Strengere Auflagen für Clouddienste im Gesundheitswesen: BSI-C5-Testat ab Juli Pflicht

MÜNCHEN (IT BOLTWISE) – Ab dem 1. Juli müssen Clouddienste im Gesundheitswesen die Kriterien des BSI-C5-Testats erfüllen. Das Digital-Gesetz (DigiG) fordert dies, wirft jedoch zahlreiche Fragen auf und begünstigt große Konzerne.

Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens – kurz Digital-Gesetz (DigiG) genannt – hat in den letzten Monaten in der Öffentlichkeit zu teils hitzigen Kontroversen geführt. Doch in der breit angelegten Diskussion um die Einführung der elektronischen Patientenakte (ePA) für alle gesetzlich Versicherten sind weitere wichtige Regularien, die das Digital-Gesetz beinhaltet, völlig aus dem Blickfeld geraten.

So beschäftigt sich der neue § 393 SGB V mit dem Einsatz des Cloud-Computings im Gesundheitswesen – und er hat es in sich: Ab dem 1. Juli 2024 dürfen nach dieser neuen Regelung Sozial- und Gesundheitsdaten im Geltungsbereich des Gesetzes nur noch dann in der Cloud verarbeitet werden, wenn „ein aktuelles C5-Testat der datenverarbeitenden Stelle“ vorliegt und die im Prüfbericht enthaltenen Kriterien für Kunden umgesetzt sind.

Mit dem C5-Testat ist der bereits im Jahr 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmalig veröffentlichte und im Jahr 2020 ergänzte Kriterienkatalog BSI C5 (Akronym für Cloud Computing Compliance Criteria Catalogue) für sicheres Cloud-Computing gemeint. Dieser prüft die in Unternehmen implementierten Managementsysteme für Informationssicherheit (ISMS) speziell im Hinblick auf das Cloud-Computing.

Bis zum 30. Juni 2025 sieht das Gesetz dabei ein C5-Testat des Typs 1 als Voraussetzung für die Datenverarbeitung in der Cloud vor, danach ist das C5-Testat des Typs 2 vorgeschrieben. Dieses Testat bescheinigt nicht nur wie Typ 1 die Angemessenheit des vorhandenen Sicherheitsmanagements zum Prüfungszeitpunkt, sondern auch dessen fortlaufende Wirksamkeit im Prüfungszeitraum.

Cloudanbieter, aber auch Dienstleister, die beispielsweise Software-as-a-Service-Plattformen (SaaS) im Gesundheitswesen betreiben, können damit ohne aktuelles C5-Testat ab dem 1. Juli 2024 ihre Leistungen nicht mehr gesetzeskonform erbringen. Das Gesetz sieht trotz der extrem kurzen Zeitspanne zwischen seinem Inkrafttreten am 26. März 2024 und der verbindlichen Einführung des Testatzwangs zur Jahresmitte keine Übergangsfrist vor.

Auch alternative Testate und Zertifikate, die als Nachweis zur Erfüllung der geforderten Sicherheitsstandards bei der Datenverarbeitung in der Cloud dienen könnten, sind nicht genannt. Zwar räumt der Gesetzestext ein, dass alternative Zertifikate oder Testate, deren „Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau“ beinhaltet, anerkannt werden können. Diese müssen jedoch erst noch per Rechtsverordnung durch das Bundesministerium für Gesundheit (BMG) und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt werden.

Des einen Freud, des anderen Leid

Durch diese unvollständigen Regularien haben vor allem kleinere Clouddienstleister, die bislang nicht über das geforderte C5-Testat verfügen, keine Möglichkeit mehr, ihre Leistungen im Gesundheitswesen anzubieten – selbst dann nicht, wenn sie verschiedene andere Zertifizierungen vorweisen können. Auch der Markteintritt für neue Wettbewerber und Start-ups wird dadurch enorm erschwert, wenn nicht sogar verunmöglicht. Nutznießer des Gesetzes sind dagegen multinationale Big-Tech-Konzerne wie Amazon Web Services, Microsoft Azure und auch Google Cloud, die die BSI-C5-Zertifizierung längst durchlaufen haben.