Spi­tä­ler fin­den ih­ren Weg mit und ohne Cloud

Während des Jahres 2024 legten verschiedene Spitäler der Datenschutzbeauftragten Applikationen zur Vorabkontrolle vor, die vom jeweiligen Anbieter als Cloud-Lösung betrieben werden. Dabei verwendeten die Betreiber als Cloud-Speicherplattform häufig den Dienst Azure von Microsoft, Amazon Web Services (AWS) oder Google Cloud Plattform (GCP). Mit Azure stellt Microsoft den Betreibern von Applikationen Speicherplatz, Rechenleistung und Netzwerkinfrastruktur zur Verfügung. Dies ermöglicht es insbesondere auch kleinen bis mittleren Anbietern, ihre Applikationen für eine grosse Anzahl von Kundinnen und Kunden zur Verfügung zu stellen. Viele dieser Unternehmen haben ihren Sitz in den USA, betreiben aber ihre Cloud-Speicherplattformen auch auf Servern in der Schweiz. Will ein Spital eine Applikation einsetzen, die in einer solchen Cloud gehostet wird, handelt es sich um eine Auslagerung an den jeweiligen Cloudanbieter. Wird beispielsweise die Speicherplattform Azure von Microsoft verwendet, bearbeitet Microsoft Personendaten im Auftrag des Spitals. In diesem Fall bleibt das Spital für die Bearbeitung der Personendaten verantwortlich. Hostet ein Spital Software-Lösungen in der Azure-Cloud, die für die Bearbeitung von Patientendaten eingesetzt werden, besteht die Gefahr, dass vertrauliche Patientendaten, die dem Berufsgeheimnis unterstehen, in die Cloud gelangen und Microsoft so Zugriff auf die Patientendaten erhält. Dies würde eine Verletzung der Schweigepflicht darstellen.

Die Datenschutzbeauftragte überprüfte im Rahmen einer Vorabkontrolle Dragon Medical One, eine in Azure gehostete Spracherkennungsapplikation, die in Spitälern eingesetzt wird, um die Patientendokumentationen zu führen. Dabei sprechen die Mitarbeitenden des Spitals einen Text ein, der in der Cloud von Azure in eine Textdatei umgewandelt wird, die in die Patientendokumentation integriert werden kann.

Im Rahmen von Vorabkontrollen wurde der Datenschutzbeauftragten die Spracherkennungssoftware Voize unterbreitet. Diese auf künstlicher Intelligenz basierende Software wird in Heimen für die mündliche Datenerfassung eingesetzt. Pflegemitarbeitende können sie beispielsweise verwenden, um Pflegedaten zu Heimbewohnenden über ein betriebliches Smartphone mündlich zu erfassen. Die Sprachdaten werden lokal auf dem Smartphone zu Text umgewandelt, der in die Pflegedokumentation übertragen werden kann. Die Applikation wird von der Voize GmbH entwickelt und betrieben, aber auf den Servern von AWS gehostet. Das KI-Modell, das auf den Servern der AWS gespeichert ist, wertet mit Machine Learning einzelne Einträge der Pflegemitarbeitenden aus, um die Sprachumwandlung mit entsprechenden Aktualisierungen zu verbessern.

Weiter beurteilte die Datenschutzbeauftragte das Vorhaben eines Spitals, eine Applikation einzuführen, die es den Patientinnen und Patienten ermöglicht, per Bluetooth via Mobiltelefon-App eine Videokonferenz mit ihrer behandelnden Ärztin oder ihrem behandelnden Arzt zu vereinbaren. Die Applikation stellt dem Spital Informationen zu bei den Patientinnen und Patienten eingesetzten Medizinprodukten direkt via App zur Verfügung und leitet eine Anfrage zur Videotelefonie an die zuständige Ärztin oder den zuständigen Arzt weiter. So können virtuelle Sprechstunden mit direkt verfügbaren Personendaten abgehalten werden. Die Videotelefonie-Applikation wird dabei in Microsoft Azure gehostet.

Bei der Nutzung einer Spracherkennungssoftware oder einer Applikation für Videokonferenzen werden Personendaten in die Cloud des Anbieters übermittelt. Dort werden sie durch die Betreiber der Software bearbeitet. In den konkreten Fällen handelte es sich sowohl um die Stimmdaten des Personals als auch die Personendaten der Patientinnen und Patienten. Bei Patientendaten gilt das Berufsgeheimnis, weshalb Dritte keinen Zugriff auf die Patientendaten in der Cloud haben dürfen. Ansonsten hat das Spital beziehungsweise das Heim keine Kontrolle mehr über die Personendaten. Handelt es sich bei den Betreibern der Spracherkennungssoftware um europäische Unternehmen, die an die DSGVO gebunden sind, dürfen diese Zugriff auf die Patientendaten erhalten, sofern sie vertraglich dem Weisungsrecht des Spitals beziehungsweise des Heims unterstellt werden. Für Unternehmen aus den USA wie Microsoft gilt jedoch, dass sie aufgrund des CLOUD Acts von US-Behörden verpflichtet werden können, Personendaten herauszugeben, auch wenn diese ausserhalb der USA gespeichert sind. Um eine solche Verletzung zu verhindern, ist sicherzustellen, dass US-Unternehmen keinen Zugriff auf diese Patientendaten erhalten.

Zudem prüfte die Datenschutzbeauftragte den geplanten Einsatz einer digitalen Patientinnen- und Patientenbetreuung zur Begleitung von Operationen in einem Spital. Neben individuell zugeschnittenen Physiotherapie-Übungen soll die Applikation auch den Regenerationsprozess nach der Operation dokumentieren (unter anderem mit Angaben aus gängigen Gesundheitsapplikationen wie beispielsweise Google Fit) und die Kommunikation mit Ärztinnen und Ärzten ermöglichen. Die Lösung wird von einem US-Medizinaltechnik-Unternehmen angeboten, die Datenhaltung erfolgt in der Microsoft-Azure-Infrastruktur in Deutschland. Auch hier hat die Datenschutzbeauftragte darauf hingewiesen, dass Dritte keine Einsichtsmöglichkeit in die Patientinnen- und Patientendatendaten haben dürfen. Das Spital muss dies mittels ausreichender Verschlüsselung zuverlässig verhindern.

Datenbearbeitungen müssen nicht zwingend in der Cloud erfolgen. Einige Spitäler haben Varianten geprüft, um Patientendaten mit Microsoft-Office-Applikationen zu bearbeiten, ohne dass hierfür auf die Microsoft Cloud zurückgegriffen werden muss. Sie legten der Datenschutzbeauftragten Datenschutz-Folgenabschätzungen vor, die aufzeigten, dass sie für die Verwendung von Office Produkten wie Word, Excel, PowerPoint und Outlook auf die Cloud von Microsoft verzichtet haben. Stattdessen haben sie Lizenzen dieser Produkte erworben, die den lokalen Betrieb auf eigenen Servern vor Ort (on-premises) ermöglichen. Auch wenn nicht alle M365-Produkte lokal auf eigenen Servern gehostet werden können, ermöglicht dies für gewisse Applikationen die datenschutzkonforme Bearbeitung von Patientendaten mit Applikationen von Microsoft und eröffnet den Weg für den hybriden Betrieb, bei dem die Datenbearbeitung in der Microsoft Cloud nur für administrative Personendaten des Spitals vorgesehen ist und Patientendaten lokal bearbeitet werden.