Das Thema Cloud Computing treibt so manchem IT-Leiter im Krankenhaus den Angstschweiß auf die Stirn. Geht es doch darum, vertrauliche Patienten- und Unternehmensdaten aus der Hand zu geben und diese in einer diffusen Wolke schweben zu lassen- so jedenfalls die Vorstellung. Doch der professionelle Nutzer kann einiges tun, um seine sensiblen Daten zu schützen und die Risiken der Cloud-Nutzung zu minimieren, erklärt Prof. Dr. Thomas Jäschke. Besonderes Augenmerk müsse auf die Wahl des Anbieters gelegt werden, betont der Wirtschaftsinformatiker und Datenschutzbeauftragte im Gesundheitswesen. Er empfiehlt den Anwendern:
- Die Daten sollten Deutschland nicht verlassen, damit sie zu jedem Zeitpunkt dem deutschen Datenschutzgesetz unterliegen: Anbieter mit deutschem Serverstandort wählen und zusätzlich kritisch prüfen, ob die Datenverarbeitung nicht ins Ausland ausgelagert wird („Subcontracting-Problematik“).
- Datensätze müssen jederzeit rückholbar sein, um bei einem Providerwechsel mit dem gesamten Bestand umziehen zu können.
- Umfang, Güte und Verfügbarkeit des Serviceangebots mit dem Provider vertraglich definieren; Reaktionszeiten bei Fehlerfällen in Form von Service Level Agreements vereinbaren.
- Zuständige (Landes-)Datenschützer frühzeitig in die Umsetzung der Cloud-Strategie einbeziehen.
- Der Aspekt Schweigepflicht: Eine Verarbeitung „personenbezogener Daten der besonderen Art“ ist nur dann zulässig, wenn eine gesetzliche Grundlage oder Rechtsvorschrift dies ausdrücklich anordnet. Dies ist beim Cloud Computing nicht der Fall. Andernfalls müsste der Betroffene einwilligen, dass sein Recht auf informationelle Selbstbestimmung eingeschränkt wird. Der Gesetzgeber fordert in diesen Fällen eine sogenannte „informierte Einwilligung“ (Paragraf 4a Abs. 1 Satz 2 BDSG).
