Cloud-Dienste setzen sich bekanntlich mehr und mehr in jeder Sparte durch, so auch in Bereichen, in denen personenbezogene Daten von Patienten verarbeitet werden.
Aus gegebenem Anlass beschäftigt sich dieser Beitrag mit den Anforderungen an die sichere Authentifizierung des Nutzers einer Cloud-Plattform, auf der sensible Patientendaten verarbeitet werden.
Dies betrifft insbesondere Angehörige medizinischer Berufe in Praxen und Kliniken, die sich medizinischer Online-Plattformen z.B. zu Behandlungs- oder Abrechnungszwecken bedienen.
Der Inhalt im Überblick
Ausgangssituation
Gehen wir davon aus, dass der betroffene Patient, dessen Gesundheitsdaten innerhalb eines Cloud-Dienstes verarbeitet werden, wirksam in die Datenverarbeitung mittels Cloud-Dienst eingewilligt und den Cloud-Nutzer, der in der Regel der beruflichen Verschwiegenheitspflicht unterliegt, von dieser befreit hat. Damit wäre schon mal eine wesentliche Voraussetzung zur Datenverarbeitung unter Einschaltung eines Cloud-Anbieters erfüllt.
Technischer Datenschutz
Selbstverständlich sind vom Cloud-Nutzer als der verantwortlichen Stelle für die Verarbeitung der Patientendaten nach § 3 Abs. 7 BDSG, neben den organisatorischen, vor allem die erforderlichen technischen Datenschutzanforderungen des § 9 BDSG i.V.m. der Anlage zu § 9 S. 1 BDSG zu beachten.
Mit Beschluss vom 04./05. Mai 2011 hat der Düsseldorfer Kreis die Mindestanforderungen an den technischen Datenschutz bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze festgelegt. Dieser wiederum verweist auf die Technische Anlage zu den Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis der Bundesärztekammer der Kassenärztlichen Bundesvereinigung. Durch Beachtung der Technischen Anlage werde den Grundsätzen in § 9 BDSG i.V.m. Anlage zu § 9 S. 1 BDSG entsprochen.
Authentifizierungsverfahren
Insbesondere im Rahmen der Authentifizierung des Nutzers gegenüber der Online-Plattform genügt es nach den technischen Anforderungen an die Zugangskontrolle nicht, wenn die Anmeldung zum Cloud-Service ausschließlich mittels Benutzername und Passwort erfolgt. Die bloße Ein-Faktor-Authentifizierung reicht bei personenbezogenen Daten mit dem Schutzbedarf hoch/sehr hoch nicht aus. Hierauf verweisen auch immer wieder die Datenschutzaufsichtsbehörden der Länder.
Hardware oder Software?
Nach dem oben genannten Beschuss des Düsseldorfer Kreises sollten für die Verschlüsselungs- und Authentisierungskomponenten Hardware-Lösungen verwendet werden, da bei Software ein erhöhtes Manipulationsrisiko bestehe.
Softwarelösungen kämen ausnahmsweise dann in Betracht, wenn Rechner und Komponenten zur externen Kommunikation nicht mit dem internen Praxis- oder Kliniknetz verbunden seien und zusätzlich entweder nur solche Daten übertragen werden, die bereits innerhalb des Praxis- oder Kliniknetzes verschlüsselt und integritätsgeschützt wurden oder unter anderem eine Zwei-Faktor-Authentifikation des Berechtigten stattfindet.
Zwei-Faktor-Authentifizierung
Hierbei kommt im Rahmen der Authentisierung zum Wissenselement (z.B. Passwort) noch eine Besitzelement (z.B. Token, TAN-Liste, Chipkarte) hinzu, mit dem sich der Nutzer gegenüber dem Rechner, Netzwerkdienst etc. ausweisen kann.
Größte Schwachstelle bei der Zwei-Faktor-Authentifikation dürfte allerdings nach wie vor die Passwortsicherheit sein. Denn das Bewusstsein für sichere Passwörter ist längst nicht tief genug bei den Nutzern verankert. Daher hatten wir bereits eine kleine Anleitung zur Bekämpfung der Passwort-Demenz zusammengestellt.
Fazit
Da das Cloud-Produkt bzw. der -Dienst den genannten Anforderungen entsprechen muss, um Datenschutz- und IT-sicherheitskonform genutzt werden zu können, ist bereits der Cloud-Anbieter bei der Entwicklung gefragt, die für den Cloud-Nutzer notwendigen technischen Schutzanforderungen gemessen am Schutzbedarf der betroffenen Daten zu berücksichtigen.