Was passiert mit Patientendaten bzw. Bestandsdaten, die bereits in Cloud-Lösungen gespeichert sind, seit dem 1. Juli 2024? Steht und fällt ihre weitere Verwendung ab sofort mit dem C5-Testat? Und was bedeutet dies für das Gesundheitswesen? Diese und weitere Fragen beschäftigen derzeit viele.

Dabei soll das neue Digital-Gesetz (DigitalG) Klarheit beim Einsatz der Cloud im Gesundheitswesen schaffen und die IT-Sicherheit erhöhen. In diesem Sinne hat das zuständige Bundesministerium für Gesundheit (BMG) auf Anfrage erklärt, dass es ihm ein „sehr wichtiges Anliegen“ sei, „die IT-Sicherheit von Gesundheitsdaten – und damit von besonders schützenswerten Daten – zu erhöhen.“ Dies geschehe nicht zuletzt vor dem Hintergrund, dass die IT-Sicherheitsrisiken in allen wirtschaftlichen und gesellschaftlichen Bereichen zunähmen; das Gesundheitswesen bilde insofern keine Ausnahme.

Damit stößt das BMG zwar insgesamt auf Zustimmung, in der aktuellen Umsetzung aber auch auf Kritik. Bislang waren die Anforderungen an die Sicherheit beim Einsatz von Cloud-Lösungen in Krankenhäusern nicht gesetzlich geregelt. Es bestand ein Graubereich. Nun gibt es erstmals eine gesetzliche Regulierung für die Sicherheitsanforderungen. „Unternehmen äußern sich erfreut über die jetzt bestehende Rechtssicherheit. Für diese gesetzliche Grundlagen haben wir lange gekämpft, jedoch ist es nicht zufriedenstellend, dass die Unternehmen nun mit ungeklärten Aspekten allein gelassen werden“, erklärt Dr. Verena Benz, Referentin Pharma & eHealth, beim Branchenverband Bitkom.

Hier liegt denn auch derzeit die Herausforderung. Einige wichtige Aspekte der Umsetzung des Gesetzes sind noch nicht geklärt, z.B wer genau betroffen ist.

Was steht drin und wen betrifft es?

Im Juli 2023 hatte das BMG in einem Referentenentwurf den Paragraf 393 SGB V erstmals vorgestellt und damit „für alle Beteiligten, und damit natürlich auch für die Krankenhäuser, die Möglichkeit geschaffen, entsprechend IT-sichere Cloudsysteme rechtssicher nutzen zu können“, wie eine Sprecherin des BMG erklärt. Festgelegt werden hohe Mindeststandards für die Verarbeitung von personen- und gesundheitsbezogenen Daten über Cloud-Dienste, die auf dem Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Demnach muss Informationssicherheit nach dem Stand der Technik geschaffen – und die Wirksamkeit der Maßnahmen nachgewiesen – werden.

Grundsätzlich gilt die neue Regelung für Leistungserbringer von Kliniken und Krankenhäusern, über Ärzte, Apotheken und Hersteller von digitalen Gesundheitsanwendungen (DIGA) bis hin zu Kranken- und Pflegekassen. Das BMG schreibt vor, dass die datenverarbeitende Einrichtung künftig ein C5-Testat vorweisen muss. Anbieter eines Cloud-Systems müssen die im Testat bestätigten IT-Sicherheitsmaßnahmen ergreifen und grundsätzlich durch dieses Testat nachweisen, so das Ministerium. Wichtig ist, dass sich der Betreiber oder Anbieter eines Cloud-Dienstes dabei nicht allein auf das Rechenzentrum oder den Cloud-Hosting-Dienstleister allein verlassen kann. Als „datenverarbeitende Stelle“ sind sie selbst in der Pflicht, eine C5-Bescheinigung vorlegen zu können.

Der Nachweis muss aktuell für die Verarbeitung mit einem C5-Testat Typ 1 und ab dem 1. Juli 2025 mit einem C5-Testat Typ 2 erbracht werden. Was bedeutet das? Für das Testat Typ 1 analysieren Wirtschaftsprüfer wie das Sicherheitssystem gestaltet und konzipiert ist. Typ 2 verschärft die Prüfung insofern, als dass nicht nur bewertet wird, ob das Sicherheitssystem angemessen ist, sondern auch ob es wirksam ist im Berichtszeitraum.

Alles im grünen Bereich – oder?

Das klingt auf den ersten Blick zwar eindeutig, tatsächlich gibt es aber noch Unsicherheiten, wen das Gesetz genau betrifft und was mit bestehenden Cloud-Anwendungen passiert. „Unsicherheit ist immer ungünstig, wenn es um bestehende Dienste und Lösungen geht. Das will niemand haben und sorgt für Unmut bei den betroffenen Unternehmen“, so Verena Benz. Aus Gesprächen mit großen Unternehmen aus der IT-Branche, die sich im Gesundheitswesen engagieren, weiß sie, dass es eine Unsicherheit gibt, ob man unter die Testat-Pflicht fällt oder nicht. „Viele verlassen sich vielleicht erstmal darauf, dass sie von einem Hyperscaler, der testiert ist, die Cloud-Leistungen beziehen – und denken entsprechend, dass sie nicht betroffen sind. Das ist aber nicht korrekt, denn sie werden dadurch selbst zu Cloud Service Anbietern. Ich glaube, das ist eine große Gefahr, in die man geraten kann. Und je kleiner die Unternehmen sind, desto weniger Ressourcen haben sie, um sich damit inhaltlich auseinanderzusetzen. Oft fehlen schlicht auch die finanziellen Mittel, um die Testate zu erhalten.“

Was passiert mit bestehenden Diensten aus der Cloud?

Vor der Verabschiedung des Gesetzes hatten einige Anwender und Anbieter natürlich bereits Lösungen gefunden, um Leistungen aus der Cloud zu beziehen oder zu erbringen. Sie hatten Einzelverträge abgeschlossen und Sicherheitsnachweise erbracht. In diesem Bestandsmarkt haben sich einige Anbieter in letzter Zeit gefragt, ob sie mit ihren Cloud-Lösungen vom Markt müssen, wenn sie das Testat nicht eindeutig vorweisen können. Die beruhigende Antwort für diejenigen mit bestehenden Verträgen lautet derzeit jedoch, dass dies nicht nötig ist. „Sie verfügen über Verträge, die in Kraft sind und müssen fehlende Sicherheitsanforderungen nachträglich eventuell ergänzen. Die neue Regelung sieht keine Strafe vor, wenn Gesundheitsdaten in Cloud-Diensten ohne ein gültiges C5-Testat verarbeitet werden. Jedoch können insbesondere die Nutzer der Cloud-Dienste wie Krankenhäuser und Gesundheitseinrichtungen die Regelung nicht ignorieren, denn Sie sind durch andere Anforderungen dazu gezwungen, den Geschäftsbetrieb konform zu geltendem Recht zu organisieren. Hier müssen die Hersteller nun überzeugen, dass sie diesen Anforderungen auch ohne C5-Testat genügen. Eine Rechtsverordnung seitens BMG würde hier Klarheit und Abhilfe schaffen.“, so Benz.

Wie sieht es mit Übergangsfristen aus?

Viele Betroffene stellen sich die berechtigte Frage, ob es Übergangsfristen geben wird, auch wenn das Gesetz offiziell ab dem 1. Juli gilt. Zwar gehen die Unternehmen von einem Bestandsschutz für vorhandene Verträge und schon abgerufene Cloud-Leistungen aus. Dennoch wäre hier eine formale Klarstellung durch den Gesetzgeber wünschenswert.

Das bestätigt auch die Bitkom-Referentin: „Hier sind sich die Unternehmen, mit denen ich gesprochen habe, nicht alle sicher. Auch die, die diese Prüfung durchführen, können hier bisher keine eindeutige Antwort geben. Sie bestätigen, dass dies Fragen sind, die so nicht endgültig geklärt sind. Mehr Durchblick könnte eine Verordnung des BMG schaffen.“

Damit könnte auch die Frage nach weiteren Zertifikaten oder Testaten, die vorgelegt  werden können, beantwortet werden. Denn tatsächlich sieht der Paragraf 393, Absatz 4 SGB V vor, „dass auch andere Zertifikate/Testate geeignet sind, wenn die dafür umzusetzenden IT-Sicherheitsmaßnahmen ein entsprechendes Sicherheitsniveau sicherstellen.“

Hier will das BMG laut der Sprecherin, eine Rechtsverordnung im Laufe des zweiten Halbjahres 2024“ erlassen. Sie soll Rechtssicherheit über die „individuelle Beurteilung (zu) schaffen, welche Standards diese Anforderungen erfüllen.“

Das neue Digital-Gesetz schafft erstmals einen rechtlichen Rahmen für den Einsatz der Cloud im Krankenhaus. Gleichzeitig werden die Zügel bei den damit verbundenen Regeln für die IT-Sicherheit und die Informationssicherheit angezogen. Einige wichtige Details will der Gesetzgeber in der zweiten Jahreshälfte 2024 noch präzisieren, was auch sehr wichtig ist. Viele Betroffene wünschen sich nicht nur eine praktikable Übergangsregelung, sondern auch deren schnelle Bekanntgabe. Mit Blick auf die zweite Stufe im Jahr 2025 beschäftigt die Unternehmen das Typ 2-Testat, das nochmals aufwendiger in der Umsetzung ist. Je mehr der Gesetzgeber die damit verbundenen finanziellen personellen Herausforderungen berücksichtigt, desto besser.

Autor: Arno Laxy, Wiesbaden