Welche Folgen hat das DigiG für Clouddienste im Gesundheitswesen?

Juli 3, 2024

Das Digital-Gesetz (DigiG), welches am 26. März 2024 in Kraft tritt, hat erhebliche Auswirkungen auf Clouddienste im Gesundheitswesen, insbesondere durch die strenge Vorschrift eines aktuellen C5-Testats für die Verarbeitung von Sozial- und Gesundheitsdaten. Ab dem 1. Juli 2024 dürfen diese Daten nur noch in Clouds verarbeitet werden, die ein aktuelles C5-Testat der datenverarbeitenden Stelle besitzen. Diese Anforderung ist im neuen § 393 SGB V verankert und betrifft sowohl große als auch kleine Anbieter von Cloud-Dienstleistungen im Gesundheitssektor. Der C5 (Cloud Computing Compliance Criteria Catalogue) ist ein Kriterienkatalog, der erstmals 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht und 2020 aktualisiert wurde. Ziel ist die Evaluierung der Informationssicherheits-Managementsysteme von Unternehmen speziell in Bezug auf Cloud-Computing.

C5-Testat: Ein Hindernis für kleinere Anbieter?

Der Kriterienkatalog BSI C5 prüft, ob die Informationssicherheits-Managementsysteme eines Unternehmens speziell im Hinblick auf Cloud-Computing angemessen sind. Dieses Testat ist in zwei Typen unterteilt: Typ 1, der die Angemessenheit des Sicherheitsmanagements zum Zeitpunkt der Prüfung bescheinigt, und Typ 2, der ab dem 30. Juni 2025 erforderlich ist und die fortlaufende Wirksamkeit des Sicherheitsmanagements über den gesamten Prüfungszeitraum gewährleistet. Für viele kleine Clouddienstleister und Start-ups stellt diese Anforderung eine erhebliche Hürde dar, da sie bisher über kein C5-Testat verfügen und es in der kurzen Zeit bis zum Inkrafttreten des Gesetzes auch nicht erlangen können. Besonders betroffen sind Unternehmen, die noch in der Entwicklungsphase sind oder deren Ressourcen nicht ausreichen, um die umfangreichen Prüfungsprozesse zu durchlaufen. Das führt zu einer Marktverzerrung zugunsten etablierter Anbieter wie Amazon Web Services, Microsoft Azure und Google Cloud, die bereits über das erforderliche C5-Testat verfügen.

Diese strenge Vorgabe des DigiG, keine alternativen Testate oder Zertifikate explizit anzuerkennen, verstärkt die Problematik zusätzlich. Es gibt keine Übergangsfristen, die es kleineren Anbietern ermöglichen würden, schrittweise den Anforderungen gerecht zu werden. Diese Regularien bedeuten praktisch ein Ausschlusskriterium für viele Start-ups und kleine Unternehmen, und zwar genau in einem Bereich, der für Innovation und Wettbewerb besonders anfällig ist. Dadurch wird nicht nur die Vielfalt des Angebots im Cloud-Computing-Markt des Gesundheitswesens eingeschränkt, sondern auch die Innovationskraft, die besonders durch kleinere Unternehmen und Start-ups vorangetrieben wird.

Der komplexe Zusammenhang mit der elektronischen Patientenakte

Die Diskussionen um das Digital-Gesetz haben in der Öffentlichkeit bisher hauptsächlich ein Thema dominiert: die Einführung der elektronischen Patientenakte (ePA) für alle gesetzlich Versicherten. Diese ePA ist ein zentraler Bestandteil der Digitalisierungsstrategie im deutschen Gesundheitswesen und soll den Zugriff auf Gesundheitsdaten vereinfachen und die Qualität der medizinischen Versorgung verbessern. Jedoch hat die Fokussierung auf die ePA dazu geführt, dass andere wichtige Regularien, wie die Bestimmungen zum Cloud-Computing, in den Hintergrund geraten sind. Die neue Regelung des DigiG, die ein C5-Testat zur Bedingung für die Verarbeitung von Gesundheits- und Sozialdaten in der Cloud macht, wird dabei oft vernachlässigt diskutiert.

Mit der neuen Regelung soll die Datensicherheit im Gesundheitswesen erheblich erhöht werden. Dies ist ein Ziel, das grundsätzlich von allen Beteiligten unterstützt wird. Jedoch führt die rigide Ausgestaltung des Gesetzes dazu, dass viele kleine und innovative Anbieter ausgeschlossen werden, da sie die hohen Sicherheitsanforderungen nicht erfüllen können. Dies könnte langfristig die Dynamik im Markt und die Innovationskraft hemmen. Große Unternehmen und Konzerne, die bereits über das nötige C5-Testat verfügen, könnten hierdurch eine noch dominantere Stellung einnehmen. Dies würde nicht nur den Wettbewerb einschränken, sondern auch die Vielfalt der angebotenen Lösungen.

Fehlende Flexibilität und kurze Umsetzungsfristen: Ein umstrittenes Gesetz

Die Einführung der elektronischen Patientenakte (ePA) für alle gesetzlich Versicherten dominiert die öffentlichen Diskussionen um das Digital-Gesetz. Als zentraler Bestandteil der Digitalisierungsstrategie im deutschen Gesundheitswesen soll die ePA den Zugriff auf Gesundheitsdaten erleichtern und die medizinische Versorgung verbessern. Dabei geraten andere wichtige Regularien, wie die Bestimmungen zum Cloud-Computing, oft in den Hintergrund. Insbesondere die neue Regelung des DigiG, die ein C5-Testat als Voraussetzung für die Verarbeitung von Gesundheits- und Sozialdaten in der Cloud fordert, wird wenig beachtet.

Diese Regelung zielt auf eine erhöhte Datensicherheit im Gesundheitswesen ab, ein Ziel, das von allen Beteiligten grundsätzlich unterstützt wird. Dennoch schließt die strenge Ausgestaltung des Gesetzes viele kleine und innovative Anbieter aus, da diese die hohen Sicherheitsanforderungen nicht erfüllen können. Dies könnte langfristig die Marktdynamik und Innovationskraft beeinträchtigen. Große Unternehmen, die bereits über das C5-Testat verfügen, könnten dadurch eine noch dominantere Position einnehmen, was den Wettbewerb einschränken und die Vielfalt der verfügbaren Lösungen reduzieren würde.

Abonnieren Sie unseren wöchentlichen Nachrichtenüberblick!

Treten Sie jetzt bei und werden Sie Teil unserer schnell wachsenden Gemeinschaft.

Ungültige E-Mail-Adresse
Danke für Ihr abonnement.
Wir senden Ihnen in Kürze unsere besten Nachrichten.
Es ist ein Fehler aufgetreten. Bitte versuchen Sie es später noch einmal