Seit 2016 gibt es das C5-Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das C5-Testat (C5 = Cloud Computing Compliance Criteria Catalogue) legt Mindestanforderungen für Cloud-Dienste im Gesundheitswesen fest und liegt seit 2020 in einer grundlegend überarbeiteten Version vor. Als einer der ersten E-Health-Anbieter hat nun Doctolib das Zertifikat erhalten. Im Interview erläutert Dr. Ilias Tsimpoulis, Chief Medical Officer (CMO) bei Doctolib, welche Vorteile das Siegel für Doctolib für Ärzte und Krankenhäuser hat.

Herr Dr. Tsimpoulis, an welche Mindestanforderungen müssen Sie sich jetzt als Anbieter halten, um dieses Testat zu erfüllen?

Dr. Illias Tsimpoulis: Der C5-Katalog sieht 120 verschiedene Kriterien vor und regelt jeden Bereich, den man sich bei der Datennutzung in der Cloud vorstellen kann. Es geht um organisatorische Themen, es geht um Sicherheit, beispielsweise um die Frage, wie sicher sind die Daten abgeschirmt, wenn ich sie von A nach B schiebe? Es geht zudem auch um Compliance-Fragen innerhalb des Anbieters. Die Bandbreite ist sehr groß – und die Erfüllung der Vorgaben ist ein aufwendiger Prozess. Bei uns waren mehr als 50 Mitarbeiter über mehrere Monate damit befasst.

Warum ist die Festlegung von Mindeststandards durch eine externe Behörde so wichtig?

Bislang fehlte es im Gesundheitswesen an einer verbindlichen Festlegung von Mindeststandards für das Cloud Computing. Es fehlte an Standards, die so präzise sind, dass man dafür ein Zertifikat bekommen kann. Es gab zwar bislang verschiedene IT-Sicherheitsrichtlinien, zum Beispiel die der KBV.

Wenn man die Anforderungen eines anerkannten externen Bundesamtes erfüllt, ist das auch ein Vertrauensbeweis.

Dennoch fehlte eine klare Vorgabe mit Anforderungen, die man als Cloudprovider im Gesundheitswesen erfüllen muss. Und wenn man diese Anforderungen eines anerkannten externen Bundesamtes erfüllt, ist das auch ein Vertrauensbeweis. Das Zertifikat signalisiert unseren Kunden Sicherheit bei der Nutzung von Daten in der Cloud.

Wie wichtig ist es, dass der Staat nun diese verbindlichen Standards schafft?  

Sehr wichtig, denn der Sicherheits- und Kommunikationsbedarf bei Ärzten und in den Krankenhäusern ist wirklich sehr groß und muss gedeckt werden. Da muss der Staat nachhelfen, mit solchen Zertifikaten und gern auch noch mehr mit weiteren klaren Regularien. Für mich ist es wie ein persönlicher Befreiungsschlag, dass sowas nun als Standard durchgesetzt werden soll. Das neue Digitalgesetz geht daher genau in die richtige Richtung.

Sie sagen, es habe bislang an präzisen Festlegungen gefehlt. Was hat denn gefehlt?

Was fehlte, war der finale Stempel über eine erfolgreiche Prüfung zentraler Mindestanforderungen zur Cloud. Ich bin vom Hintergrund her Arzt, das heißt, ich verstehe die Kolleginnen und Kollegen in den Praxen und in den Krankenhäusern. Es kann aber nicht sein, dass sich die Gesundheitsfachkräfte immer mehr zu IT-Spezialisten entwickeln müssen. Letztlich bekommen diese so die ganze Verantwortung zugeschoben. Und das in einem Bereich, der hochsensibel ist, nämlich Sicherheitstechnologie in der Praxis mit sensiblen Gesundheitsdaten. Sie brauchen also jemanden, der davon Ahnung hat und dem Arzt bzw. der Klinik sagt, es ist in Ordnung und sicher, diesen Provider zu nutzen.

Das C5-Testat hilft Ärzten und Krankenhäusern also bei der Entscheidungsfindung? 

Genau, es macht es für die Beteiligten sehr viel einfacher, einen guten Cloudprovider auszuwählen.  

Das erste C5-Testat des BSI wurde im Jahr 2018 vergeben. Seitdem wurden mehr als ein Dutzend weitere C5-Testate für große Cloud-Provider ausgestellt. Einige davon sind auch große Cloud-Anbieter im deutschen Gesundheitswesen, etwa die deutsche Telekom oder auch Amazon Web Services. Warum hat Doctolib erst im Jahr 2023 das Zertifikat beantragt?  

Einige große Cloud-Provider haben das C5-Testat bereits seit einiger Zeit. Aber eben nur wirklich große und etablierte Anbieter, die schon lange am Markt operieren und vor allem Hosting-Provider sind wie die Deutsche Telekom, Microsoft Azure oder Amazon Webservices. Die meisten übrigens, weil sie Kunden bedienen, die regulatorisch dazu verpflichtet sind. Diese Verpflichtung besteht für Doctolib nicht, wir sind diesen Weg freiwillig gegangen. Der Aufwand, eine C5-Attestierung durchzuführen und auch zu bestehen, ist enorm. Doctolib musste zuerst einige Voraussetzungen etabliert haben, um mit der C5-Attestierung beginnen zu können. Beispielsweise ist eine der Anforderungen des C5, dass man eine ISO27001-Zertifizierung vorweisen muss. Wir mussten also zuerst unser Informationssicherheitsmanagement System (ISMS) nach ISO27001 zertifizieren, um überhaupt mit dem C5-Readiness Projekt beginnen zu können.

Bislang sind Ihre Kunden überwiegend im niedergelassenen Bereich zu finden. Wie viele Krankenhäuser in Deutschland zählen derzeit zu Ihren Kunden?

Wir arbeiten in Deutschland momentan mit deutlich über 200 Krankenhäusern zusammen, die Zahlen steigen. Mit den Häusern kooperieren wir in unterschiedlichen Bereichen. Das können zum Beispiel assoziierte medizinische Versorgungszentren der Krankenhäuser oder auch die Ambulanzen sein. Inzwischen sind wir auch beim Thema Patientenportal gemäß Fördertatbestand 2 des KHZG aktiv. Wichtige Rollen spielen auch das Aufnahme- und Entlassmanagement.

Patienten und Datenschützer warfen Doctolib wiederholt einen fragwürdigen Umgang mit Patientendaten vor. Vor zwei Jahren erhielt ihr Unternehmen sogar den „Big Brother Award“ des Vereins „digitalcourage“. Erhoffen Sie sich vom C5-Testat auch mehr Vertrauen der Öffentlichkeit in Ihre Dienste?

Ja, dieses Zertifikat schafft mehr Vertrauen. Viele Provider behaupten, dass sie nach den höchsten Sicherheitsstandards arbeiten. Zunächst einmal ist das aber nur eine Behauptung, oft steht Wort gegen Wort. Ein neutrales Zertifikat einer staatlichen Agentur auf höchster Ebene schafft dieses Vertrauen, denn es belegt nachprüfbar die Einhaltung der Standards. Und es schafft Transparenz, denn jeder Datensicherheitsbeauftragte eines Krankenhauses kann im Detail nachlesen, was wir alles erfüllen, um die Vorgaben einzuhalten. Wir sind dankbar über jeden externen Input, haben diesen Schritt aber vor allem gemacht, um unseren Kunden Sicherheit zu geben.

Kritiker werfen Ihnen vor, eine „Datenkrake“ zu sein. Mit dem Cloud-Zugriff auf Krankenhausdaten von Patienten erhält Doctolib Zugriff auf große Datenmengen. Das behagt nicht jedem. Wie stehen Sie dazu?

Doctolib nutzt ein cloudbasiertes System, das war von Anbeginn so. An diesem Modell hat sich auch nichts geändert, nur weil wir jetzt eine Zertifizierung haben. Unsere Kunden wissen das genau. Und was große Datenmengen betrifft, kann man diese auch on premise an einem Krankenhausstandort bearbeiten, da sehe ich jetzt nicht den Unterschied. Außerdem beschäftigt alle unsere Kunden das Thema Datensparsamkeit, die schauen sich sehr genau an, welche Daten genutzt werden, um den Service nützlich zu machen und entscheiden auch faktisch darüber, welche Daten ins System eingepflegt werden. Damit unsere Software funktioniert, benötigen wir einige Stammdaten, damit wir den Patienten eindeutig authentifizieren können. Das Sammeln von Gesundheitsdaten der Patienten würde uns dagegen gar nichts bringen.

Sie verdienen mit diesen Daten also kein Geld?

Nein, wir machen Geld mit der Software, die wir an Ärzte und Krankenhäuser verkaufen. Zum Funktionieren dieser Software gehört ein Datenfluss dazu, das ist richtig. Wichtig ist aber: Wir sind ein Auftragsdatenverarbeiter.

Die Patientendaten gehören dem Patienten.

Ich gebe zu, das ist ein sperriger Begriff - und vielleicht versteht ihn nicht jeder. Darum konkret: Wir sind dafür zuständig, dass diese Daten gehostet und gesichert sind, nicht verloren gehen, die Daten komplett sind oder gelöscht werden, wenn es angefragt wird. Das sind alles Regeln gemäß der DSGVO. Da gibt es auch keinen Diskussionsbedarf.

Wem gehören die Daten, die Doctolib erhebt? Immerhin schließt der Patient mit Ihnen einen Nutzungsvertrag, den er unterschreiben muss?

Diese Daten sind nicht unsere Daten, wir können auch nichts damit tun. Wir erheben diese lediglich, um unsere Services erbringen zu können, wegen derer Patienten und Patientinnen ein Profil bei Doctolib erstellen. Warum? Weil wir sonst nichts damit tun dürfen. Die Patientendaten gehören dem Patienten.

Auch Ärzte und viele IT-Verantwortliche in Kliniken stehen oft der Nutzung von Patientendaten in der Cloud noch misstrauisch gegenüber. Sicherheitslecks und Cyberattacken wie jüngst auf die TK und die Barmer befeuern diese Zweifel. Wie kann man das Vertrauen in die Cloud-Datennutzung stärken?

Das ist ein Marathon, da liegt noch viel Arbeit vor uns. Zertifikate helfen zwar, aber noch mehr hilft es, in der Diskussion endlich mit realistischen Vergleichen zu arbeiten. Alle Leistungserbringer, zum Beispiel in ihrer normalen Praxis verstehen, dass ein professioneller Cloud-Provider einfacher, hochrangige Sicherheitsmaßnahmen nutzen kann, die in einer kleinen Praxis gar nicht realistisch und somit nicht umsetzbar sind. Selbst Krankenhäuser, die noch andere Sicherheitsmaßnahmen haben, können gar nicht all die Sicherheitsmaßnahmen widerspiegeln, die von den Providern in der Cloud vorgenommen werden. Das gilt sowohl auf dem Datentransportweg als auch beim Hosting und den Hostingstellen. Ich glaube, wenn man die Diskussion ernsthaft führt, steigt ganz natürlich das Verständnis. Aber es ist ein Thema, was man unermüdlich erklären muss. Viele Stempel allein werden da nicht reichen.