P. Schartner J. Taeger (Hrsg.) D A CH Security 2011 syssec (2011)

2 Gesundheitsdaten in der Cloud 167 Office365 Cloud-Service ein Business Associate Agreement für diejenigen Kunden an, die HIPAA-kompatibel sein müssen. In Europa verfügt England bereits über Pläne des National Health Service (NHS) zur Nutzung der Cloud. Für Patienten des NHS soll die Möglichkeit eingeführt werden, ihre medizinischen Daten als elektronische Gesundheitsakte bei einem von ihnen gewählten Cloud-Anbieter wie MicrosoftVault, LifeSensor etc. zu speichern und zu verwalten. So können für die Behandelnden die Daten zentral zur Verfügung gestellt und ihnen von den Patienten jeweils der Zugriff darauf ermöglicht werden. In ersten Projekten werden die Patientendaten der Londoner Spitäler Chelsea und Westminster über eine von der Firma Flexiant entwickelten Plattform in der Cloud gespeichert und verfügbar gehalten, mit der Möglichkeit der Patienten, Dritten kontrolliert Zugriff auf ihre Daten zu gewähren. Ein anderes Projekt in London will, basierend auf MicrosoftVault, für Patienten mit psychischen Krankheiten eine Plattform schaffen, die nicht nur Zugang zu den Patientenakten ermöglicht, sondern auf die persönliche Situation bezogene Informationen für die Patienten bereithält und die Kommunikation mit den behandelnden Ärzten ermöglicht. Eine ähnliche Plattform ist in Deutschland für die Online- Betreuung und Behandlung von übergewichtigen Jugendlichen angekündigt. 2 Chancen für den Gesundheitsmarkt Cloud Computing Services sind für Akteure im Gesundheitsmarkt aus mehreren Gründen interessant. Von Vorteil ist, dass die Nutzung der IT-Ressourcen kurzfristig veränderten Bedürfnissen angepasst werden kann. Auch im Gesundheitsbereich sind traditionell gewachsene organisatorische Strukturen raschen Veränderungen unterworfen. Spitäler werden geschlossen oder fusioniert. Die Aufgabenbereiche werden neu definiert und abhängig davon entweder der Betrieb erweitert, redimensioniert oder anders organisiert. In einem derartig volatilen Umfeld ist es ein Wettbewerbsvorteil, wenn IT-Lösungen realisiert werden können, die sich flexibel nach dem aktuellen Bedarf erweitern oder redimensionieren lassen. Cloud Computing verspricht zudem Kostenvorteile und entspricht damit der Forderung nach Kostensenkungen, welche eines der zentralen Themen im Gesundheitssektor ist. Statt selber eine bestimmte Hardware- und Softwareumgebung zu erwerben, zu betreiben und zu unterhalten und die dafür anfallenden Kosten zu tragen, entrichten die Kunden beim Cloud Computing ein sich am effektiven Bedarf orientierendes Entgelt oder auch eine wiederkehrende Fixgebühr für die Nutzung der benötigten und vom Anbieter zur Verfügung gestellten IT- Ressourcen. Die Kunden können damit Fixkosten einsparen. Die Cloud Services Anbieter, die ihre Ressourcen einer möglichst großen Zahl von Nutzern zur Verfügung stellen, erreichen dadurch eine optimale Ausnutzung und können Kostenreduktionen realisieren, welche ihnen dann kostengünstige Angebote an die Kunden erlauben. Ein weiterer Vorteil von cloud-basierten Lösungen besteht darin, dass sie grundsätzlich von überall her zugänglich sind. Dies ist im Gesundheitsbereich ein immer wichtiger werdender Gesichtspunkt. Daten werden zunehmend nicht mehr an Arbeitsstationen, sondern über mobile Geräte (Smartphones, Tablet-Computer etc.) erfasst, abgerufen und bearbeitet. Und viele Mitarbeiter, z.b. in der Pflege, sind nicht mehr an einem fixen Arbeitsplatz tätig, sondern werden als Springer innerhalb eines Hauses dort eingesetzt, wo sie benötigt werden, oder pendeln, wie dies für bestimmte Spezialisten, z.b. Röntgenologen, Kardiologen etc., vielfach zutrifft, regelmässig zwischen den zu einem Spitalverbund gehörenden einzelnen Häusern.

3 168 Gesundheitsdaten in der Cloud Diese Mitarbeiter wollen daher von unterschiedlichen Arbeitsplätzen und Orten aus auf Daten und Anwendungen zugreifen können. 3 Risiken aus rechtlicher Sicht betrachtet Bei Cloud-Angeboten, welche Gesundheitsdaten betreffen, sind die allgemeinen rechtlichen Risiken, wie sie auch für alle anderen Cloud-Angebote bestehen, zu berücksichtigen. Etwa, dass Cloud-Anbieter für ihre standardisierten und einer unbestimmten Anzahl potentieller Kunden angebotenen Leistungen über Allgemeine Geschäftsbedingungen verfügen, die einseitig zum Nachteil des Kunden formulierte Klauseln (z.b. betreffend Haftung) enthalten können, oder dass der Anbieter sich im Ausland befindet und allenfalls nicht vor heimischen Gerichten belangt werden kann, oder dass der Vertrag ausländischem Recht untersteht, mit welchem der Kunde nicht vertraut ist. Von besonderer Bedeutung sind bei der Nutzung von Cloud-basierten Angeboten für Gesundheitsdaten die folgenden Risiken: Verletzung der Geheimhaltungspflicht: Für patientenbezogene Gesundheitsdaten gelten gesetzliche Geheimhaltungspflichten. Werden solche Daten in die Cloud transferiert, so stellt sich die Frage, ob dies eine Verletzung der Geheimhaltungspflicht darstellt. Verletzung der Vertraulichkeit: Auch wenn die Weitergabe von Gesundheitsdaten in die Cloud zu keiner Verletzung der Geheimhaltungspflicht führen sollte, dürfen unbefugte Dritte keine Kenntnis von patientenbezogenen Daten erhalten, sei es durch Bekanntgabe der Daten oder dadurch, dass den Dritten der Zugriff auf die Daten ermöglicht wird. Das Risiko einer Vertraulichkeitsverletzung steigt, wenn Daten auch nach Beendigung der Vertragsbeziehung beim Cloud-Service Anbieter verbleiben sollten. Verletzung der Integrität: Von der inhaltlichen Korrektheit der Gesundheitsdaten hängt die für den Patienten richtige Behandlung ab. Es muss daher verhindert werden, dass Gesundheitsdaten inhaltlich verfälscht werden, sei es aufgrund der Manipulation durch unbefugte Personen, durch Fehler in der Handhabung der Daten oder durch technische Fehler. Fehlende/unzureichende Verfügbarkeit: Nur wenn die Gesundheitsdaten rechtzeitig und vollständig zur Verfügung stehen, können sie ihren Zweck erfüllen, als Entscheidgrundlage für die Behandlung eines Patienten zu dienen. Probleme mit der Verfügbarkeit können unterschiedliche Ursachen haben, wie z.b. technisch bedingte Ausfälle der vom Cloud-Anbieter eingesetzten IT-Infrastruktur und/oder Anwendungen oder DDoS- Attacken auf den Cloud-Anbieter, welche ihn veranlassen, die Verbindung zum Internet vorübergehend zu unterbrechen. Kritisch für die Verfügbarkeit von Gesundheitsdaten ist auch die Beendigung der Vertragsbeziehungen mit dem Cloud-Anbieter. Hier ist sicherzustellen, dass die von diesem erbrachten Leistungen nahtlos zu einem anderen Anbieter migriert werden können. Um diesen Risiken vorzubeugen sind sowohl rechtliche als auch organisatorische und technische Massnahmen erforderlich, wobei letztere wiederum rechtlich abzusichern sind. 4 Rechtliche Rahmenbedingungen generell Im Zusammenhang mit Gesundheitsdaten und Cloud Computing Dienstleistungen sind die folgenden rechtlichen Rahmenbedingungen zu berücksichtigen:

4 Gesundheitsdaten in der Cloud 169 Geheimhaltungsvorschriften Vorschriften des Datenschutzes, insbesondere in Bezug auf - die Voraussetzungen für die Weitergabe von Personendaten an Dritte zur Bearbeitung im Auftrag und - die Weitergabe von Personendaten ins Ausland sowie Vorschriften betreffend die Datensicherheit. Aufgrund der föderalistischen Strukturen der Schweiz finden sich die relevanten Vorschriften sowohl auf Ebene des Bundes als auch der Kantone. 4.1 Geheimhaltungsvorschriften Arztgeheimnis Das ärztliche Berufsgeheimnis 1 gilt für Ärzte, Zahnärzte, Apotheker und Hebammen sowie ihre Hilfspersonen, unabhängig davon, ob sie ihre Tätigkeit in der freien Praxis, in einem privaten oder öffentlichen Spital oder in einer anderen öffentlichen Gesundheitsinstitution ausüben. Nicht erfasst sind dagegen alle anderen Berufe, die bei ihrer Tätigkeit mit Gesundheitsdaten arbeiten, wie Psychologen, Physiotherapeuten, Ernährungsberater etc. Das gilt jedenfalls, soweit sie ihre Tätigkeit selbständig ausüben und nicht als Hilfsperson unter Anleitung eines Arztes. Die Verletzung des Arztgeheimnisses kann mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bis maximal 180 Tagessätze à CHF 3'000.- bestraft werden. Geschützt sind alle Informationen, die einem Geheimnisträger infolge seines Berufes anvertraut worden sind oder welche er in Ausübung seines Berufes wahrgenommen hat. Die Strafbarkeit ist ausgeschlossen, wenn die Offenbarung von geheimen Informationen mit Einwilligung des betroffenen Patienten oder mit der Genehmigung durch die zuständige Behörde erfolgt. Die Einwilligung muss freiwillig erteilt werden, um gültig zu sein. Keine besonderen Anforderungen bestehen hinsichtlich der Form. Die Einwilligung kann ausdrücklich oder stillschweigend erfolgen. Unklarheit besteht bezüglich des Begriffs der Hilfsperson. Unstrittig ist die Hilfspersoneneigenschaft für das bei der ärztlichen Behandlung eingesetzte medizinische Hilfspersonal und das Pflegepersonal, aber auch für Personen, die im Zusammenhang mit der ärztlichen Tätigkeit notwendige administrative Aufgaben erledigen (Arztsekretärin, Mitarbeiter in der Administration der Verwaltung). Ob auch externe Anbieter als Hilfspersonen gelten, die bei der Erbringung ihrer Leistungen Kenntnis von oder Zugriff auf Patientendaten erhalten, wie dies insbesondere für IT-Anbieter (Support, Hardwarewartung und Softwarepflege, Outsourcing etc.) regelmässig der Fall ist, ist nicht abschliessend geklärt. Es setzt sich jedoch mehr und mehr die Auffassung durch, dass in einem durch Arbeitsteilung, Spezialisierung und Einsatz von technischen Systemen geprägten Umfeld auch solche externen Anbieter als Hilfspersonen anerkannt werden müssen, 2 mit der Folge, dass deren Einsatz nicht von der Einwilligung der betroffenen Personen abhängt. Andernfalls wäre der Einsatz von ICT-Systemen im Gesundheitsbereich wohl generell in Frage gestellt. So ist es für ein Spital beim Beizug eines IT- Anbieters nicht machbar, vorgängig die Einwilligung aller betroffenen Patienten, auch der be- 1 Schweizerisches Strafgesetzbuch (StGB) vom 21. Dezember 1937, SR 311, Art Uttinger, S. 258f.

5 170 Gesundheitsdaten in der Cloud reits vor Jahren abgeschlossenen Fälle, einzuholen. Voraussetzung für den Beizug externer Anbieter als Hilfspersonen ist jedoch, dass diese durch ausdrückliche vertragliche Regelung der Geheimhaltungspflicht unterstellt werden. Kritisch wird es, wenn sich ein Anbieter im Ausland befindet. Gegenüber Personen im Ausland ist die Durchsetzung des strafrechtlichen Geheimhaltungsgebots nicht in gleicher Weise sichergestellt wie in der Schweiz 3. Auch besteht die Möglichkeit, dass ausländische Behörden unter Voraussetzungen auf Daten zugreifen können, welche nicht denjenigen des schweizerischen Rechts entsprechen. In den USA domizilierte Cloud-Anbieter können durch die dortigen Behörden sogar dazu gezwungen werden, Daten ihrer Kunden auszuliefern, und zwar auch solche Daten, die gar nicht in den USA gespeichert sind 4. Aus der mangelnden Durchsetzbarkeit des Schweizer Strafrechts im Ausland wird der Schluss gezogen, dass im Ausland befindliche Personen nicht als Hilfspersonen im Sinne des Gesetzes anerkannt werden können, mit der Folge, dass die Weitergabe von Patientendaten ins Ausland nur mit Zustimmung der betroffenen Patienten zulässig ist Berufliche Schweigepflicht Gemäss dem Bundesgesetz über den Datenschutz 5 (DSG) sind alle Personen mit Busse bis zu CHF 10'000 strafbar, die vorsätzlich unbefugt geheime, besonders schützenswerte Personendaten 6 oder Persönlichkeitsprofile 7 bekannt geben, von denen sie bei der Ausübung ihres Berufes Kenntnis erhalten haben. Der gleichen Strafdrohung unterliegt auch, wer vorsätzlich unbefugt geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile bekannt gibt, von denen er bei der Tätigkeit für einen Geheimhaltungspflichtigen oder während der Ausbildung bei einem solchen Kenntnis erhalten hat. Gesundheitsdaten sind besonders schützenswerte Personendaten, so dass sie unter den sachlichen Geltungsbereich der Bestimmung fallen. Der persönliche Geltungsbereich der Bestimmung ist sehr weit. So sind alle diejenigen Berufe erfasst, deren Tätigkeit den Umgang mit Gesundheitsdaten mit sich bringt, die jedoch nicht unter das Arztgeheimnis fallen (vgl. oben Ziff ). Unbefugt ist eine Bekanntgabe von Daten dann, wenn sie im Widerspruch zu den Regeln für die Datenbearbeitung gemäss DSG erfolgt (dazu unten Ziff. 5.). Die Bestimmung gilt nicht für Tätigkeiten im Bereich der kantonalen Verwaltungen und der Erfüllung kantonaler öffentlicher Aufgaben, da diese nicht in den Geltungsbereich des DSG fallen. 3 BSK DSG-Rampini, Art. 14 Rz. 15; Baeriswyl, S. 67f. 4 Vgl. z.b. US-Beörden dürfen auf europäische Cloud-Daten zugreifen bei heise.de unter newsticker/meldung/us-behoerden-duerfen-auf-europaeische-cloud-daten-zugreifen html. 5 Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992, Art Als besonders schützenswerte Personendaten gelten gemäss Art. 3 lit. c DSG Daten über: 1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, 2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, 3. Massnahmen der sozialen Hilfe und 4. administrative oder strafrechtliche Verfolgungen und Sanktionen. 7 Ein Persönlichkeitsprofil ist gemäss Art. 3 lit. d DSG eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

6 Gesundheitsdaten in der Cloud Schweigepflicht nach Sozialversicherungsrecht Personen, die an der Durchführung der Sozialversicherungsgesetze sowie der Kontrolle oder Beaufsichtigung von deren Durchführung beteiligt sind, unterliegen gegenüber Dritten 8 einer Schweigepflicht. Dies gilt insbesondere auch für die Bearbeitung von Patientendaten im Rahmen der obligatorischen Krankenversicherung. Die Verletzung dieser Schweigepflicht ist gemäss Krankenversicherungsgesetz 9 strafbar mit bis zu 180 Tagessätzen à maximal CHF 3' Keine Dritten im Sinne der Bestimmung sind externe Dienstleistungserbringer, welche auf vertraglicher Basis Aufgaben für eine Organisation, z.b. eine Krankenversicherung, erfüllen. Der Beizug von ICT-Anbietern ist damit zulässig. 4.2 Datenschutzrecht Allgemein Das DSG regelt die Datenbearbeitung im Privatbereich sowie durch Bundesorgane. Dem DSG unterstehen niedergelassene Ärzte, Zahnärzte, Apotheker, Privatspitäler, medizinische Laboratorien etc. Als Bundesorgane gelten, außer den Behörden der Bundeserwaltung, auch alle Personen, Institutionen und Organisationen, die mit einer öffentlichen Aufgabe des Bundes betraut sind. Im Zusammenhang mit Gesundheitsdaten trifft dies insbesondere für die privatrechtlichen Träger der obligatorischen Krankenversicherung zu. Das DSG gilt nicht für den Bereich der Kantone. Diese haben für ihren Zuständigkeitsbereich eigene Datenschutzgesetze erlassen. Zu den kantonalen Aufgaben gehört auch das öffentliche Gesundheitswesen und hier insbesondere die öffentlichen Spitäler. Der kantonalen Gesetzgebung unterstehen aber auch Privatspitäler, soweit sie Aufgaben im Rahmen der öffentlichen Gesundheitsversorgung übernehmen. Die kantonalen Datenschutzregelungen stimmen in den Grundzügen mit dem DSG überein, können aber in Einzelpunkten Abweichungen aufweisen. Teilweise haben die Kantone auch spezielle Regelungen für den Gesundheitsbereich erlassen. Als Beispiel sei die Patientenrechtsverordnung des Kantons Bern erwähnt, 10 welche eine eigene Regelung für die elektronische Datenbearbeitung durch Dritte enthält Datenbearbeitung durch Dritte (Auftragsbearbeitung) Gemäss DSG 12 ist die Weitergabe von Personendaten zur Bearbeitung an Dritte aufgrund einer entsprechenden Vereinbarung grundsätzlich zulässig, und zwar auch ohne Einwilligung der betroffenen Personen, wenn die Daten vom Dritten nur so bearbeitet werden, wie der Auftraggeber es selber tun dürfte und der Auftraggeber sich vergewissert hat, dass der Dritte die Datensicherheit gewährleistet. 8 Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG) vom 6. Oktober 2000, Art Bundesgesetz über die Krankenversicherung (KVG) vom 18. März 1994, Art. 92 lit. c. 10 Verordnung über die Rechte und Pflichten der Patientinnen und Patienten und der Gesundheitsfachpersonen (Patientenrechtsverordnung, PatV) vom 23. Oktober 2002, BSG Art. 12 PatV. 12 Art. 10a DSG.

7 172 Gesundheitsdaten in der Cloud Daneben hält das DSG fest, dass eine Weitergabe von Personendaten zur Auftragsbearbeitung dann nicht zulässig ist, wenn damit Geheimhaltungsvorschriften verletzt würden. Genauere Vorgaben an den Inhalt des Vertrages mit dem beauftragten Datenbearbeiter macht das DSG nicht. Es ist daher im jeweiligen Einzelfall, insbesondere unter Berücksichtigung der mit der Bearbeitung der jeweiligen Daten zusammenhängenden Risiken, zu entscheiden, welche konkreten Regelungen in den Vertrag aufzunehmen sind, um sicherzustellen, dass der Beauftragte die massgeblichen Bearbeitungsgrundsätze einhält und die erforderlichen Massnahmen zur Datensicherheit trifft. Die kantonalen Regelungen gehen zum Teil weiter. So sieht z.b. der Kanton Bern vor, 13 dass bei der Weitergabe von Patientendaten an Auftragsbearbeiter der Vertrag schriftlich abzuschliessen ist, und verlangt in Bezug auf den Inhalt, dass Regelungen im Hinblick auf die Wahrung der Geheimhaltungspflicht vorzusehen sind. Noch weiter geht der Kanton Zürich. Betrifft die Auslagerung von Informatikdienstleistungen besonders schützenswerte Personendaten oder der Geheimhaltung unterliegende Daten, was für Gesundheitsdaten beides zutrifft, so muss die auslagernde Stelle sicherstellen, dass nur solche Mitarbeiter des Auftragnehmers die Daten bearbeiten können, welche dem Kontroll- und Weisungsrecht der auslagernden Stelle unterworfen werden und an die Geheimhaltung gebunden werden Bekanntgabe von Personendaten ins Ausland Für die grenzüberschreitende Bekanntgabe von Daten gelten keine besonderen Anforderungen, wenn das Empfängerland über einen angemessenen gesetzlichen Datenschutz verfügt. 15 Dies trifft zu für die Mitgliedstaaten der EU und des EWR, Israel, Argentinien sowie für die USA, wenn der Datenempfänger sich gemäss dem Safe Harbor Framework zertifiziert hat. 16 Fehlt dagegen im Empfängerland ein angemessener Datenschutz, so ist die Bekanntgabe von Personendaten nur zulässig, wenn einer der im DSG abschließend aufgelisteten Rechtfertigungsgründe vorliegt. 17 Im Zusammenhang mit dem Cloud Computing sind vor allem die vertragliche Vereinbarung 18 von hinreichenden Garantien betreffend den Datenschutz mit dem Datenempfänger im Ausland sowie die Einwilligung der betroffenen Personen 19 relevant. Was unter hinreichenden Garantien zu verstehen ist, wird im Gesetz nicht näher bestimmt. Entscheidend sind die jeweiligen Umstände. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat selber einen Muster Outsourcing-Vertrag publiziert und anerkennt die Standardvereinbarung des Europarats sowie die Standardklauseln der EU. Wenn diese Standardbedingungen verwendet werden, muss beim EDÖB lediglich eine Meldung erfolgen, wonach der Abschluss eines solchen Vertrages erfolgt ist. Werden die Standardbedin- 13 vgl. Art. 12 PatV des Kantons Bern. 14 Gesetz über die Auslagerung von Informatikdienstleistungen vom 23. August 1999, 3 Abs Art. 6 Abs. 1 DSG. 16 vgl. dazu die Website des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) unter 17 Art. 6 Abs. 2 DSG. 18 Art. 6 Abs. 2 lit. a DSG. 19 Art. 6 Abs. 2 lit. b DSG.

8 Gesundheitsdaten in der Cloud 173 gungen dagegen nicht verwendet, muss der Vertrag zur Prüfung und Genehmigung beim EDÖB eingereicht werden. 20 Hinsichtlich der Einwilligung der Betroffenen präzisiert das DSG, dass diese im Einzelfall erfolgen muss. Das heisst, dass sich die Einwilligung zwar nicht auf jeden einzelnen Bekanntgabevorgang beziehen muss, sondern eine Mehrheit von Datenübermittlungen im Rahmen des gleichen Sachzusammenhangs oder der gleichen Situation betreffen kann. So wäre es z.b. möglich, dass Versicherte ihre Einwilligung erteilen, dass ein Krankenversicherer die für die Abrechnung erforderlichen Daten ins Ausland übermittelt und dort verarbeiten lässt. 4.3 Rechtliche Vorgaben betreffend die Datensicherheit Das DSG 21 verlangt in Bezug auf die Datensicherheit, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Die dazugehörige Verordnung 22 enthält Ausführungsbestimmungen hinsichtlich der Risiken, die durch Sicherheitsmassnahmen abzusichern sind, sowie allgemeine Umschreibungen bezüglich der Art der zu treffenden Massnahmen (z.b. Massnahmen der Zugangs- und Zugriffskontrolle). Es werden hingegen keine konkreten Sicherheitsmassnahmen definiert. Die Kantone kennen demgegenüber teilweise weitergehende Vorgaben. Als Beispiel kann der Kanton Zürich erwähnt werden. Gestützt auf die Gesetzgebung betreffend die Auslagerung von Informatikdienstleistungen wurden Allgemeine Geschäftsbedingungen (AGB) formuliert, 23 welche jeweils als Bestandteil der Verträge mit den externen Anbietern zu vereinbaren sind. Diese AGB sehen eine Reihe von Massnahmen vor, welche der Anbieter vorzukehren hat: Dokumentationspflicht des Auftraggebers betreffend Methoden und Prozesse zur Wahrung der Sicherheit; Pflicht zur Einhaltung allgemein anerkannter Sicherheitsstandards und -methoden für Entwicklung und Betrieb sicherer Informationssysteme; Vorlage eines Sicherheitskonzeptes; Schriftliche Verpflichtung des Personals des Auftragsbearbeiters zur Einhaltung der gesetzlichen und vertraglichen Geheimhaltungs- und Sicherheitsbestimmungen; Schriftliche Mitteilung, wenn der Auftragsbearbeiter zur Erfüllung seiner Aufgaben einen Dritten (Subunternehmer) beizieht; Pflicht zur Vornahme von Verarbeitungsprozessen ausschliesslich innerhalb der Schweiz; Pflicht zur periodischen Durchführung von Sicherheits-Audits und Zustellung der entsprechenden Berichte an den Auftraggeber auf Anfrage; Unterstellung unter die Aufsicht durch die kantonalen Behörden, insbesondere die Datenschutzbehörde und Pflicht entsprechende Kontrollen zu dulden und, soweit erforderlich, zu unterstützen. 20 Vgl. Art. 6 Abs. 3 DSG und Art. 6 Abs. 3 und Abs. 5 der Verordnung zum DSG.. 21 Art. 7 DSG. 22 Verordnung zum DSG vom 14. Juni 1993, SR , Art. 8ff. 23 Allgemeine Geschäftsbedingungen über die Geheimhaltung, den Datenschutz und die Daten- und Informationssicherheit bei der Erbringung von Informatikdienstleistungen (AGB Sicherheit) vom September 2001.

9 174 Gesundheitsdaten in der Cloud Auch der Kanton Bern hat ähnliche AGB festgelegt Effiziente rechtliche Umsetzung 5.1 Sicherstellung der Einwilligung der Betroffenen Aus den oben dargestellten rechtlichen Rahmenbedingungen folgt, dass die Einwilligung der betroffenen Patienten nur dann eine unverzichtbare Voraussetzung darstellt, wenn dem strafrechtlichen Arztgeheimnis unterliegende Daten an einen Anbieter ins Ausland weitergegeben werden. Da Anbieter im Ausland nicht als Hilfspersonen der Geheimnisträger anerkannt sind, stellt eine Datenweitergabe ohne Einwilligung eine Geheimnisverletzung dar. Die Einwilligung ist dann problemlos, wenn die Daten auf ausdrückliche oder konkludente Anweisung des Patienten selbst ins Ausland transferiert werden. Dies ist z.b. der Fall bei den in Cloud-Plattformen gehaltenen persönlichen Gesundheitsakten. Hier ist es der Patient, der den Arzt oder das Spital jeweils selbst veranlasst, die ihn betreffenden Daten in die Gesundheitsakte einzustellen. Anders verhält es sich hingegen, wenn ein Arzt oder Spital aus eigener Initiative Patientendaten an einen Anbieter im Ausland zur Speicherung oder Bearbeitung weitergeben möchte. Ein erstes Problem stellt sich in Bezug auf die Daten der bis zu 10 Jahre oder noch länger zurückliegenden, abgeschlossenen Fälle. 25 Hier dürfte es praktisch ausgeschlossen sein, die Einwilligung bei allen Patienten einzuholen. Eine Auslagerung ins Ausland ist daher wohl nur für die aktuellen sowie künftigen Fälle durchführbar. Hier ist es möglich, die Einwilligung der Patienten z.b. durch Verwendung eines entsprechenden Formulars zu beschaffen, welches den Patienten zur Unterschrift vorgelegt wird. Voraussetzung ist allerdings, dass die Patienten informiert werden, welche Daten, zu welchem Zweck grenzüberschreitend in die Cloud weitergegeben werden und mit welchen Risiken dies allenfalls verbunden ist. Da die Einwilligung zudem nur gültig ist, wenn sie freiwillig erfolgt, muss ein Alternativszenario zur Verfügung stehen, wenn ein Patient die Einwilligung verweigert. Ein Arzt in der privaten Praxis wird einen Patienten, der die Einwilligung verweigert, allenfalls auch ablehnen dürfen. Der Patient hat, jedenfalls in städtischen Verhältnissen, genügend Auswahl, um sich bei einem anderen Arzt behandeln zu lassen. Für öffentliche Spitäler ist dieses Vorgehen dagegen nicht zulässig, da den Patienten in den meisten Fällen keine zumutbare Möglichkeit zur Verfügung steht, um in eine andere Institution auszuweichen. Damit die Patienteneinwilligung freiwillig ist, muss das Spital daher selber für eine Alternative in Bezug auf die Daten von Patienten sorgen, welche ihre Einwilligung zum Transfer ihrer Daten in die Cloud verweigern. 5.2 Vertragliche Einbindung des Cloud-Anbieters Die vertragliche Einbindung des Cloud-Anbieters ist unter vier Aspekten sicherzustellen: Überbindung der Geheimhaltungspflicht, Einhaltung der für den Auftraggeber massgeblichen 24 Allgemeine Geschäftsbedingungen des Kantons Bern über die Informationssicherheit und den Datenschutz (ISDS) bei der Erbringung von Informatikdienstleistungen (AGB ISDS), Anhang 4 der Weisungen des kantonalen Amtes für Informatik und Organisation über Informationssicherheit und Datenschutz vom 1. Oktober Die Aufbewahrungsdauer für ärztliche Dokumentation beträgt in der Regel 10 Jahre, unter bestimmten Umständen auch mehr.

10 Gesundheitsdaten in der Cloud 175 Datenbearbeitungsgrundsätze, Sicherstellung von hinreichenden Datenschutzgarantien, bei Weitergabe von Daten in ein Land ohne angemessenen Datenschutz und Massnahmen zur Sicherstellung einer angemessenen Datensicherheit. Daraus ergibt sich, dass in Bezug auf Gesundheitsdaten die Inanspruchnahme von Standardangeboten, wie sie mit Cloud-Anbietern üblicherweise online über das Internet abgeschlossen werden können, nicht in Frage kommen kann. Es ist vielmehr notwendig, mit dem Anbieter einen Vertrag individuell zu vereinbaren. Dies ist grundsätzlich möglich, und gerade auch grosse Cloud-Anbieter sind zur Führung von Vertragsverhandlungen mit Kunden, die besondere Anforderungen haben, in der Regel bereit Geheimhaltung Die für die Gesundheitsdaten geltende Geheimhaltungspflicht (je nachdem Arztgeheimnis, berufliche oder sozialversicherungsrechtliche Schweigepflicht) muss vom Auftraggeber auf den Cloud-Anbieter überbunden werden. Ob dabei auch die einzelnen Mitarbeiter des Anbieters, die möglicherweise Zugriff auf die Daten haben können, individuell verpflichtet werden müssen, ist dagegen fraglich. Beim Cloud Computing haben die Mitarbeiter des Anbieters im Normalfall keinen Zugriff auf Daten der Kunden. Die Notwendigkeit zu einer individuellen Verpflichtung der Mitarbeiter ist daher abzulehnen. Dies ist ein wesentlicher Unterschied etwa zur Software-Wartung, oder zum Outsourcing, wo im Voraus bestimmte Mitarbeiter des Anbieters regelmässig Zugriff auf Daten beim Kunden haben. Sofern allerdings das anwendbare kantonale Recht eine individuelle Verpflichtung der Mitarbeiter des Anbieters fordert, wird man auf diese nicht verzichten können, womit jedoch der Anwendungsbereich des Cloud Computing stark eingeengt wird, indem der Bezug von Leistungen der grossen weltweit tätigen Cloud-Anbieter ausgeschlossen ist und lediglich noch Leistungen im Rahmen einer schweizerischen Private Cloud in Frage kommen Zulässige Datenbearbeitung In Bezug auf die Einhaltung von datenschutzrechtlichen Bearbeitungsgrundsätzen, wie sie für den Auftraggeber gelten, ist es erforderlich, dass sich der Cloud-Anbieter ausdrücklich dazu verpflichtet, die Daten nur zu den Zwecken und in dem Umfang zu bearbeiten, wie sie für den Kunden gelten. Verschiedene Anbieter sehen dies in ihren Standardbedingungen ausdrücklich vor, und es ist möglich, mit ihnen individuell die zulässigen Bearbeitungszwecke verbindlich zu definieren. Insofern sind die Anbieter bereit, sich dem Weisungsrecht des Kunden zu unterstellen. Die Frage, ob diese Verpflichtungen auch individuell für die Mitarbeiter des Anbieters vorzusehen sind, beantwortet sich analog derjenigen betreffend die Überbindung der Geheimhaltungspflicht (oben Ziff ) Hinreichende Datenschutzgarantien beim Datenexport Ist der Cloud-Anbieter in einem Land ohne angemessenen gesetzlichen Datenschutz oder kann nicht ausgeschlossen werden, dass die Daten auch in ein solches Land transferiert werden könnten, so sind durch entsprechende vertragliche Regelungen hinreichende Garantien zur Sicherstellung eines angemessenen Datenschutzes zu schaffen. Die Rechtslage ist zu unklar, damit dies in absehbarer Zeit ein realistisch gangbarer Weg ist. Dies deshalb, weil die

11 176 Gesundheitsdaten in der Cloud vom EDÖB anerkannten Standardbedingungen kaum für das Cloud Computing geeignet sind bzw. diese sich kaum bei einem Cloud-Anbieter durchsetzen lassen, womit die Notwendigkeit besteht, den Vertrag beim EDÖB zur Prüfung und Genehmigung einzureichen. Auftraggeber aus der Schweiz werden daher vorzugsweise Anbieter suchen, die ihnen vertraglich zusichern können, dass keine Daten in Länder ohne angemessenen Datenschutz gelangen Datensicherheit Auch wenn das DSG bezüglich der Massnahmen zur Datensicherheit keine konkreten Vorgaben macht, müssen Auftraggeber im Hinblick auf ihre Verantwortlichkeit gegenüber den betroffenen Patienten sicherstellen, dass die Datensicherheit in genügendem Mass gewahrt ist. Folgende Punkte, zu denen Cloud-Anbietern im Rahmen von Verhandlungen mit Kunden auch Regelungen anbieten, sind zu berücksichtigen: Verbindliche Beschreibung der vom Anbieter getroffenen Sicherheitsmassnahmen, damit der Auftraggeber beurteilen kann, ob die für ihn selbst gültigen Anforderungen eingehalten sind; Beizug von Subunternehmern nur mit Kenntnis des Auftraggebers und unter Überbindung der auf den Anbieter selber geltenden Verpflichtungen; Informationspflicht des Anbieters im Fall von sicherheitsrelevanten Ereignissen; Regelmäßige Durchführung von Sicherheitsaudits durch externe Fachleute und Zurverfügungstellung der entsprechenden Berichte an den Auftraggeber; Verbindliche Festlegung der Rechenzentren des Anbieters, in denen die Daten des Auftraggebers bearbeitet werden. Andernfalls lässt sich weder die Anforderung, dass die Daten in keine Ländern mit ungenügendem Datenschutz gelangen, noch die Einhaltung der Sicherheitsanforderungen wirksam kontrollieren; Soweit es sich um Daten handelt, welche zur gesetzlich geforderten Patientendokumentation gehören, muss die Nachverfolgbarkeit (Revisionsfestigkeit) für alle Dateneingaben, -mutationen und -löschungen durch entsprechende Log-Dateien sichergestellt sein. Dies insbesondere im Hinblick darauf, dass diese Daten in allfälligen Haftpflichtprozessen Beweisfunktion haben und daher deren Vollständigkeit und inhaltliche Unverfälschtheit nötigenfalls belegt werden muss. Service Level Agreements bezüglich der Verfügbarkeit der Infrastruktur des Anbieters. Wo das kantonale Recht weitergehende Anforderungen stellt, wie z.b. dass keine Verarbeitungsprozesse ausserhalb der Schweiz erfolgen dürfen oder die Verpflichtung des Anbieters zur Unterstellung unter die Kontrolle der kantonalen Datenschutzbehörden dürfte der Spielraum für das Cloud Computing leider eng werden. Es dürfte lediglich noch eine Private Cloud mit einem Anbieter in der Schweiz in Frage kommen. 5.3 Anonymisierung und Verschlüsselung Da es im Einzelfall schwierig bis unmöglich sein kann, die für eine Weitergabe von Gesundheitsdaten an einen Cloud-Anbieter massgeblichen rechtlichen Anforderungen zu erfüllen, ist jeweils zu prüfen, ob die Daten nicht vor dem Transfer in die Cloud anonymisiert bzw. pseudonymisiert werden können. Dadurch verlieren die Daten ihren Personenbezug und fallen aus

12 Gesundheitsdaten in der Cloud 177 dem Anwendungsbereich der Geheimhaltungs- und Datenschutzvorschriften heraus. Das Gleiche wird auch durch die Verschlüsselung der Daten erreicht. Bei der Anonymisierung werden die Daten irreversibel von jedem Personenbezug befreit. Auch der Inhaber der Daten ist nicht mehr in der Lage, einen Personenbezug herzustellen. Die Anonymisierung kommt daher nur in wenigen Fällen in Frage, z.b. wenn statistische Daten in der Cloud bearbeitet werden sollen. Bei der Pseudonymisierung werden die personenbezogenen Merkmale durch Platzhalter ersetzt, z.b. Namen durch eine Kennziffer, so dass für Dritte die Daten keinen Rückschluss mehr auf eine bestimmte Person gestatten. Der Inhaber der Daten kann demgegenüber mittels eines Schlüssels den Personenbezug weiterhin herstellen. Die Problematik bei der Pseudonymisierung liegt darin, dass die Aufhebung des Personenbezugs häufig nur graduell und nicht absolut möglich ist. Werden z.b. die Patientennamen durch eine Kennzahl ersetzt, so ist dies in den meisten Fällen noch nicht ausreichend, da die Daten noch genügend andere individualisierende Merkmale aufweisen, welche die personenbezogene Zuordnung, wenn vielleicht auch nicht in allen, so jedoch nach wie vor in vielen Fällen erlauben. Andererseits ist zu berücksichtigen, dass ein aussenstehender Auftragsbearbeiter nicht über das gleiche Hintergrundwissen verfügt, welches Personen aus dem näheren Umfeld der Patienten, trotz Pseudonymisierung, noch eine Individualisierung ermöglicht. Zu prüfen ist daher im Einzelfall, welches Risiko besteht, dass solche Personen Zugriff auf die pseudonymisierten Daten erhalten könnten, welche aufgrund ihrer Kenntnisse in der Lage sind, die Daten bestimmten Personen zuzuordnen. Erscheint dieses Risiko nach den Umständen als zumutbar gering, ist die Pseudonymisierung genügend 26. Die Verschlüsselung vermeidet den Nachteil der bloss graduellen Wirkung der Pseudonymisierung und ist daher, korrekte technische Implementierung vorausgesetzt, der Pseudonymisierung vorzuziehen. Ihr Nachteil liegt darin, dass Daten verschlüsselt übermittelt und gespeichert werden können, eine Verarbeitung verschlüsselter Daten jedoch noch nicht möglich ist. Allerdings bestehen Forschungsprojekte, um Möglichkeiten zu finden, die eine Verarbeitung verschlüsselter Daten erlauben sollen. Es bleibt somit abzuwarten, was die Zukunft in diesem Bereich noch bringen wird. Literatur [Baer01] B. Baeriswyl, Entwicklungen und Perspektiven des Datenschutzes in öffentlichrechtlichen Krankenhäusern Erfahrungen aus dem Kanton Zürich, in: B. Hürlimann, R. Jacobs, T. Poledna (Hrsg.), Datenschutz im Gesundheitswesen, Zürich 2001, S [Ramp06] C. Rampini: Kommentierung von Art. 14 DSG, in: U. Maurer-Lambrou und N. P. Vogt (Hrsg.), Basler Kommentar Datenschutzgesetz, Basel 2006, S [Utti03] U. Uttinger: Regulatorische Anforderungen an IT-Outsourcing: Gesundheitsund Versicherungsbereich, in: R. H. Weber, M. Berger, R. Auf der Maur (Hrsg.), IT-Outsourcing, Zürich S Diese Fragestellung lag z.b. dem Entscheid des englischen High Court in Department of Health v Information Commissioner, [2011] EWHC 1430, zugrunde (vgl. dazu eine Zusammenfassung unter