Cloud und Datenschutz: Wie das deutsche Digitalgesetz Schweizer Unternehmen betrifft

Digitale Technologien und künstliche Intelligenz verändern das Gesundheitswesen, beispielsweise durch elektronische Patientenakten und Videokonsultationen. Im Zentrum der Digitalisierung stehen medizinische Daten, die mithilfe moderner Technologien zwischen Ärzten und Patienten, aber auch zwischen verschiedenen Leistungserbringern ausgetauscht werden – meist über Cloud-Dienste. Dies ermöglicht neue Diagnose- und Therapieansätze, verbessert die Kommunikation im Gesundheitswesen und gibt Patienten die Möglichkeit, ihre Gesundheit beispielsweise durch Apps und Online-Informationen aktiver zu pflegen und zu gestalten. 

Diese Entwicklung wirft jedoch auch neue Fragen des Datenschutzes und der Informationssicherheit auf, denn die Cybersicherheitsrisiken im Gesundheitswesen steigen ständig. Zugleich werden immer mehr Cloud-basierte Anwendungen (bsp. Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure) zur Verarbeitung sensibler Gesundheitsdaten eingesetzt, was zu höheren Risiken führt. 

Mehr Digitalisierung, mehr Datenschutz

Vor diesem Hintergrund hat das deutsche Bundesministerium für Gesundheit am 13. Juli 2023 den Entwurf zum «Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens» (DigiG) vorgelegt und das Kabinett am 30. August 2023 die Entwürfe des DigiG sowie eines «Gesetzes zur verbesserten Nutzung von Gesundheitsdaten» (GDNG) beschlossen. Ziel dieser Gesetze ist, den Behandlungsalltag für Ärztinnen und Ärzte sowie für Patientinnen und Patienten in Deutschland mit digitalen Lösungen zu vereinfachen und die Forschungsmöglichkeiten in Deutschland zu verbessern.

Gesetz mit extraterritorialer Ausstrahlung

Auch wenn die neuen Gesetze bislang nur für Deutschland gelten, müssen Schweizer Anbieter von digitalen Gesundheitsdienstleistungen prüfen, ob sie davon betroffen sind, denn die Anforderungen haben extraterritoriale Ausstrahlung. Dabei fallen sämtliche Unternehmen, die Cloud-Dienstleistungen zur Verarbeitung von Gesundheitsdaten nutzen unter das DigiG und das GDNG. Die deutsche Niederlassung eines Schweizer Anbieters von Laboranalysen, zum Beispiel, wird ebenso von der neuen Gesetzgebung betroffen sein, wie das Forschungszentrum eines Schweizer Pharmakonzerns, das in Deutschland Patientendaten erhebt.

Unternehmen dürfen ab Juli 2025 nur noch Cloud-Dienste im Zusammenhang mit personenbezogenen Gesundheitsdaten von deutschen Patienten nutzen, wenn seitens des Cloud-Anbieters ein C5 Typ 2 Prüfbericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) zur Informationssicherheit vorliegt. Der BSI Cloud Computing Compliance Criteria Catalogue (BSI C5) ist ein Kriterienkatalog und beschreibt Mindestanforderungen an die Informationssicherheit für Cloud-Dienste, die nicht unterschritten werden dürfen.

In fünf Schritten zum Prüfbericht

Um Konformität mit den gesetzlichen Anforderungen in Deutschland zu erreichen und sicherzustellen, dass der Cloud-Anbieter alle Anforderungen des Digitalgesetzes zeitgerecht erfüllt, sollten Unternehmen den folgenden Fahrplan einhalten:

• Jetzt: Evaluieren der Anwendbarkeit des Digitalgesetzes für den Cloud-Dienst in der Schweiz.
• Jetzt: Durchführen des BSI C5 Gap Assessments, vorbereiten auf die BSI C5-Prüfung.
• Bis Ende 2023: Prüfen des Cloud-Dienstes gemäss BSI C5 Typ 1 (Ausgestaltung und Implementierung).
  Der Prüfer gibt ein Prüfungsurteil darüber ab, ob die Kontrollen zum Zeitpunkt der Prüfung angemessen ausgestaltet und eingerichtet sind, um die Kriterien des C5 zu erfüllen.
• Bis Mitte 2024: Prüfen des Cloud-Dienstes gemäss BSI C5 Typ 2 (Ausgestaltung, Implementierung und Wirksamkeit).
  Neben der Beurteilung der Angemessenheit, wird die Wirksamkeit der Kontrollen in einem bestimmten Zeitraum (üblicherweise ein Geschäftsjahr) mittels Stichproben geprüft.
• Bis am 1. Juli 2025: Erstellen und Publikation des BSI C5 Berichts.

#social#