Das digitale Zeitalter hat längst Einzug in alle Branchen gehalten, doch das Gesundheitswesen und die Pflege hinkten lange hinterher. Besonders der Datenschutz stellte dabei große Hürden dar, denn Gesundheitsdaten gehören zu den sensibelsten Informationen und unterliegen dem besonderen Schutz der DSGVO. Doch die Vorteile der Digitalisierung sind besonders im Gesundheitswesen von riesigem Vorteil. Sie steigert sowohl die Effizienz als auch die Qualität der Versorgung. Mit dem Digital-Gesetz hat die Bundesregierung nun klare rechtliche Rahmenbedingungen geschaffen, um die Digitalisierung im Gesundheitssektor weiter voranzutreiben. Seit dem 24. Juli 2024 sind diese Regelungen in Kraft – aber was bedeutet das konkret für Unternehmen im Gesundheitswesen?
Neben konkreten Plänen zur Weiterentwicklung der elektronischen Patientenakte bringt das Digital-Gesetz unter anderem auch klare Vorschriften zur Cybersicherheit und zur Nutzung von Cloud-Diensten mit sich. Im neuen §393 des Sozialgesetzbuches V (SGB V) sind nun strenge, aber eindeutige Regelungen festgelegt.
Gesundheitsdaten in der Cloud: Strenge Regeln, klare Rahmenbedingungen
Gesundheitsdienstleister dürfen Gesundheitsdaten künftig verarbeiten, jedoch nur unter klar definierten Voraussetzungen. Eine zentrale Anforderung ist das C5-Testat (Cloud Computing Compliance Criteria Catalogue), ein Sicherheitsstandard für Cloud-Dienstleistungen innerhalb der EU. Bisher herrschte Unsicherheit über die Anforderungen an Cloud-Dienste zur Verarbeitung von Gesundheits- und Sozialdaten. Mit dem C5-Testat gibt es nun klare Mindestanforderungen. Auch bei der Zusammenarbeit mit externen Cloud-Anbietern, die als Subunternehmer agieren, ist es verpflichtend, ein C5-Testat vorzulegen. Zudem muss sichergestellt sein, dass die datenverarbeitende Stelle ihren Sitz im Inland hat. Das Testat wird ausschließlich von Wirtschaftsprüfungsgesellschaften ausgestellt.
C5-Anforderungen: Was müssen Unternehmen tun?
Um die C5-Voraussetzungen zu erfüllen, müssen Unternehmen ein Informationssicherheits-Framework implementieren und kontinuierlich verbessern. Es müssen klare Sicherheitsrichtlinien für die Mitarbeiter etabliert werden, und der Schutz der Unternehmenswerte (Assets) über deren gesamten Lebenszyklus muss gewährleistet sein. Essenziell sind zudem Schutzmaßnahmen gegen unbefugten Zugang, Schadsoftware und Sicherheitslücken. Weitere Anforderungen umfassen ein sicheres Identitäts- und Berechtigungsmanagement, die Anwendung von Datenverschlüsselung und den Schutz der Kommunikation. Der C5-Standard regelt außerdem den Umgang mit Sicherheitsvorfällen und staatlichen Ermittlungsanfragen. Alternativ zum C5-Testat können auch Zertifikate akzeptiert werden, die ein vergleichbares oder höheres Sicherheitsniveau nachweisen
Unternehmen müssen die neuen Anforderungen schrittweise umsetzen. Bis Juli 2025 ist ein C5-Typ-1-Testat erforderlich, das sich auf die Gestaltung und Konzeption des Sicherheitssystems konzentriert. Ab Sommer 2025 wird das C5-Typ-2-Testat verlangt, das zusätzlich die Effektivität der umgesetzten Maßnahmen prüft.
Für Unternehmen bedeutet das: Die Einhaltung dieser Regelungen ist unerlässlich, um Strafen zu vermeiden. Eine fundierte rechtliche Beratung zur Analyse und Optimierung der Prozesse ist dafür durchaus ratsam.
Autorin: Sarah Rott