Einsatz von Cloud-Diensten im Gesundheitswesen – Endlich eine klare Regelung

Gesundheitsdaten in der Cloud – In den letzten Jahren ein viel diskutiertes und sehr viele Facetten umfassendes Thema. Und vor allem eines, das bislang nicht reguliert war. Dies führte zu Unsicherheiten auf Seiten der Nutzer als auch der Anbieter. Zumal in den letzten Jahren die Tendenz klar hin zu Cloud-Lösungen geht. Der Markt für Rechenzentren wächst und Anbieter nehmen in Deutschland weiterhin neue und immer größere Anlagen in Betrieb. Nun hat die Politik reagiert und zum ersten Mal regulative Vorgaben gemacht:


Mit Wirkung zum 26. März 2024 ist durch das Digitalgesetz (DigiG) § 393 SGB V in Kraft getreten. Damit sind Cloud-Dienstleister, die Sozial- und Gesundheitsdaten verarbeiten, seit dem 1. Juli 2024 dazu verpflichtet, ein Testat nach den Basiskriterien des sogenannten C5-Standards vorzuweisen. Die Abkürzung C5 steht dabei für „Cloud Computing Compliance Criteria Catalog“ und stellt eine über 120 Kriterien umfassende Sammlung von Anforderungen an sicheres Cloud-Computing dar. Den genannten Kriterienkatalog hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) u. a. zusammen mit den französischen Kollegen (Agence nationale de la sécurité des systèmes d‘information, ANSSI) erstellt.

Für ein aktuelles C5-Testat im Zeitraum bis zum 30. Juni 2025 reicht ein C5-Typ-I-Testat aus. Ab dem 1. Juli 2025 müssen die Cloud-Dienstleister ein C5-Typ-II-Testat vorweisen. Das Testat nach Typ I bescheinigt dem Cloud-Dienstleister die Angemessenheit und Existenz seines internen Kontrollsystems. Beim Typ II wird zusätzlich die Wirksamkeit der Kontrollen geprüft, was insbesondere durch Stichprobenkontrollen über den Prüfzeitraum sichergestellt wird.

Das C5-Typ-I-Testat bezieht sich stets auf einen Stichtag, während das Typ-II-Testat immer auf einen in der Vergangenheit liegenden Zeitraum verweist und die Einhaltung der Kontrollen für diesen bestätigt. Da die Wirksamkeitsprüfung in der Regel eine Zeitspanne von maximal zwölf Monaten umfasst, ist jährlich eine Wiederholung der Testierung notwendig.
 

Aus Sicht der Cloud-Anbieter

Ausgangslage für die Prüfung stellt normalerweise die vom Cloud-Anbieter erstellte Systembeschreibung des internen Kontrollsystems in Zusammenhang mit den C5-Kriterien dar. Hierbei werden die einzelnen C5-Kriterien auf Berücksichtigung in der Systembeschreibung hin geprüft.

Sollte der Cloud-Dienstleister noch keine Systembeschreibung für sein internes Kontrollsystem verschriftlicht haben, ermöglicht der C5-Standard die Erhebung dessen durch den Prüfer selbst. Die Prüfung des internen Kontrollsystems wird durch Befragungen sowie Durchsichten von Aufzeichnungen und Dokumenten durch den Prüfer sichergestellt.

In der C5-Prüfung werden insgesamt 121 Kriterien, die sich auf 17 Themenbereiche erstrecken abgefragt und überprüft (siehe Tabelle).

Diese Kriterien gliedern sich wiederum in Basis- und Zusatzkriterien. Die Basiskriterien stellen den vom BSI geforderten Mindeststandard dar, um eine Grundsicherheit beim Cloud-Dienstleister sicherzustellen. Diese Kriterien orientieren sich in weiten Teilen an einem Informations-Sicherheits-Managementsystem (ISMS) nach ISO 27001, sodass eine Zertifizierung nach diesem Standard bereits eine gute Basis für die C5-Testierung darstellt. Cloud-Anbieter, die ohne die Basis eines umfassenden ISMS in eine solche Testierung gehen wollen, empfehlen wir die Durchführung eines Vorprojekts unter Beteiligung eines erfahrenen Beraters.

Als herausfordernd konnte auch der zeitliche Horizont der Vorgaben angesehen werden. Denn die Zeitspanne zwischen finaler Gesetzesverabschiedung im Bundesrat (2. Februar 2024) und der Anforderung eines C5-Testates (ab 1. Juli 2024) war im Hinblick auf die Planung und Durchführung zumindest als „sportlich“ zu bezeichnen, insbesondere für Cloud-Anbieter, die eine ISO-27001-Konformität bisher nicht angestrebt haben. In der Praxis liegen zum Redaktionsschluss dieser Ausgabe Ende Juli noch keine C5-Testate vor – diese Erwartungshaltung ist also eingetreten. Allerdings plant inzwischen eine Vielzahl von Cloud-Anbietern diese Testierung, sodass der faktische Druck seine Wirkung entfaltet.
 

Aus Sicht der Cloud-Kunden

Die C5-Prüfung nimmt nicht nur den Cloud-Dienstleister in die Pflicht, sondern auch den Dienstleistungsempfänger: Hierbei nennt der Cloud-Dienstleister spezifische Kontrollen, die der Dienstleistungsempfänger in seinem Kontrollsystem selbst abdecken muss. Diese sogenannten „korrespondierenden Kontrollen“ liegen explizit in der Verantwortung des Kunden. Beispielsweise muss dieser die Zugriffe zum Cloud-Dienst gegebenenfalls selbst verwalten und selbst eine Kontrolle einführen, wer auf welche Weise Zugriff zur Cloud erhält.

Zudem müssen Cloud-Kunden durch geeignete Kontrollen sicherstellen, dass sie die Systemressourcen in ihrem Verantwortungsbereich steuern und überwachen. Außerdem stellt sich faktisch die Frage, wie Kunden reagieren können, deren Cloud-Anbieter eine solche C5-Testierung zunächst verweigern. Gerade im Bereich der kritischen Infrastrukturen kommen beim Management Haftungsfragen auf, insbesondere wenn bereits Cloud-Lösungen im Einsatz sind, die in der Patientenuntersuchung und -versorgung etabliert sind.
 

Konsequenzen bei Verstoß gegen § 393 SGB V

Mit der Einführung der Anforderungen an die Nutzung von Cloud-Diensten stellt sich für die Geschäftsleitung von Krankenhäusern insbesondere die Frage, welche Konsequenzen drohen, wenn sie Gesundheitsdaten in Cloud-Diensten verarbeiten, die kein gültiges C5-Testat vorweisen können.

Das Gesetz selbst sieht weder die Zahlung eines Bußgeldes noch andere Sanktionsmaßnahmen vor. Dennoch besteht das Risiko einer persönlichen Haftung der Leitungsorgane im Falle von etwaigen Schäden. Die Leitungsorgane sind dazu verpflichtet, die Umsetzung notwendiger Prozesse effektiv zu delegieren und deren Durchführung zu überwachen. Bei einem Verstoß gegen die gesetzlichen Neuregelungen, der dem Leitungsorgan zuzurechnen ist und zu einem Schaden führt, haftet das jeweilige Leitungsorgan persönlich. Bei einem fehlenden C5-Testat besteht für die Verantwortlichen die Gefahr, dass die Behörden ein Bußgeld aufgrund eines Verstoßes gegen Art. 32 DS-GVO verhängen. Denn dieser verpflichtet die Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei müssen sich Verantwortliche am Stand der Technik orientieren. Ein fehlendes C5-Testat kann daher als Indiz für einen Verstoß gegen diese Verpflichtung gewertet werden und ein Bußgeld nach sich ziehen.

Das eigene Compliance-Management-System verpflichtet dazu, die gesetzlichen Anforderungen einzuhalten und nur Verträge mit Cloud-Anbietern abzuschließen, die über ein entsprechendes C5-Testat verfügen. Dabei ist zu beachten, dass das Gesetz keinen Bestandsschutz für bereits bestehende Verträge vorsieht.
 

Fazit

Die Anforderung des C5-Testats gemäß § 393 SGB V stellt einen wichtigen Mindeststandard für Cloud-Computing-Dienste dar, die Sozial- und Gesundheitsdaten verarbeiten. Es unterstreicht die Bedeutung von angemessenen internen Kontrollsystemen und die Sicherheit von sensiblen Daten. Die gesetzlich geforderte Testierung hilft, Anforderungen aus dem Umfeld der Informationssicherheit abzusichern und aufwendige Prüfungen sowie das eigenständige, teils zeitintensive Einholen von Informationen zu erleichtern.

Die Prüfung umfasst eine Vielzahl von Kriterien, die auf verschiedenen Themenbereichen basieren und sowohl den Cloud-Anbieter als auch den Kunden in die Pflicht nehmen. Die Einführung des C5-Testats trägt definitiv dazu bei, das Vertrauen in Cloud-Dienste zu stärken und die Sicherheit sensibler Daten zu gewährleisten.

Des Weiteren bleibt es abzuwarten, wie der Gesetzgeber Cloud-Dienstleister ohne eine Testierung sanktioniert. Zurzeit verhängt er noch keine Strafen, lediglich im Falle von Informationssicherheits- oder Datenschutzvorfällen kommt bisher eine finanzielle Sanktionierung in Form von Schadensersatz oder Bußgeldern, hervorgerufen durch organisatorische Pflichtverletzungen, infrage.

Autor
Autorin
Autor
Wirtschaftsprüfer, Steuerberater, CISA, Leitung Geschäftsbereich IT-Beratung

Weitere Artikel, die Sie interessieren könnten

phone
mail Pfeil weiß