Wo bleibt Med-Cloud? Rechtliche Herausforderungen externer (Patienten-) Datenhaltung RA Jan Schneider Fachanwalt für Informationstechnologierecht nrw.units trifft Medizin, Düsseldorf, 22.09.2015
Die (Public) Cloud heute SaaS - Software Public / Private Flexible Nutzung von IT- Ressourcen über das Internet PaaS - Entwicklungsumgebung IaaS - Rechenleistung
Etabliert: Die rechtliche Gestaltung der Cloud Regelfall: Übermittlung von Personendaten in die Cloud Konsequenz: Datenübermittlung nur mit gesetzlicher Legitimierung
Etabliert: Die rechtliche Gestaltung der Cloud Auftragsdatenverarbeitung
Etabliert: Die rechtliche Gestaltung der Cloud Auftragsdatenverarbeitung Rechtliche Gestaltung in ADV-Vereinbarung technische und organisatorische Maßnahmen Umsetzung Prüfungspflichten z. B. durch ISO 27001-Audits EU-Standardvertragsklauseln ISO/IEC 27018 (weitere ) Zusätzliche Anforderungen bei außereuropäischen Clouds
Die Med-Cloud Elektronische Patientenakte Telemedizin Med-Cloud Archivierung von Patientenunterlagen Smart-Data- Auswertung von Medizindaten
Bedeutung der Med-Cloud weltweit Marktvolumen für Cloud-Anwendungen im Bereich Healthcare: 1,82 Mrd. US-Dollar weltweit in 2011 bis 2018: rund 6,79 Mrd. US-Dollar (Quelle: Transparency Market Research)
die Med-Cloud in Deutschland?
die Med-Cloud in Deutschland? Im deutschen Gesundheitssystem ist die Vernetzung der elektronischen Systeme zur besseren Patientenversorgung bisher nicht gelungen. (Quelle: BITKOM)
Der Bedarf ist da! Krankenhäuser und Arztpraxen haben deutlichen technologischen Nachholbedarf. Mit einer funktionierenden IT könnten signifikante Effizienz- und Qualitätsgewinne erzielt werden. (Quelle: Deloitte) zeichnet sich ab, dass Krankenhäuser ihre IT organisatorisch zusammenlegen. Dies könnte auch in innovativen Lösungen geschehen, wie sie heute im Umfeld des Cloud Computing angepriesen werden. 40 Prozent aller Deutschen haben Interesse an internetbasierten Dienstleistungen wie einer elektronischen Patientenakte (Quelle: FTD-Dossiers, Der digitale Doktor) (Studie der Deutsche Bank Research)
Die rechtlichen Herausforderungen bei der Med-Cloud Sensibilität der Patientendaten Hohe datenschutzrechtliche Anforderungen Zusätzliche Herausforderungen für internationale Med-Cloud-Dienste Landesdatenschutz und Krankenhausgesetze Spezialgesetze (z. B. Sozialgesetzbuch)
Die rechtlichen Herausforderungen bei der Med-Cloud Verletzung von Privatgeheimnissen ( 203 StGB) OLG Düsseldorf, Urt. v. 20.08.1996 (Az. 20 U 139/95): Wenn ein Krankenhaus die Archivierung von Patientendaten dergestalt einem externen Dienstleister überlässt, dass dieser Kenntnis von den Namen der Patienten erlangt, verletzen die verantwortlichen Ärzte 203 StGB, sofern die betroffenen Patienten zuvor nicht ausdrücklich ihre Zustimmung erklärt haben.
Lösungsansätze Entfall des Straftatbestandes? Datenschutzrechtliche Einwilligung? Zustimmung
Lösungsansätze Einwilligung der Patienten als gesamtheitliche Lösung? Hohe Anforderungen an die Informationserteilung Was tun mit Verweigerern? Was tun bei Widerruf der Einwilligung? Einwilligung ist nicht immer praktikabel
Lösungsansätze Verschlüsselung der Patientendaten? Tauglich für Archivierungen Lösungsansatz: Sealed Cloud - Technologie Zerstört den Personenbezug der Patientendaten Erschlägt 203 StGB Aber: Verarbeitung verschlüsselter Daten ist technisch problematisch
Lösungsansätze Anonymisierung bzw. Pseudonymisierung der Patientendaten? Tauglich für anonyme Smart-Data- Auswertungen cloud4health - Architektur Umsetzung je nach Anwendungsbereich mehr oder weniger anspruchsvoll bzw. praktikabel
und die Lösung als Ganzes? Anonymisierung bzw. Pseudonymisierung Verschlüsselung Einwilligung
und die Lösung als Ganzes? Patientendaten eines Krankenhauses Vorauswahl Public Cloud Private Cloud wie bisher Anonymisierung bzw. Pseudonymisierung Verschlüsselung Einwilligung
und die Lösung als Ganzes? Patientendaten eines Krankenhauses Vorauswahl Public Cloud Private Cloud wie bisher Archivierung Verarbeitung Anonymisierung bzw. Pseudonymisierung Verschlüsselung Einwilligung
und die Lösung als Ganzes? Patientendaten eines Krankenhauses Vorauswahl Public Cloud Private Cloud wie bisher Archivierung Verarbeitung Verschlüsselung Anonymisierung bzw. Pseudonymisierung Einwilligung
und die Lösung als Ganzes? Patientendaten eines Krankenhauses Vorauswahl Public Cloud Private Cloud wie bisher Archivierung Verarbeitung Verschlüsselung Anonymisierung / Sealed Cloud? Einwilligung
und die Lösung als Ganzes? Patientendaten eines Krankenhauses Vorauswahl Public Cloud Private Cloud wie bisher Archivierung Verarbeitung Verschlüsselung Anonymisierung / Sealed Cloud? Einwilligungskonzept(e) Zugriff durch Dritte (z. B. Arzt, andere Klinik)?
und die Lösung als Ganzes? Patientendaten eines Krankenhauses Vorauswahl Public Cloud Private Cloud wie bisher Archivierung Verarbeitung Verschlüsselung Anonymisierung / Sealed Cloud? Einwilligungskonzept(e) Zugriff durch Dritte (z. B. Arzt, andere Klinik)?
Fazit und Ausblick Die rechtlichen Anforderungen an Med- Cloud-Dienste sind nach wie vor hoch. Erste verfügbare Technologien und Produkte bieten Potenzial. Nationaler bzw. europäischer Med-Cloud- Ansatz dürfte vorzugswürdig sein. Kombinierter Lösungsansatz als Schlüssel zum Erfolg?
Fragen? Jan Schneider Rechtsanwalt Fachanwalt für IT-Recht SKW Schwarz Rechtsanwälte 40212 Düsseldorf Steinstraße 1 / KÖ T +49 (0)211 82 89 59 0 j.schneider@skwschwarz.de www.skwschwarz.de @JanMSchneider Jan Schneider berät in allen Teilbereichen des IT-Rechts, von der rechtlichen Strukturierung und Betreuung klassischer IT-Projekte wie Systemintegrationen und Outsourcing bis hin zu Gestaltung, Vertrieb, Erbringung und Nutzung von Cloud Services und anderer IT- und TK-Dienste. Im Internetrecht berät er u. a. Anbieter bei der Entwicklung und Umsetzung von Geschäftsmodellen, Produkten und Diensten des E- und M-Business. Die Prüfung, Gestaltung und Verhandlung von Vertragswerken sind in allen Teilbereichen des IT-Rechts ein wichtiger Bestandteil der Arbeit von Jan Schneider. Ein weiterer Schwerpunkt sind Datenschutz und IT-Compliance. Hier unterstützt Jan Schneider u.a. Cloud Provider und andere IT-Dienstleister bei der Entwicklung von Datenschutzkonzepten und bei der Herstellung eines ausreichenden Datenschutzniveaus. Jan Schneider veröffentlicht regelmäßig zu aktuellen Themen des IT-Rechts und ist häufig angefragter Referent und Keynote Speaker. Abbildungen (außer S. 9 u. diese Seite): istockphoto.com