HomeIco

Home

 InternIco

Intern
Deutsch|English
Weltweit
Themen IT-Auslagerungen in die Cloud – neue Hürden oder neue Möglichkeiten? (§ 393 SGB V)

IT-Auslagerungen in die Cloud – neue Hürden oder neue Möglichkeiten? (§ 393 SGB V)

PrintMailRate-it

​​​​​​​veröffentlicht am 17. Mai 2024 | Lesedauer ca. 4​ Minuten

Nach der Streichung des Verbots von Auslagerungen der Verarbeitung von Patientendaten aus den letzten Landeskrankenhausgesetzen, öffneten sich für Krankenhäuser viele Möglichkeiten zur Nutzung von Cloud-Diensten. Mit § ​393 SGB V werden nun die dabei​ zu beachtenden Anforderungen definiert. Diese sind zum Teil sehr hoch, daher stellt sich die Frage, ob sie dabei helfen die Sicherheit der Auslagerung zu gewährleisten oder die Auslagerung von vornherein unmöglich machen.


 

Der neue Paragraph 393 SGB V regelt den Cloud-Einsatz im Gesundheitswesen. Dabei werden auch bewusst die besonders schützenswerten Sozial- und Gesundheitsdaten aufgeführt und nicht nur die Daten in der Verwaltung eines Krankenhauses (z.B. Buchhaltungsdaten).

 
Ziel der Regelung ist es, einen sicheren Einsatz von Cloud-Systemen im Gesundheitswesen zu ermöglichen und für Leistungserbringer technische Mindeststandards zu schaffen.
Die neue gesetzliche Regelung bringen aber auch eine Reihe von Verpflichtungen mit sich.

Wo dürfen Daten verarbeitet werden?
Die Verarbeitung darf ausschließlich im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen und sofern die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt.

Sehr vereinfacht ausgedrückt, ermöglicht ein Angemessenheitsbeschluss die Verarbeitung der Daten in einem weiteren, im Beschluss festgelegten, Staat. Zum jetzigen Zeitpunkt existiert ein solcher jedoch (noch) nicht.

Der Einsatz von Cloud-Systemen ist für alle Leistungserbringer im Rahmen der gesetzlichen Krankenversicherung – d.h. Vertragsärzte, zugelassene Krankenhäusern, Heilmittelerbringer, Hilfsmittelerbringer, Apotheken und pharmazeutische Unternehmen sowie sonstige Leistungserbringer wie bspw. Betriebsärzte, DiGA- Hersteller und Hebammen - zulässig, sofern die im Folgenden dargestellten Mindestvoraussetzungen erfüllt werden.

Die Herausforderung im Bereich der Auslagerung in die Cloud besteht häufig darin, dass die Anbieter weltweit Rechenzentren und Dienstleister nutzen können. Im Rahmen von Vertragsabschlüssen muss daher genau geprüft und festgelegt werden, ob sichergestellt werden kann, dass die Anforderungen aus dem Gesetz erfüllt werden können. Bei komplexen Auslagerungen empfiehlt es sich daher immer auf die Unterstützung von Fachanwälten für IT-Recht zurückzugreifen.

Welche Voraussetzungen müssen erfüllt sein?

Die Zulässigkeit der Verarbeitung von Sozial- und Gesundheitsdaten ist an mehrere Bedingungen geknüpft.

Zum einen muss das Krankenhaus nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen haben. Bei der Beurteilung der Maßnahmen haben die Krankenkassen die Voraussetzungen des § 391 SGB V zur IT-Sicherheit im Krankenhaus zu beachten. Die Maßnahmen gelten demnach als angemessen, solange der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht. Da es sich bei Patientendaten um besonders schützenswerte Daten handelt, ist die Messlatte sehr hoch. Die Krankenhäuser können insbesondere die Verpflichtungen erfüllen, indem sie den branchenspezifischen Sicherheitsstandard (B3S) für die Medizinische Versorgung in der jeweils gültigen Fassung anwenden. Hierbei werden die besonderen Anforderungen in Krankenhäusern berücksichtigt, sodass sich nicht jedes Haus selbst Gedanken dazu machen muss.

Zum anderen muss die datenverarbeitende Stelle (Anbieter der Dienstleistung in der Cloud) ein aktuelles C5-Testat im Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik besitzen. Dabei reicht es nicht aus, dass der „Rechenzentrumsbetrieb“ in der Cloud testiert ist, sondern es müssen auch die konkreten Anwendungen für die Verarbeitungstätigkeiten berücksichtigt werden.

Der Dienstleister muss dem Krankenhaus das Testat zur Verfügung stellen, da in der Regel im Prüfbericht des Testats korrespondierende Kriterien für Kunden enthalten sind, die das Krankenhaus umzusetzen hat. Nur wenn diese tatsächlich umgesetzt sind, kann die Auslagerung als sicher gewertet werden.

Bis wann muss das C5-Testat vorliegen?

Der BSI Cloud Computing Compliance Criteria Catalogue (kurz: BSI C5) ist ein Kriterienkatalog und beschreibt Mindestanforderungen an die Informationssicherheit für Cloud-Dienste. Im Rahmen der Prüfung wird untersucht, ob die Anforderungen durch den Cloud-Dienstleister umgesetzt wurden.

Es gelten dabei folgende Fristen:
  • Bis zum 30. Juni 2025 muss im Rahmen eines C5-Testats die angemessene Umsetzung der Anforderungen nachgewiesen werden. Hier spricht man von einem Typ1-Testat, bei dem zunächst die Umsetzung der aktuell 121 Anforderungen in einer Dokumentation beschrieben sein muss und anschließend beurteilt wird, ob die Maßnahmen zur Erfüllung der Anforderungen des C5-Katalogs geeignet und angemessen sind.
  • Ab dem 1. Juli 2025 muss die Wirksamkeit der Umsetzung der Maßnahmen nachgewiesen werden (Typ2-Testat). Die Beurteilung der Wirksamkeit ist immer zeitraumbezogen, d.h. es wird für einen bestimmten Zeitraum geprüft, ob die Umsetzung tatsächlich wie beschrieben durchgeführt wurde. Meist erfolgt die Testierung für einen Zeitraum von 12 Monaten. Für den Folgezeitraum muss ein neues Zertifikat vorgelegt werden.
Für Cloud-Dienstleister bedeutet dies, dass die meisten Prüfungen bereits laufen sollten, denn für eine Wirksamkeitsprüfung zum 1. Juli 2025 müsste ein Typ1-Testat bereits zum 30. Juni 2024 vorliegen – der Betrachtungszeitraum für eine Wirksamkeitsprüfung ist in der Regel 12 Monate.

Zu berücksichtigen ist bei den Testaten ebenfalls, ob Sub-Dienstleister enthalten sind („inclusive-Methode“) oder ob diese außen vor bleiben („carve out-Methode“). Im letzteren Fall werden für die Cloud-Anwendung und die weiteren Dienstleister separate C5-Testate benötigt.

Alternativ ist ein Testat oder Zertifikat nach einem Standard möglich, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau sicherstellt. Die Festlegung, welche Standards die Anforderungen nach Satz 3 erfüllen, kann eigenständig durch das Bundesministerium für Gesundheit erfolgen. 
 
Informationen über testierte Cloud-Systeme und testierte Cloud-Technik werden vom Kompetenzzentrum für Interoperabilität im Gesundheitswesen auf Antrag veröffentlicht. Auch hier muss eine Liste der beim Krankenhaus umzusetzenden Kontrollen enthalten sein.

Welche Folgen hat es, wenn man bereits ausgelagert hat, der Dienstleister aber nicht über ein C5 Zertifikat verfügt?

Betroffene Leistungserbringer und Cloud-Anbieter sollten schnell handeln, um ihre bestehenden Sicherheitsmanagementsysteme auf den Prüfstand zu stellen und die Anforderungen der Datenverarbeitung zeitnah umzusetzen.​

Einen Bestandsschutz für bereits laufende Verträge sieht das Gesetz dabei nicht vor.

Welche Folgen hat es, wenn die Voraussetzungen nicht fristgerecht erfüllt werden?

Das Gesetz selbst sieht die Bezahlung eines Bußgeldes nicht vor, wenn die Voraussetzungen nicht (fristgerecht) erfüllt werden.

Zu glauben, dass hier dann keine Gefahr droht ist aber sicherlich zu kurz gedacht. So dürften die meisten Versicherungen für den Bestand des Versicherungsschutzes in ihren Bedingungen stehen haben, dass alle gesetzlichen Voraussetzungen erfüllt sein müssen, damit der Versicherungsschutz greift.​

Des Weiteren ist bei einer Nichtumsetzung die Gefahr gegeben, dass die Leitungsorgane persönlich für etwaigen Schaden haften. Als Leitungsorgan ist man dazu verpflichtet, die Umsetzung von notwendigen Prozessen wirksam zu delegieren und die wirksame Durchführung zu überwachen. Entstehen hier Lücken die das Leitungsorgan zu verantworten hat, indem die Umsetzung der Maßnahmen nicht wirksam angestoßen oder die ordnungsgemäße Durchführung nicht überwacht wurde und tritt hierdurch ein Schaden ein, haftet das Leitungsorgan für diesen persönlich. 

AUTOREN
Matthias Edler
 Carina Richters


Aus dem Themenspecial

Informationssicherheit
im Krankenhaus​​​​​

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

WIR BERATEN SIE GERN!

NEWSLETTER
Newsletter Gesundheits- und Sozialwirtschaft

Unternehmer-briefing

Kein Themen­special verpas­sen mit unserem Newsletter!
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu