Vereinbarung zum Geheimnisschutz ist eine gesetzliche Pflicht Sicherer Cloud-Einsatz für Berufsgeheimnisträger

Autor / Redakteur: Christian Kotulek* / Ulrike Ostler

Ob Ärzte, Rechtsanwälte oder Wirtschaftsprüfer: Wer von Berufs wegen zu Verschwiegenheit verpflichtet ist, darf Cloud-Dienste nur unter streng definierten Bedingungen für die Datenverarbeitung nutzen. Voraussetzung: eine gesetzeskonforme Vereinbarung zum Geheimnisschutz mit dem Cloud-Provider.

Firmen zum Thema

Gewusst? Berufsgruppen wie Ärzte, Rechtsanwälte, Wirtschaftsprüfer und Journalisten dürfen Cloud-Dienste nur nutzen, wenn der Anbieter eine zusätzliche Vereinbarung zum Geheimnisschutz nach § 203 StGB unterzeichnet.
Gewusst? Berufsgruppen wie Ärzte, Rechtsanwälte, Wirtschaftsprüfer und Journalisten dürfen Cloud-Dienste nur nutzen, wenn der Anbieter eine zusätzliche Vereinbarung zum Geheimnisschutz nach § 203 StGB unterzeichnet.
(Bild: Tayeb MEZAHDIA auf Pixabay)

Vom einfachen Backup bis zur umfangreichen Datenanalyse – viele Angestellte nutzen cloudbasierte Anwendungen heute genau so alltäglich wie die E-Mail-Software oder das Tabellenverarbeitungsprogramm. Drei von vier deutschen Unternehmen arbeiten laut Bitkom inzwischen mit Diensten aus der Cloud.

Doch nicht in jeder Branche ist der Umgang mit der Technologie selbstverständlich: Berufsgruppen wie Ärzte, Rechtsanwälte, Wirtschaftsprüfer oder Journalisten dürfen Cloud-Dienste nur nutzen, wenn der Anbieter eine zusätzliche Vereinbarung zum Geheimnisschutz nach § 203 StGB unterzeichnet. Denn so genannte Berufsgeheimnisträger sind dazu verpflichtet, die Daten ihrer Patienten oder Mandanten besonders gut zu schützen. Kommen sie dieser Pflicht nicht nach, drohen empfindliche Geld- und Freiheitsstrafen.

Berufsgeheimnisträger sind dazu verpflichtet, die Daten besonders gut zu schützen.
Berufsgeheimnisträger sind dazu verpflichtet, die Daten besonders gut zu schützen.
(Bild: Gerd Altmann auf Pixabay)

Diese Berufsgruppen stehen deshalb häufig vor einem Dilemma: Einerseits müssen sie ihren besonderen Pflichten zu jeder Zeit nachkommen, andererseits müssen sie mit dem Tempo der Digitalisierung Schritt halten. Denn auch Arztpraxen oder Anwaltskanzleien sind auf schnelle und zuverlässige Datenverarbeitung angewiesen.

Mehr als die Hälfte der hiesigen Gesundheitseinrichtungen tauschen laut einer Untersuchung von McKinsey auf digitalem Wege medizinische Daten aus. Elektronische Akten gehören derweil auch bei vielen Juristen zum Alltag: In einer Umfrage des Fachportals „Legal-Tech“ gaben 53 Prozent der Studienteilnehmer an, mit digitalen Ablagelösungen zu arbeiten.

Vertragliche Vereinbarung schafft Rechtssicherheit

Den Weg in diese Richtung hat die Reform des § 203 StGB im Jahr 2017 gewiesen: Seitdem können Berufsgeheimnisträger erstmals auf eine alltagstaugliche Nutzung von Cloud-Diensten zugreifen.

In der Vergangenheit war eine Offenlegung von Informationen nur zulässig gegenüber berufsmäßig tätigen Gehilfen, die organisatorisch in den Betrieb des Berufsgeheimnisträgers eingebunden waren. Schon allein die theoretische Zugriffsmöglichkeit eines Cloud-Providers war Grund genug, den entsprechenden Berufsgruppen die Nutzung der Dienste zu untersagen.

Mit der neuen Regelung lässt der Gesetzgeber Berufsgeheimnisträger, nun Cloud-Dienste unter gewissen Bedingungen für die Datenverarbeitung verwenden. Eine Voraussetzung ist die vertragliche Verpflichtung zur Geheimhaltung des IT-Dienstleisters. Diese gilt, falls solche beteiligt sind, natürlich ebenso für Administratoren oder Unterauftragnehmer.

Zertifizierungen geben zusätzliche Sicherheit

Die Deutsche Telekom stellt beispielsweise für die Nutzung ihrer „Open Telekom Cloud“ eine standardisierte Vereinbarung zum Geheimnisschutz nach § 203 StGB zur Verfügung, um betroffenen Berufsgruppen eine bedenkenlose Nutzung der Cloud-Dienste zu ermöglichen. Digitalisierungsprojekte stehen damit auf einem rechtlich einwandfreien Fundament und können auch unter Wahrung besonderer Pflichten umgesetzt werden.

Bei der Wahl des IT-Dienstleisters sollten betroffene Berufsgruppen auf weitere Indikatoren für eine besonders sichere Verarbeitung der Daten achten. Zertifizierungen sind beispielsweise wichtige Anhaltspunkte für gehobene Sicherheitsvorkehrungen. So können Interessenten etwa an Normen wie der ISO 27001, ISO 27017 oder ISO 27018 erkennen, ob Cloud-Provider kontinuierliche Maßnahmen durchführen, um ihre IT-Prozesse hinsichtlich der Sicherheit und des Datenschutzes zu optimieren.

Der Standard TCDP durch eine Auditor-Zertifizierung ersetzt, die auf die Anforderungen der DSGVO zugeschnitten sein wird.
Der Standard TCDP durch eine Auditor-Zertifizierung ersetzt, die auf die Anforderungen der DSGVO zugeschnitten sein wird.
(Bild: Gerd Altmann auf Pixabay)

Das Trusted Cloud Datenschutz-Profil (TCDP) gibt derweil darüber Aufschluss, ob ein Cloud-Anbieter die Anforderungen des deutschen Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung vollständig abbildet. Wichtig: Der Standard wird in Zukunft durch Auditor-Zertifizierung ersetzt, die speziell auf die Anforderungen der DSGVO zugeschnitten sein wird.

Zwischenzeitlich sollten Berufsgeheimnisträger bei der Wahl der Cloud-Lösungen außerdem prüfen, ob sie eine DSGVO-konforme Verarbeitung und Speicherung von Daten garantieren. Denn dies wird nicht durch den Geheimnisschutz abgedeckt. Bei der Nutzung der Dienste sollten sie darüber hinaus ihren Datenverkehr mit der Cloud stets verschlüsseln, um das Sicherheitsniveau zusätzlich erhöhen.

Der Autor Christian Kotulek von der T-Systems International GmbH ist bereits seit 2015 im Zeichen der „Open Telekom Cloud“ unterwegs.
Der Autor Christian Kotulek von der T-Systems International GmbH ist bereits seit 2015 im Zeichen der „Open Telekom Cloud“ unterwegs.
(Bild: T-Systems International GmbH)

Nicht zuletzt bilden sichere Rechenzentren die Grundlage für vertrauenswürdige Cloud-Dienste. Diese müssen nicht nur gegen Cyberattacken abgesichert sein, sondern auch hinsichtlich der Verfügbarkeit höchste Anforderungen erfüllen, um zuverlässige Dienste für Berufsgeheimnisträger zu hosten. Rechenzentren mit einer Tier-Klassifizierungen von 3 oder höher bieten mit redundanten Versorgungswegen und speziellen Brandschutzvorkehrungen auch in Fällen von höherer Gewalt maximale Sicherheit.

* Als Senior Product Manager und Product Owner für Roadmap & Strategy betreut Christian Kotulek bei der T-Systems International GmbH unter anderem das Vertragswesen rund um das Cloud-Angebot der „Open Telekom Cloud“

Artikelfiles und Artikellinks

(ID:47641161)