Der sichere Weg in die Cloud
Ein Fachanwalt gibt Tipps
Die Softwarenutzung aus der Cloud birgt für Nutzer nicht nur technische und organisatorische, sondern auch rechtliche Herausforderungen. Was sind die juristischen Basics, die Praxen bei der Wahl eines Anbieters beachten sollten? Wie können sich Gesundheitseinrichtungen für Haftungsfälle absichern? Und welches sind die größten Risiken, gegen die man sich wappnen sollte? Ein Fachanwalt gibt Antworten.
Inzwischen gibt es eine Vielzahl von Anbietern von Cloud-basierten Software-as-a-Service (SaaS)-Dienstleistungen. Für Einrichtungen der Gesundheitswirtschaft ist es absolut empfehlenswert, einen Anbieter auszusuchen, der auf Lösungen für die Gesundheitswirtschaft im Allgemeinen und das spezielle Leistungsangebot des Nutzers im Besonderen spezialisiert ist bzw. über entsprechende Erfahrungen verfügt. Der Nutzer von SaaS-Leistungen muss sich natürlich bewusst sein, dass die Funktionalität seines Systems nicht mehr nur von der reibungslosen Funktion der Software, sondern insbesondere auch von deren Erreichbarkeit im Rechenzentrum des Anbieters abhängt. Letzteres ist eine Frage der Leistungsfähigkeit des Anbieters für die Telekommunikationsdienstleistungen (TC). Sowohl mit dem SaaS- als auch mit dem TC-Anbieter sollten Service Level Agreements (SLA) zu Erreichbarkeit, andauernder Funktionalität und Responsezeiten bei Störungen vereinbart werden.
Joachim Poetsch, Fachanwalt für Medizinrecht
Unabdingbar: Klare Regeln für die Haftung
Aus rechtlicher Sicht ist es letztlich egal, ob eine Software auf dem eigenen Rechner oder als SaaS-Lösung verwendet wird. Da SaaS-Leistungen generell im Rahmen von Dienstleistungsverträgen vereinbart werden, für die es keine wirklichen gesetzlichen Gewährleistungsrechte gibt – anders als bei Kauf- oder Werkverträgen –, sollte klar geregelt werden, wie und in welcher Form der Anbieter für die Funktionalität der Software einsteht und in welcher Größenordnung ggf. Schadenersatz zu leisten ist. Bei klassischen Cloud-basierten SaaS-Lösungen findet die jeweilige Haftung/Verantwortlichkeit jeweils nur in den bestehenden Vertragsverhältnissen statt. Hier hat also nur der Anbieter eine vertragliche Bindung zum Hersteller/Lieferanten der Software, und der Nutzer hat nur eine Bindung zum Anbieter. Wichtig ist, dass der SaaS-Anbieter nicht versucht, eigene vertragliche Verpflichtungen gegenüber dem Nutzer durch Übertragung seiner Rechte gegenüber dem Hersteller/Lieferanten zu relativieren.
Empfehlenswert: Eine Zusatzversicherung gegen Angriffe
Das Hauptrisiko bei SaaS-Lösungen ist in der Regel nicht die Funktionalität der Software bzw. die Erreichbarkeit des Rechenzentrums, sondern der Umstand, dass in diesen Fällen ja auch sämtliche Daten in der Cloud gespeichert werden. Der Abschluss eines Auftragsdatenverarbeitungsvertrages (ADV-Vertrag) mit dem Anbieter ist zwingend erforderlich. Hierbei ist es unabdingbar, dass der Anbieter die Einhaltung aller DSGVO-Regelungen und der Regelungen zur ärztlichen Schweigepflicht sowie den Sozialdatenschutz uneingeschränkt gewährleistet und auch für hieraus resultierende Schäden einschließlich etwaiger Bußgelder eintrittspflichtig ist. Darüber hinaus ist besonders darauf zu achten, welche Maßnahmen der Anbieter zum Schutz der in der Cloud gespeicherten Daten gegen Hacker- und Ransomware- Angriffe vorhält. Grundsätzlich würde ich – unabhängig von Cloud-basierten Lösungen – jedem Nutzer immer empfehlen, sich gegen derartige Risiken durch eine entsprechende Cyber-Security-Versicherung zusätzlich abzusichern.
Dieser Beitrag erschien zuerst im medavis Kundenmagazin RADIUS.
Joachim Poetsch
Seit mehr als 25 Jahren ist Joachim Poetsch als Fachanwalt für Medizinrecht sowie als Fachanwalt für Handels- und Gesellschaftsrecht in Düsseldorf und bundesweit tätig. Er vertritt Leistungserbringer im Gesundheitswesen in allen diese spezielle Klientel betreffenden Rechtsfragen (mit Ausnahme des (Arzt-) Haftungsrechts). Sein besonderer Schwerpunkt liegt im Gesellschaftsrecht. In diesem Bereich ist er nicht nur für Ärzte, Krankenhäuser und andere Leistungserbringer im Gesundheitswesen tätig, sondern grundsätzlich in allen relevanten Branchen.
- Wir analysieren jeden Bereich Ihrer Praxis und finden heraus, wo es hakt.
- So identifizieren wir individuelle Potenziale für Ihren Workflow.
- Wir präsentieren Ihnen passgenaue und praxisnahe Lösungen.
Ihr zuverlässiger Partner mit breitem Produktportfolio und hoher Kundenzufriedenheit. Wir sind der Spezialist für den radiologischen Workflow und bieten attraktive Konditionen für Radiologien aller Größenordnungen.
* Pflichtfeld: Bitte füllen Sie alle mit * markierten Felder aus.