SaaS-Anbieter im Gesundheitswesen müssen C5-Zertifikat vorweisen

Bislang erlaubte die DSGVO grundsätzlich eine Verarbeitung von Gesundheitsdaten in der Cloud. Allerdings gelten zum einen neben der DSGVO zahlreiche Einzelgesetze, zum anderen führten unterschiedliche Ansichten hier in der Vergangenheit zu massiver Rechtsunsicherheit. Während zwar die DSGVO der Verarbeitung von Gesundheitsdaten in der Cloud grundsätzlich nicht entgegenstand, hatten Datenschutzbehörden dies oft kritisch gesehen. [2] [3]

Das neue Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) schafft hier nun Klarheit, indem es die Gesundheitsdatenverarbeitung in der Cloud ausdrücklich zulässt.

Im Ergebnis werden die Anforderungen für Cloud-Dienstleister im Gesundheitswesen jedoch maßgeblich verschärft. Sie müssen nun ein C5-Testat vorweisen, um Gesundheitsdaten rechtskonform in der Cloud im Auftrag von Leistungserbringern verarbeiten zu dürfen.

Die neue Regelung des § 393 SGB V betrifft zum einen Leistungserbringer und Kranken- und Pflegekassen sowie zum anderen ihre jeweiligen Auftragsdatenverarbeiter.

Wer sind Leistungserbringer?

Leistungserbringer im Sinne des Vierten Kapitels SGB V sind alle natürlichen und juristischen Personen sowie Einrichtungen, die berechtigt sind, Leistungen der gesetzlichen Krankenversicherung (GKV) zu erbringen.

Dazu zählen:

• Ärzte, Zahnärzte und Psychotherapeuten
• Krankenhäuser
• Vorsorge- und Rehaeinrichtungen
• Einrichtungen des Müttergenesungswerks
• Leistungserbringer von Heilmitteln
• Apotheken und pharmazeutische Unternehmer
• Erbringer von Haushaltshilfe
• Häusliche Krankenpflege
• Soziotherapie
• Sozialmedizinischen Nachsorgemaßnahmen
• Spezialisierter ambulanter Palliativversorgung
• Krankentransportleistungen
• Hebammenhilfe

Wer ist Auftragsverarbeiter für Leistungserbringer im Gesundheitswesen?

Auftragsverarbeiter sind Unternehmen, die als Dienstleister Gesundheitsdaten für ihre Kunden verarbeiten (z.B. Ärzte, Krankenhäuser, Reha-Einrichtungen). Beispiele sind etwa Anbieter von Software-as-a-Service-Dienstleistungen für Terminbuchungssysteme bei Ärzten, Software zur digitalen Patientenverwaltung oder IT-Dienstleister, im Gesundheitswesen, insbesondere:

• Krankenhausinformationssysteme (KIS)
• Praxisverwaltungssysteme (PVS)
• elektronischen Patientenakte (ePA)
• Cloud-Speicherlösungen
• Cloud-basierten Bildarchivierungssystemen (PACS)
• Telemedizin- und Videosprechstundenplattformen
• Abrechnungssoftware und Verwaltungslösungen
• E-Rezept- und E-Health-Plattformen

Die Gesetzesänderung bringt einige Pflichten für Auftragsverarbeiter mit sich. Neben der Verpflichtung zur Ergreifung von Technischen und Organisatorischen Maßnahmen (TOMs) werden unter anderem auch besondere Anforderungen an den Ort der Datenverarbeitung und an die Niederlassung des Datenverarbeiters gestellt. Die wesentliche Regelung dürfte aber darin bestehen, dass die Auftragsverarbeiter nun ein sogenanntes C5-Testat benötigen.

Ort der Verarbeitung und Niederlassung

Gemäß § 393 Abs. 2 SGB V ist die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes ausschließlich

1. im Inland,
2. in einem Mitgliedstaat der Europäischen Union,
3. in einem Staat, der nach § 35 Absatz 7 des Ersten Buches einem Mitgliedstaat gleichgestellt ist, oder
4. in einem Drittstaat, vorausgesetzt, dass ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt,

zulässig.

Das Gesetz sieht nicht vor, dass ein Transfer in ein Drittland unter weiteren Voraussetzungen (z.B. EU-Standardvertragsklauseln und Transfer Impact Assessment) durchgeführt werden darf. Im Falle eines Datentransfers in die USA, ist anhand des Einzelfalls zu prüfen, ob das EU-US Data Privacy Framework vom 10.07.2023 einschlägig ist.

Es muss außerdem eine Niederlassung im Inland (Deutschland) bestehen.

Pflicht zu C5-Testat

Ab dem 1. Juli 2024 wird zudem verlangt, ein C5-Testat für ihre Cloud-Systeme zu erwerben. Diese gesetzliche Vorgabe zielt darauf ab, die Einhaltung der Sicherheitsanforderungen des „Cloud Computing Compliance Criteria Catalogue“ (C5), entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), sicherzustellen.

Das C5-Testat bescheinigt, dass die Cloud-Dienstleister spezifische technische und organisatorische Maßnahmen ergriffen haben, um die Sicherheit und den Schutz der verarbeiteten Gesundheits- und Sozialdaten zu gewährleisten. Die C5-Kriterien umfassen unter anderem Anforderungen an den Datenschutz, die Informationssicherheit, die technische Sicherheit der Infrastruktur sowie die Prozesse und Verfahren zur Handhabung von Sicherheitsvorfällen.

Diese Maßnahmen sollen sicherstellen, dass die Cloud-Systeme den hohen IT-Sicherheitsstandards entsprechen, die der Gesetzgeber für die Verarbeitung von Gesundheitsdaten als angemessen erachtet.

Ein C5-Testat basiert auf dem “Cloud Computing Compliance Criteria Catalogue” (C5), der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt wurde. Dieser Katalog dient als Rahmen für die Sicherheitsanforderungen von Cloud-Diensten und wurde erstmals 2016 veröffentlicht, mit einer aktualisierten Version im Jahr 2020. Das C5-Testat ist ein standardisiertes Zertifikat, das die Einhaltung spezifischer Sicherheitskriterien durch Cloud-Dienstleister bestätigt.

Bislang wurden C5-Testate regelmäßig durch Hostingprovider oder Infrastrukturanbieter in der Cloud erlangt. Das neue Gesetz verlangt nun aber auch von den SaaS-Anbietern eine C5-Testierung. Dies führt zu einer umfangreichen Erweiterung derjenigen Organisationen, die die C5-Anforderungen einhalten müssen.

Die Prüfungen im Rahmen der C5-Testierung können in Form einer Angemessenheitsprüfung (Typ 1) oder einer Wirksamkeitsprüfung (Typ 2) durchgeführt werden. Bei der Prüfung vom Typ 1 wird die Angemessenheit der Kontrollen eines internen Kontrollsystems (IKS) zu einem bestimmten Zeitpunkt bewertet. Der Auditor prüft dabei, ob die Sicherheitskontrollen angemessen entworfen und implementiert sind, um die C5-Kriterien zu erfüllen. Diese Form des Testats ist insbesondere bei der Erstprüfung eines Cloud-Dienstes relevant, da es eine initiale Bewertung der IT-Sicherheitsvorkehrungen zum Prüfzeitpunkt darstellt.

Im Gegensatz dazu umfasst die Prüfung vom Typ 2 nicht nur die Bewertung der Angemessenheit der Kontrollen, sondern auch deren operative Wirksamkeit über einen festgelegten Prüfzeitraum (meist 6 oder 12 Monate). Hier wird geprüft, ob die Sicherheitskontrollen nicht nur vorhanden sind, sondern auch effektiv und kontinuierlich funktionieren. Diese Art der Prüfung bietet eine höhere Aussagekraft hinsichtlich der tatsächlichen Wirksamkeit der IT-Sicherheitskontrollen über den gesamten Prüfzeitraum hinweg.

Zusätzlich erlaubt § 393 Abs. 4 SGB V, dass anstelle eines C5-Testats auch ein Testat oder Zertifikat nach einem Standard anerkannt werden kann, der ein im Vergleich zum C5-Standard gleichwertiges oder höheres Sicherheitsniveau sicherstellt. Ein solcher Standard ist zum jetzigen Zeitpunkt noch nicht verfügbar.

Um ein C5-Testat nach der Prüfung vom Typ 1 zu erlangen, muss der Anbieter des Cloud-Dienstes einen zertifizierten Wirtschaftsprüfer mit der Prüfung beauftragen. Diese Prüfung erfolgt anhand des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellten Kriterienkatalogs, der aus 125 Kriterien besteht, die in 17 Themengebiete gegliedert sind.

Der Prüfungsgegenstand umfasst das dienstleistungsbezogene interne Kontrollsystem des Cloud-Anbieters zur Bereitstellung des Cloud-Dienstes, einschließlich der Grundsätze, Verfahren und Maßnahmen sowie der dafür eingerichteten Kontrollen in seiner Aufbau- und Ablauforganisation.

Um die C5-Kriterien zu erfüllen, müssen somit eine Vielzahl von rechtlichen, technischen und organisatorischen Datensicherheitsmaßnahmen umgesetzt werden. Dazu gehören die Erstellung der Systembeschreibung des Cloud-Anbieters, eine interne Vorab-Prüfung der Erfüllung der C5-Kriterien und die Durchführung der eigentlichen Prüfung durch einen zertifizierten Wirtschaftsprüfer.

Die Planungs- und Implementierungsphase kann mehr als 6 Monate dauern. Die reine Prüfphase wird auf 20 Wochen geschätzt. Das Gesetz wurde im März 2024 erlassen und tritt im Juli 2024 in Kraft. Dies wird von Fachverbänden (zurecht) als unrealistisch angesehen. Viele Auftragsverarbeiter werden die gesetzlichen Anforderungen bis zum Stichtag voraussichtlich nicht erfüllen können.

Das Budget ist abhängig von der Größe des Unternehmens, der testierten IT-Infrastruktur und den vorhandenen Strukturen (Managementsysteme). Das Budget kann typischerweise im mittleren fünfstelligen bis niedrigen bzw. mittleren sechsstelligen Bereich liegen. Der Bundesverband Gesundheits-IT (bvitg) gibt an, dass die Kosten für eine C5-Zertifizierung häufig mehr als 100.000 Euro betragen, während der Gesetzesentwurf von geringeren Kosten im niedrigen fünfstelligen Bereich ausgeht.

Wir bieten umfassende Unterstützung bei der Bewertung der neuen gesetzlichen Anforderungen des Digital-Gesetzes (DigiG) und des § 393 SGB V sowie deren Auswirkungen auf Ihre Organisation. Wir begleiten Sie gerne bei der Vorbereitung auf die C5-Zertifizierung, einschließlich der Identifizierung und Implementierung notwendiger IT-Sicherheitsmaßnahmen, der Erstellung der Systembeschreibung und der der Auswahl eines zertifizierten Wirtschaftsprüfers.

Kontaktieren Sie uns per E-Mail an info@simpliant.eu oder nutzen Sie unser Kontaktformular, um ein unverbindliches Erstgespräch zu vereinbaren.

[1]: Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens.
[2]: Orientierungshilfe zum Datenschutz für Gesundheitsdaten, Bundesministerium für Wirtschaft und Klimaschutz: Link, S. 52 ff.
[3]: Ein Beispiel dafür ist ein Positionspapier der Datenschutzkonferenz (DSK), in dem gefordert wird, dass Anbieter von cloudbasierten Gesundheitsanwendungen auch eine lokale Speicherung anbieten müssen: Link, S. 3.