Die Digitalisierung im Gesundheitswesen schreitet rasant voran, und mit ihr steigt der Bedarf an sicheren und effizienten Cloud-Lösungen. Doch die Speicherung und Verarbeitung sensibler Gesundheitsdaten in der Cloud unterliegt strengen gesetzlichen Vorgaben. Besonders § 393 SGB V und das C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI) setzen hier klare Standards. In diesem Beitrag erklären wir, was das für Unternehmen im Gesundheitswesen bedeutet und wie sie die Anforderungen umsetzen können.
§ 393 SGB V – Rechtliche Rahmenbedingungen für Cloud-Anbieter
Mit der Einführung des § 393 SGB V durch das Digitale-Versorgung-und-Pflege-Modernisierungsgesetz (DVPMG) wurden spezifische Anforderungen an Cloud-Dienste im Gesundheitsbereich festgelegt. Diese zielen darauf ab, Datenschutz, Informationssicherheit und Interoperabilität sicherzustellen. Zu den wichtigsten Vorgaben gehören:
Zertifizierungspflicht: Cloud-Dienste müssen nach anerkannten Normen (z. B. C5-Testat oder ISO 27001) zertifiziert sein.
Speicherung innerhalb der EU/EWR: Gesundheitsdaten dürfen nur in der EU oder in Drittländern mit vergleichbarem Datenschutzniveau verarbeitet werden (Schrems-II-Urteil relevant).
Technische und organisatorische Maßnahmen (TOMs): Diese müssen DSGVO und Patientendatenschutzgesetz (PDSG) entsprechen.
Interoperabilität: Cloud-Lösungen müssen mit bestehenden Gesundheits-IT-Systemen kompatibel sein, insbesondere mit der Telematikinfrastruktur.
C5-Testat – Sicherheitsstandard für Cloud-Anbieter
Das C5-Testat (Cloud Computing Compliance Criteria Catalogue) des BSI ist eine zentrale Sicherheitsanforderung für Cloud-Anbieter, die im Gesundheitswesen tätig sind. Es umfasst Kriterien in den Bereichen:
Informationssicherheitsmanagement: Nachweis eines robusten ISMS (z. B. nach ISO 27001).
Betriebssicherheit: Schutz vor Cyberangriffen, Datenverlusten und Systemausfällen.
Transparenz: Dokumentation der Sicherheitsmaßnahmen und regelmäßige Audits.
Zugriffsmanagement: Strenge Zugriffskontrollen, Verschlüsselung und Protokollierung.
Einhaltung regulatorischer Vorgaben: DSGVO- und branchenspezifische Compliance-Anforderungen.
Viele große Cloud-Anbieter wie AWS, Microsoft Azure und Google Cloud haben bereits das C5-Testat und können als Basis für Gesundheitsanwendungen genutzt werden.
Praktische Umsetzung: Schritte zur Cloud-Compliance
Für Gesundheitsorganisationen und Anbieter von digitalen Gesundheitsanwendungen (DiGA) sind folgende Schritte entscheidend:
1. Auswahl eines geeigneten Cloud-Anbieters
Der Anbieter muss C5-zertifiziert sein oder eine gleichwertige Zertifizierung besitzen.
Die Datenhaltung innerhalb der EU/EWR muss vertraglich gesichert sein.
2. Vertragliche Absicherung
Abschluss eines AV-Vertrags (Auftragsverarbeitung) mit dem Cloud-Dienstleister.
Definition und Dokumentation von technischen und organisatorischen Maßnahmen (TOMs).
3. Technische Sicherheitsmaßnahmen
Ende-zu-Ende-Verschlüsselung für alle Daten.
Multi-Faktor-Authentifizierung (MFA) zur Absicherung des Zugriffs.
Intrusion-Detection-Systeme (IDS) zur Erkennung von Sicherheitsvorfällen.
4. Regelmäßige Audits und Monitoring
Interne und externe Audits zur Überprüfung der Einhaltung der Vorschriften.
Implementierung von SIEM-Systemen (Security Information and Event Management) zur Echtzeitüberwachung.
5. Meldung an die Gematik (falls erforderlich)
Falls der Cloud-Dienst in der Telematikinfrastruktur (TI) genutzt wird, ist eine Zertifizierung durch die Gematikerforderlich.
Fazit: Sicherheit und Compliance als oberste Priorität
Die Cloud bietet enorme Vorteile für das Gesundheitswesen, insbesondere in Bezug auf Skalierbarkeit, Effizienz und Innovation. Allerdings sind Unternehmen gefordert, die strengen Sicherheits- und Datenschutzanforderungen des § 393 SGB V und des C5-Testats umzusetzen. Mit der Wahl eines zertifizierten Cloud-Anbieters, technischen Sicherheitsmaßnahmen und regelmäßigen Audits können Gesundheitsorganisationen eine sichere und gesetzeskonforme Cloud-Strategie etablieren.
