Wenn die Daten wolkig werden …

Viele Unternehmen nutzen Cloud Systeme, um erstens nicht selbst für die IT-Sicherheit verantwortlich sein zu müssen, und zweitens keine eigene Hardware bereitzuhalten. Auch Apotheken können von diesem Vorgehen profitieren. Allerdings sollte besonders bei den sensiblen Daten, die mit der Gesundheit der Verbraucher in Zusammenhang stehen, das deutsche Datenschutzrecht eingehalten werden. Verstöße können hier zum einen zu Bußgeldern führen, zum anderen auch zu einem medialen Echo, das sich gewaschen hat – denn schon kleine, unbedeutende Unternehmen erleiden irreversible Rufschädigungen, wenn Datenschutzpannen bekannt werden. Bei Apotheken würde die Empörung umso größer ausfallen, wenn die personenbezogenen Gesundheitsdaten in die falschen Hände geraten oder sonst wie schludrig damit umgegangen würde.

Cloud in der Apotheke – Auftragsdatenverarbeitung

Wichtig zu wissen ist, dass der Apotheker, der seine Daten und IT-Infrastruktur cloudmäßig auslagert, eine sogenannte Auftragsdatenverarbeitung vornehmen lässt, § 11 Bundesdatenschutzgesetz (BDSG). Hiernach bleibt verantwortliche Stelle jedoch die Apotheke selbst, d.h. alle Rechte und Pflichten des BDSG treffen nicht den Cloud-Anbieter an erster Stelle, sondern den Apotheker. Er muss den Cloud-Vertrag schriftlich fassen und dort folgende Punkte unbedingt regeln: Gegenstand und Dauer des Auftrages, Umfang/Art/Zweck der Erhebung/Verarbeitung/Nutzung von Daten, die Möglichkeiten der Löschung/Berichtigung von Daten und die Kontrollrechte des Auftraggebers. Die BDSG-Vorschriften bleiben also auf den Auftraggeber anwendbar, er haftet für Datenschutzverstöße – „sicher” ist durch die Cloud Anwendung deshalb in erster Linie keiner, es ist lediglich eine Kostenersparnis, die allerdings früher oder später zu einem Wettbewerbsvorteil avancieren wird.

Apotheke und Daten ins Ausland?

Viele Cloud-Anbieter mit umfangreichen Kapazitäten und fairer Preisgestaltung befinden sich im Ausland. Apotheken fragen sich hier zu Recht, ob das Erheben, die Verarbeitung und das Nutzen der Daten durch den Dienstleister im Ausland überhaupt rechtskonform geschehen kann. Zu unterscheiden ist hierbei zwischen ausländischen Stellen innerhalb der EU oder solchen in Drittstaaten außerhalb der Mitgliedstaaten. Sollte eine Auftragsdatenverarbeitung durch einen Diensteanbieter innerhalb der EU vorgenommen werden, ist das BDSG regelmäßig anwendbar. Ist der Diensteanbieter allerdings nicht in der EU (z.B. ein amerikanisches Unternehmen) ist das BDSG nicht mehr anwendbar. Dann sind die BDSG-Vorschriften über die Übermittlung zu beachten. Die EU-Kommission hat allerdings für die Auftragsdatenverarbeitung in Drittländern extra Standardvertragsklauseln vorgelegt, um es den Auftraggebern zu erleichtern, die EU-Datenschutzvorschriften einzuhalten. 

Rechtsanwalt Thomas Feil, Feil Rechtsanwaltsgesellschaft mbH, Hannover, www.recht-freundlich.de