In den vergangenen Wochen wurde viel über die neuen Regelungen §393 SGB V diskutiert. Auch Uptime IT fragte sich, ob das Angebot Uptime Cloud unter die neue Regelung fällt und zum 2024-07-01 ein BSI C5-Testat benötigt wird, um Workload für Kunden aus der Gesundheitsbranche zu hosten.
Wir haben uns den §393 SGB V angesehen und dazu auch den §384 (1), Ziffer 5, der definiert, was der Gesetzgeber unter einem Cloud-Computing-Dienst versteht: „Cloud-Computing-Dienst (bezeichnet) einen digitalen Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind“.
Damit ist klargestellt, dass die Virtual Private Cloud, die Uptime IT seinen Kunden jeweils als „Uptime Cloud“ individuell bereitstellt, nicht unter die Regelung fällt. Unsere Kunden erhalten eigene Rechenressourcen, keine gemeinsam genutzten. Auf der Ebene der Hypervisoren sind CPU und RAM von Kunde zu Kunde (genauer in der Terminologie von Uptime IT: von Vertrag zu Vertrag) getrennt, was vergleichbar ist mit einem eigenen Rechenzentrum on-premise. Betriebssysteme, Netze und gegebenenfalls Datenbanken sind jeweils individuell für einen Kunden (Vertrag) eingerichtet.
Die Uptime Cloud stellt keinen Cloud-Computing-Dienst im Sinne dieser Definition dar, so dass wir für das Gesundheitswesen kein BSI C5-Testat benötigen. Unser Verständnis wird dadurch gestützt, dass die Übergangsfrist im Gesetz kurz gewählt wurde. Sie ermöglichte den Wechsel zu Angeboten wie der Uptime Cloud, ist aber zu kurz, um die Voraussetzungen für ein C5-Testat zu erarbeiten und sich testieren zu lassen. Der Gesetzgeber hätte die Digitalisierung im Gesundheitswesen abgewürgt anstatt sie zu beschleunigen.
Es ist wichtig an dieser Stelle erneut zu betonen, dass Uptime IT seit Firmengründung vor rund dreißig Jahren stets nach höchster Datensicherheit und Hochverfügbarkeit gestrebt hat, Kundendaten und Meta-Daten der Kunden nicht zu eigenen Zwecken auswertet und mit Zertifizierungen nach ISO 27001, ISO 20000 und ISO 9001 in Sachen Informationssicherheit, Qualität und Servicemanagement zertifiziert ist. Mit den jährlichen ISAE 3402 Typ 2 Testaten eines führenden Wirtschaftsprüfungsunternehmens ist weiterhin die Wirksamkeit unseres internen Kontrollsystems belegt. Damit weist Uptime IT die Cloud-Zertifizierungen nach, die den Kunden einen substanziellen Mehrwert liefern.
Nach unserer Lesart bezieht sich §384 vor allem auf Public-Cloud-Angebote, die keine individuelle Bereitstellung beinhalten, sondern ihren Kunden „shared“ Datenbanken und Rechenleistungen anbieten.
Neben den oben dargelegten Aspekten sollten Kunden bei der Auswahl ihres Cloud Providers auch die Datensicherheit und den Datenschutz bedenken. Die großen bekannten Marken gehören meistens US-amerikanischen und chinesischen Unternehmen. Organe der EU haben per Beschluss das Datenschutzniveau der USA dem der DSGVO angemessen erklärt, obwohl der EuGH schon zweimal nach sachlicher Prüfung urteilte, dass dem nicht so ist. Der US Cloud Act gibt den US-Behörden weitreichenden Zugriff auf alle Daten, die sich auf Servern US-amerikanischer Unternehmen befinden, auch wenn sie in Europa stehen. Daran ändert ein politischer Angemessenheitsbeschluss nichts. Dieser sorgt nur dafür, dass europäische Bürger und Unternehmen juristisch nicht belangt werden, wenn sich die personenbezogenen Gesundheitsdaten dann doch in US-amerikanischer Hand befinden sollten. Und das ist trotz der C5-Testate der High-Tech-Giganten möglich.