Cloud und Datenschutz: Wie das deutsche Digitalgesetz Schweizer Unternehmen betrifft

Ralf Hofstetter
Direktor & Leiter Trust and Transparency Solutions
PwC Schweiz

Cristian Manganiello
Partner, Risk and Compliance Management Services
PwC Schweiz

Mitte Juli 2023 hat das Bundesministerium für Gesundheit in Deutschland den Gesetzesentwurf zum Digitalgesetz vorgelegt. Es bringt weitreichende Anforderungen an die in Deutschland genutzten digitalen Gesundheitsdaten und somit an die Informationssicherheit Cloud-basierter Dienste mit sich. Was bedeutet das für Schweizer Unternehmen?

Digitale Technologien und künstliche Intelligenz verändern das Gesundheitswesen, beispielsweise durch elektronische Patientenakten und Videokonsultationen. Im Zentrum der Digitalisierung stehen medizinische Daten, die mithilfe moderner Technologien zwischen Ärzten und Patienten, aber auch zwischen verschiedenen Leistungserbringern ausgetauscht werden – meist über Cloud-Dienste. Dies ermöglicht neue Diagnose- und Therapieansätze, verbessert die Kommunikation im Gesundheitswesen und gibt Patienten die Möglichkeit, ihre Gesundheit beispielsweise durch Apps und Online-Informationen aktiver zu pflegen und zu gestalten. 

Diese Entwicklung wirft jedoch auch neue Fragen des Datenschutzes und der Informationssicherheit auf, denn die Cybersicherheitsrisiken im Gesundheitswesen steigen ständig. Zugleich werden immer mehr Cloud-basierte Anwendungen (bsp. Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure) zur Verarbeitung sensibler Gesundheitsdaten eingesetzt, was zu höheren Risiken führt. 

Mehr Digitalisierung, mehr Datenschutz

Vor diesem Hintergrund hat das deutsche Bundesministerium für Gesundheit am 13. Juli 2023 den Entwurf zum «Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens» (DigiG) vorgelegt und das Kabinett am 30. August 2023 die Entwürfe des DigiG sowie eines «Gesetzes zur verbesserten Nutzung von Gesundheitsdaten» (GDNG) beschlossen. Ziel dieser Gesetze ist, den Behandlungsalltag für Ärztinnen und Ärzte sowie für Patientinnen und Patienten in Deutschland mit digitalen Lösungen zu vereinfachen und die Forschungsmöglichkeiten in Deutschland zu verbessern.

Gesetz mit extraterritorialer Ausstrahlung

Auch wenn die neuen Gesetze bislang nur für Deutschland gelten, müssen Schweizer Anbieter von digitalen Gesundheitsdienstleistungen prüfen, ob sie davon betroffen sind, denn die Anforderungen haben extraterritoriale Ausstrahlung. Dabei fallen sämtliche Unternehmen, die Cloud-Dienstleistungen zur Verarbeitung von Gesundheitsdaten nutzen unter das DigiG und das GDNG. Die deutsche Niederlassung eines Schweizer Anbieters von Laboranalysen, zum Beispiel, wird ebenso von der neuen Gesetzgebung betroffen sein, wie das Forschungszentrum eines Schweizer Pharmakonzerns, das in Deutschland Patientendaten erhebt.

Unternehmen dürfen ab Juli 2025 nur noch Cloud-Dienste im Zusammenhang mit personenbezogenen Gesundheitsdaten von deutschen Patienten nutzen, wenn seitens des Cloud-Anbieters ein C5 Typ 2 Prüfbericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) zur Informationssicherheit vorliegt. Der BSI Cloud Computing Compliance Criteria Catalogue (BSI C5) ist ein Kriterienkatalog und beschreibt Mindestanforderungen an die Informationssicherheit für Cloud-Dienste, die nicht unterschritten werden dürfen.

In fünf Schritten zum Prüfbericht

Um Konformität mit den gesetzlichen Anforderungen in Deutschland zu erreichen und sicherzustellen, dass der Cloud-Anbieter alle Anforderungen des Digitalgesetzes zeitgerecht erfüllt, sollten Unternehmen den folgenden Fahrplan einhalten:

  • Jetzt: Evaluieren der Anwendbarkeit des Digitalgesetzes für den Cloud-Dienst in der Schweiz.
  • Jetzt: Durchführen des BSI C5 Gap Assessments, vorbereiten auf die BSI C5-Prüfung.
  • Bis Ende 2023: Prüfen des Cloud-Dienstes gemäss BSI C5 Typ 1 (Ausgestaltung und Implementierung).
    Der Prüfer gibt ein Prüfungsurteil darüber ab, ob die Kontrollen zum Zeitpunkt der Prüfung angemessen ausgestaltet und eingerichtet sind, um die Kriterien des C5 zu erfüllen.
  • Bis Mitte 2024: Prüfen des Cloud-Dienstes gemäss BSI C5 Typ 2 (Ausgestaltung, Implementierung und Wirksamkeit).
    Neben der Beurteilung der Angemessenheit, wird die Wirksamkeit der Kontrollen in einem bestimmten Zeitraum (üblicherweise ein Geschäftsjahr) mittels Stichproben geprüft.
  • Bis am 1. Juli 2025: Erstellen und Publikation des BSI C5 Berichts.

#social#

Wie PwC Ihnen helfen kann

Der Zeitplan für die Erfüllung der neuen Bestimmungen ist sehr knapp, und betroffene Unternehmen sollten so schnell wie möglich reagieren. Erste wichtige Schritte sind die Identifikation dieser in Deutschland erlassenen Regularien sowie das Abklären der genauen Anforderungen und der rechtlichen Risiken für Schweizer Unternehmen. Wir können Sie kompetent bei allen Schritten auf dem Weg zur Digitalgesetzkonformität begleiten.

Kontaktieren Sie uns

Contact us

Ralf Hofstetter

Partner, Sustainability Assurance, PwC Switzerland

+41 58 792 5625

E-Mail

Cristian Manganiello

Partner, Digital Assurance & Trust, PwC Switzerland

+41 58 792 56 68

E-Mail

Yan Borboën

Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland

+41 58 792 84 59

E-Mail

Narcisse Vieira

Partner, Cloud Assurance, PwC Switzerland

+41 58 792 84 37

E-Mail