Datenschutzwissen

Schutz von Patientendaten mit idgard®: Das Bayerische Krankenhausgesetz braucht ein Update

Patientendaten in der Cloud gehören angemessen geschützt. Dazu müssen allerdings auch die rechtlichen Rahmenbedingungen stimmen. Erfahren Sie, wie idgard® mit Confidential Computing für Datenschutz sorgt – und warum das Bayerische Krankenhausgesetz dringend ein Update braucht.

In Bayern ticken die Uhren ein wenig anders als im Rest Deutschlands. Und auch in Sachen Datenschutz haben die Bayern einen Sonderweg eingeschlagen. Das zeigt sich beispielsweise am Bayerischen Krankenhausgesetz (BayKrG): Artikel 27 limitiert die Cloud-Nutzung für Krankenhäuser durch besonders strenge Richtlinien. Damit sollen medizinische Patientendaten vor unberechtigtem Fremdzugriff geschützt werden. Zum Beispiel dürfen Drittanbieter nur dann für die Datenverarbeitung herangezogen werden, wenn das Krankenhaus die Schlüsselgewalt für die Daten behält und Weisungsbefugnis über die datenverarbeitenden Mitarbeiter des Dienstleisters hat

Konzipiert wurde der betreffende Artikel Anfang der 90er Jahre mit dem Ziel, den „Kreis der Personen, die mit sensiblen medizinischen Daten in Berührung kommen, möglichst eng und die Qualifikation der betreffenden Personen möglichst hoch zu halten." In der Folge dürfen medizinische Patientendaten – dazu zählen etwa Untersuchungsbefunde oder Daten aus bildgebenden Verfahren – nicht außerhalb der zum Krankenhaus gehörenden Räumlichkeiten verarbeitet oder archiviert werden.

Krankenhäuser, die dennoch Cloud-Dienste nutzen wollen, müssen teilweise tief in die Trickkiste greifen. Zum Beispiel, indem externe Serverräume zum Krankenhausgelände deklariert werden. Aber dieser Zwang zu bürokratischen Pirouetten ist weder zeitgemäß, noch dient er dem Datenschutz.

BayKrG Art. 27 – aus der Zeit gefallen

Niemand bestreitet, dass Patientendaten zu den sensibelsten und intimsten Informationen eines Menschen gehören. Es ist also nur richtig, diese Daten durch besonders strikte Regeln vor Missbrauch zu schützen. Aber es darf bezweifelt werden, dass die Regelungen des Art. 27 BayKrG dem Test der Zeit standhalten oder den stetigen Weiterentwicklungen der Digitalisierung Rechnung tragen können.

Das Ziel der Gewahrsamspflicht von Kliniken ist bzw. sollte sein, maximalen Datenschutz für Patientendaten zu gewährleisten. Das heißt, die Daten müssen jederzeit so geschützt sein, dass unberechtigter Zugriff unmöglich ist. Die sicherste Lösung ist also, jeglichen Fremdzugriff technisch auszuschließen. Genau das ist der zentrale Ansatz des Confidential Computing.

Confidential Computing: Angemessenen Datenschutz für Patientendaten

Confidential Computing sorgt dafür, dass der Cloud-Anbieter zu keinem Zeitpunkt Zugriff auf die in der Cloud gespeichert Daten hat – auch nicht während der Verarbeitung. Auf diese Weise können etwa Röntgenbilder oder schriftliche Befunde nahezu ohne Risiko zwischen Krankenhaus und einer externen Arztpraxis ausgetauscht werden.

Auch die TÜV SÜD-Tochter uniscon setzt auf Confidential Computing. Die in Deutschland entwickelte Sealed-Cloud-Technologie stellt mit einem Satz rein technischer Mittel sicher, dass in der Cloud gespeicherte Daten weder für den Betreiber noch für Cyberkriminelle oder sonstige unbefugte Dritte einsehbar sind. Das gilt auch für verarbeitete Daten. Dazu erfolgt die Datenverarbeitung auf physisch versiegelten Servern in speziell abgekapselten Segmenten.

So ermöglicht uniscons Cloud-Dienst idgard® die einfache Verwaltung und den Austausch von Dokumenten und Daten jeden Typs und schützt medizinische Patientendaten mindestens so sicher wie ein vom Krankenhaus betriebener Server.

idgard® bietet besten Datenschutz und spart Betriebskosten

Das Dogma, medizinische Patientendaten auf dem Krankenhausgelände speichern zu müssen, ist aus der Zeit gefallen. Angefangen bei hohen Kosten für Anschaffung, Modernisierung, Betrieb und Wartung: Hauseigene Server sind weder günstiger, noch garantieren sie höhere Datensicherheit als eine hochsichere Cloud. Und Cyberkriminelle scheren sich nicht um den Serverstandort, solange dieser mit dem Internet verbunden ist! Dedizierte Cloud-Experten hingegen haben die notwendige Expertise, um Daten vor Fremdzugriffen effektiv zu schützen – jederzeit und DSGVO-konform.

Am 01. Januar 2021 hat der deutschlandweite Rollout der Elektronischen Patientenakte begonnen. Die ePA ist jedoch kaum mit dem veralteten Regelwerk des BayKrG zu vereinbaren. Es wird Zeit für ein Update!

Haben wir Sie neugierig gemacht? Testen Sie uniscons Sealed-Cloud-Sienst idgard® jetzt selbst! idgard® ist die ideale Lösung für hochsicheren Datenaustausch im Internet – egal ob intern oder über Unternehmensgrenzen hinweg.

Starten Sie in nur zwei Minuten einen kostenlosen idgard®-Test!

Dies ist ein Gastbeitrag der uniscon GmbH. Weitere Blogbeiträge rund um die Themen Datenschutz und Datensicherheit finden Sie unter www.privacyblog.de.

Zurück

Hier bloggt Ihre Redaktion.