Page 15 - KHIT_1_2023
P. 15
Rechtlicher Rahmen Aus manchen Wolken fällt Tipp 2: Auf Haftungsausschlüsse oder
Regen…
Ganz gleich, ob die Cloud als Platt- -begrenzungen des Providers achten
form zur Auslagerung von Daten Durch geeignete Maßnahmen lässt sich Ein Anspruch auf Schadenersatz kann
genutzt wird oder als Träger für Fach- das Sicherheits- und Schutzniveau von sich aufgrund einer Minder- oder Nicht-
und Büroanwendungen, die quasi von Clouds in Abhängigkeit vom Aufwand leistung des Providers ergeben – eine ent-
überall erreichbar sind - Cloud Com- fast beliebig steigern; ein Restrisiko – sei sprechende vertragliche Festlegung vor-
puting bedeutet letztlich die Nutzung es auch noch so klein – bleibt aber immer. ausgesetzt. Gleiches gilt aber auch, wenn
(beziehungsweise Erbringung) einer In den Cloud-Service-Vertrag sollten der Provider unerlaubt Daten an Dritte
Dienstleistung zu vereinbarten Kondi- daher unbedingt Klauseln aufgenom- weitergibt und dabei gegen Datenschutz-
tionen, die üblicherweise per Vertrag men werden, die technisches Versagen, gesetze oder andere Regelungen ver-
geregelt werden. Juristisch gesehen stellt aber auch organisatorische Unglücks- stößt. Sofern der eigenen Organisation
Cloud Computing eine andere Form fälle bis hin zum Ausfall des Cloud-Pro- aufgrund einer Verletzung der Daten-
des IT-Outsourcings dar, weshalb der viders berücksichtigen. Die folgenden schutzgesetze durch den Cloud-Provider
Abschluss einer schriftlichen Vereinba- Ratschläge nehmen beispielhaft Bezug behördliche Geldstrafen oder sonstige
rung über eine Auftragsverarbeitung auf durchaus mögliche Szenarien: Forderungen drohen, sollte die Haftung
(AVV) mit Berücksichtigung der Euro- des Cloud-Providers zumindest in sol-
päischen Datenschutzgrundverordnung Tipp 1: Leistungsumfang und Service- chen Fällen nicht ausgeschlossen und
(DSGVO) angezeigt ist. Um dabei die Level möglichst konkret im Vertrag nicht zu stark begrenzt sein.
Sicherheit der Verarbeitung zu gewähr- festhalten
leisten, sind gemäß Artikel 32 DSGVO Das Leistungsversprechen von Public Tipp 3: Sonderkündigungsrecht
geeignete technisch-organisatorische Cloud-Anbietern liegt mitunter deutlich einräumen lassen
Maßnahmen zu treffen und ausdrück- unter dem Niveau von Private Cloud- Kleinere Versäumnisse des Cloud-
lich festzuschreiben. Gesundheitsdaten Providern – Ansprüche wegen zeitweili- Anbieters rechtfertigen verständlicher-
gelten in den Augen des Gesetzgebers als ger Nichtnutzbarkeit einer Public Cloud weise kaum die vorzeitige Beendigung
besonders sensibel und stellen deshalb lassen sich wohl genauso wenig durch- eines Service-Vertrags. Anders sieht es
regelmäßig höhere Anforderungen an setzen wie Sonderregelungen oder Ein- aus bei wesentlichen Vertragsverletzun-
die Wirksamkeit von Maßnahmen. zelverträge. gen infolge Minder- oder Nichtleistung
Wo sich die technische Leistungs- Bessere Chancen gegen Minderleis- oder bei Rechtsverstößen wie unerlaubte
erstellung prinzipiell auf einen Vertrags- tungen vorzugehen, hat man bei Private Datenweitergabe. Dennoch sind die Vor-
partner übertragen lässt, klappt das beim Cloud-Lösungen, die üblicherweise aussetzungen für eine Kündigung aus
Thema Haftung nicht: das Geschäftsri- einzelvertraglich geregelt sind. Wich- besonderen Gründen stets im Vertrag zu
siko trägt die Leitung des Krankenhau- tig ist dabei eine genaue und vor allem benennen und festzuschreiben.
ses selbst. Umso wichtiger ist es also, schriftliche Festlegung von Gewährleis-
entsprechende Klauseln in den Cloud- tungs- und Service-Level-Zusagen: bei-
Service-Vertrag aufzunehmen, aber auch spielsweise mit prozentualer Angabe der
geeignete technische und organisatori- zulässigen Gesamtausfallrate und kon-
sche Maßnahmen beim Dienstleister ein- kreten Angaben, wie lange maximal ein
zufordern und in erforderlichem Maße Ausfall bis zur Wiederverfügbarkeit dau-
selbst zu ergreifen. ern darf bzw. wie schnell der Dienstean-
bieter bei Problemen reagieren muss.
Krankenhaus-IT Journal 1 /2023
15
