Anfang Februar hat der Bundesrat grünes Licht zum Gesetzentwurf „zur Beschleunigung der Digitalisierung des Gesundheitswesens“ (Digital-Gesetz – DigiG) gegeben. Das Gesetz wurde im März 2024 im Bundesgesetzblatt veröffenticht. Im Vorfeld wurde viel über die Opt-out Lösung zur Verbreitung der elektronischen Patientenakte (ePA) diskutiert, doch enthält das Gesetz auch wichtige Regelungen zur Cloud-Nutzung und Cybersicherheit. Diese haben im Schatten der ePA-Diskussion bislang wenig Beachtung gefunden. Die Anforderungen, dass alle Krankenhäuser, Vertragsärzte und Krankenkassen ihre Informationssysteme nach dem aktuellen Stand der Technik absichern müssen, werden in aufeinanderfolgenden Paragrafen an einer Stelle im SGB V zusammengeführt. Dabei handelt es sich hauptsächlich um eine redaktionelle Ordnung. Neu und mit großer Bedeutung ist, dass Cloud-Computing ausdrücklich für Gesundheitsdaten erlaubt wird, jedoch gleichzeitig mit strengen Sicherheitsanforderungen belegt ist. Diese regulatorischen Vorgaben schaffen eine neue Klarheit und einen Rahmen für die sichere Digitalisierung im Gesundheitswesen. Anbieter von digitalen Lösungen sowie deren Kunden wird das in den kommenden Jahren jedoch stark beschäftigen.
IT-Sicherheit nach „Stand der Technik“ für alle verpflichtend
Der bisherige Paragraf 75c SGB V wird aufgehoben und durch den neuen Paragrafen 391 im Sozialgesetzbuch Fünf (SGB V) ersetzt. Das ist weitgehend eine redaktionelle Änderung, da der Paragraf 75c nahezu wortgleich übernommen wird. Hinzugekommen sind aber „verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern“.
Auch im neuen Paragrafen 391 SGB V wird deutlich formuliert, dass Krankenhäuser „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen müssen. Dass für Betreiber der Stand der Technik im branchenspezifischen Sicherheitsstandard für Krankenhäuser (B3S) definiert ist, stellt Absatz 4 explizit klar. Damit werden dieselben Standards als Maßstab für alle Krankenhäuser gesetzt, die schon für KRITIS-Häuser nach Paragraf 8a BSI-Gesetz gelten.
Auch für die bislang kursierende Auslegung, dass die „Angemessenheit“ von Maßnahmen in der Informationssicherheit einen wirtschaftlichen Ermessenspielraum bei der Investition in Sicherheitsmaßnahmen bedeutet, lässt der neue Paragraf 391 SGB V (wie schon der „alte“ Paragraf 75c SGB V) keinen Raum mehr. Die Abwägungsmaßstäbe sind in Absatz 3 definiert: Die Angemessenheit wird bewertet im Verhältnis des Aufwands für organisatorische und technische Maßnahmen zu den Folgen eines Ausfalls oder Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen. Es bedeutet, dass die finanzielle Lage eines Krankenhauses nicht darüber entscheidet, ob oder wie weit es nach dem Stand der Technik abgesichert wird, sondern die zu erwartenden Folgen eines Vorfalls.
In der Konsequenz heißt das: Wer sich die Sicherheit der Informationssysteme nach dem Stand der Technik nicht leisten kann, darf keine Patientendaten verarbeiten. Eine schlechte wirtschaftliche Lage kann kein Argument für eine unzureichende Absicherung sein. Dies erfordert ein Umdenken, insbesondere für diejenigen, die sich bisher an Artikel 32 der Datenschutz-Grundverordnung orientiert haben. Denn dort werden neben dem Stand der Technik auch die Implementierungskosten und Eintrittswahrscheinlichkeiten bei der Absicherung der Verarbeitung personenbezogener Daten berücksichtigt. In der IT-Sicherheit jedoch dürfen Kosten und Wahrscheinlichkeiten keine Maßstäbe für die Bewertung der Angemessenheit sein.
Cloud-Computing wird erlaubt, aber nur mit C5-Testat
Grundsätzlich neu und stark in der Wirkung ist der neue Paragraf 393, mit de, ein expliziter Erlaubnistatbestand zur Nutzung von Cloud-Computing für die Verarbeitung von Sozial- und Gesundheitsdaten in einem Bundesgesetz geschaffen wird. Allein dieser Aspekt ist für die Digitalisierung hilfreich. So war bis 2022 in einigen Landeskrankenhausgesetzen – beispielsweise in Bayern und Berlin – die Nutzung von Cloud-Diensten für Krankenhäuser per Landesgesetzgebung faktisch unmöglich. Zudem wird die neu geschaffene gesetzliche Erlaubnis von Cloud-Computing auch bei Bedenken und Einwänden von Datenschutzbeauftragten eine wichtige Argumentationsgrundlage bieten und Diskussionen verkürzen.
Der Paragraf 393 setzt gleichzeitig hohe Mindeststandards für Cloud-Dienste. Dass Informationssicherheit nach dem Stand der Technik geschaffen werden muss, sollte keine Überraschung darstellen. Allerdings wird nun auch der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Sicherheitsniveau vorgeschrieben. Somit sind die Mindestanforderungen für die Verarbeitung von Sozialdaten und Gesundheitsdaten über Cloud-Dienste explizit festgelegt. Diese Regelung betrifft alle Leistungserbringer, einschließlich niedergelassener Ärzte, Krankenhäuser, Apotheken und DIGA-Hersteller sowie die Kranken- und Pflegekassen.
Wer sich die Sicherheit der Informationssysteme nach dem Stand der Technik nicht leisten kann, darf keine Patientendaten verarbeiten.
Die datenverarbeitende Stelle muss zukünftig ein aktuelles C5-Testat vorweisen. Diese Anforderung kann nicht vom Rechenzentrum bzw. den Cloud-Hosting-Dienstleistern allein erfüllt werden – das C5-Testat muss der Betreiber bzw. Anbieter eines Cloud-basierten Services vorweisen, wenn er die „datenverarbeitende Stelle“ ist. Es wird also für Leistungserbringer nicht ausreichen, sich nur von Dienstleistern und Auftragsverarbeitern Testate vorlegen zu lassen.
Die Anforderungen können nicht komplett auf Dienstleister abgewälzt werden
Der Blick in den C5-Kriterienkatalog zeigt, dass hier Anforderungen an Software-as-a-Service (SaaS)- Dienste formuliert werden. Wenn der digitale Service eines Anbieters auf der Infrastruktur eines anderen Unternehmens erbracht wird, kann das interne Kontrollsystem des Subdienstleistungsunternehmens Gegenstand der Systembeschreibung und deren Prüfung werden (sog. „Inclusive Methode“). Alternativ können nur die Kontrollen dargestellt werden, mit denen der Subdienstleister überwacht wird (sog. „Carve-Out Methode“).
In jedem Fall müssen die Systeme hinter dem SaaS-Produkt vollständig abgedeckt werden. Es reicht nicht aus, nur auf das C5-Testat eines RZ-Betreibers oder Hosting Anbieters zu verweisen oder die SaaS ohne die dahinterstehende Infrastruktur zu betrachten. Diese Konstellation betrifft die meisten der Anbieter von cloudbasierten Services auf dem deutschen Gesundheitsmarkt, die sich Serverkapazitäten bei professionellen Hostinganbietern zukaufen und darauf ihre digitalen Services betreiben. Die „C5 Prüfung“ muss nicht nur die Serverseite, sondern auch die Anwendungs- und Verfahrensebene inklusive der Datenverarbeitung einschließen.
In diesem Kontext ist auch Paragraf 393 Abs. 2 SGB V wichtig: die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes darf nur im Inland, einem EU-Mitgliedsstaat oder einem Staat, für den ein Angemessenheitsbeschluss vorliegt, erfolgen. Das bedeutet, dass die Verarbeitung in einem Drittland nur dann zulässig ist, wenn dort ein Schutzniveau existiert, welches dem in der Datenschutz-Grundverordnung festgelegten Schutzniveau gleichwertig ist. Ferner muss die datenverarbeitende Stelle eine Niederlassung im Inland haben. Diese Regelung könnte einige SaaS-Anbieter im Gesundheitsmarkt dazu zwingen, sich mit ihrem aktuellen Hostingprovider auseinanderzusetzen.
Ambitionierte Umsetzungsfristen und Äquivalenzzertifikate
Die Umsetzungsfristen sind ambitioniert: Der neue Paragraph 393 SGB V tritt am 1. Juli 2024 in Kraft und sieht keine Übergangsfrist vor. Vorerst reicht ein C5-Typ-1-Testat, das die Gestaltung und Konzeption des Sicherheitssystems betrachtet. Ab Juli 2025 müssen Betreiber von Cloud-Computing-Diensten ein C5-Typ-2-Testat vorlegen können. Das entsprechende Audit prüft dann nicht nur auf Angemessenheit des Sicherheitssystems, sondern auch auf dessen tatsächliche Wirksamkeit im Berichtszeitraum. Beachtenswert ist, dass ein C5-Testat ausschließlich von Wirtschaftsprüfern ausgestellt werden kann, obwohl dieser Berufsstand nicht unbedingt als erster mit IT-Sicherheits-Expertise in Verbindung gebracht wird bzw. diese nur in großen Wirtschaftsprüfungsgesellschaften mit IT-Beratungseinheiten im eigenen Haus zuführen kann. Wie sich hier der Anbietermarkt für derartige Testierungen herausstellen wird, bleibt gespannt abzuwarten.
Daher ist die Festlegung von vergleichbaren Zertifikaten besonders interessant für Betreiber digitaler Dienste im Gesundheitswesen. Gemäß Paragraf 393 Absatz 4 Satz 3 kann die Anforderung auch durch ein Testat oder Zertifikat nach einem Standard erfüllt werden, der ein vergleichbares oder höheres Sicherheitsniveau im Vergleich zum C5-Standard aufweist. Welche anderen Testate und Zertifikate dies sind, kann das Bundesministerium für Gesundheit (BMG) in Absprache mit dem BSI festlegen. Zu erwarten ist hier beispielsweise das Cloud Certification Scheme (EUCS), das die European Union Agency for Cybersecurity (ENISA) derzeit entwickelt.
Das BSI stellt zum C5-Kriterienkatalog auch eine Kreuzreferenztabelle zur ISO27001 zur Verfügung. Der C5-Katalog enthält jedoch zusätzliche Kriterien, die über die Kontrollen der ISO 27001 hinausgehen oder spezifischer sind, so zum Beispiel Angaben zur Gerichtsbarkeit und Lokationen oder zum Umgang mit Ermittlungsanfragen staatlicher Stellen. Daher ist es wahrscheinlich, dass mindestens ein ISO 27001 Zertifikat erforderlich ist, möglicherweise sogar mit weiteren Anforderungen. Es bleibt einerseits abzuwarten, welche alternativen Möglichkeiten es in der Zukunft neben einem C5-Test eines Wirtschaftsprüfers geben wird, um die Anforderungen zu erfüllen. Es ist dennoch offensichtlich, dass weder SaaS-Anbieter im Healthcare Bereich noch Leistungserbringer Zeit verschwenden dürfen, da die Einführung und Dokumentation von Sicherheitsmanagementsystemen Zeit benötigt und auch eine Auditierung mit erheblichem Aufwand verbunden ist.
Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.
Jetzt einloggen