Auch im Gesundheitswesen gewinnt die Nutzung von Cloud-Computing immer mehr an Bedeutung. Lokal installierte On-Premise-Lösungen kommen hier an ihre Grenzen, da sie dem Wunsch nach flexiblen und effizienten Lösungen bei der Speicherung von Datenmengen nicht mehr in ausreichendem Maße gerecht werden.

Doch nicht nur den datenschutzrechtlichen Anforderungen der DSGVO an den Umgang mit besonders sensiblen Gesundheitsdaten (Art. 9 DSGVO) ist in diesem Zusammenhang Rechnung zu tragen. Auch der strafrechtlichen Regelung zum Schutz von Geheimnissen durch Berufsgeheimnisträger muss Beachtung geschenkt werden.

Anpassung der Rechtslage

Erst durch die Anpassung des § 203 StGB im Jahr 2017 wurde die Möglichkeit des Einsatzes von Cloud-Computing im Gesundheitswesen überhaupt eröffnet. Zuvor wäre die Auslagerung solcher Datenverarbeitungen mit einem Verstoß gegen die Verschwiegenheitspflicht von Berufsgeheimnisträgern verbunden gewesen (wir berichteten).

Dennoch darf der § 203 StGB auch nach der Neuregelung nicht außer Acht gelassen werden. Doch der Reihe nach.

Durch die Neuregelung ist die Offenbarung von Geheimnissen an Dienstleister nicht mehr per se strafbewehrt. So regelt § 203 Abs. 3 S. 2 StGB, dass kein Offenbaren vorliegt, wenn dem Anwendungsbereich unterliegende Personen Geheimisse gegenüber Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist. Bei der Frage nach der Erforderlichkeit ist dabei ein strenger Maßstab anzusetzen. Hinsichtlich des Einsatzes von Cloud-Computing heißt dies konkret, dass Geheimnisse nur dann offenbart werden dürfen, wenn dies zwingend erforderlich ist um die Dienstleistung in Anspruch zu nehmen. Dabei ist unbedingt auch die alternative Einbeziehung anderer Dienstleister in Betracht zu ziehen. Sollte sich also herausstellen, dass die Inanspruchnahme eines bestimmten Dienstleisters zwingend mit der Offenbarung von Geheimnissen verbunden ist, ein anderer Dienstleister die Leistung jedoch ohne Offenbarung erbringen kann, wäre die Wahl aus datenschutzrechtlicher Sicht nicht schwer.

Noch komplizierter wird die Auswahl bei der Einschaltung von Dienstleistern aus dem Ausland. Denn hinsichtlich der Nutzung von ausländischen Cloud-Computing-Diensten gibt es im Vorfeld an eine Zusammenarbeit einige Hürden zu meistern. So hat der Berufsgeheimnisträger zu prüfen, ob das betreffende Land ein vergleichbares Schutzniveau für Berufsgeheimnisse vorsieht und ein Verstoß vergleichbare Sanktionen nach sich ziehen würde. Nur wenn die Prüfung des ausländischen Rechts ergibt, dass der Schutz von Geheimnissen vergleichbar ist, darf eine Offenbarung an diese Dienstleister erfolgen. Wobei nicht vergessen werden darf, den Cloud-Computing-Dienstleister nach den Vorgaben des § 203 Abs. 4 Ziff. 2 StGB auf die Geheimhaltung zu verpflichten.

Fällt das Ergebnis jedoch negativ aus, muss durch Ergreifen entsprechender technischer Maßnahmen sichergestellt sein, dass durch den Einsatz des Dienstleisters kein Offenbaren im Sinne des § 203 StGB vorliegt. Ein Beispiel für solche Maßnahmen wäre die Verschlüsselung von Daten dergestalt, dass sichergestellt wird, dass ausschließlich der Berufsgeheimnisträger in der Lage ist die Daten zu entschlüsseln. Der Zugriff seitens des Dienstleisters muss durch technische und organisatorische Maßnahmen entsprechend unterbunden werden.

Fazit

Bereits hinsichtlich der Regelung des § 203 StGB gibt es beim Einsatz von Cloud-Computing-Diensten einiges zu beachten. Hinzu kommen die Regelungen der DSGVO, welche insbesondere an die Umsetzung technischer Maßnahmen hohe Anforderungen stellen. Nur so kann dem besonderen Schutzbedarf von Gesundheitsdaten in ausreichendem Maße Rechnung getragen werden. Sofern dann noch ein Drittstaatentransfer im Sinne der DSGVO hinzukommt, hat der Berufsgeheimnisträger enorm hohe Hürden zu meistern, um das Cloud-Computing datenschutzkonform umzusetzen.