Gunnar Sachs, Partner bei der Kanzlei Clifford Chance, hat die Vorgaben für den Cloud-Einsatz im Gesundheitswesen scharf als innovationshemmenden Sonderweg kritisiert, der nicht mit EU-Recht vereinbar sei. Jeder – auch nur theoretische – Wartungszugriff eines Drittunternehmens etwa aus klassischen Outsourcing-Ländern wie Indien oder China werde damit verhindert, monierte der Rechtsberater am Mittwoch auf einer Fachtagung des Branchenverbands Bitkom in Berlin. Selbst die Datenschutz-Grundverordnung (DSGVO), die global schon als komplette Überregulierung geschmäht werde, sei deutlich liberaler.

Da die Bundesrepublik so von den EU-Standards abweiche, drohe neben einer Rechtsverletzung auch eine "Deutschnationalisierung des Systems", wetterte Sachs. Und das gerade in der Cloud, die prinzipiell darauf angelegt sei, nationale Grenzen zu überschreiten. Innovationen im Gesundheitssektor würden so behindert. Der von ihm ausgemachte Verstoß gegen die DSGVO bedeute zugleich die Unanwendbarkeit der hiesigen Regeln. Ein Unternehmer könnte daher sagen: "Der deutsche Ansatz schert mich nicht" und eine vertragliche Übereinkunft etwa mit einem chinesischen Partner schließen. Ein solcher Fall würde dann aber sicher hochgehen bis zum Europäischen Gerichtshof (EuGH):

Stein des Anstoßes ist der vergleichsweise junge Paragraf 393 Sozialgesetzbuch (SGB) V. Demnach dürfen Sozial- und Gesundheitsdaten über einen Cloud-Computing-Dienst nur im Inland, in der EU oder in einem Drittstaat verarbeitet werden, sofern ein Angemessenheitsbeschluss nach der DSGVO vorliegt. Die EU-Kommission muss dafür feststellen, dass diese Länder ein Datenschutzniveau bieten, das dem in der Gemeinschaft "im Wesentlichen gleichwertig ist". Das gilt für 15 Staaten wie die USA im Rahmen des EU-US-Datenschutzrahmens als Nachfolger des vom EuGH gekippten Privacy Shield, Argentinien, Großbritannien, Japan, Kanada, Neuseeland, Südkorea oder die Schweiz.

Ähnliches "Desaster" bei Apps auf Rezept

Die datenverarbeitende Stelle muss laut Paragraf 393 SGB V zudem über eine Niederlassung im Inland verfügen, hierzulande also einen verantwortlichen Ansprechpartner ausweisen. Auch das sei mit der "EU-Vollharmonisierung" unvereinbar, rügt Sachs. Generell seien mit der DSGVO Datenverarbeitungen und Zugriffe aus Drittstaaten zulässig, wenn der Auftraggeber mithilfe von Standardvertragsklauseln im Ausland ein gleiches Schutzniveau vorschreibe. Anerkannt würden ferner sogenannte Binding Corporate Rules (BCR), wonach Konzerne sich für alle Niederlassungen und Töchter auf mit der DSGVO vergleichbare Vorschriften verpflichteten. Der EuGH habe diese beiden Instrumente ausdrücklich auch nach dem Aus für das Privacy Shield als Alternativen ausgewiesen.

Von Verordnungen wie der DSGVO dürfe der nationale Gesetzgeber in EU-Ländern "nur unter engsten Voraussetzungen abweichen", führte der Jurist aus. Er müsse etwa auf wichtige Gründe des öffentlichen Interesses abstellen, das im Gesundheitswesen aber für alle Mitgliedsstaaten gleich zu werten sei. Zudem müsse eine ausdrückliche Mitteilung an die Kommission erfolgen, was die Bundesregierung nicht gemacht habe.

Ein ähnliches rechtliches "Desaster" hat sich Sachs zufolge zuvor mit der hiesigen Verordnung für digitale Gesundheitsanwendungen (DiGA) ereignet. Dort seien im Juli 2023 aufgrund der vergleichbar strikten Auflagen 95 Anträge auf Eintrag in das einschlägige Register beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zurückgezogen worden. Die Prüfbehörde habe damals mehreren großen Mandanten beschieden, dass US-Tochterfirmen gegebenenfalls auf Gesundheitsdaten zugreifen könnten und eine Aufnahme in die Liste daher kaum denkbar sei. Aktuell gebe es nur rund 65 DiGA in dem Verzeichnis. Sachs ärgert sich: "Das Ding ist komplett verunglückt."

Zusätzlich C5-Testat nötig

"Wir reden über sensible Daten", hielt Thomas Süptitz, Leiter des Referats für Cybersicherheit und Interoperabilität im Bundesministerium für Gesundheit (BMG), dagegen. Deswegen gelte es, Mindeststandards einzuhalten. Süptitz verdeutlichte, dass personenbezogene Gesundheitsinformationen nur in Staaten mit ähnlichem Rechtsrahmen verarbeitet werden dürften. Würden die Daten also etwa in Irland in einem Cloud-Dienst gespeichert, müsste vertraglich sichergestellt sein, dass Zugriffe aus Indien nicht erfolgten. Der Gesetzgeber verlange zwar nicht, dass die Daten beim Setzen auf große Anbieter wie Amazon mit AWS, Google oder Microsoft "in Deutschland oder Frankreich" verarbeitet werden. Bei diesen Hyperscalern müssten sie aber verschlüsselt oder über Zusatzvereinbarungen sowie Techniken zur Anonymisierung oder Pseudonymisierung abgesichert werden.

Zusätzlich schreibt Paragraf 393 Sozialgesetzbuch (SGB) V vor, dass die datenverarbeitende Stelle den Kriterienkatalog Cloud Computing C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) einhalten und ein entsprechendes aktuelles Testat vorweisen muss. Ein Prüfbericht dafür umfasst zwischen 100 und 300 Seiten, erläuterte Immo Regener von der Wirtschaftsprüfung PwC. Der Cloud-Betreiber müsse dafür zunächst selbst eine Systembeschreibung erstellen rund um Architektur, Sub-Dienstleister und Prozesse ("Kontrollen"). Dann gelte es, sich auf das eigentliche Audit vorzubereiten.

Sei ein C5-Typ1-Testat erforderlich, das dem Gesetz zufolge bis zum 30. Juni 2025 ausreicht, erfolgt laut Regener eine punktbezogene Prüfung. Dieses bestätige bestenfalls, dass das Kontrollsystem derzeit angemessen ausgerichtet ist. Für das Typ2-Testat, das von Mitte des Jahres an vorzuweisen ist, werde ein Beobachtungszeitraum etwa von mehreren Monaten definiert und es erfolgten Stichprobenprüfungen, um die Wirksamkeit der Kontrollen zu testen. Künftig zeichne sich am Horizont das EU Cloud Certification Scheme (EUCS) ab, das den Kreis der attestierenden Stellen vergrößere, aber auch das Sicherheitsniveau weiter hochschraube. Die Kontrollen würden aber weiter nach Typ1 und 2 getestet.

Hyperscaler bringen sich in Stellung

Das BMG hat eine C5-Äquivalenzverordnung auf den Weg gebracht, so Süptitz. Es wolle damit klarstellen, welche Alternativen zu den Cloud-Kriterien unter welchen Bedingungen akzeptabel seien. In vielen Stellungnahmen dazu sei zu hören gewesen, dass die Umstellung auf das Typ2-Testat bis zum Juli nicht zu schaffen sei. Das BMG diskutiere daher nun mit dem BSI, welche Alternativen und Fristen sinnvoll seien. Im Frühjahr dürften alle Beteiligten mit einer aktualisierten Verordnung soweit sein. Viele "Community-Clouds", also von mehreren Unternehmen mit einem beschränkten Anwenderkreis genutzte Infrastrukturen, hätten eine C5-Prüfung angestoßen, da davon auch eine hohe Werbewirkung ausgehe.

"Wir haben C5 mitkreiert", betonte Peter Moll, Gesundheitsexperte bei AWS. Alle von dem Cloud-Marktführer angebotenen Dienste seien DSGVO-konform, 141 Services Typ1 oder 2 attestiert. Mit der AWS European Sovereign Cloud, die aus mindestens drei Rechenzentren in einer eigenen Region an geheimen Orten in Brandenburg bestünde, rücke eine "voll souveräne Cloud" näher. Als Betreiber sei voraussichtlich ab dem 4. Quartal eine luxemburgische oder deutsche Gesellschaft vorgesehen.