Datensicherheit Cloud-Dienste: C5 ermöglicht deren Nutzung in der Gesundheitsbranche

Anbieter zum Thema

FTAPI Software GmbH

d.velop AG

xSuite Group GmbH

Yorizon GmbH & Co. KG

Der Gesundheitssektor zeigt sich bei der Nutzung von Cloud-Diensten bisher sehr zurückhaltend. Schade, sagen die einen, immerhin bieten Cloud-Dienste nicht nur im Gesundheitssektor viele Vorteile. Nicht verwunderlich, sagen die anderen, immerhin war bislang von der Politik nicht geklärt, was bei der Verarbeitung von Patientendaten in der Cloud erlaubt ist – und was eben nicht.

Um die Verwirrung auf die Spitze zu treiben, war es lange Zeit Ländersache, ob Gesundheitsdaten in die Cloud gehören oder nicht. In Bayern und Berlin konnten Cloud-Dienste noch bis 2022 quasi überhaupt nicht genutzt werden. Da verwundert es nicht, dass Krankenhäuser und Kliniken lieber an bewährten Technologien festhalten und weiterhin Server im Keller haben, anstatt den Weg in die Cloud zu wagen. Denn Bedenken gibt es immer noch viele: Sind die sensiblen Gesundheitsdaten in der Cloud wirklich sicher? Wie sollen wir den hohen Migrationsaufwand mit unseren begrenzten IT-Ressourcen bewerkstelligen? Und: Wie steht es um die Verfügbarkeit und Ausfallsicherheit von Cloud-Diensten?

DigitalG erlaubt Cloud-Dienste im Gesundheitssektor

Es zeigt sich wieder einmal, wie wichtig es ist, das Thema Cloud-Dienste im Gesundheitssektor klar zu definieren. Gerade im Bereich der Cybersicherheit ist es doch so: Wer die Spielregeln klar definiert, gewinnt. Deswegen schafft das neue Digital-Gesetz (DigiG) des Bundesministeriums für Gesundheit endlich mehr Klarheit, wenn es um die Cloud-Nutzung im Gesundheitssektor geht. Die Nutzung der Cloud-Dienste im Gesundheitssektor und die Verarbeitung von Sozial- und Gesundheitsdaten ist ab sofort explizit und per Bundesgesetz erlaubt – vorausgesetzt, die Daten sind entsprechend geschützt.

Anstatt sich hinter den üblichen Phrasen wie „angemessene Maßnahmen" oder „zeitgemäßen Technologien" zu verstecken, wird sich auf bereits bekannte und bestehende Spielregeln gestützt und der Kriterienkatalog „C5" (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Sicherheitsniveau vorgeschrieben. So sind die Mindestanforderungen für die Verarbeitung von Sozial- und Gesundheitsdaten über Cloud-Dienste explizit festgelegt. Heißt konkret: Wer den Kriterien von C5 entspricht, darf mitspielen. Alle anderen bleiben auf der Reservebank.

Datenverarbeitung nur im Inland oder innerhalb der EU

Ganz klar definiert ist auch, wo die Daten verarbeitet werden dürfen: nur im Inland oder innerhalb der EU. Die EU verlassen dürfen die Daten nur, wenn ein ähnliches Schutzniveau gleich der DSGVO gegeben ist. Wer seine Daten also in die Cloud umziehen möchte, sollte direkt nach Partnern "Made and Hosted in Europe" suchen. Fakt ist, dass die Daten nirgends so sicher sind wie in einer zertifizierten, europäischen Cloud. Warum? Weil dedizierte Cloud-Anbieter erhebliche Ressourcen in die Sicherheit ihrer Daten investieren, die jetzt mit den geforderten Zertifikaten wie BSI C5 auf einen nationalen Standard gehoben werden.

Durch die Speicherung von Daten in der Cloud können Krankenhäuser und Arztpraxen sicherstellen, dass wichtige Informationen vor lokalen Ausfällen, Naturkatastrophen oder anderen unvorhergesehenen Ereignissen geschützt sind. Cloud-Anbieter bieten oft robuste Backup- und Wiederherstellungslösungen, um Datenverlust zu minimieren und den Geschäftsbetrieb bei Störungen schnell wieder aufnehmen zu können

Es wird höchste Zeit für eine einheitliche Regelung zur sicheren Digitalisierung im Gesundheitswesen. Das DigiG ist neben NIS-2 ein wichtiger Schritt für mehr Sicherheit in Europa nach definierten Standards. Das führt langfristig zu einem höheren Schutzniveau und einer besseren Widerstandsfähigkeit in Deutschland und Europa.

Datenaustausch: Drei Hürden, die Fertigungsbetriebe überwinden müssen