Neue Vorgaben und Geschäftsbedingungen für Cloud-Services

Miete mich – die Arztpraxis in der Cloud

FMH
Ausgabe
2019/16
DOI:
https://doi.org/10.4414/saez.2019.17787
Schweiz Ärzteztg. 2019;100(16):570-571

Affiliations
a Dr. rer. biol. hum., Leiter Digitalisierung / eHealth, FMH; b Rechtsanwalt und Informatikexperte, FSDZ Rechtsanwälte & Notariat AG, Baar;
c Wissenschaftlicher Mitarbeiter Digitalisierung / eHealth, FMH

Publiziert am 16.04.2019

Früher war es üblich, eine Schallplatte oder eine CD zu kaufen und sie beliebig abzuspielen. Gleiches galt auch für Software, die durch Einräumung von Nutzungsrechten auf dem eigenen Computer installiert werden konnte. Heute werden Anwendungsprogramme von Softwareherstellern zunehmend nur noch als Dienstleistung angeboten, bei der die Anwendung mittels Cloud-Computing online für eine befristete Zeit zur Verfügung gestellt wird. Der Softwarehersteller ist ­weiterhin Eigentümer und Inhaber der Rechte am Anwendungs­programm, welches nun aber nicht mehr auf einem Endgerät installiert werden muss. Diese Art von Dienstleistungen werden als Software as a Service (SaaS) bezeichnet, und mit dem gleichen Prinzip können auch ganze IT-Infrastrukturen oder Plattformen über eine «Cloud» angeboten werden («Infrastructure as a Service – IaaS»; «Platform as a Service – PaaS»). Der Vorteil dieses Konzeptes ist, dass der Endanwender sich nicht mehr um die Infrastruktur kümmern muss, die für den sicheren Betrieb der Anwendung notwendig ist. Vorausgesetzt wird eine funktionierende Internetverbindung. Auch obliegen der sichere Betrieb und die Einhaltung des Datenschutzes dem Anbieter von SaaS-Dienstleistungen, was per se kein Nachteil ist: Der Betreiber einer SaaS-Dienstleistung hat grundsätzlich bessere Voraussetzungen, seine Systeme zu aktualisieren und nach einem hohen Sicherheitsstandard zu betreiben [1].

Cloudbasierte Praxisinformationssysteme

SaaS-Dienstleistungen werden zunehmend auch im Gesundheitswesen angeboten. Getrieben wird diese Entwicklung durch die enorm wachsenden Datenmengen sowie durch die steigende Komplexität der Infrastrukturen, welche den Datenschutz und die Daten­sicherheit in diesem sensitiven Bereich vollumfänglich erfüllen müssen. Auch Anbieter von Praxissoftware wechseln ihre bisherigen Lizenzmodelle weg von der Nutzung auf eigenen Rechnern innerhalb der eigenen Arztpraxis neu in die Cloud. Für die Ärzteschaft erge­ben sich dadurch beim Vertragsabschluss mit Softwareherstellern neue Herausforderungen und Sorgfaltspflichten: Nebst den Anforderungen an den Datenschutz, an die Datensicherheit, an das Arzt- und Patientengeheimnis sowie an das Dateneigentum muss auch die Herausgabe der Daten bei Vertragsbeendigung einwandfrei geregelt werden.
Da die Anbieterverträge unterschiedliche und teilweise nicht hinreichende Regelungen enthalten, hat die FMH Mindestvorgaben erarbeitet, welche von allen Anbietern von Cloudlösungen einheitlich erfüllt werden sollten, wenn Ärztinnen und Ärzte die Dienstleistungen in der Cloud in Anspruch nehmen. In diesem Sinne dienen die Mindestvorgaben primär der Ärzteschaft als Verbandsvorgabe zum Abschluss von ge­setzeskonformen Cloudverträgen (Sicherstellung der gesetzeskonformen Berufsausübung), sekundär aber auch den Software­anbietern als Richtschnur zur vertragskonformen Ausrichtung ihrer neuen Cloud-Ser­viceangebote an den ­hohen Anforderungen der Ärzteschaft. Der Betrieb einer Praxissoftware in der Cloud umfasst zwingend folgende Elemente, welche vertraglich abzudecken sind:
Lizenzierung (Einräumung der Nutzungsberech­tigung an den IT-Infrastrukturen und den Applikationen);
Wartungs-, Pflege- und Support-Dienstleistungen des Cloud-Serviceanbieters bezüglich der genutzten Applikationen im Betrieb (Störungsbehebung und Ursachenforschung, Hotline, Helpdesk, Updates);
–Sicherstellung der Weiterentwicklung der bereitgestellten Applikationen (Anpassungen an gesetzliche Änderungen, z.B. TARMED);
Betriebsleistungen des Cloud-Serviceproviders (Verfügbarkeit, Transportverschlüsselung, Datenspeicherverschlüsselung, Pflicht zur Umsetzung von technischen und organisatorischen Sicherungsmassnahmen bei der Speicherung der besonders schützenswerten Patientendaten etc.);
Regelungen zur Herausgabe der von der Ärzteschaft treuhänderisch verwalteten Patientendaten im Falle einer Kündigung des Vertragsverhältnisses und einem Aufbau eines neuen Cloud-Vertragsverhältnisses zu einem anderen Anbieter ohne Schikanen oder Behinderungen seitens des ursprünglichen Cloud-Serviceanbieters;
Sicherstellung der Anwendungssoftware (sobald die in der Cloud angebotene Applikation für die Ärzteschaft systemrelevant wird, d.h., sobald von zahlreichen Ärztinnen und Ärzten die entsprechende Applikation eingesetzt und genutzt wird; Sicherstellung der Weiterentwicklungsfähigkeit im Falle des Konkurses, einer Bilanzdeponierung bei Überschuldung oder einer freiwilligen Aufgabe der Software-Weiterentwicklung durch den bisherigen Applikationsanbieter).
Abbildung 1: Vertragskonzept der FMH für SaaS-Dienstleistungen 
(blau: FMH-Mindestvorgaben, grau: individuelle Service Level Agreements der Anbieter).
Das neu erarbeitete Vertragskonzept der FMH für Dienstleistungen in der Cloud beinhaltet ein Set von vertraglichen Mindestanforderungen, welche von der Ärzteschaft für die Nutzung von Cloud-Services mit Anbietern eingesetzt werden können. Insbesondere sollen in allgemeinen Cloud-Vertragsbedingungen, welche sich auf verbreitete und bewährte Standard­vorgaben (wie AGB SIK 2015 [2], SWICO-SVD-Mustervertragsgrundlagen) stützen, die vertraglichen Mindestanforderungen vorgegeben werden. Dadurch soll der Ärzteschaft ermöglicht werden, dass sie weiterhin ­gesetzeskonform ihren Beruf auch unter Einsatz von Informatik und Cloudlösungen ausüben kann. Diese Vorgaben sollen in den nächsten Monaten mit dem Verband der Schweizerischen Fachhäuser für Medi­zinal-Informatik (VSFM) abgestimmt werden, um ­dadurch eine breite Akzeptanz und Standardisierung dieser Mindestvertragsklauseln auch in der massge­blichen Branche sicherzustellen. Diese Mindestbestimmungen der FMH für Cloud-Services legen unter anderem den Beizug von Dritten für die Leistungserbringung, den Umgang mit Sicherheitsvorfällen oder die Herausgabe der Daten nach Vertragsbeendigung fest, welche in der Praxis bisher nicht oder unzu­reichend geregelt sind. Ebenso sollen die zu garantierenden Anforderungen an den Datenschutz und die Datensicherheit des Cloud-Serviceproviders definiert werden. Solche Mindestbestimmungen sind erfor­derlich, um den erhöhten Anforderungen des Arzt­geheimnisses oder den Dokumentationspflichten der Ärzteschaft genügend Rechnung zu tragen. Den Software- oder Cloud-Serviceanbietern soll in diesem Vertragskonstrukt die Möglichkeit eingeräumt werden, ihre individuellen Leistungen in Form von Service ­Level Agreements (SLA) selber zu definieren.
Das Vertragskonzept wird nun den Softwareanbietern, die bereits starkes Interesse an einer einheitlichen Regelung signalisiert haben, vorgelegt und abschliessend im Sommer 2019 durch die FMH publiziert.
Ärztinnen und Ärzte sowie Praxisgemeinschaften, welche künftig ihre Applikationen aus der Cloud beziehen, sind gut beraten, sich in den Vertragsverhand­lungen mit den Anbietern auf diese von der FMH als Standardvorgaben entwickelten Mindestanforderungen abzustützen, um dadurch auch innerhalb der Ärzteschaft gleiche Voraussetzungen für die Service­erbringung aus der Cloud sicherzustellen und ihren gesetzlichen Sorgfaltspflichten im Umgang mit besonders schützenswerten Patientendaten gesetzeskonform nachzukommen.
Dr. Reinhold Sojer
Leiter Abteilung Digitali­sierung / eHealth FMH
Elfenstrasse 18
Postfach 300
CH-3000 Bern 15
Tel. 031 359 12 04
reinhold.sojer[at]fmh.ch
1 Kessler T. Informationssicherheit beim Cloud Computing. Schweiz Ärzteztg. 2017;98(45):1493–4.
2 Schweizerische Informatikkonferenz, AGB der SIK, 2015 ­[online]. Available: http://www.sik.ch/agb.html [accessed: 17 March 2019].