Das Digitalgesetz, das im März 2024 in Kraft trat, regelt die Verarbeitung von Gesundheitsdaten in der Cloud neu. Dieses Gesetz definiert inhaltliche Spezifikationen und stellt konkrete Anforderungen an Cloud-Dienstleistungen im Gesundheitswesen1. Wichtige Aspekte des Gesetzes sind die digitale Patientenakte, der Einsatz von E-Rezepten, die Nutzung der Cloud sowie die IT- und Cybersicherheit.
BSI C5-Zertifizierung: Ein Muss für Cloud-Dienste
Für eine rechtlich erlaubte und effiziente Nutzung von Cloud Computing im Gesundheitswesen ist ein gültiges C5-Testat erforderlich. Alternativ kann ein Zertifikat nach einem Standard mit vergleichbarem oder höherem Sicherheitsniveau vorgelegt werden2. Das C5-Testat bestätigt, dass die Cloud-Dienste die Grundlagen der C5-Basiskriterien erfüllen. Die BSI C5-Zertifizierung bündelt verschiedene Sicherheitsstandards und basiert auf dem ISAE 3000-Kriterienkatalog, ergänzt durch Prüfungen gemäß ISAE 3402/PS951/SOC 13. Die aktuelle Version C5.2020 erschien im Januar 2020 und umfasst 124 Kontrollen in 17 Kontrollbereichen. Die Zertifizierung muss jährlich erfolgen.
Was bedeutet Cloud Computing?
Cloud Computing ermöglicht den Zugriff auf einen Pool von konfigurierbaren Rechnerressourcen über ein Netzwerk, der bei Bedarf schnell und mit geringem Managementaufwand zur Verfügung gestellt werden kann. Es wird oft durch Skalierbarkeit, Virtualität der Systeme und den Zugriff über das Internet beschrieben.
Cloud-Einsatz im Gesundheitswesen: Gesetzliche Vorgaben
Leistungserbringer im Gesundheitswesen dürfen Sozial- und Gesundheitsdaten über Cloud-Dienste verarbeiten, wenn die gesetzlichen Voraussetzungen gemäß § 393 Abs. 2 bis 4 SGB V erfüllt sind5. Ein Cloud-Computing-Dienst ermöglicht die Verwaltung und den Fernzugriff auf skalierbare Rechenressourcen, auch wenn diese auf mehrere Standorte verteilt sind.
Wichtige Bedingungen für die Datenverarbeitung:
• Die Verarbeitung muss im Inland, einem EU-Mitgliedstaat oder einem gleichgestellten Staat erfolgen6.
• Die datenverarbeitende Stelle muss über eine inländische Niederlassung verfügen.
• Technische und organisatorische Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und angemessen sein.
IT-Sicherheit in Krankenhäusern
Krankenhäuser sind verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme zu gewährleisten. Dazu gehört auch die Sensibilisierung der Mitarbeiter für IT-Sicherheit.
Konsequenzen bei Nichteinhaltung
Es gibt derzeit keine spezifischen Strafmaßnahmen für Verstöße gegen § 393 SGB V, wie das Fehlen eines BSI C5-Zertifikats. Jedoch sind Geschäftsführungen verpflichtet, den Geschäftsbetrieb gemäß geltendem Recht zu organisieren, was bei Schadensfällen haftungsrechtliche Konsequenzen haben kann.
Fazit
Die BSI C5-Zertifizierung ist eine wichtige Grundlage für die sichere Nutzung von Cloud-Computing-Diensten im Gesundheitswesen. Sie hilft dabei, hohe Anforderungen an Datenschutz und IT-Sicherheit zu erfüllen und gesetzliche Vorgaben einzuhalten. Durch umfassende Kontrollen bietet sie Anbietern und Nutzern eine verlässliche Basis zur Sicherstellung von Datenintegrität und Verfügbarkeit. Die BSI C5-Zertifizierung wird kontinuierlich aktualisiert und integriert neue Sicherheitsstandards, um im digitalen Gesundheitswesen zukunftssicher zu sein.
