Drang der Spitäler in die Cloud
Auch bei Anfragen von Spitälern steht die Anwendung Microsoft 365 im Vordergrund. Die Datenschutzbeauftragte beriet auch zu anderen Anwendungen. Spitäler bearbeiten praktisch immer Daten, die dem Berufsgeheimnis unterstehen und besondere Personendaten darstellen, weil sie Informationen über die Gesundheit enthalten.
Der Schritt in die Cloud hängt bei Spitälern von technischen Lösungen ab, die verhindern, dass der Cloud-Anbieter Zugriff auf die Daten bekommt. Die Spitäler müssen ihre Daten in der Cloud verschlüsseln und im Besitz des Schlüssels bleiben.
Bei der Auslagerung in die Cloud müssen Spitäler die Kenntnisnahme der Daten ihrer Patientinnen und Patienten durch Unbefugte in jedem Fall durch eine technische Lösung verhindern.
Anonymisierte oder pseudonymisierte Daten können unverschlüsselt ausgelagert werden. Bei pseudonymisierten Daten dürfen der Cloud-Anbieter oder andere mögliche Empfängerinnen und Empfänger keinen Zugang zum Schlüssel der Pseudonymisierung haben. Sie dürfen auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können.
Nicht alle Daten im Gesundheitsbereich können pseudonymisiert werden, weil viele Daten die Bestimmtheit in sich tragen und nur einer Person zugeordnet werden können. Dies betrifft beispielsweise genetische Daten. Bei der Auslagerung in die Cloud müssen Spitäler die Kenntnisnahme der Daten ihrer Patientinnen und Patienten durch Unbefugte in jedem Fall durch eine technische Lösung verhindern.