Spätestens an diesem Punkt kollidieren ärztlicher Alltag und Bundesdatenschutzgesetz. Entweder mangelt es an Zeit oder am Know-how der Ärzte und des Pflegepersonals, sich näher mit einem Cloud-Anbieter zu befassen und die Technologie zu verstehen. Anders als in Arztpraxen sind in Krankenhäusern die jeweilige IT-Abteilung und ein eventuell eingesetzter Datenschutzbeauftragter für diese Problematik heranzuziehen, im Zweifelsfalle auch die Klinikleitung.

Zuständigkeiten von Dienstleister und Auftraggeber trennen

Es müssten laut Münch auch die Zuständigkeiten zwischen Dienstleister und Auftraggeber genau festgelegt werden, zum Beispiel bei der Frage der Verschlüsselung, wenn Patientendaten auf der Seite des Providers bearbeitet oder gespeichert werden. Empfehlenswert sei eine Durchführung der Verschlüsselung beim Auftraggeber Arztpraxis oder Krankenhaus. So könne auch sichergestellt werden, dass der verwendete Encryption Key beim Auftraggeber verbleibt.

Grundsätzlich müssen ferner die Patienten vorab über die Datenweitergabe informiert werden und eine Einverständniserklärung abgeben. Diese Erklärung kann laut Münch aber bereits in allgemeiner Form durch ein Anmeldungs- oder Einschreibeformular abgefragt werden. Allerdings dürften viele Patienten sich kaum mit Begriffen wie Datenweiterleitung, Cloud oder Service-Provider auskennen. Mal schnell irgendwo unterschreiben dürfte nicht dem Bundesdatenschutzgesetz entsprechen. Vielleicht wichtiger noch: der möglicherweise entstehende Schaden für den Patienten, wenn seine persönlichen Daten in irgendeiner Weise missbraucht werden.

"Orientierungshilfe KIS"

Krankenhausinformationssysteme (KIS) erschweren oft den Datenschutz, da sie sehr komplex sind und in sehr unterschiedlichen Varianten vorhanden sind – oft sogar innerhalb eines einzigen Klinikums. Bereits 2011 wurde deshalb die "Orientierungshilfe KIS" (OH-KIS) eingeführt, um die rechtlichen und technologischen Aspekte näher zu beleuchten. Datenschutzberater in den Kliniken haben damit auch eine Argumentationshilfe bei der Bewertung alter oder neuer IT-Systeme an die Hand bekommen.