Anbieter von Software as a Service (SaaS) im Gesundheitswesen genauso wie alle Leistungserbringer und Kranken- sowie Pflegekassen stehen ab 1. Juli 2024 vor einem großen Problem: Ab dann dürfen laut SGB V Sozial- und Gesundheitsdaten nur unter der Voraussetzung in Clouds verarbeitet werden, dass ein „aktuelles C5-Testat der datenverarbeitenden Stelle“ vorliegt. Zudem müssen die „im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden“ umgesetzt sein. Zusätzlich gibt es Anforderungen an den Standort der Datenverarbeitung und die obligatorischen Maßnahmen zur Informationssicherheit „nach dem Stand der Technik“. Es stellt sich die Frage: Wer darf ab 1. Juli seine digitalen Dienste weiter betreiben und was muss alles abgeschaltet werden, weil zu dem Zeitpunkt das Testat nicht vorgewiesen werden kann?
Eine Gesamtsicht der möglicherweise betroffenen Unternehmen und Dienste liegt derzeit nicht vor, doch die Bandbreite der Lösungen im Cloudbetrieb ist groß und reicht von Apps und Portalen der Kassen, Archivierungssystemen, Bestellsystemen von Heil- und Hilfsmitteln, Diagnose-Unterstützungssystemen, DiGAs, Entlass- und Überleitungsmanagement-Plattformen, extern betriebenen Kodierungs- und Abrechnungssystemen bis zu Online-Apotheken, Patientenportalen, Praxisverwaltungssystemen aus der Cloud und Teilen der Telematikinfrastruktur und der darauf aufbauenden Dienste. Die Betreiber all dieser Systeme und deren Kunden müssen sich nun fragen, ob sie zum Monatswechsel die Dienste fortsetzen können.
Abschalten und löschen oder offener Gesetzesbruch?
Das Problem ist hierbei nicht, dass hohe Sicherheitsstandards für die Verarbeitung von Gesundheitsdaten gefordert werden. Das war auch bisher der Fall, sei es durch Absicherung nach dem „Stand der Technik“, der u.a. durch die §§ 75c SGB V (alle Krankenhäuser) und 75b SGB V (niedergelassene Vertragsärzte) verpflichtend war. Spezifischer noch sind die Anforderungen der Branchenspezifischen Sicherheitsstandards (B3S) unter denen sich auch die Sicherheit der (Cloud) Dienstleister finden, durch TOMs in Auftragsverarbeitungsverträgen, ISO 27001-Zertifikate, die von Dienstleistern vorgelegt werden, nicht zuletzt auch um dem Datenschutz bei der Auslagerung von Gesundheitsdaten zu genügen.
Das eigene Compliance Management-System zwingt Krankenhaus-Geschäftsführer dazu, den Geschäftsbetrieb konform zu geltendem Recht zu organisieren.
Die Regelung des neuen § 393 SGB V kommt ohne Sanktionsbewehrung, d.h. das SGB V sieht keine Strafe vor, wenn Gesundheitsdaten in Cloud-Diensten ohne ein gültiges C5-Testat verarbeitet werden. Dennoch setzt sie die Landesbehörden für Gesundheit, Informationssicherheit und Datenschutz unter Zugzwang, die als Aufsichtsbehörden für das föderal organisierte Gesundheitswesen agieren. Insbesondere Geschäftsführer von Krankenhäusern und Gesundheitseinrichtungen können die Regelung nicht ignorieren. Das eigene Compliance Management-System zwingt dazu, den Geschäftsbetrieb konform zu geltendem Recht zu organisieren.
Im Schatten der ePA-Opt-Out Diskussion
Während das DigiG öffentlich breit im Zusammenhang mit der Opt-Out-Lösung für die ePA diskutiert wurde, haben dessen weitere Änderungen im Schatten dieser Diskussion wenig Aufmerksamkeit und kritische Würdigung erfahren. Zudem sind die Fristen für das Inkrafttreten der neuen Cloud-Dienst-Regelungen sehr eng gesetzt: Am 14. Dezember 2023 wurde das DigiG im Bundestag verabschiedet und schon am 1. Juli 2024 treten sie in Kraft. Eine Übergangsfrist ist nicht vorgesehen – zwischen der Veröffentlichung im Bundesgesetzblatt Ende März und dem Inkrafttreten liegen keine 100 Tage.
Die neuen Vorgaben verfolgen ein wichtiges Ziel, haben jedoch durch ihre Kurzfristigkeit das Potential, die Digitalisierung im Gesundheitswesen abrupt abzuwürgen – und damit auch Prozesse der Leistungserbringer zu unterbrechen. Zum Problem wird der neue § 393 SGB V nicht, weil der die Steigerung der Anforderungen an die Informationssicherheit im Gesundheitswesen weiter vorantreibt, sondern weil er unvermittelt ein Nachweisverfahren alternativlos festlegt, das bisher im Gesundheitswesen nicht gängig ist und auch nicht von den spezialisierten und erprobten IT-Sicherheitsprüfern auf dem Markt durchgeführt werden kann.
Nachweiserbringung als Vorbehaltstätigkeit von Wirtschaftsprüfern
Der C5-Kriterienkatalog enthält ca. 120 Sicherheitsanforderungen in den Kapiteln 4 und 5 und beschreibt in Kapitel 1 und 3, dass die Prüfung dieser Kriterien durch einen Wirtschaftsprüfer bzw. Wirtschaftsprüfungsgesellschaft erfolgt. In anderen einschlägigen Informations- bzw. IT-Sicherheitsstandards (z.B. ISO 27001 oder B3S) wird zwischen den Anforderungskatalogen und den Vorgaben für die Nachweiserbringung und Auditor unterschieden. Ein Beispiel ist der B3S für Krankenhäuser: Seine Inhalte werden von der DKG entlang der Rahmenvorgaben des BSI erarbeitet. Die Nachweiserbringung kann durch eine prüfende Stelle erfolgen, deren Eignung in der „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ beschrieben, aber nicht beschränkt ist auf eine Berufsgruppe.
Zum Problem wird die neue Regelung, weil sie unvermittelt ein Nachweisverfahren alternativlos festlegt, das bisher im Gesundheitswesen nicht gängig ist.
Unklarheiten und Definitionslücken
Das DigiG schafft den neuen § 384 SGB V für Begriffsbestimmungen und definiert darin, was ein „Anbieter“ und ein „Hersteller“ von informationstechnischen Systemen ist und auch, was deren „Inverkehrbringen“ ist. Die neue gesetzliche Definition von „Cloud-Computing-Dienst“ erinnert nur entfernt an die Definition des BSI und wird im Gesetz analog zur NIS-2-Richtlinie beschrieben als digitaler Dienst, „der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind“.
Diese Unschärfen schaffen Verwirrung und Raum für Interpretationen in der Praxis.
An entscheidender Stelle wird gleichwohl auf eine Definition verzichtet, indem nicht festgelegt ist, wer die „datenverarbeitende Stelle“ ist, die gem. § 393 Abs. 3 ein C5-Testat benötigt und was diese datenverarbeitende Stelle vom „Anbieter“ unterscheidet, der ein informationstechnisches System vertreibt oder inverkehrbringt. Diese Unschärfen schaffen Verwirrung und Raum für Interpretationen in der Praxis. Qualifizieren sich beispielsweise Applikationen, die im Netzwerk einer Krankenhauskette mit mehreren Standorten betrieben werden in der gesetzlichen Definition als Cloud-Computing-Dienste, während ein kommerzieller Serviceanbieter für viele Kunden, der auf einem Dedicated Server in der Infrastruktur eines Hyperscalers betrieben wird, die Definition unterläuft und kein C5-Testat nachweisen muss?
Kurzfristige Lösungswege
Die Gesetzeskonstruktion lässt Möglichkeiten, um die drohenden Auswirkungen auf die Digitalisierung des Gesundheitsmarktes zu mindern und den – an sich begrüßenswerten – Impuls zur Steigerung der Informationssicherheit zu bewahren.
Das BMG kann im Einvernehmen mit dem BSI äquivalente Zertifikate zum C5-Testat festlegen, die ein „im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau“ bieten. Diese Liste existiert allerdings noch nicht. Es ist zu erwarten, dass als Äquivalenz eine ISO 27001-Zertifizierung alleinig nicht in Frage kommen wird, da diese a) weniger spezifisch ist als der C5-Kriterienkatalog und b) auch eine geringere Anzahl an Controls enthält, also eine Verringerung des Sicherheitsstandards zuließe. Jedoch wäre es denkbar, dass ein Delta-Audit auf die C5-Controls zugelassen wird, die nicht von der ISO 27001 abgedeckt sind. Eine entsprechende Vergleichstabelle ist vom BSI mit dem C5-Kriterienkatalog veröffentlicht worden.
Einen weiteren Ansatz böte die unscharfe Formulierung des § 384 SGB V Abs. 1 Nr. 6, der als Begriffsbestimmung ein „aktuelles C5-Testat“ etwas weicher formuliert als § 393 SGB V und nur als „positives Prüfergebnis (…) anhand des Kriterienkatalogs C5“ beschreibt. Diese Definition fordert nicht, dass ein Testat eines Wirtschaftsprüfers vorliegen muss, sondern nur, dass eine Prüfung den C5-Kriterienkatalog heranziehen muss.
Das könnte sich als freundliche Lücke im Gesetz herausstellen, durch die der Markt auch für die etablierten Auditierungs- und Zertifizierungsunternehmen geöffnet werden kann. Da aber der eigentliche C5-Katalog des BSI nur einen Wirtschaftsprüfer vorsieht, kann Unternehmen derzeit nicht geraten werden, auf diese Auslegung der Regelungsunschärfe im Gesetz zu spekulieren.
Zu hoffen ist, dass das BMG hier selbst Orientierung schafft, indem es eine Klarstellung veröffentlicht und die derartige Interpretation eröffnet und sich mit dem BSI schnell auf eine Äquivalenzliste einigt. Das würde die Suche nach einem Prüfer erleichtern und eine neue Marktsituation für die Auditoren schaffen.
Droht die Abschaltung von digitalen Systemen?
Die Regelungen des DigiG scheinen insbesondere mit Blick auf den § 393 SGB V darunter zu leiden, dass sie übersehen wurden im Schatten der ePA Opt-out Regelung und vielleicht auch untergegangen sind im allgemeinen Lärm der derzeitigen fachpolitischen Auseinandersetzungen.
Ob im Gesetzgebungsverfahren eine Analyse der Auswirkungen auf Versorgungsangebote im Gesundheitswesen durchgeführt wurde, ist nicht bekannt. Auf Nachfrage hat sich das BMG dazu nicht geäußert. Was es bedeutet, wenn alle Cloud-basierten Systeme, die zum 1.Juli kein C5-Testat vorweisen können, abgeschaltet werden müssen und ob es realistisch möglich ist, innerhalb von weniger als 100 Tagen nach der Veröffentlichung des Gesetzes eine C5-Auditierung erfolgreich durchlaufen zu können, muss nun die Praxis zeigen. Gleiches gilt dafür, ob der Anbietermarkt für das Verfahren zur C5-Testierung leistungsfähig wäre den Bedarf in dieser kurzen Zeit zu decken. Auch undurchdacht scheint insbesondere, wie sich das kurzfristige Erfordernis einer Auditierung, für die Angebotssummen im fünf- und sechsstelligen Bereich nur für die Prüfung aufgerufen werden, auf die Szene von von Healthcare Startups und jungen Digitalunternehmen auswirkt. Das Fehlen eines C5-Testats kann sich jetzt als absolutes Marktzugangshindernis darstellen, insbesondere wenn dieser Nachweis absehbar zum Eignungskriterium von Ausschreibungsverfahren wird.
Die Kurzfristigkeit der Gesetzgebung und die Anforderung der Nachweiserbringung im Hauruckverfahren führen in der Umsetzung viele Akteure in Dilemmata.
Auch für die Leistungserbringer im Gesundheitswesen ist die aktuelle Lage ein Dilemma. Auf der einen Seite hängen betriebliche Abläufe schon heute von Cloud-Services ab, die Anforderungen der Patienten an moderne Interaktionsmöglichkeiten und der Personalmangel in den IT-Abteilungen drängen zu weiteren modernen cloudbasierten Lösungen. Zudem drücken die nahenden Fristen zur Umsetzung der KHZG-Projekte, die sich wie der Fördertatbestand 2 gar nicht ohne Cloud-Services realisieren lassen oder sie wie der Fördertatbestand 7 sogar explizit fordern. Auf der anderen Seite sind große Teile des Anbietermarktes auf das Testat-Erfordernis nicht vorbereitet und werden innerhalb der gegebenen Fristen nicht reagieren können. Mit Blick auf die KHZG-Projekte haben Krankenhäuser nun zudem die Herausforderung, dass sie von ihren Auftragnehmern Sicherheitsstandards und Nachweise einfordern müssen, von denen sie zum Zeitpunkt des Ausschreibungs- bzw. Beschaffungsverfahrens nicht wissen konnten. Nicht die Sicherheitsanforderungen an sich werden zum Problem, sie sind dauerhaft sinnvoll und notwendig. Doch die Kurzfristigkeit der Gesetzgebung und die Anforderung der Nachweiserbringung im Hauruckverfahren führen in der Umsetzung viele Akteure in Dilemmata und vor Unmöglichkeiten bis hin zur drohenden Abschaltung von digitalen Systemen.
Das Bundesgesundheitsministerium könnte die Unschärfen im eigenen Gesetz dazu nutzen, die Situation kurzfristig zu entspannen mit Blick auf den nahenden Juli. Das Ministerium teilt dazu auf Anfrage mit, dass es beabsichtigt, im Laufe des zweiten Halbjahres 2024 eine klarstellende Rechtsverordnung zu erlassen, welche anderen Zertifikate oder Testate geeignet sind. Während Unternehmen und Leistungserbringern im Gesundheitswesen für die Umsetzung der plötzlichen Anforderung nur wenige Wochen zwischen Gesetzesverkündung und Inkrafttreten bleiben, wird sich das Ministerium deutlich mehr Zeit lassen.
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen