Schlüsselgewalt für das Krankenhaus


Wirksamer Schutz von Patientendaten in der Cloud
Das Bayerische Krankenhausgesetz braucht ein Update



Autor: uniscon – Ein Unternehmen der TÜV SÜD Gruppe

In Bayern ticken die Uhren oft ein wenig anders als im Rest der Bundesrepublik. Die föderale Struktur Deutschlands ist auch der Grund, weshalb wir Bayern einen Sonderweg in Sachen Datenschutz eingeschlagen haben. Ein folgenreicher Unterschied ist im Bayerischen Krankenhausgesetz (BayKrG) zu beobachten. Artikel 27 limitiert die Cloud Computing-Nutzung für Krankenhäuser durch besonders strenge Richtlinien, um medizinische Patientendaten vor unberechtigtem Fremdzugriff zu schützen. So dürfen Drittanbieter nur dann für die Datenverarbeitung herangezogen werden, sofern das Krankenhaus die Schlüsselgewalt für die Daten wahrt und Weisungsbefugnis über die datenverarbeitenden Mitarbeiter des externen Dienstleisters erhält.

Der Artikel 27 des BayKrG zum Gewahrsam des Klinikums wurde Anfang der 1990er Jahre konzipiert. Ziel des Artikels war es, den "Kreis der Personen, die mit sensiblen medizinischen Daten in Berührung kommen, möglichst eng und die Qualifikation der betreffenden Personen möglichst hoch zu halten."

Demnach dürfen medizinische Patientendaten, wie Untersuchungsbefunde oder Daten aus bildgebenden Verfahren, nicht außerhalb der dem Krankenhaus zugehörigen Räumlichkeiten verarbeitet oder archiviert werden. So soll der unrechtmäßige Zugriff auf diese Daten verhindert werden. Um Krankenhäusern die Cloudnutzung dennoch zu ermöglichen, braucht es Kunstgriffe: So werden beispielsweise externe Serverräume zum Krankenhausgelände deklariert. Doch der Zwang zu bürokratischen Pirouetten ist weder zeitgemäß, noch dient er dem Datenschutz.

Guter Ansatz, falsche Konsequenz
Niemand kann bestreiten, dass medizinische Patientendaten zu den sensibelsten und intimsten Informationen eines Menschen gehören. Deshalb ist es nur richtig, solche Daten durch besonders strikte Regeln vor Missbrauch zu schützen. Doch ist zu bezweifeln, dass die im Art. 27 BayKrG festgelegten Regelungen dem Test der Zeit standhalten oder den stetigen Weiterentwicklungen der Digitalisierung Rechnung tragen können.

Wenn also das Ziel der Gewahrsamspflicht von Kliniken ist, maximalen Datenschutz für Patientendaten zu gewährleisten, dann müssen die Daten jederzeit so geschützt sein, dass unberechtigter Zugriff nicht möglich ist. Die sicherste Lösung ist also, jeglichen Fremdzugriff technisch auszuschließen. Dies ist der zentrale Ansatz des Confidential Computing.

Confidential Computing garantiert Schlüsselgewalt für das Krankenhaus
Confidential Computing stellt sicher, dass der Cloud-Anbieter zu keinem Zeitpunkt Zugriff auf die in der Cloud gespeichert Daten hat – selbst während ihrer Verarbeitung. Somit können beispielsweise Röntgenbilder oder schriftliche Befunde ohne Gefahr zwischen Krankenhaus und einer externen Arztpraxis ausgetauscht werden.

uniscons Confidential Computing-Ansatz stellt mit rein technischen Mitteln sicher, dass die Daten selbst während der Verarbeitung weder für den Betreiber noch für Cyberkriminelle oder unbefugtes Personal einsehbar sind. Denn die Datenverarbeitung erfolgt auf physisch versiegelten Servern in speziell abgekapselten Segmenten. Auf diese Weise ermöglicht der Cloud-Dienst "idgard" das einfache Verwalten und Austauschen von Dokumenten und Daten jeden Typs und schützt medizinische Patientendaten mindestens so sicher wie ein vom Krankenhaus betriebener Server.

Hochsichere Cloud bietet besten Datenschutz und spart Betriebskosten
Das Dogma, medizinische Patientendaten auf dem Krankenhausgelände speichern zu müssen, ist aus der Zeit gefallen. Angefangen bei hohen Kosten für Anschaffung, Modernisierung sowie für Betrieb und Wartung. Hauseigene Server sind weder günstiger, noch garantieren sie höhere Datensicherheit als eine hochsichere Cloud. Cyberkriminelle scheren sich nicht um den Serverstandort, solange dieser mit dem Internet verbunden ist.

Ein dedizierter Cloud-Experte hat die notwendige Expertise, um Daten vor Fremdzugriffen effektiv zu schützen – jederzeit und DSGVO-konform, selbst während der Datenverarbeitung.

Am 01. Januar 2021 hat der deutschlandweite Rollout der Elektronischen Patientenakte begonnen. Die ePA ist jedoch kaum mit dem veralteten Regelwerk des BayKrG zu vereinbaren. Es wird Zeit für ein Update!
(uniscon, TÜV SÜD Gruppe: ra)

eingetragen: 11.02.21
Newsletterlauf: 30.03.21

Uniscon universal identity control: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Kommentare und Meinungen

  • Cloud-Kunden den Anbieterwechsel erleichtern

    Die im Januar 2024 in Kraft getretene EU-Datenverordnung, die den Wettbewerb fördern soll, indem sie Cloud-Kunden den Anbieterwechsel erleichtert, wirbelt den Markt für Cloud-Dienste kräftig durcheinander - zum Vorteil von Unternehmen, meint Jamil Ahmed, Director und Distinguished Engineer bei Solace.

  • Kriterien im Umgang mit KI-Systemen

    eco - Verband der Internetwirtschaft e.V. forderte anlässlich der Abstimmung über den AI Act im Ausschuss der ständigen Vertreter der EU-Mitgliedsstaaten eine praxistaugliche Umsetzung und EU-weit einheitliche Kriterien im Umgang mit KI-Systemen.

  • Trends der Netzwerktechnologie 2024

    Künstliche Intelligenz und Cloud Computing ergänzen sich symbiotisch. Obwohl ML und KI keine neuen Technologien und Konzepte sind, hat die Verfügbarkeit großer Rechen- und Speicherkapazitäten über die Cloud die jüngsten Entwicklungen von KI beschleunigt.

  • Datenmengen häufen sich

    Immer mehr Unternehmen in Deutschland setzen auf Cloud Computing - Tendenz steigend. Dabei nennt sich die Verlagerung von Rechenressourcen wie etwa Daten, Anwendungen oder IT-Prozesse in die Cloud-Migration.

  • Datenflut in der Multi-Cloud-Welt

    Künstliche Intelligenz (KI) markiert aktuell einen wichtigen Wendepunkt für die Technologiebranche. Die in den 1950er Jahren von John McCarthy geprägt Technik hat sich jahrzehntelang hauptsächlich im Hintergrund weiterentwickelt, bis die Veröffentlichung des generativen KI-Tools ChatGPT den Durchbruch brachte.

  • Bitkom zum KI-Aktionsplan

    Bitkom begrüßt den KI-Aktionsplan des BMBF. Schon heute ist Deutschland in der Forschung rund um KI sehr gut aufgestellt und es ist richtig, sie weiter auszubauen. Wie diese Initiative des Forschungsministeriums in die Gesamtstrategie der Bundesregierung zur Künstlichen Intelligenz eingebettet werden soll, bleibt hingegen offen.

  • Digitale-Dienste-Gesetz deutlich homogener

    Das Gesetz über digitale Dienste (Digital Service Act, DSA) wurde im November 2022 im EU-Parlament verabschiedet und soll zusammen mit dem Gesetz über digitale Märkte (Digital Markets Act, DMA) in den kommenden Jahren die Standards für einen sichereren und offeneren digitalen Raum für Nutzer sowie gleiche Wettbewerbsbedingungen für Unternehmen innerhalb der EU setzen.

  • Berater lassen Texte oft von ChatGPT schreiben

    Seit das Unternehmen OpenAI Ende 2022 sein Programm ChatGPT für die allgemeine kostenlose Nutzung freigeschaltet hat, ist um das Thema künstliche Intelligenz (KI) ein Hype entstanden. Auch die Beraterszene hat den Nutzen solcher Chat-Programme wie ChatGPT für sich erkannt - zu Recht, denn mit ihnen lassen sich sehr schnell und einfach zumindest erste Entwürfe solcher Werbetexte wie Blogbeiträge, Werbeschreiben oder Post für die Social Media generieren, die man dann weiterbearbeiten kann.

  • Unabhängiger Datenschutz für freie Anbieterwahl

    Es gibt viele Gründe für Unternehmen, den Cloud-Anbieter zu wechseln, ganz gleich ob von oder zu großen oder kleineren Anbietern. Einer der häufigeren Gründe ist neben der unterschiedlichen Servicepalette sicherlich die Preisgestaltung der Cloud-Anbieter. Beispielsweise hat Microsoft für seine Cloud-Dienstleistungen seit April 2023 im Euroraum signifikante Preissteigerungen eingeführt, die Unternehmen dazu veranlassen könnten, über einen Anbieterwechsel nachzudenken

  • Keine Erfüllung der Muss-Kriterien

    In einem Positionspapier skizzieren die obersten deutschen Datenschützer, wie sie sich Souveräne Clouds vorstellen. Ihre Forderungen sind begrüßenswert, gehen aber nicht weit genug, bedauert Holger Dyroff, Co-Founder und COO von ownCloud.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen