Grenzwertig
»Bei der verteilten Datenverarbeitung im Internet (‚Cloud Computing’) stellt sich die Frage, wie der Datenschutz und die Datensicherheit gewährleistet werden können, wenn im Extremfall nicht einmal bekannt ist, von wem Daten technisch verarbeitet werden und in welchem Land sich die IT-Systeme befinden. Werden personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet, stößt der Ansatz des Cloud Computing datenschutzrechtlich gesehen schnell an seine Grenzen.«
aus einer Pressemitteilung des Bundesbeauftragten für den Datenschutz, Peter Schaar, vom 12. April 2011. Anlass war die Vorstellung seines Tätigkeitsberichtes für die Jahre 2009 und 2010. Im Kapitel 5.6 geht es um Cloud-Computing – Überschrift: »Datenschutz in der Wolke?«.
Patientendaten in der Wolke
KLAUS-PETER GÖRLITZER, Journalist und redaktionell verantwortlich für BIOSKOP
Patientendaten in der Wolke
- Die Speicherung von sensiblen Informationen auf auswärtigen Rechnern birgt unüberschaubare Risiken
aus: BIOSKOP Nr. 61, März 2013, Seite 8
Ein milliardenschwerer Wachstumsmarkt, den Informationstechnik-Industrie und Wirtschaftsförderer seit einigen Jahren im Auge haben, ist das »Cloud-Computing« (Rechnen in der Wolke). Auch ÄrztInnen und ForscherInnen sollen begeistert werden. DatenschützerInnen und andere unabhängige Fachleute haben Bedenken.
Jedes Jahr im März steht die Messestadt Hannover im Zeichen der CEBIT. Ein Top-Thema der Informationstechnik-Verkaufsausstellung war dieses Mal die im Fachsprech so genannte »Cloud« – auf Deutsch: »Datenwolke«. Gemeint ist das lukrative, weltweit wachsende Geschäft mit externen Speicherkapazitäten, Softwareanwendungen und Rechenleistungen, die spezialisierte Dienstleister anbieten. Mehr als zwei Millionen deutsche Computeranwender sollen ihre elektronischen Dokumente, Fotos, Videos und andere Daten bereits einem externen Großrechner, weit weg von der eigenen PC-Festplatte, gegen Bezahlung anvertraut haben. Das jedenfalls verbreitete der IT-Branchenverband BITKOM wenige Tage vor Beginn der CEBIT und verwies zum Beleg auf eine eigene, »repräsentative Umfrage«.
Wie viele ÄrztInnen »Cloud Services« nutzen, wurde bislang nicht erhoben – am einfachsten ist es wohl, wenn PatientInnen einfach mal selbst nachfragen.
Wie viele ÄrztInnen »Cloud Services« nutzen, wurde bislang nicht erhoben – am einfachsten ist es wohl, wenn PatientInnen beim nächsten Praxisbesuch einfach mal selbst nachfragen. Tatsache ist aber, dass die neuen Speicheroptionen regelmäßig auch in populären Publikationen für MedizinerInnen thematisiert – und teils beworben – werden. Dabei kommen durchaus auch »Probleme« zur Sprache, etwa in einem Bericht der Ärztezeitung vom 11. Mai 2012: »Wo genau die Server stehen, auf denen die Daten abgelegt werden, weiß nur der Anbieter«, gibt Autorin Rebekka Höhl zu bedenken. »Und auch nur er weiß, ob die Daten auf einem Server oder verteilt auf mehreren Servern, die vielleicht auch noch in unterschiedlichen Ländern stehen, gespeichert werden.«
Derartige Ungewissheiten sind, jedenfalls für DatenschützerInnen, nicht so einfach hinnehmbar. Risiken bestünden insbesondere, wenn sensible Daten auf Servern außereuropäischer Anbieter vorgehalten werden. Staaten wie USA, Indien oder China unterliegen nicht den deutschen Regelungen, erläuterte der Rechtsanwalt Jan Schneider in einem Aufsatz für die Zeitschrift MEDengineering. Da es sich – rechtlich gesehen – um eine Auftragsdatenverarbeitung handelt, verbleibe die Verantwortung beim Nutzer der Cloud, schreibt der Jurist aus Düsseldorf. Sofern diese unzulässig sei oder Persönlichkeitsrechte gefährde, sei der Nutzer dafür verantwortlich und müsse mit Sanktionen rechnen. Vor diesem Hintergrund rät Schneider, mit »zusätzlichen Maßnahmen« vorzubeugen, konkret: cloud-willige MedizinerInnen sollten PatientInnen informieren und ihre ausdrückliche Einwilligungserklärung zur Datenspeicherung auf Rechnern außerhalb der Praxis einholen. Allerdings ist niemand gezwungen, hier zuzustimmen.
Die Analyse der Patientenakten soll dazu beitragen, »Kostensenkungen bei klinischen Studien« zu erreichen und die Entwicklung von Medikamenten zu verbessern.
Anlässlich der CEBIT präsentierte sich auch das »cloud4health«-Konsortium, das mit rund 3,5 Millionen Euro vom Bundesministerium für Wirtschaft und Technologie gefördert wird. Hier kooperieren fünf Partner aus Industrie, Wissenschaft und Gesundheitswesen, darunter das Fraunhofer-Institut für Algorithmen und Wissenschaftliches Rechnen, die Universität Erlangen und die Rhön-Klinikum AG.
Ihre gemeinsame Mission ist es, vertrauenswürdige IT-Infrastrukturen zu entwickeln, Patientendaten zu verschlüsseln und, wie es heißt, »sekundär« für Forschungszwecke nutzbar zu machen – vor allem auch solche, die bisher im Freitext abgelegt, also noch nicht elektronisch gespeichert sind. Als wesentliche Ressource dienen Daten von PatientInnen, die im Erlanger Uniklinikum und in Rhön-Krankenhäusern behandelt wurden.
Wozu »cloud4health« perspektivisch dienen soll, beschrieb Philipp Daumke von der ebenfalls am Konsortium beteiligten Averbis GmbH Anfang 2012 im Deutschen Ärzteblatt. Die Analyse der Patientenakten soll dazu beitragen, »Kostensenkungen bei klinischen Studien« zu erreichen und die Entwicklung von Medikamenten zu verbessern, etwa durch ein »cloud-basiertes Wirkstoffscreening«. Ein weiteres Teilprojekt bezweckt, »automatisierte Plausibilitäts- und Wirtschaftlichkeitsprüfungen medizinischer Behandlungen« zu entwickeln. »Dabei soll geprüft werden, inwieweit ärztliches Handeln zweckmäßig und wirtschaftlich erfolgt«, heißt es in einer Beschreibung des fördernden Ministeriums. Mit der Veröffentlichung von Ergebnissen ist in einigen Jahren zu rechnen.
© Klaus-Peter Görlitzer, 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung des Autors