Der Einsatz von Cloud-Diensten im Gesundheitswesen ist mit besonderen Herausforderungen verbunden, insbesondere in Bezug auf den Datenschutz. Welche Daten sind in welchem Ausmass schützenswert und welchen gesetzlichen Anforderungen unterliegen sie? Da scheiden sich die Geister – nicht einmal die kantonalen Datenschützer sind sich einig. Hoch lebe der Föderalismus!
Datenschutz – Gleich und doch anders
Die Meinungen über Datenschutz im Gesundheitswesen bezüglich Cloudservices sind so vielfältig wie deren Möglichkeiten. Dies zeigt der Bericht «Pro & Kontra: Datenschutz als Risiko für die Gesundheit» im Aerzteblatt.de aus dem Jahr 2022 schön auf und verdeutlicht die Schwierigkeit, klare Vorgaben zu erhalten. Genau in dieser Situation befindet sich auch die Hirslanden-Gruppe. Uns fehlen klare Vorgaben und fundierte Entscheidungsgrundlagen.
Seit nunmehr vier Jahren befinden wir uns auf der Reise in die Cloud und haben schon einiges an Lehrgeld bezahlt. Gestartet haben wir mit klassischen M365 SaaS Services und später auf Azure eine Landing Zone als hybride Erweiterung zu unserer lokalen Infrastruktur aufgebaut. Dabei hatten wir mit verschiedenen Herausforderungen wie unerwartete Mehrkosten, niedrige Security Scores und Existenzängste der IT-Mitarbeiter zu kämpfen. Diese haben wir alle mit Bravour gemeistert, doch die grösste aller Herausforderung bleibt jedoch der Datenschutz und da befinden wir uns nach wie vor im Spannungsfeld zwischen Innovativität und den gesetzlichen Vorgaben.
Gesetzliche Grundlagen
Das Schweizer Datenschutzgesetz (DSG) regelt die Verarbeitung personenbezogener Daten, um die Privatsphäre zu schützen, wobei der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (FDÖB) für deren Einhaltung und somit der Wahrung der Personenrechte sorgt. Die Datenschutzverordnung (DSV) gibt detaillierte Vorgaben zur Umsetzung des DSG’s vor. Die Schweiz hat ihr DSG an die Datenschutz-Grundverordnung (DSGVO) der EU angeglichen, und gilt aus EU Sicht als sicherer Drittstaat.
Auf kantonaler Ebene haben die Kantone eine eigene Datenschutzaufsichtsbehörde, die regionale Aspekte des Datenschutzes überwacht. So bleibt den Kantonen Spielraum, diesen anzupassen oder zu ergänzen, was zu einer erstaunlich grossen Uneinheitlichkeit in der Datenschutzpraxis führt. Ein weiterer Faktor im Datenschutz ist der US Cloud Act, welcher den US-Behörden den Zugriff auf von US-Unternehmen gespeicherte Daten erlaubt, auch wenn diese in der Schweiz oder anderen Ländern gespeichert sind. Diese Situation kann zu weiteren Konflikten mit der Allgemeinen Datenschutzverordnung führen.
Woran scheitern die Kliniken
Eine der zentralen Faktoren beim DSGVO ist die geografische Lokation der Datenhaltung. Um konform mit den Anforderungen der kantonalen Aufsichtsbehörden zu sein, müssen wir gewährleisten, dass unsere Patientendaten in einem sicheren Drittstaat gespeichert sind, welche ein gleichwertiges Datenschutzniveau bieten. Effektiv gilt diese Vorgabe nur für Patientendaten, die im Rahmen eines kantonalen Leistungsauftrags bearbeitet werden. Die Geo-Lokation alleine reicht aber noch nicht, da praktisch alle grossen Cloud Provider amerikanische Firmen sind und dem US Cloud Act unterliegen. Genau da scheitern Kliniken, weil ihnen durch die Uneinigkeit der kantonalen Datenschutzbehörden eine klare Entscheidungsgrundlage fehlt.
Zunächst ist zu prüfen, welches Gesetz anwendbar ist und welche Aufsichtsbehörden zuständig sind. Zur Einhaltung von Datenschutzvorgaben bieten sich Ansätze wie Datenverschlüsselung, Anonymisierung und risikobasierte Ansätze. Einen Lichtblick bietet das neue CH-US Data Privacy Framework (DPF), das sei Mitte September in Kraft ist und durch die Zertifizierung von US Amerikanischen Firmen diese als Firmen aus einem sicheren Drittland einstuft.
Fazit
Cloud-Dienste im Gesundheitswesen bieten technologische Vorteile, erfordern jedoch eine sorgfältige Abwägung von Datenschutzanforderungen und strategischen Überlegungen. Die föderalen Unterschiede in den kantonalen Datenschutzvorgaben stellen eine zusätzliche Herausforderung dar und erschweren eine einheitliche Umsetzung. Unternehmen im Gesundheitswesen sollten daher umfassende Massnahmen auf technischer, organisatorischer und vertraglicher Ebene ergreifen, um Datenschutz und Compliance zu gewährleisten.
Weiterführende Links zum Thema:
- Drittstaaten mit angemessenem Datenschutz – Publikationssystem Fedlex
- CH-US Data Privacy Framework – Entscheid Bundesrat
- Data Privacy Framework Program – Firmen Zertifizierung von sicheren Drittstaaten
- US CLOUD Act – Executive Agreements
