Rz 7] Werden Daten anonymisiert, pseudonymisiert oder

verschlsselt, handelt es sich in der Regel nicht um Personendaten im Sinne des Gesetzes.
Dennoch ist auch hier Vorsicht geboten: Werden z.B. Patientennamen durch eine
Nummer ersetzt, reicht dies zur Pseudonymisierung (und
damit zum Ausschluss des Datenschutzgesetzes) nicht aus,
wenn aufgrund anderer individualisierender Merkmale eine
personenbezogene Zuordnung nach wie vor mglich ist (was
meist der Fall ist).
Speichert ein Cloud Nutzer Personendaten nicht
auf seinem eigenen Server, sondern auf einer Cloud, lsst
er Personendaten im datenschutzrechtlichen Sinn durch ei
nen Dritten bearbeiten (sog. Datenbearbeitung durch Dritte,
auch Auftragsbearbeitung genannt).
6

Die Weitergabe von

Personendaten zur Bearbeitung an Dritte (Cloud Anbieter) ist
grundstzlich zulssig, und zwar auch ohne Einwilligung der
betroffenen Personen,
sofern
die Daten vom Dritten (Cloud
Anbieter) nur so bearbeitet werden, wie der Cloud Nutzer
es selber tun drfte und keine gesetzliche oder vertragliche
Geheimhaltungspflicht die Bearbeitung durch einen Dritten
verbietet.
7

Ausserdem muss sich der Cloud Nutzer vergewis

sern, dass der Cloud Anbieter die Datensicherheit gewhr
leistet (Art.
10a DSG).
8

Eine Auftragsbearbeitung darf nur fr

die Zwecke des Auftraggebers, d.h. des Cloud Nutzers, erfol
gen, also weder fr die Zwecke des Cloud Anbieters noch fr
die Zwecke anderer Personen
(http://www.blumgrob.ch/pdfs/publikationen/Jusletter11059de.pdf)
Datenbertragungen mithilfe der Patientenakte bentigen die Einwilligung der Patientin bzw. des
Patienten.
4a BDSG: Die Einwilligung des Patienten bzw. der Patientin ist nur dann rechtswirksam, wenn sie
freiwillig geschieht und der Patient bzw. die Patientin ber die Datenbermittlung ausreichend
informiert wurde. Unter Umstnden muss auch auf die Folgen einer Verweigerung der Einwilligung
hingewiesen werden.
(BDSG = Bundesdatenschutzgesetz)
$ 34 BDSG: Der Patientin oder dem Patienten muss Auskunft ber die Informationen ihrer/seiner
elektronischen Patientenakte gegeben werden. Dabei muss Auskunft darber gegeben werden,
welche Informationen, wann und auf welche Weise verarbeitet werden.

In Deutschland wird der Datenschutz je nach Geltungsbereich ber das Bundesdatenschutzgesetz

(BDSG) beziehungsweise ber die Landesdatenschutzgesetze geregelt. ffentliche Krankenhuser
obliegen dabei den Landesdatenschutzgesetzen, whrend private Krankenhuser aber auch
Krankenhuser aus dem ffentlichen Bereich dem BDSG unterliegen.[17]
5.2.2.2 Sicherung in Deutschland

Obwohl das genaue Speichermodell fr die deutsche Patientenakte noch nicht feststeht[65], wird in allen
aktuell diskutierten Varianten von einer dezentralen Speicherung der Daten ausgegangen. Die Daten
wre somit verteilt bei verschiedenen Anbietern gesichert. Die Anwender arbeiten derweil mit dem
logischen Gerst einer zentralen Patientenakte und spren die Auswirkungen der Aufteilung nicht. Auf
der technischen Seite hingegen muss geklrt werden, wie Intermedire fr die vielen Transaktionen
vergtet werden und welche Datenschutzvorkehrungen getroffen werden mssen, da Daten unter
Umstnden auch im Ausland gespeichert werden knnten. Obwohl die Sicherung durch Dritte
geschehen soll, mssen Einrichtungen lokale Kopien der Daten aufbewahren, um bei Netzausfllen oder
Strungen weiterarbeiten zu knnen. Auch hier sind Datenschutz- und Haftungsprobleme nicht
endgltig geklrt.[66]