„Der Gesundheitssektor zeigt sich in der Nutzung von Cloud-Diensten bisher sehr zurückhaltend. Schade, sagen die einen, immerhin bietet die Cloud nicht nur im Gesundheitssektor zahlreiche Vorteile. Nicht verwunderlich, sagen die anderen, immerhin war bislang von Seiten der Politik nicht sauber geklärt, was bei der Verarbeitung von sensiblen Patient:innen-Daten in der Cloud erlaubt ist – und was eben nicht. Um die Verwirrung auf die Spitze zu treiben, war es lange Zeit Ländersache, ob Gesundheitsdaten in die Cloud gehören oder nicht. In Bayern und Berlin war die Nutzung von Cloud-Diensten noch bis 2022 quasi unmöglich.
Da verwundert es nicht, dass Krankenhäuser und Kliniken lieber an bewährten Technologien festhalten und weiterhin Server im Keller haben, anstatt den Weg in die Cloud zu wagen. Denn Bedenken gibt es immer noch viele: Sind die sensiblen Gesundheitsdaten in der Cloud wirklich sicher? Wie sollen wir den hohen Migrationsaufwand mit unseren begrenzten IT-Ressourcen bewerkstelligen? Und: Wie steht es um die Verfügbarkeit und Ausfallsicherheit von Cloud-Diensten?
Es zeigt sich wieder einmal, wie wichtig es ist, das Thema Cloud im Gesundheitssektor klar zu definieren. Gerade im Bereich der Cybersicherheit ist es doch so: Wer die Spielregeln klar definiert, gewinnt! Deswegen schafft das neue Digital-Gesetz (DigiG) des Bundesministeriums für Gesundheit endlich mehr Klarheit, wenn es um die Cloud-Nutzung im Gesundheitssektor geht.
Die Nutzung der Cloud im Gesundheitssektor und die Verarbeitung von Sozial- und Gesundheitsdaten ist ab sofort explizit und per Bundesgesetz erlaubt – vorausgesetzt, die Daten sind entsprechend geschützt. Anstatt sich hinter den üblichen Phrasen wie „angemessene Maßnahmen" oder „zeitgemäßen Technologien" zu verstecken, wird sich auf bereits bekannte und bestehende Spielregeln gestützt und der Kriterienkatalog „C5" (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Sicherheitsniveau vorgeschrieben. So sind die Mindestanforderungen für die Verarbeitung von Sozial- und Gesundheitsdaten über Cloud-Dienste explizit festgelegt. Heißt konkret: Wer den Kriterien von C5 entspricht, darf mitspielen. Alle anderen bleiben auf der Reservebank.
Ganz klar definiert ist auch, wo die Daten verarbeitet werden dürfen: nur im Inland oder innerhalb der EU. Die EU verlassen dürfen die Daten nur, wenn ein ähnliches Schutzniveau gleich der DSGVO gegeben ist. Wer seine Daten also in die Cloud umziehen möchte, sollte direkt nach Partnern “Made and Hosted in Europe” suchen.
Fakt ist: Die Daten sind nirgends so sicher, wie in einer zertifizierten, europäischen Cloud. Warum? Weil dedizierte Cloud-Anbieter erhebliche Ressourcen in die Sicherheit ihrer Daten investieren, die jetzt mit den geforderten Zertifikaten wie BSI C5 auf einen nationalen Standard gehoben werden. Durch die Speicherung von Daten in der Cloud können Krankenhäuser und Arztpraxen sicherstellen, dass wichtige Informationen vor lokalen Ausfällen, Naturkatastrophen oder anderen unvorhergesehenen Ereignissen geschützt sind. Cloud-Anbieter bieten oft robuste Backup- und Wiederherstellungslösungen, um Datenverlust zu minimieren und den Geschäftsbetrieb bei Störungen schnell wieder aufnehmen zu können.
Es wird höchste Zeit für eine einheitliche Regelung zur sicheren Digitalisierung im Gesundheitswesen. Das DigiG ist neben NIS-2 ein wichtiger Schritt für mehr Sicherheit in Europa nach definierten Standards. Das führt langfristig zu einem höheren Schutzniveau und einer besseren Widerstandsfähigkeit in Deutschland und Europa.“
Weitere Informationen finden Sie unter www.ftapi.com