René Floitgraf info@rene-floitgraf.de +49 2402 385700

    • Neue IT-Sicherheitsrichtlinie der KBV und Cloud-Nutzung im Gesundheitswesen

    3. April 2025 René Floitgraf
    0 Comment
    Digitale Selbstverteidigung!, Informationssicherheit

    Die Kassenärztliche Bundesvereinigung hat einen neue IT-Sicherheitsrichtlinie für Arztpraxen herausgegeben. Gem. §390 SGB V ist die Richtlinie für die Leistungserbringer im Gesundheitswesen verpflichtend.

    Wer jetzt vielleicht verwirrt ist: Die alte Richtlinie war noch unter §75b SGB V rechtlich gefordert und verpflichtend. Durch das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz / DigiG) wurde die Regelung jedoch in den §390 SGB V verschoben.

    Worum geht es?

    Durch die Richtlinie werden technische und organisatorische Maßnahmen, die auch durch Art. 32 DSGVO gefordert werden, in der Praxis umgesetzt und gewährleistet. Es wird ein „Mindestmaß“ an Maßnahmen gefordert, die die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit in Bezug auf die eingesetzten IT-Systeme gewährleisten sollen.

    Auch in dieser Version sind diverse Regelungen als „muss“-Regel definiert. Diese werden durch sinnvolle „sollte“-Regeln ergänzt. Sofern diese Regeln dem Stand der Technik entsprechen, ist es sinnvoll auch die „sollte“-Regeln zu berücksichtigen. Faustregel: „Sollte ist ein Muss, wenn kann!“ Ist eine Regel auf die Praxis-IT anwendbar und nicht unverhältnismäßig, dann wird man im Rahmen der eigenen Sorgfaltspflicht nicht um eine Umsetzung herum kommen.

    Was wurde geändert?

    Im direkten Vergleich bin ich der Meinung, dass die neuen Maßnahmenanforderungen klarer und strukturierter sind. Redundanzen und widersprüchliche Forderungen wurden aufgelöst. Auch sind die geforderten Maßnahmen Die Umsetzung erscheint dadurch einfacher. Ein paar wenige neue Maßnahmen sind ebenfalls vorhanden. Für diese Maßnahmen wird eine Übergangsfrist zur Umsetzung bis Oktober 2025 gewährt.

    Ergebnis der ersten Sichtung

    Die neue Ausgestaltung der geforderten Maßnahmen ist deutlich nachvollziehbarer und praxistauglicher als zuvor. Arztpraxen sollten die Umsetzung der Maßnahmen prüfen und den Schluss der Lücken, beispielsweise durch die neuen Maßnahmen, planen.

    Was ist die vielleicht wichtigste Neuerung?

    Im Maßnahmenpunkt 50 wird übrigens auf den neu geschaffenen §393 SGB V verwiesen. Gem. dieser neuen gesetzlichen Vorschrift dürfen Arztpraxen zukünftig nur noch Cloud-Dienste einsetzen, die eine gültige C5-Zertifizierung vorweisen können! Zudem darf die Datenverarbeitung nur im Inland oder in einem Mitgliedsstaat der EU erfolgen. Im Drittland ist eine Verarbeitung abweichend zur DSGVO nur dann zulässig, wenn ein Angemessenheitsbeschluss der EU-Kommission für das Zielland besteht und wenn der Dienstleister eine Niederlassung in Deutschland unterhält. Eine Übermittlung auf Grundlage der EU-Standardvertragsklauseln scheidet somit aus.

    Gibt es C5-Rechenzentren, oder reicht eine ISO 27001-Zertifizierung?

    Die Anzahl der derzeit nach C5-zertifizierten Rechenzentren ist gering. Dies hat auch der Gesetzgeber erkannt und eine C5-Äquivalenz-Verordnung erlassen, die als C5-Gleichwertigkeitsverordnung im Bundesgesetzblatt veröffentlicht wurde. Ziel ist eine Gleichsetzung gängiger Zertifizierungen (ISO 27001) mit dem C5-Kriterienkatalog des BSI. Wer allerdings davon ausgeht, dass ein ISO 27001-Zertifikat damit dauerhaft ausreichend ist, wird in der Verordnung eines Besseren belehrt, denn es wird ein Fahrplan mit Meilensteinen und Fristen gefordert, mit dem die Lücken zum C5-Kriterienkatalog geschlossen werden soll. Die Notwendigkeit einer C5-Testierung wird also durch die Verordnung nur verschoben. Eine vollwertige Gleichstellung zwischen C5 und ISO 27001 erfolgt nicht.

    Fazit

    Die neue IT-Sicherheitsrichtlinie der KBV wirkt deutlich aufgeräumter als die vorige Version. Da die Richtlinie für Ärzte und Zahnärzte verbindlich ist, sollte man sich mit den Neuerungen kurzfristig beschäftigen. Die Umgangsfrist von etwa einem halben Jahr sollte man dabei berücksichtigen.
    Vor allem im Bereich der Cloudnutzung gilt es, den bisherigen Dienstleister zu prüfen, das C5-Testat anzufragen oder sicherzustellen, dass der Dienstleister einen Fahrplan zum Erhalt des C5-Testats vorlegen kann.

    Quellen:
    IT-Sicherheitsrichtlinie der KBV
    C5-Äquivalenz-Verordnung
    C5-Gleichwertigkeitsverordnung — C5GleichwV