Cloud-Computing im Bereich der Psychotherapie: Was erlaubt der Datenschutz im Hinblick auf Patient*innendaten?

Das Cloud-Computing erfreut sich im Gesundheitsbereich zunehmender Beliebtheit, denn es ermöglicht zu jeder Zeit, an jedem Ort und mittels unterschiedlicher Geräte auf Daten zuzugreifen. Die Daten können daher ortsunabhängig und kostengünstig gespeichert werden. Allerdings bietet das Cloud-Computing nicht nur Vorteile, sondern birgt einige Risiken in sich. Gerade im Gesundheitsbereich handelt es sich in der Regel um hochsensible Daten, die nicht für jedermann zugänglich sein sollen. Daher ist in diesem Bereich ganz besonders auf die Einhaltung datenschutzrechtlicher und strafrechtlicher Bestimmungen zu achten. An dieser Stelle sei auch erwähnt, dass die Beachtung datenschutzrechtlicher Bestimmungen nicht automatisch auch zur Einhaltung strafrechtlicher Bestimmungen und umgekehrt führt.

Datenschutzrecht

Der Schutz von Gesundheitsdaten gewinnt im Zeitalter der Digitalisierung und infolge der Datenschutzgrundverordnung (DSGVO) – die europäische Verordnung, die am 25. Mai 2018 in Kraft getreten ist – an großer Bedeutung.

Gesundheitsdatenschutz ist der auf Gesundheitsdaten bezogene Datenschutz. Geschützt werden personenbezogene Daten, also alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die unter dem Datenschutzrecht geschützten Gesundheitsdaten fallen unter eine besondere Kategorie personenbezogener Daten. Dabei handelt es sich um personenbezogene Daten, die sich auf jede körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Psychotherapeutische Schweigepflicht

Das Patientengeheimnis wird nach § 203 Strafgesetzbuch (StGB) unter strafrechtlichen Schutz gestellt. Patientengeheimnisse sind alle Tatsachen, welche sich auf den / die Patient*in sowie ihre/ seine vergangenen und bestehenden Lebensverhältnisse beziehen, die nicht offenkundig sind, also nur einem bestimmten Personenkreis bekannt sind, an deren Geheimhaltung die / der Betroffene erkennbar ein schutzwürdiges Interesse hat und welche nach ihrem / seinem Willen auch geheim gehalten werden sollen. Die Informationen nach
§ 203 StGB müssen demnach Geheimnisqualität aufweisen. Eine Strafbarkeit der / des Psychotherapeut*in kommt erst dann in Betracht, wenn die / der Psychotherapeut*in Informationen an Dritte, die davon noch keine oder keine umfassende Kenntnis haben, weitergibt, mitteilt oder diesen nicht gesichert überlässt. Eine unsichere Versendung von psychotherapeutischen Berichten per unverschlüsselter E-Mail oder Fax, der ungesicherte Umgang mit Praxis- oder Klinik-EDV ohne Zugriffsbeschränkungen oder sonstige Schutzmaßnahmen vor Zugriffen unbefugter Dritter oder das Übermitteln von Patientendaten an Social-Media-Netzwerke oder Praxis-EDV ist ebenso strafrechtsrelevant wie ein Liegenlassen von Patientenunterlagen.

Dokumentation durch Nutzung einer Cloud

Grundsätzlich sind Psychotherapeut*innen zur Führung von Patientenakten verpflichtet. Dies kann sowohl in Papierform als auch elektronisch erfolgen. Die Behandlungsdokumentationen sind mindestens zehn Jahre nach Abschluss der Behandlung aufzubewahren. Für die Psychotherapeut*innen ist daher von besonderem Interesse, ob auch sie ihre Patientendaten in einer Cloud ablegen können.

Die Ablage von Daten in einer Cloud erfolgt grundsätzlich im Rahmen einer sogenannten Auftragsverarbeitungsvereinbarung.

Psychotherapeut*innen sind verpflichtet, Patient*innendaten vor unberechtigten Einsichtnahmen und Zugriffen zu schützen. Auch die / der Dienstleister*in, die / der die Cloud betreibt und für den Betrieb der Cloud verantwortlich ist, darf keine Einsicht in die Patientendaten erhalten.

Jede Psychotherapeutin und jeder Psychotherapeut sollte daher vor Nutzung einer Cloud sicherstellen, dass die rechtlichen Voraussetzungen für die Nutzung der Cloud gegeben sind.

Die Patientendaten müssen ordnungsgemäß verschlüsselt sein. So muss die Verschlüsselung in der Praxis erfolgen, bevor die Daten in die Cloud gelangen und der Schlüssel zum Ver- und Entschlüsseln darf sich nur im Besitz der Psychotherapeutin oder des Psychotherapeuten befinden.

Die Psychotherapeut*innen sollten zudem darauf achten, die / den Dienstleister sorgfältig auszuwählen. Neben der Vertrauenswürdigkeit sollte dieser auch über ein IT-Sicherheitsmanagement verfügen und wenn möglich nach der Norm ISO 27001 zertifiziert sein. Weiterhin sollten medizinische / psychotherapeutische Daten getrennt von anderen Daten auf den Servern gehalten werden.

Oftmals befinden sich Server weltweit verteilt. Hierbei besteht die Gefahr, dass das dortige und gerade nicht das deutsche / europäische Datenschutzrecht Anwendung findet, sodass teilweise den hohen deutschen datenschutzrechtlichen Anforderungen nicht Genüge getan werden kann. Der Server sollte sich daher idealerweise in Deutschland oder zumindest in der Europäischen Union befinden.

Auf keinen Fall darf das Praxisverwaltungssystem zur Datenverarbeitung in der Cloud betrieben werden, weil dann der Dienstleister Zugriff auf die Patientendaten erlangt.

Im Ergebnis kann das Cloud-Computing nur bei der Nutzung vertrauenswürdiger Dienstleister empfohlen werden. In jedem Fall sollten Psychotherapeut*innen sicherstellen, dass nur sie den Schlüssel zum Ver- und Entschlüsseln im Besitz haben.

Nicole Schwiegk, Dr. Christian Rybak, München

Checkliste

• Ordnungsgemäße Verschlüsselung in der Praxis, bevor die Daten in die Cloud gelangen

•  Dienstleister darf keine Einsicht in die Patientendaten erhalten
  

• Schlüssel zum Ver- und Entschlüsseln darf sich nur im Besitz der Psychotherapeutin oder des Psychotherapeuten befinden
  

• Dienstleister sorgfältig auswählen (wenn möglich IT-Sicherheitsmanagement, Zertifizierung nach Norm ISO 27001)
  

• Medizinische / psychotherapeutische Daten sollten getrennt von anderen Daten auf den Servern gehalten werden
  

• Server sollte sich in Deutschland oder zumindest in der Europäischen Union befinden

•  Praxisverwaltungssystem zur Datenverarbeitung darf nicht in der Cloud betrieben werde