„Und wann kommen Sie in die Cloud?“, fragt die Werbung mit erwartungsfrohem Ton und tut so, als handele es sich dabei um die beste Erfindung seit geschnittenem Brot. Kurz darauf berichten die Nachrichten von Hackerangriffen und Datendiebstahl in großem Umfang. Was stimmt nun – muss man das machen und worum handelt es sich eigentlich genau bei dieser „Datenwolke“?

Die Grundidee ist nicht neu. Schon in den fünfziger Jahren, als die Rechenleistung eines heutigen Smartphones noch ganze Schränke füllte und ein ganzes Team von Spezialisten zur Betreuung brauchte, wurden Rechner und Datenspeicher an einem bestimmten Ort zusammengebracht. Dieses Rechenzentrum war über Datenleitungen mit den Anwendern an ihren Endgeräten verbunden. Aus diesem ersten Netzwerk entwickelte sich dann später das heutige Internet. Zwar hat sich die Technik mittlerweile sprunghaft weiterentwickelt, aber Rechner und Daten werden bis heute in Rechenzentren zusammengefasst. Dies spart Geld, erhöht die Sicherheit und erleichtert den technischen Betrieb. Alle Webseiten und Anwendungen, die man heute über das Internet nutzen kann, vom elektronischen Banking über E-Mail, soziale Netzwerke, Suchmaschinen und Online-Shopping bis zur Arztsoftware, arbeiten mit Programmen und Daten von Servern, die irgendwo in einem Rechenzentrum stehen. Weil der Begriff der Cloud in aller Munde ist, wird er derzeit für eine ganze Reihe verschiedener Rechenzentrumsdienste verwendet.

Personenbezogene Daten im Rechenzentrum – Verstoß gegen § 203 StGB

Egal ob privat oder öffentlich, Plattform oder Software – bei allen Cloud-Diensten hat der Dienst-Anbieter Zugriff auf die Server im Rechenzentrum und damit auf die gespeicherten Daten. Bei jeder Aufforderung zur Eingabe von persönlichen Daten sollte man sich bewußt sein, dass man anderen damit den Zugriff auf diese Daten ermöglicht und erlaubt. Etwas anderes gilt aber, wenn nicht nur die eigenen, sondern auch personenbezogene Daten von Dritten in lesbarer Form übermittelt oder gespeichert werden sollen. Das Speichern von Klartext-Patientendaten in einem Cloud-Dienst begründet in jedem Fall einen Verstoß gegen das Berufsgeheimnis nach § 203 StGB. Denn der Betreiber des Rechenzentrums zählt nach der herrschenden juristischen Meinung zu dem Kreis der Unbefugten Dritten, denen gegenüber diese Daten nicht offenbart werden dürfen.

Ende-zu-Ende-Verschlüsselung als Lösung

Anders sieht es wiederum aus, wenn die Daten bereits auf der Praxisseite verschlüsselt werden. Mit einer solchen Ende-zu-Ende-Verschlüsselung  werden die Daten so verändert, dass sie von unbefugten Dritten nicht mehr gelesen werden können. Werden die dafür benötigten Schlüssel zu keiner Zeit an Dritte weitergegeben, entfällt das Schutzbedürfnis damit verschlüsselter Daten. In diesem Fall kann man auch einen Cloud-Dienst zur Speicherung personenbezogener Daten verwenden. Der Einsatz eines sicheren Verschlüsselungsverfahrens gilt derzeit sogar als einziger wirksamer Schutz vor Missbrauch und ist damit sicherer anzusehen als das Speichern der Daten im Klartext auf einem Server, der sich in der Praxis befindet.

Nähere Details erfahren Sie in unserem Artikel in  „Der Allgemeinarzt“ vom 06.10.2016.