Dass die Auslagerung der hauseigenen IT-Infrastruktur mitsamt des dazugehörigen Datenbestandes einen Kostenvorteil erzeugt, hat sich mittlerweile herumgesprochen. Viele Unternehmen nutzen Cloud Systeme, um erstens nicht selbst für die IT-Sicherheit verantwortlich sein zu müssen, und zweitens keine eigene Hardware bereit zu halten. Auch Apotheken können von diesem Vorgehen profitieren. Allerdings sollte besonders bei den sensiblen Daten, die mit der Gesundheit der Verbraucher in Zusammenhang stehen, das deutsche Datenschutzrecht eingehalten werden. Verstöße können hier zum einen zu Bußgeldern führen, zum anderen auch zu einem medialen Echo, das sich gewaschen hat - denn schon kleine, unbedeutende Unternehmen erleiden irreversible Rufschädigungen, wenn Datenschutzpannen bekannt werden. Bei Apotheken würde die Empörung umso größer ausfallen, wenn die personenbezogene Gesundheitsdaten in die falschen Hände geraten oder sonst wie schludrig damit umgegangen würde.
Cloud in der Apotheke - Auftragsdatenverarbeitung
Wichtig zu wissen ist, dass der Apotheker, der seine Daten und IT-Infrastruktur cloudmäßig auslagert, eine sogenannte Auftragsdatenverarbeitung vornehmen lässt, § 11 BDSG - hier nach bleibt verantwortliche Stelle jedoch die Apotheke selbst, d.h. alle Rechte und Pflichten des BDSG treffen nicht den Cloud Anbieter an erster Stelle, sondern den Apotheker. Er muss den Cloud Vertrag schriftlich fassen, und dort folgende Punkte unbedingt regeln: Gegenstand und Dauer des Auftrages, Umfang/Art/Zweck der Erhebung/Verarbeitung/Nutzung von Daten, die Möglichkeiten der Löschung/Berichtigung von Daten und die Kontrollrechte des Auftraggebers. Die BDSG Vorschriften bleiben also auf den Auftraggeber anwendbar, er haftet für Datenschutzverstöße - "sicher" ist durch die Cloud Anwendung deshalb in erster Linie keiner, es ist lediglich ein Kostenersparnis, das allerdings früher oder später zu einem Wettbewerbsvorteil avancieren wird.
Apotheke und Daten ins Ausland?
Viele Cloud Anbieter mit umfangreichen Kapazitäten und fairer Preisgestaltung befinden sich im Ausland. Apotheken fragen sich hier zu Recht, ob das Erheben, Verarbeiteun und Nutzen der Daten durch den Dienstleister im Ausland überhaupt rechtskonform geschehen kann. Zu unterscheiden ist hierbei zwischen ausländischen Stellen innerhalb der EU, oder solchen in Drittstaaten außerhalb der Mitgliedsstaaten. Sollte eine Auftragsdatenverarbeitung durch einen Diensteanbieter innerhalb der EU vorgenommen werden, ist das BDSG regelmäßig anwendbar. Ist der Diensteanbieter allerdings nicht in der EU (z.B. ein amerikanisches Unternehmen) ist das BDSG nicht mehr anwendbar. Dann sind die BDSG Vorschriften über die Übermittlung zu beachten. Die EU-Kommission hat allerdings für die Auftragsdatenverarbeitung in Drittländern extra Standardvertragsklauseln vorgelegt, um es den Auftraggebern zu erleichtern, die EU-Datenschutzvorschriften einzuhalten.
Fragen zum Cloud Computing in der Apotheke?
Gerne können Sie uns kontaktieren, wenn Fragen offen geblieben sind - wir arbeiten im datenschutzrechtlichen Bereich mit vielen Apotheken zusammen und können aus unserer Erfahrung heraus beurteilen, ob eine Cloud-Auslagerung Sinn macht, und falls ja, wie das deutsche Datenschutzrecht gewahrt wird.
