Cloudlösungen wie Microsoft 365 als Herausforderung für Krankenhäuser

PrintMailRate-it

​veröffentlicht am 18. Oktober 2021; Autoren: Christoph Naucke, Maximilian S. Dachlauer

 Cloud Stecker Banner

 

Viele für Unternehmen notwendige IT-Lösungen werden von den jeweiligen Herstellern strategisch nur noch als Cloudlösungen angeboten. Auch aus Sicht der anwendenden Unternehmen sind sie oft wesentlich attraktiver, beispielsweise unter Kostengesichtspunkten. Hinzu kommt der Prozessvorteil, den Cloudlösungen für das Arbeiten „von überall her” bieten und der nicht zuletzt durch die Pandemie zusätzlich massiv an Bedeutung gewonnen hat. Diese Überlegungen gelten für Unternehmen des Gesundheitssektors, insbesondere für Krankenhäuser, in gleichem Maße wie für jedes Unternehmen.


Zugleich bedeuten Cloudlösungen wie beispielsweise Microsoft 365 (MS 365) jedoch erhebliche datenschutzrechtliche Herausforderungen für die Unternehmen als Verantwortliche. Diese Herausforderungen sind für Krankenhäuser deswegen nochmals größer, weil sie zusätzlich zum allgemeinen Datenschutzrecht spezifischen Datenschutzvorgaben unterliegen, einerseits oftmals als öffentliche Stellen des betreffenden Bundeslandes, andererseits aus dem Landeskrankenhausrecht heraus.


Wie stellt sich die Rechtslage dar für Krankenhäuser, die auf den Einsatz von Cloudlösungen wie Microsoft 365 in ihrer IT-Infrastruktur nicht verzichten können oder auch wollen, und worauf sollte in jedem Fall geachtet werden?


Vorgelagertes Risiko einer fehlenden Rechtsgrundlage beachten

Es besteht u. a. die Gefahr, dass eine geplante oder auch bereits installierte Cloudlösung von den Datenschutzaufsichtsbehörden des betreffenden Bundeslandes deswegen als unzulässig eingestuft wird, weil für einzelne Verarbeitungsvorgänge, die durch den Dienstleister vorgesehen sind, die erforderliche Rechtsgrundlage i. S. v. Art. 6 Abs. 1 DSGVO fehlt. Als Beispiel ist hier das teilweise vorgesehene Recht des Anbieters zu nennen, die personenbezogenen Daten der Beschäftigten auch für Zwecke der Produktverbesserung zu nutzen.


Verschlüsselungsmaßnahmen ersetzen keine fehlende Rechtsgrundlagen

Bei den Diskussionen um möglicherweise fehlende Rechtsgrundlagen wird oft auf umfassende technische Maßnahmen verwiesen, die die Vertraulichkeit der personenbezogenen Daten gewährleisten sollen. Beispielsweise hört man das Argument, dass der Cloudanbieter im Fall einer Verschlüsselung nach dem Hold-Your-Own-Key-Standard ohnehin nur im Besitz nicht nutzbarer Daten („Datenschrott”) sei, solange ihm dieser Schlüssel nicht offengelegt würde.


Richtig ist, dass die faktische „Unlesbarkeit” der personenbezogenen Daten, die beim Dienstleister gespeichert sind, sich auf das Ergebnis einer Erforderlichkeitsprüfung auswirken kann. Dennoch liegt einer möglichen Argumentation „technische Maßnahmen ersetzen Rechtsgrundlagen” ein Missverständnis zugrunde: Die Prüfung der Rechtsgrundlage ist in der Reihenfolge der Prüfschritte einer datenschutzkonformen Verarbeitung der Prüfung der Schutzmaßnahmen vorgelagert. Ein durch das Gesetz womöglich nicht gedeckter Verarbeitungszweck kann dadurch bildlich gesehen zu einem „Stoppschild” führen, noch bevor die Überprüfung angemessener technischer und organisatorischer Maßnahmen i.S.v. Art. 32 DSGVO relevant wird. In Bezug auf Verschlüsselung bedeutet dies:


Verschlüsselung ist im Verständnis der DSGVO lediglich eine Form der erforderlichen technischen Maßnahmen (Art. 32 Abs. 1 lit. a). Dadurch macht der Gesetzgeber zugleich klar, dass Verschlüsselung gerade nicht dazu führt, dass die verschlüsselten Daten keine personenbezogenen Daten mehr wären und daher dem Datenschutz gar nicht unterfallen würden.

 

Zum Vergrößern des Bildes klicken.

 


 

Abbildung: Die vereinfachte grafische Darstellung der datenschutzrechtlichen Prüfschritte veranschaulicht: Verschlüsselung als technische Maßnahme ersetzt keine ggf. fehlende Rechtsgrundlage.

 

Verarbeitung personenbezogener Daten

Beim Einsatz von Microsoft 365 wird eine Vielzahl von personenbezogenen Daten verarbeitet. Hauptsächliche Betroffene sind die Beschäftigten des Verantwortlichen. In einem Krankenhaus können Patienten als weitere wichtige Betroffenenkategorie hinzutreten. Die Krankenhäuser müssen daher sowohl die Vorschriften der Datenschutz-Grundverordnung (DSGVO) in Verbindung mit dem Bundesdatenschutzgesetz (BDSG) bzw. den Landesdatenschutzgesetzen (LDSG) hinsichtlich der Verarbeitung der Beschäftigtendaten als auch die jeweiligen Regelungen aus den Landeskrankenhausgesetzen in Bezug auf die Verarbeitung von Patientendaten beachten.


Microsoft als Auftragsverarbeiter

Der Einsatz von Textverarbeitungsprogrammen und Kommunikationsplattformen als Cloudlösung fällt in aller Regel unter die Regeln der Auftragsverarbeitung im Sinne von Art. 28 DSGVO. Microsoft wird daher grundsätzlich als Auftragsverarbeiter des jeweiligen Krankenhauses tätig. Da die Verarbeitungstätigkeit eines Auftragsverarbeiters datenschutzrechtlich in vielerlei Hinsicht so behandelt wird, als verarbeite der Verantwortliche selbst die personenbezogenen Daten, benötigt der Verantwortliche für den Einsatz eines Auftragsverarbeiters per se keine Rechtsgrundlage. Vielmehr genügt die Rechtsgrundlage, auf die der Verantwortliche selbst die Verarbeitungstätigkeit stützen kann. Im Fall von Beschäftigtendaten dürfte dies oftmals Art. 88 DSGVO i. V. m § 26 BDSG bzw. den jeweiligen Paragraphen in den LDSG sein. Freilich müssen dennoch die weiteren Regelungen über die Auftragsverarbeitung gem. Art. 28 DSGVO eingehalten werden:


Es muss eine Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter geschlossen werden mit gewissen, gesetzlich vorgeschriebenen Mindestinhalten. Die Verarbeitung von Beschäftigtendaten ist dann zulässig, wenn sie zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Im Rahmen der durchzuführenden Erforderlichkeitsprüfung kommt es darauf an, ob die Verarbeitung in der konkreten Situation das vom Verantwortlichen als Arbeitgeber gewählte mildeste Mittel ist, das heißt, ob die Persönlichkeitsrechte der Beschäftigten nur insoweit eingeschränkt werden, wie es für den Zweck der Verarbeitung notwendig ist. Ob die mit dem Arbeitsmittel Microsoft 365 als Cloudlösung eintretende Verarbeitung der Beschäftigtendaten das jeweils mildeste Mittel ist, erscheint schon deshalb zweifelhaft, weil bei der Übertragung der personenbezogenen Daten an Microsoft von einem Drittstaatentransfer in die USA ausgegangen werden muss und dadurch ein nach europäischem Recht übermäßiger Zugriff auf diese Daten durch US-Behörden nicht auszuschließen ist.


Gleiche Überlegungen gelten für die vorzunehmende Abwägung zwischen den berechtigten Interessen des Verantwortlichen und den Persönlichkeitsrechten der Beschäftigten, wenn man die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO stützen möchte. Wichtig zu beachten ist für Krankenhäuser jedoch: Diese Möglichkeit entfällt im Falle von Krankenhäusern, da sie öffentliche Stellen sind. Hinsichtlich Patientendaten ist die Rechtslage noch einmal komplizierter. Die datenschutzrechtliche Zulässigkeit der Verarbeitung von Patientendaten regeln die jeweiligen Landeskrankenhausgesetze. Ob und wie Krankenhäuser Patientendaten durch einen Auftragsverarbeiter verarbeiten lassen dürfen, ist stark reglementiert. Oftmals dürfen medizinische Daten nur durch das Krankenhaus selbst oder durch ein anderes Krankenhaus verarbeitet werden.


Microsoft als eigener Verantwortlicher

Im Falle des Einsatzes von MS 365 wird Microsoft jedoch nicht nur als Auftragsverarbeiter tätig und verfolgt insoweit nicht ausschließlich die Zwecke des Verantwortlichen. Ausweislich des Nachtrags zum Datenschutz für Online-Dienste aus Dezember 2020 lässt sich Microsoft erlauben, bestimmte personenbezogene Daten auch für legitime Geschäftsinteressen von Microsoft zu verarbeiten. Hier verfolgt Microsoft eigene Zwecke und ist in Bezug auf diese Zwecke nicht mehr Auftragsverarbeiter des jeweiligen Krankenhauses, sondern eigener Verantwortlicher. In der Folge bedarf das Krankenhaus einer Rechtsgrundlage für die Übermittlung der Beschäftigtendaten an Microsoft als eigenen Verantwortlichen.

 

Als problematisch anzusehen ist hierbei, dass die Übermittlung von Beschäftigtendaten an Microsoft als eigenen Verantwortlichen nicht zu Zwecken der Durchführung des Arbeitsverhältnisses stattfindet, sondern für die eigenen Geschäftsinteressen von Microsoft. Art. 88 DSGVO i. V m § 26 BDSG bzw. den jeweiligen Paragraphen in den LDSG scheidet daher als Rechtsgrundlage aus. Die vorzunehmende Interessenabwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO wird aus oben genannten Gründen ebenfalls ergeben, dass sich der Arbeitgeber regelmäßig nicht auf ein berechtigtes Interesse stützen kann, ein Arbeitsmittel einzusetzen, das damit verbunden ist, dass personenbezogene Daten zu Geschäftsinteressen des Dienstleisters in ein Drittland übertragen werden, in dem ein nach europäischem Recht übermäßiger Zugriff auf diese Daten durch staatliche Behörden des Drittlands nicht auszuschließen ist.

 

Gleiches gilt für die Klassifizierung der Geschäftsinteressen von Microsoft als Drittinteresse im Sinne von Art. 6 Abs. 1 lit. f DSGVO. Wieder zu beachten ist an dieser Stelle, dass für Krankenhäuser, die datenschutzrechtlich öffentliche Stellen sind, das berechtigte Interesse nach Art. 6 Abs.1 lit. f DSGVO als Rechtsgrundlage von vornherein nicht in Betracht kommt. Letztere ist jedoch in der Anwendungspraxis naturgemäß unbeliebt, da sie einen erheblichen Verwaltungsaufwand sowie Folgeprobleme nach sich zieht (ggf. fehlende Handlungsoptionen des Arbeitgebers im Falle der Verweigerung bzw. des Widerrufs einer Einwilligung).


Auch die Übermittlung von Patientendaten an Microsoft zu deren eigenen Geschäftsinteressen dient nicht der Behandlung von Patienten, weshalb die Landeskrankenhausgesetze in der Regel ebenfalls keine Rechtsgrundlage für die Übermittlung bieten.


Übermittlung in ein Drittland

Eine Übermittlung personenbezogener Daten an ein Drittland ist nur zulässig, wenn der Verantwortliche –
neben den sonstigen Bestimmungen der DSGVO – die Vorschriften des 5. Kapitels der DSGVO, d. h. die Vorschriften gem. Art. 44 ff. DSGVO einhält. Eine Drittlandübermittlung ist danach zum einen zulässig, wenn ein sog. Angemessenheitsbeschluss der EU-Kommission zu dem Drittland, in das personenbezogene Daten übermittelt werden, vorliegt. Das vom EuGH „gekippte” Privacy Shield war ein solcher Teil-Angemessenheitsbeschluss in Bezug auf Datentransfers in die USA.


Falls kein Angemessenheitsbeschluss vorliegt, darf ein Verantwortlicher personenbezogene Daten an ein Drittland zum anderen übermitteln, sofern der Verantwortliche geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Diese geeigneten Garantien können auch in den Standarddatenschutzklauseln bestehen.


Die „neuen” Standarddatenschutzklauseln traten am 27.6.2021 in Kraft. Die bislang noch geltenden „alten” Standarddatenschutzklauseln werden mit Wirkung vom 27.9.2021 aufgehoben und können für neue Verträge keine wirksame Garantie für einen rechtmäßigen Drittstaatendatenverkehr mehr darstellen. Für Verträge, die vor dem 27.9.2021 auf Grundlage der alten Standardvertragsklauseln geschlossen wurden, wird eine Übergangsfrist bis zum 27.12.022 gewährt.


Die Problematik, dass US-Behörden im Rahmen des Cloud Acts gegebenenfalls in unverhältnismäßiger Weise auf personenbezogene Daten zugreifen können, wird jedoch auch durch die „neuen” Standarddatenschutzklauseln nicht vollständig gelöst, denn diese können als zivilrechtlicher Vertrag freilich keine Bindungswirkung für ausländische Behörden entfalten. Es müssen daher zusätzliche Maßnahmen getroffen werden, um einen Zugriff der US-Behörden zu vermeiden.


Vornahme geeigneter technischer und organisatorischer Maßnahmen zur Risikoreduzierung

Das Risiko eines datenschutzwidrigen Einsatzes von MS 365 kann durch die Vornahme geeigneter technischer und organisatorischer Maßnahmen zwar nicht gänzlich ausgeschlossen, jedoch zumindest reduziert werden. Im Idealfall sollte der Datenfluss derjenigen personenbezogenen Daten, bei denen sich Microsoft vorbehält, sie als eigener Verantwortlicher zu verarbeiten, möglichst effektiv unterbunden werden.

 

Es sollte daher zum einen eine vertragliche Konstruktion gewählt werden, bei der es Microsoft untersagt wird, personenbezogene Daten außerhalb des Auftragsverarbeitungsverhältnisses auch zu eigenen Zwecken zu verarbeiten. Hierbei sollte die eigene Verhandlungsposition nicht unterschätzt werden: Vor Abschluss des Lizenzvertrages besteht mitunter mehr Verhandlungsspielraum als vermutet.


Zum anderen sollten aber auch auf technischer Ebene Maßnahmen etabliert werden, mithilfe derer der Datenfluss an Microsoft als eigener Verantwortlicher möglichst effektiv verhindert wird. Dies kann beispielsweise bereits an der Firewall geschehen oder durch das Setzen bestimmter Gruppenrichtlinieneinstellungen.

 

Zur Minimierung des Risikos eines datenschutzwidrigen Zugriffs von US-Behörden sollten alle personenbezogenen Daten an Microsoft nur derart verschlüsselt übertragen werden, dass ein Zugriff von Microsoft auf Klardaten sowohl bei der Übertragung als auch bei der Speicherung oder deren Erstellung verhindert wird. Dies hätte auch zur Konsequenz, dass die Erforderlichkeitsprüfung im Rahmen der Prüfung der Rechtsgrundlage für die Verarbeitung der Beschäftigtendaten zugunsten des Arbeitgebers ausgehen dürfte und MS 365 als Arbeitsmittel datenschutzrechtlich zulässig eingesetzt werden könnte.


Die Möglichkeiten, bei der Konfiguration von MS 365 technische und organisatorische Maßnahmen zur Wahrung der Vertraulichkeit der Daten zu treffen, sind vielfältig und auch für erfahrene Administratoren nur schwer überschaubar. Gleichzeitig sollte auch bedacht werden, dass die werksseitige Standardkonfiguration von MS 365 keine optimale Ausschöpfung der Möglichkeiten zur Erhöhung der Vertraulichkeit bedeutet. Im Vorfeld der Installation sollten also sämtliche Einstellungen kritisch überprüft, hinterfragt und angepasst werden. In dem Zusammenhang ist auch das Minimalprinzip zu nennen: Alle MS 365-Anwendungen, Funktionen, Features etc., deren Verwendung nicht tatsächlich erforderlich ist, sollten auch ausgeschaltet werden.


Erforderlichkeit einer Datenschutzfolgenabschätzung

In jedem Fall ist vorab eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchzuführen, da im Rahmen des Einsatzes von MS 365 vertrauliche Daten schutzbedürftiger Personen (Beschäftigter und Patienten) verarbeitet werden können und ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nicht auszuschließen ist.


Unvollständiges Fachwissen führt zu erhöhten Risiken

Soweit nicht auf interne Mitarbeiter mit breitem Rechtswissen sowie fundierter Erfahrung bei MS 365-Einführungen zurückgegriffen werden kann, ist gerade für Krankenhäuser sowie Unternehmen der Forschungs-, der Gesundheits- und der Sozialwirtschaft eine datenschutzrechtliche Beratung und externe Unterstützung bei einer geplanten Migration auf MS 365 dringend zu empfehlen.


Wir unterstützen öffentliche Einrichtungen, Unternehmen der Sozial- und Gesundheitswirtschaft und der Forschung bei der Bewertung und der bestmöglichen Beherrschung datenschutzrechtlicher Risiken, die mit dem Einsatz von Cloudlösungen verbunden sind, sowie bei der Identifikation derjenigen technischen und organisatorischen Maßnahmen, die mindestens getroffen werden sollten, soweit die Einrichtung sich für die Einführung einer Cloudlösung entscheidet. Hierzu zählt im Bedarfsfall auch die Durchführung und Dokumentation einer erforderlichen Datenschutzfolgenabschätzung.

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

 Wir beraten Sie gern!

 Kennen Sie schon unsere E-Learnings?

E-Learning für Kitas

 

 

E-Learning in der Pflege

Deutschland Weltweit Search Menu