Immer mehr Ärztinnen und Ärzte sowie medizinisches Pflegepersonal setzen zur Eindämmung der Pandemie neben der klassischen Sprechstunde und Vor-Ort-Kommunikation auf digitale Angebote via Video und Messenger. Im Zuge dieser Digitalisierung des Gesundheitssystems ist es daher wichtig, sich noch einmal mit der Gesetzeslage zum Datenschutz zu beschäftigen.
Denn in Online-Visiten und dem Einsatz von Mobilgeräten zur schnellen Kommunikation werden besonders sensible persönliche Daten ausgetauscht und nicht selten auch relevante Metadaten gespeichert.
Seit Mai 2018 greift in den Mitgliedsstaaten der EU die DSGVO. Zugleich gilt seit März 2018 in den USA der CLOUD Act. Viele internationale Anbieter insbesondere von Kommunikations- und Cloud-Diensten haben ihren Firmensitz in den Vereinigten Staaten. Europäische NutzerInnen, die Angebote namhafter amerikanischer IT-Unternehmen anwenden, kommen daher mit beiden Gesetzen gleichzeitig in Kontakt. Doch was besagen diese zwei sich widersprechenden Gesetzgebungen und was bedeutet das für die Sicherheit virtueller Gesundheitsdienstleistungen?
Der „Clarifying Lawful Overseas Use of Data Act”, kurz CLOUD Act, ist ein Gesetz, das amerikanischen Behörden den Zugriff auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Durch dieses Gesetz ist es egal, ob Daten in einer Cloud oder in einem lokalen Datenzentrum in den Vereinigten Staaten oder außerhalb liegen. Es betrifft alle Daten in der Obhut des Unternehmens. Also auch die von KundInnen und NutzerInnen. Durch den CLOUD Act sind amerikanische Firmen selbst dann zur Datenherausgabe verpflichtet, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Im Falle einer Untersuchung müssen Unternehmen sowohl personenbezogene Daten als auch Unternehmensdaten herausgeben. Einen Schutz von Betriebsgeheimnissen oder geistigem Eigentum gibt es nicht.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union regelt die Nutzung von und den Umgang mit personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Ziel dieser Verordnung ist es, die Grundrechte und -freiheiten der EU-BürgerInnen zu wahren. Sie beinhaltet sowohl den Schutz personenbezogener Daten als auch den von Betriebsgeheimnissen. Laut DSGVO dürfen persönliche Informationen ausschließlich anlassbezogen eingesehen werden. Nicht-EU-Länder wie die USA dürfen laut dieser Verordnung Daten nur zugespielt bekommen, wenn ein Rechtshilfeabkommen vorliegt oder die Nutzer dem explizit zustimmen. Zwischen den Vereinigten Staaten und der Europäischen Union gibt es kein solches Abkommen und die wenigsten NutzerInnen werden eine technisch und fachlich unnötige Datenweitergabe an die USA ablehnen.
Die Gretchen-Frage: Kann eine US-amerikanische Software DSGVO-konform sein?
Das Angebot eines US-Unternehmens kann, sobald Anbieter oder NutzerInnen aus irgendeinem Grund das Interesse einer US-Behörde erregen, nicht mehr DSGVO-konform sein. Kommt der CLOUD Act zur Anwendung, muss das US-Unternehmen alle vorliegenden Daten preisgeben. Dabei kann es den in der DSGVO verankerten Schutz der privaten Informationen seiner NutzerInnen nicht sicherstellen, ohne sich vor einem US-Gericht zu verantworten. Daher ist eine DSGVO-Erklärung in diesem Fall von vornherein nicht verlässlich. Werden im Gesundheitswesen Tools genutzt, die ihren Ursprung in den USA haben oder auf Servern amerikanischer Unternehmen gehosted werden, ist im Zweifel ein uneingeschränkter Zugriff auf die Arbeit des medizinischen Personals aber auch auf Persönliches der PatientInnen möglich. In einem weiteren Schritt ist zu bezweifeln, ob die ärztliche Schweigepflicht, die in einem derartigen Vertrauensverhältnis Voraussetzung sein sollte, gewährleistet werden kann.
Was kümmern US-Behörden die Krankenakten deutscher PatientInnen?
Auch wenn medizinisches Pflegepersonal, Praxen und Krankenhäuser mit Daten arbeiten, die für die US-Behörden auf den ersten Blick nicht von Belang sind, ist dies keine gute Rechtfertigung auf Treu und Glauben einen Server eines US-Dienstleisters zu nutzen. Gerade im Zuge der Pandemie, der Globalisierung und der grenzüberschreitenden Digitalisierung können auch Gesundheitsdaten europäischer NutzerInnen für US-Behörden interessant werden. Krankenakten und medizinische Daten aus Arztpraxen, Kliniken und vertraulichen Gesprächen über Kommunikationstools, wie Video oder Messenger, sind hier greifbar nah. Außerdem untergräbt dies den Grundgedanken der DSGVO, die NutzerInnen den Schutz ihrer Daten und ihres geistigen Eigentums zusichert. Daher empfiehlt es sich auch für die Gesundheitsbranche, die Auswirkungen des CLOUD Acts für sich selbst kritisch zu prüfen. Dazu kommt, dass weder amerikanische noch europäische Gesetzgebungen in Stein gemeißelt sind. Der CLOUD Act könnte dementsprechend ausgeweitet werden und den jetzt schon kaum gehinderten Zugriff von US-Behörden auf Informationen in der Zukunft noch erweitern.
Reicht es, wenn Daten komplett verschlüsselt werden, bevor sie auf US-Server gelangen?
Nicht jede IT-Anwendung oder Cloud lässt eine Verschlüsselung zu. Häufig müssen Daten in Reinform eingegeben werden. Und selbst wenn eine Verschlüsselung durch die AnwenderInnen möglich ist, stellt dies keine absolute Sicherheit dar. Zum einen, da die meisten Verschlüsselungen auch ihren Key in der Cloud aufbewahren. Zum anderen erlaubt die US-Gesetzgebung es ihren Behörden, Daten zu entschlüsseln. Auch wenn ein Anbieter in seinen allgemeinen Geschäftsbedingungen verspricht, dass die Verschlüsselung der Informationen nicht offengelegt wird, nützt das im Ernstfall wenig. Der CLOUD Act ist ein Bundesgesetz und steht somit über einer Geschäftsvereinbarung. Eine Ausnahme gibt es jedoch: Ist eine Videosprechstunde Ende-zu-Ende verschlüsselt, so werden die Schlüssel für die Verbindung direkt auf den beiden Rechnern erstellt und zumindest die Inhalte eines solchen Gespräches unzugänglich für alle anderen verschlüsselt.
Fazit: Daten sollten in der EU verankert bleiben, wenn sie digitalisiert werden
Wer wie Gesundheitsteams mit sensiblen privaten Daten oder als Unternehmen mit wirtschaftlich relevanten Betriebsgeheimnissen digital arbeitet, sollte bei der Wahl des IT-Services besonders kritisch sein. NutzerInnen von US-amerikanischen Dienstleistern sitzen rechtlich immer zwischen den Stühlen und können sich durch den CLOUD Act nicht mehr auf die DSGVO verlassen. Daher empfiehlt es sich hier besonders darauf zu achten, einen IT-Anbieter zu wählen, dessen Hauptsitz und Server innerhalb der EU liegen. Bei Kommunikationsdiensten sollte zumindest eine Ende-zu-Ende Verschlüsselung möglich sein, die nicht durch die Hintertür wieder geöffnet werden kann. So sind alle persönlichen Daten, Betriebsgeheimnisse und das geistige Eigentum durch die europäische Gesetzgebung gesichert.
Dr. Matthias Kuss, CEO der Tyme Group
https://tyme-group.com/