Das Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2015 gegen das Safe-Harbor-Abkommen betrifft auch US-amerikanische Health-Cloud-Dienste. Darum sollten Ärzte und Patienten auf “Datenschutz made in Germany” setzen. Ein Kommentar von Rainer Kasan.

Die Verwendung von US-basierten medizinischen Cloud-Diensten wie Microsoft Health und Health Vault – beide basierend auf der Microsoft Cloud Azure – oder Apple Health, Google Health und seit kurzem auch Dropbox ist nunmehr schlichtweg rechtswidrig. Es widerspricht dem Bundesdatenschutzgesetz und stellt zudem eine Verletzung der ärztlichen Schweigepflicht da. Für uns von Digithurst und Telepaxx bedurfte es nicht erst eines EuGH-Urteils, um Datenschutz und Datensicherheit in den Mittelpunkt unseres Handelns zu stellen. Seit fast 20 Jahren betreiben wir einen sehr hohen Aufwand, um medizinische Daten effektiv vor unberechtigten Zugriffen zu schützen.

So geht Datenschutz richtig

Unser vorbildlicher Schutz von Patientendaten wird uns für den e-pacs Speicherdienst seit vielen Jahren mit dem Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD) in Kiel sowie dem European Privacy Seal (EuroPrise) bestätigt. Selbstverständlich betreiben wir unsere Rechenzentren für unser externes Langzeitarchiv e-pacs sowie für HealthDataSpace – unsere neue Online-Plattform zum Medizindatenaustausch – seit jeher in Deutschland und verschlüsseln alle Daten unserer Kunden clientseitig. Das bedeutet: Nur der Nutzer kennt den Schlüssel, weil er ihn selbst generiert hat. Wir als Plattformbetreiber können auf die medizinischen Daten unserer Nutzer unter keinen Umständen zugreifen.

Nutzereinwilligung für US-Internetdienste jetzt notwendig

Der europäische Gerichtshof stellt eindeutig fest, dass aufgrund der vergangenen Aktivitäten des US-Geheimdienstes die persönlichen Daten europäischer Internetnutzer nicht ausreichend vor dem Zugriff der US-Behörden geschützt sind. Das heißt konkret, dass in Europa Cloud-Angebote von US-Internetdienstleistern keinen Schutz für persönliche Daten bieten können. Das wird Facebook und Google+ einige Probleme bereiten. Sie werden ihre Nutzer dazu auffordern müssen, dem zuzustimmen, dass ihre Daten auf Anforderung von US-Behörden offengelegt werden dürfen. Das hat dann jeder Facebook-Nutzer für sich selbst zu entscheiden – soweit so gut. Firmen oder medizinische Einrichtungen, die personen- bzw. patientenbezogene Daten auf US-Servern ablegen, können dies in Zukunft nur noch tun, wenn ihnen dafür eine explizite (schriftliche) Zustimmung der betroffenen Person bzw. des Patienten vorliegt.

Safe Harbor schützt keine europäischen Nutzerdaten

Das Safe-Harbor-Abkommen zwischen der EU und den USA aus dem Jahre 2000 legt fest, unter welchen Bedingungen Internetdienste personenbezogene Daten aus Europa in den USA speichern dürfen. Danach müssen die betreffenden Internetdienstleister (Apple, Google, Microsoft, etc.) garantieren, die Daten ihrer europäischen Nutzer zu schützen. Seit den Enthüllungen von Edward Snowden ist jedoch bekannt, dass amerikanische Unternehmen verpflichtet sind, Nutzerdaten offenzulegen, wenn es die Belange der „nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten erfordern”. Das heißt nichts anderes, als das Safe Harbor nur solange gilt, wie es nicht mit US-Interessen kollidiert.

 

Rainer Kasan-DigithurstÜber den Autor:

Rainer Kasan ist Gesellschafter von Telepaxx sowie Gründer und Geschäftsführer von Digithurst, dem Schwesterunternehmen von Telepaxx.

 

 

 

Titelbild: ©photodune.net / MMDesigner

Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht.