Patientendaten schützen: Ist das Bayerische Krankenhausgesetz (BayKrG) aus der Zeit gefallen?
Hier in Bayern ticken die Uhren oft ein wenig anders als in anderen Bundesländern – das ist nicht neu. Auch in Sachen Datenschutz hat Bayern einen Sonderweg eingeschlagen. Besonders deutlich wird das am Bayerischen Krankenhausgesetz (BayKrG), das die Nutzung von Cloud-Diensten für Krankenhäuser durch besonders strenge Richtlinien einschränkt. So dürfen Drittanbieter nur dann für die Datenverarbeitung herangezogen werden, sofern das Krankenhaus die Schlüsselgewalt für die Daten wahrt und Weisungsbefugnis über die datenverarbeitenden Mitarbeiter des externen Dienstleisters erhält. Aber ist diese Regelung zeitgemäß und sinnvoll? Selbstverständlich muss man Patientendaten schützen – aber um jeden Preis?
Der Artikel 27 des BayKrG, von dem hier die Rede ist, wurde Anfang der 1990er Jahre konzipiert. Ziel des Artikels war und ist es, den „Kreis der Personen, die mit sensiblen medizinischen Daten in Berührung kommen, möglichst eng und die Qualifikation der betreffenden Personen möglichst hoch zu halten.“
Das bedeutet, dass medizinische Patientendaten – etwa Untersuchungsbefunde oder Daten aus bildgebenden Verfahren – nicht außerhalb der dem Krankenhaus zugehörigen Räumlichkeiten verarbeitet oder archiviert werden dürfen. Das soll den unrechtmäßigen Zugriff auf diese Daten verhindern. Um Krankenhäusern die Nutzung von Cloud-Diensten dennoch zu ermöglichen, sind einige Kunstgriffe notwendig. So werden zum Beispiel externe Serverräume einfach zum Krankenhausgelände deklariert. Doch dieser Zwang zu bürokratischen Pirouetten ist nicht nur aus der Zeit gefallen, er ist auch dem Datenschutz nicht dienlich – im Gegenteil.
Guter Ansatz, falsche Konsequenz
Niemand kann bestreiten, dass medizinische Patientendaten zu den intimsten und sensibelsten Informationen eines Menschen gehören. Darum ist es nur richtig, diese Daten durch besonders strikte Regeln schützen zu wollen. Doch es ist zu bezweifeln, dass die im Art. 27 BayKrG festgelegten Regelungen dem Test der Zeit standhalten. Und es ist mehr als fragwürdig, ob sie den stetigen Weiterentwicklungen der Digitalisierung Rechnung tragen können.
Mit der Gewahrsamspflicht von Kliniken will man Patientendaten schützen, und zwar bestmöglich. Das heißt, es muss sichergestellt sein, dass ein unberechtigter Zugriff nicht möglich ist. Die sicherste Lösung ist also, jeglichen Fremdzugriff technisch auszuschließen. Genau das ist der zentrale Ansatz des Confidential Computing.
Patientendaten schützen mit Confidential Computing
Confidential Computing sorgt dafür, dass der Cloud-Anbieter zu keinem Zeitpunkt Zugriff auf die Daten in der Cloud hat – auch nicht während ihrer Verarbeitung. Somit lassen sich beispielsweise Röntgenbilder oder schriftliche Befunde ohne Gefahr zwischen Krankenhaus und einer externen Arztpraxis austauschen.
uniscons Confidential Computing-Ansatz stellt mit rein technischen Mitteln sicher, dass die Daten selbst während der Verarbeitung weder für den Betreiber noch für Cyberkriminelle oder unbefugtes Personal einsehbar sind. Denn die Datenverarbeitung erfolgt auf physisch versiegelten Servern in speziell abgekapselten Segmenten. Dafür sorgt die patentierte Sealed-Cloud-Technologie.
So ermöglicht der hochsichere Cloud-Dienst idgard® das einfache Verwalten und Austauschen von Dokumenten und Daten jeden Typs und schützt sensible Patientendaten mindestens so sicher wie ein vom Krankenhaus selbst betriebener Server.
Sealed Cloud bietet besten Datenschutz und spart Betriebskosten
Das Dogma, medizinische Patientendaten um jeden Preis auf dem Krankenhausgelände speichern zu müssen, ist aus der Zeit gefallen. Hauseigene Server sind weder günstiger, noch garantieren sie höhere Datensicherheit als eine hochsichere Cloud. Hinzu kommen hohe Kosten für Anschaffung und Modernisierung sowie für Betrieb und Wartung. Abgesehen davon scheren sich Cyberkriminelle sich nicht um den Standort eines Servers, solange dieser mit dem Internet verbunden ist. Das zeugt sich auch in der Praxis: So werden Kliniken und Krankenhäuser immer wieder Opfer von Hackern und Erpressern.
Ein dedizierter Cloud-Experte hingegen hat die notwendige Expertise, um Daten vor Fremdzugriffen effektiv zu schützen – jederzeit und DSGVO-konform, selbst während der Datenverarbeitung. Das veraltete Regelwerk des BayKrG will Patientendaten schützen, aber kann hier nicht mithalten. Es wird Zeit für ein Update – und für eine zeitgemäße Lösung!
Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.
Haben wir Sie neugierig gemacht? Testen Sie jetzt den Sealed-Cloud-Dienst idgard® und erstellen Sie einen kostenlosen Probe-Account!