Patientendaten in Gefahr? EU plant erweiterten Zugriff für Ermittler

Dieser Beitrag wird vertreten von Alexa Frey, Fachanwältin für Medizinrecht. Redaktion: Sebastian Schmidt

Geplant ist, dass die Ermittlungsbehörden eines Mitgliedsstaates direkt an Telekommunikationsanbieter in einem anderen Mitgliedsstaat herantreten können. Mehr noch könnten sie so über diesen direkt auf Daten zugreifen. Relevant wird dies insbesondere dann, wenn Daten in einer Cloud oder einem Rechenzentrum gespeichert werden. Besonders brisant: Der „Inhaber“ der Daten erfährt nicht oder erst später von der erfolgten Beschlagnahme seiner Daten. So soll es in der Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen festgeschrieben werden.

Eine Reihe von Datenschutzbeauftragten kritisieren die Verordnung. Der Hauptkritikpunkt an der grenzüberschreitenden Beweiserhebung: Eine verpflichtende Beteiligung der Justizbehörden am Sitz des Telekommunikationsanbieters ist nicht vorgesehen.

Hinzu kommt, dass die Regelungen der einzelnen Strafprozessordnungen von Staat zu Staat unterschiedlich sind, wann die Voraussetzungen für eine Durchsuchung erfüllt sind.

Problematisch ist auch, dass einzelne Handlungen – wie Schwangerschaftsabbrüche – in einigen EU-Staaten straffrei in anderen EU-Staaten aber strafbar sind.

Offen ist, inwieweit ein Risiko für Ärztinnen und Ärzte besteht, dass ausländische Ermittlungsbehörden auf deren Patientendaten und -Dokumentation zugreifen. Voraussetzung wäre die Speicherung der Patientenunterlagen in einer Cloud oder einem Rechenzentrum.

Seit Einführung der IT-Sicherheitsrichtlinie durch die Kassenärztliche Bundesvereinigung gilt für alle niedergelassene Ärzte bzw. Vertragsärzte seit dem 01.04.2021 für Office-Produkte ein Verbot der Cloud-Speicherung. Unklar ist jedoch, ob eine reine Speicherung der Daten in einem externen Server oder der externe Betrieb einer Praxis-Software zur Behandlungsdokumentation, also eine Web-Anwendung, hiervon umfasst sein soll oder nicht.

Ein allgemeines Verbot der Nutzung eines Rechenzentrums – wie es teilweise für Krankenhäuser in den Landeshausgesetzen und -datenschutzgesetzen vorgesehen ist – besteht für Arztpraxen derzeit nicht.

Die Folge: Speichert eine Arztpraxis die Daten also in einem externen Rechenzentrum oder einer Cloud und nicht am Praxissitz auf einem eigens betriebenen Praxisserver, besteht das Risiko, für den Anwendungsbereich der E-Evidence-Verordnung und somit ein potenziell möglicher Zugriff durch Strafverfolgungsbehörden.

Nicht nur aufgrund der geplanten E-Evidence-Verordnung tun Ärztinnen und Ärzte gut daran die Patientenunterlagen nicht in einer Cloud oder einem Rechenzentrum zu speichern. Da lokale Lösungen mit einem eigenen Praxisserver – bei Erfüllung der notwendigen IT-Sicherheitsstandards – einen erheblichen personellen, technischen und auch wirtschaftlichen Aufwand bedeuten, sind externe Dienste jedoch meist in vielerlei Hinsicht „günstiger“.

Entscheidend ist, dass Ärztinnen und Ärzte bei der Auswahl des Dienstleistungsunternehmens ein hohes Augenmaß auf die Einhaltung der IT-Sicherheitsrichtlinie, die Einhaltung der ärztlichen Schweigepflicht, den Datenschutz und nicht zuletzt den Standort der Datenspeicherung legt.

Ebenso wichtig ist, dass sie überprüfen, wo externe Dienstleister (Cloud-Anbieter, Rechenzentren) ihre Server betreiben. Auch die Technisch-Organisatorischen Maßnahmen der Anbieter, um die Daten vor einem externen Zugriff zu schützen, sollten sie vor Vertragsabschluss prüfen. Ferner sollte eine Mitteilungspflicht vereinbart werden, wenn durch externe Dritte, wie Strafverfolgungsbehörden, auf die elektronischen Daten zugegriffen wurde.

Sofern Arztpraxen seit längerer Zeit Speicherorte und Praxis-Server verwenden, gibt die geplante E-Evidence-Verordnung Anlass, die Praxis-IT einer umfassenden Prüfung zu unterziehen. Denn bei einer „Lagerung“ der Daten im Ausland erhöht sich durch die Verordnung das Risiko eines Zugriffs auf die Daten durch Ermittlungsbehörden – und das möglicherweise ohne Kenntnis der Arztpraxis.