Gesundheitsdaten in der Cloud – Überblick über die datenschutzrechtlichen Anforderungen bei der Nutzung von Cloud-Diensten

Zu den Vorteilen des Einsatzes von Cloud-Diensten gehören die schnelle und flexible Verfügbarkeit von Daten etwa in Notfallsituationen, der erleichterte einrichtungsübergreifende Datenaustausch und die ortsunabhängige Möglichkeit des Abrufs von Gesundheitsinformationen. Daneben stehen wirtschaftliche Vorteile, denn die Infrastruktur und die Softwarefunktionalitäten sind skalierbar, in der Regel werden „Pay per Performance“- oder „Pay per Use“-Modelle vereinbart und die Nutzung von Cloud-Diensten generiert lediglich geringe Investitionskosten. Durch die Auslagerung eigener Strukturen in die Cloud können außerdem über 80 % an Energiekosten gespart werden, was nicht nur aus ökonomischer Sicht interessant, sondern auch dem ökologischen Fußabdruck zuträglich ist.

Es wird darüber hinaus für die Zukunft von außerordentlicher Bedeutung sein, dass Gesundheitsdaten für die Forschung und für das Training von künstlicher Intelligenz genutzt werden können. Lokale On-Premise-Lösungen führen insofern nicht zum Ziel, sondern es bedarf flexibler und effizienter Lösungen zur Speicherung großer Datenmengen, die etwa von Cloud-Diensten gewährleistet werden können.

Die Nutzung von Cloud-Diensten ist aber nur dann eine echte Option, wenn die personenbezogenen Daten, zu denen vielfach besonders sensible Gesundheitsdaten gehören, bestmöglich geschützt sind und die Einhaltung datenschutzrechtlicher Regelungen möglich ist.

An dieser Stelle ist auch die Politik gefordert, die zum einen die entsprechenden Rahmenbedingungen für den flächendeckenden Einsatz von Cloud-Computing im Healthcare-Bereich schaffen müsste und letztlich auch entsprechende Anreize zu deren Nutzung setzen könnte.¹ Insofern wäre etwa eine Vereinheitlichung der Landeskrankenhausgesetze denkbar, die den Einsatz von Cloud-Lösungen für Krankenhäuser derzeit enorm erschweren und damit auch eine krankenhausübergreifende Vernetzung von Patientendaten sowohl zu Versorgungs- als auch zu Forschungszwecken nahezu unmöglich machen. Dies könnte auch mit Hilfe von Datentreuhändern realisiert werden, die den Schutz der Patientendaten gewährleisten.

In diesem Beitrag soll ein Überblick darüber gegeben werden, wie Cloud-Computing funktioniert, welche Nutzungsmöglichkeiten die Technologie bietet und welche spezifischen datenschutzrechtlichen Risiken bei ihrem Einsatz zu berücksichtigen sind.

Was sind Cloud-Dienste?

Obgleich sich bislang keine einheitliche Definition für das Cloud-Computing durchsetzen konnte, beziehen sich Fachkreise zumeist auf die Definition der US-amerikanischen Standardisierungsstelle NIST (National Institute of Standards and Technology), die auch von der EU-Agentur für Cybersicherheit (ENISA) herangezogen wird:

„Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider- Interaktion zur Verfügung gestellt werden können.“²

Daraus ergeben sich folgende charakteristische Eigenschaften für Cloud-Services:

• Skalierbarkeit

Ressourcen können je nach Bedarf erweitert oder reduziert werden.

• Bedarfsgerechter Zugriff

Nutzer können selbstständig auf Ressourcen zugreifen und Leistungsparameter unmittelbar anpassen.

• Mehrmandantenfähigkeit durch Ressourcenbündelung

Mehrere Cloud-Nutzer teilen sich den Zugriff auf eine Menge virtueller oder physikalischer Ressourcen – dabei wissen die Anwender nicht, wo die Ressourcen sich befinden, der Speicherort kann aber vertraglich festgelegt werden.

• Netzwerkanbindung

Die Services sind mit Standard-Mechanismen über das Netz verfügbar und nicht an einen bestimmten Client gebunden.

• Virtualisierung

Mehrere Hardware-Ressourcen werden mittels Software zu einer Einheit zusammengefasst und diese virtuelle Einheit kann so geteilt werden, dass die Cloud-Nutzer die Verteilung des Dienstes auf mehrere Server nicht erkennen.

• Verbrauchsorientierte Vergütungsmodelle

Es werden nur die Ressourcen bezahlt, die auch tatsächlich in Anspruch genommen wurden.

Die auf der Basis von Cloud-Computing angebotenen Dienstleistungen decken das gesamte Spektrum der Informationstechnik ab. Klassischerweise unterscheidet man zwischen dem Angebot von Infrastruktur, Plattformen oder Diensten, woraus sich die folgenden drei Servicemodelle ergeben:

1. Infrastructure as a Service (IaaS)

Bei IaaS werden IT-Ressourcen als Dienst angeboten. Hierzu gehören insbesondere Rechenleistung, Datenspeicher oder Netze, worauf eigene Services aufgebaut werden können.

2. Platform as a Service (PaaS)

Bei PaaS wird eine vollständige Infrastruktur mit standardisierten Schnittstellen bereitgestellt. Es handelt sich hierbei um eine Entwicklungsumgebung, in der die Nutzer neue Applikationen erstellen können.

3. Software as a Service (SaaS)

Software as a Service bildet die höchste Dienstebene und es umfasst sämtliche Angebote von Anwendungen, die den Kriterien des Cloud-Computings entsprechen. Hierzu können beispielsweise Kontaktdatenmanagement, Finanzbuchhaltung oder Textverarbeitung gehören.

Neben diesen unterschiedlichen Dienstmodellen gibt es auch verschiedene Bereitstellungsmodelle, wobei zwischen privater, öffentlicher, gemeinschaftlicher und hybrider Cloud differenziert wird.

Wie sind Cloud-Dienste datenschutzrechtlich einzuordnen?

Die Europäische Datenschutz-Grundverordnung (DSGVO) enthält keine spezifischen Regelungen für das Cloud-Computing. Es handelt sich aber datenschutzrechtlich häufig um eine sogenannte Auftragsverarbeitung im Sinne des Art. 28 DSGVO.³ Dies setzt freilich stets eine Prüfung im jeweiligen Einzelfall voraus, eine pauschale Bewertung verbietet sich angesichts der Vielzahl möglicher Sachverhaltsgestaltungen. Die Auftragsverarbeitung ermöglicht dem Datenverarbeiter das Outsourcing von Datenverarbeitungen an einen weisungsgebundenen Auftragnehmer, beispielsweise an einen Cloud-Anbieter. Verantwortlicher im datenschutzrechtlichen Sinne bleibt dann der Auftraggeber, also der Nutzer des Cloud-Dienstes. Während nach alter Rechtslage unter der Geltung des Bundesdatenschutzgesetzes alter Fassung im Zusammenhang mit der Auftragsverarbeitung vieles unklar und umstritten war, macht die Datenschutz-Grundverordnung nunmehr konkrete Vorgaben dazu, welche Anforderungen eine rechtmäßige Auftragsverarbeitung erfüllen muss.

Maßgeblich für die Charakterisierung einer Verarbeitung personenbezogener Daten als Auftragsverarbeitung ist die Tatsache, dass mit der Auslagerung der Datenverarbeitung kein Entscheidungsspielraum für den Auftragsverarbeiter übertragen wird. Verantwortlich im datenschutzrechtlichen Sinne ist derjenige, der über die Zwecke und Mittel der Datenverarbeitung bestimmt, dem Auftragsverarbeiter darf insofern kein eigener Wertungs- und Entscheidungsspielraum zustehen. Er verarbeitet personenbezogene Daten für den Verantwortlichen, ohne eigene Interessen im Zusammenhang mit der Datenverarbeitung zu verfolgen.

Die Prüfung, ob es sich bei dem Cloud-Anbieter um einen Auftragsverarbeiter handelt, ist angesichts der erheblichen Auswirkungen auf die Rechtsfolgen von großer Bedeutung. Denn ein Verantwortlicher kann sich Auftragsverarbeitern für bestimmte Datenverarbeitungen unter Einhaltung des Art. 28 DSGVO bedienen, ohne dass es für die Verarbeitung durch den Auftragsverarbeiter einer weiteren Rechtsgrundlage als derjenigen, auf die der Verantwortliche selbst die Verarbeitung stützt, bedarf.⁴ Der Auftragsverarbeiter wird insofern der Sphäre des Verantwortlichen zugeordnet.

Sofern aber personenbezogene Daten an einen Cloud-Dienst übermittelt werden, ohne dass nach den tatsächlichen Umständen eine Auftragsverarbeitung vorliegt, müsste die betroffene Person in die Übermittlung eingewilligt haben oder eine gesetzliche Erlaubnis vorliegen. Ist dies nicht Fall, sind erhebliche Verstöße gegen geltendes Datenschutzrecht zu konstatieren, die letztlich zu nicht unwesentlichen Sanktionen der Aufsichtsbehörden führen können.

Es ist daher jeweils im Einzelfall zu prüfen, ob zwischen Cloud-Nutzer und Cloud-Anbieter ein Auftragsverarbeitungsverhältnis besteht. Insoweit ist eine Abgrenzung zur Übermittlung zwischen zwei Verantwortlichen und zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO erforderlich.

Welche datenschutzrechtlichen Anforderungen gelten für die Nutzung von Cloud-Diensten?

Ganz unabhängig davon, in welchem Verhältnis Cloud-Nutzer und Cloud-Anbieter zueinanderstehen, müssen beide sämtliche Vorgaben der DSGVO einhalten und umsetzen. Hinzu kommen unter Umständen bereichsspezifische Regelungen, die jeweils nur für bestimmte Verantwortliche gelten.

Cloud-Anbieter als Auftragsverarbeiter

Sofern der Cloud-Anbieter als Auftragsverarbeiter für den Cloud-Nutzer personenbezogene Daten verarbeitet, müssen außerdem folgende Anforderungen beachtet werden:

• Der Verantwortliche darf nur mit Cloud-Anbietern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt.
• Grundlage der Verarbeitung im Auftrag durch einen Cloud-Dienst ist ein Vertrag, der allerdings keine konstituierende Wirkung hat. Vertraglich festgelegt werden müssen die in Art. 28 Abs. 3 DSGVO konkret bestimmten Inhalte.

Cloud-Anbieter mit Sitz außerhalb der Europäischen Union

Wenn ein Cloud-Anbieter seinen Sitz außerhalb der Europäischen Union hat, oder wenn die entsprechenden Server außerhalb der Europäischen Union stehen, müssen für die Nutzung des Cloud-Angebots personenbezogene Daten an ein Drittland übermittelt werden. In diesem Fall bedarf es zusätzlich zu der datenschutzrechtlichen Erlaubnis für die Verarbeitung der Daten einer eigenständigen Rechtsgrundlage für die Übermittlung der Daten. Drittstaatentransfers können grundsätzlich auf die in Kapitel 5 der DSGVO (Art. 45 ff.) normierten Instrumente gestützt werden.

Eine wichtige Grundlage für die Datenübermittlung in ein Drittland ist der Angemessenheitsbeschluss gem. Art. 45 DSGVO. Sofern die EU-Kommission festgestellt hat, dass ein Drittland ein angemessenes und der Europäischen Union vergleichbares Schutzniveau bietet, erlässt sie für dieses Land einen Angemessenheitsbeschluss, der dann als Rechtsgrundlage für die Übermittlung dient, sodass es keiner weiteren Genehmigung bedarf. Sofern die Kommission keinen Angemessenheitsbeschluss erlassen hat, kann der Verantwortliche den Datentransfer mittels geeigneter Garantien legitimieren. Hierzu gehören unter anderem die Standard Contractual Clauses (SCC), die von der EU-Kommission erlassen werden. Betroffene Personen können in die Datenübermittlung letztlich auch einwilligen.

Für die USA bestand ein dem Angemessenheitsbeschluss vergleichbares Instrument – das sogenannte Privacy-Shield-Abkommen –, das der EuGH mit seinem Schrems-II-Urteil vom 16. Juli 2020 aufgehoben hat. Für Datenübermittlungen in die USA kann Art. 45 DSGVO daher nicht mehr als Rechtsgrundlage herangezogen werden und auch der Einsatz von SCCs ist mit erheblichen Rechtsunsicherheiten behaftet, sodass zu einem Datentransfer in die USA gerade im Healthcare-Bereich derzeit nicht zu raten ist.

Cloud-Anbieter mit Bezug zu den USA

Eine Übermittlung von personenbezogenen Daten in einen Drittstaat wie die USA, für den weder ein Angemessenheitsbeschluss noch sonstige geeignete Garantien vorliegen, wird vermieden, wenn der US-Anbieter eines Cloud-Dienstes eigene Server in der Europäischen Union bereithält, die von einer EU-Tochtergesellschaft betrieben werden.

Gleichwohl verbleibt in dieser Konstellation ein Konflikt zwischen der Datenschutz-Grundverordnung und dem U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act), der es US-Behörden erlaubt, auf Daten von US-Unternehmen zuzugreifen, unabhängig davon, wo die Daten verarbeitet werden. Diese Möglichkeit des Zugriffs durch US-Behörden kollidiert mit Art. 48 DSGVO, wonach personenbezogene Daten, deren Offenlegung aufgrund eines Gerichtsurteils oder der Entscheidung einer Verwaltungsbehörde in einem Drittland basiert, nur herausgegeben werden dürfen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft oder ein Rechtshilfeabkommen zwischen den betreffenden Staaten gestützt werden kann. Da der CLOUD Act keine solche internationale Übereinkunft darstellt, kann der Verantwortliche ohne einen Verstoß gegen das europäische Datenschutzrecht nicht der Anordnung des CLOUD Acts entsprechen.

Die französische Datenschutzaufsichtsbehörde CNIL hat im Oktober 2020 die Speicherung von Gesundheitsdaten des französischen „Health Data Hub“ auf Servern in der EU eines Unternehmens, dessen Konzernmutter ihren Sitz in den USA hat, angemahnt und eine Umstellung auf europäische Plattformen empfohlen.

Die dargestellte Konstellation ist daher gerade mit Blick auf den Healthcare-Bereich mit äußerster Vorsicht zu genießen. Neben den ohnehin bestehenden Rechtsunsicherheiten stehen im Fall der Speicherung von Patientendaten bei einem Cloud-Anbieter mit Bezug zu den USA auch Verstöße gegen die ärztliche Schweigepflicht zu befürchten.

Was gilt für Krankenhäuser?

Unabhängig von der Trägerschaft eines Krankenhauses fällt die Verarbeitung personenbezogener Daten durch Krankenhäuser in den Anwendungsbereich der Datenschutz-Grundverordnung. Wie bereits dargestellt, ermöglicht die DSGVO die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen und damit den Einsatz von Cloud-Diensten. Dies gilt auch für die Verarbeitung von Gesundheitsdaten, die als besondere Kategorien personenbezogener Daten grundsätzlich erhöhten Schutzanforderungen unterliegen.

Für Krankenhäuser in öffentlicher Trägerschaft gelten zudem die Datenschutzgesetze der Länder, wobei neben den allgemeinen Landesdatenschutzgesetzen teilweise spezielle Landeskrankenhausgesetze, Landeskrankenhausdatenschutzgesetze oder Gesundheitsdatenschutzgesetze mit bereichsspezifischen Datenschutzregelungen Anwendung finden können. Diese gehen den allgemeinen Vorschriften als lex specialis vor.

Für Krankenhäuser in privater Trägerschaft gelten die datenschutzrechtlichen Regelungen der Landeskrankenhausgesetze in der Regel ebenfalls, subsidiär ist aber insoweit nur die DSGVO anwendbar, da sie als nicht öffentliche Stellen regelmäßig nicht in den Anwendungsbereich der allgemeinen Landesdatenschutzgesetze fallen.

Die jeweiligen Landeskrankenhausgesetze, Landeskrankenhausdatenschutzgesetze oder Gesundheitsdatenschutzgesetze der Länder enthalten bereichsspezifische Regelungen zur Verarbeitung von Patientendaten im Allgemeinen und zur Auftragsverarbeitung im Besonderen. Da die Vorschriften teils erheblich voneinander abweichen, können sie hier nicht vertieft dargestellt werden. Hinzu kommt, dass einige Bundesländer Änderungen ihrer Landeskrankenhausgesetze planen, sodass die Herstellung von datenschutzrechtlicher Compliance nicht nur einer einmaligen rechtlichen Prüfung bedarf, sondern auch eines Monitorings bezüglich möglicher Gesetzesänderungen.

Besonders strenge Vorgaben macht insofern das Bayerische Krankenhausgesetz, das die Verarbeitung von medizinischen Daten durch externe Dienstleister nur dann erlaubt, wenn die zu verarbeitenden personenbezogenen Daten im Krankenhaus verbleiben oder alternativ gewährleistet ist, dass der Dienstleister keine Kenntnis von den Daten nehmen kann, was etwa durch Verschlüsselung der Daten umgesetzt werden kann. Das Outsourcing des Krankenhausinformationssystems in die Cloud ist hier also nur mit erheblichen Einschränkungen möglich.

Was müssen Berufsgeheimnisträger darüber hinaus beachten?

Die Schweigepflicht der Heilberufe ergibt sich aus dem ärztlichen Berufsrecht⁵ und dem Behandlungsvertrag zwischen Arzt und Patient.⁶ Außerdem korrespondiert das nach § 203 StGB geschützte Patientengeheimnis mit der ärztlichen Schweigepflicht. § 203 StGB sanktioniert insofern vorsätzliche Verstöße der Verletzung von Privatgeheimnissen durch Berufsgeheimnisträger. Verstöße gegen die ärztliche Schweigepflicht können daher neben Schadensersatzansprüchen auch berufsrechtliche und strafrechtliche Konsequenzen zur Folge haben.

Die jeweiligen Voraussetzungen des Datenschutzes und der Schweigepflicht sind unabhängig voneinander zu prüfen, sie stehen nebeneinander und bilden eigenständige Schranken für die Weitergabe von Patientendaten. Es wird daher auch vom „Zwei-Schranken-Prinzip“ gesprochen.⁷ Es bedarf neben einer datenschutzrechtlichen Erlaubnis für die Übermittlung von Patientendaten immer auch einer Offenbarungsbefugnis. Das Ergebnis der jeweiligen Prüfungen kann auseinanderfallen, denn einer datenschutzrechtlichen Erlaubnis ist nicht automatisch eine Offenbarungsbefugnis im Sinne der Schweigepflicht immanent.⁸

Mit der Neuregelung des § 203 StGB im Jahr 2017 ist eine Einbindung von externen Dienstleistern heute nicht mehr grundsätzlich per se strafbewehrt. Eine strafbare Offenbarung von Geheimnissen liegt nunmehr dann nicht mehr vor, wenn etwa Angehörige der Heilberufe Geheimnisse gegenüber Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme dieser Tätigkeit erforderlich ist.⁹ Der Gesetzgeber hat dabei im Zusammenhang mit der Erweiterung der Möglichkeit der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen ohne (straf-)rechtliches Risiko ausdrücklich an Cloud-Anbieter gedacht. In der Gesetzesbegründung heißt es:

„Für sämtliche in § 203 Abs. 1 StGB genannten Personen kann zudem die Speicherung von Daten auf externen Informationstechnischen Anlagen (wie z. B. in einer ,Cloud‘) wirtschaftlich sinnvoll sein. Diese wirtschaftlichen Interessen von Berufsgeheimnisträgern sind grundsätzlich berechtigt, Voraussetzung ist allerdings, dass sie in Einklang gebracht werden können mit den berechtigten Interessen der Inhaber der Geheimnisse an deren rechtlichen Schutz.“¹⁰

Zum Schutz der berechtigten Interessen der Geheimnisinhaber ist es nach § 203 Abs. 4 S. 2 Nr. 1 StGB erforderlich, dass mitwirkende Personen zur Geheimhaltung verpflichtet werden.

Nicht unumstritten ist die Frage, wann ein Offenbaren erforderlich ist.¹¹ Die Erforderlichkeit bezieht sich dabei nicht auf die Inanspruchnahme eines externen Dienstleisters, sondern auf die Offenbarung von Geheimnissen. Letztlich ist insofern darauf abzustellen, ob die Tätigkeit, die etwa auf einen Cloud-Anbieter übertragen wird, die Kenntnisnahme des Geheimnisses erforderlich macht, um von diesem durchgeführt werden zu können. Falls es an der Erforderlichkeit fehlt, sind technische oder organisatorische Maßnahmen zu implementieren, die ein Offenbaren verhindern. Hierzu gehören beispielsweise die Anonymisierung oder die Verschlüsselung der Daten.

Ob die Verschlüsselung der Daten möglich ist, ist gleichwohl abhängig von der jeweiligen Funktionalität des Cloud-Dienstes. Gerade im Bereich von SaaS-Produkten ist eine Verschlüsselung jedenfalls mit Performance-Einbußen verbunden. Verarbeitungen wie statistische Analysen oder Methoden der künstlichen Intelligenz können mit Daten, die nur in verschlüsselter Form vorliegen, nicht durchgeführt werden.¹²

Die strafrechtliche Relevanz des Offenbarens von Geheimnissen entfällt auch durch die Entbindung des Geheimnisträgers von der Schweigepflicht. Die insofern erforderliche Einwilligung des Patienten ist von der datenschutzrechtlichen Einwilligung in die Verarbeitung personenbezogener Daten zu unterscheiden, die Erklärungen können aber zusammen abgegeben werden, sofern deutlich wird, dass es sich um zwei unterschiedliche Erklärungen handelt.

Zusammenfassend lässt sich im Hinblick auf die Nutzung von Cloud-Diensten durch Berufsgeheimnisträger feststellen, dass diese zusätzlichen Anforderungen unterliegt. Neben den datenschutzrechtlichen Voraussetzungen muss die Einhaltung der ärztlichen Schweigepflicht gleichermaßen Beachtung finden. Sofern die Nutzung eines Cloud-Dienstes bzw. die damit in Zusammenhang stehende Offenbarung von Geheimnissen nicht erforderlich ist, kann der Patient den Berufsgeheimnisträger von seiner Schweigepflicht entbinden.

Fazit:

Die Nutzung von Cloud-Lösungen im Healthcare- Bereich ist an vielen Stellen möglich, sollte aber im Einzelfall sorgfältig auf die Zulässigkeit geprüft werden. Im Hinblick auf Krankenhäuser ist die Rechtslage außerordentlich unübersichtlich, hier bedarf es eines klare(re)n Rechtsrahmens, der etwa durch die Vereinheitlichung der datenschutzrechtlichen Vorgaben auf Landesebene geschaffen werden könnte. An dieser Stelle könnte die Politik durch entsprechende Gesetzesänderungen sowohl die Patientenversorgung als auch die medizinische Forschung erheblich verbessern.

_____

¹ Der bvitg hat in einem Positionspapier konkrete Forderungen an die Politik formuliert, die es für den Erfolg der Cloud in der Gesundheitsversorgung umzusetzen gilt, bvitg-Positionspapier – Gesundheitsdaten zeitgemäß sichern und nutzen mit der Cloud, 14.01.2021, abrufbar unter https:// www.bvitg.de/wp-content/uploads/2021-01-28_bvitg_Positionspapier_ Cloud.pdf.

² BSI, Cloud Computing Grundlagen, abrufbar unter https://www.bsi.bund. de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und- Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/ Grundlagen/grundlagen.html.

³ S. ausführlich zu cloudrelevanten Rechtsfragen Hofmann, Dynamische Zertifizierung, 2019, Kap. 3, S. 57 ff.

⁴ Datenschutzkonferenz, Kurzpapier 13 – Auftragsverarbeitung, Art. 28 DSGVO, S. 2, abrufbar unter https://www.datenschutzkonferenz-online. de/media/kp/dsk_kpnr_13.pdf.

⁵ Vgl. § 9 MBO-Ä bzw. die entsprechenden Bestimmungen der Berufsordnungen der Landesärztekammern.

⁶ Vgl. §§ 630a bis 630h BGB.

⁷ Dochow, MedR 2019, 363 (366).

⁸ Die allgemeinen Datenschutzgesetze enthalten solche Offenbarungsbefugnisse nie, in den Regelungen der Landeskrankenhausgesetze decken sich die datenschutzrechtliche Erlaubnis und die Befugnis zur Offenbarung von Geheimnissen teilweise.

⁹ Vgl. § 203 Abs. 3 StGB.

¹⁰ BT-Drs. 18/11936, S. 18.

¹¹ Cierniak/Niehaus, MüKo StGB, 4. Aufl. 2021, § 203 StGB, Rn. 147.

¹² Haas/Schneider, Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme, 2021, S. 72.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Autor*innen:

Charlotte Husemann
Tel: + 49 30 208 88 1352

Peter Felst
Tel: + 49 40 288 01 3290

Dies ist ein Beitrag aus unserem Healthcare-Newsletter 1-2022. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.