Compliance im Gesundheitswesen in der Cloud: Ein Leitfaden zu den gesetzlichen Vorschriften
Schutz von Patientendaten in Cloud-Umgebungen
Die Cloud-Compliance im Gesundheitswesen ist ein fortlaufender Prozess, der sicherstellt, dass die von Organisationen im Gesundheitswesen genutzten cloudbasierten Systeme, Anwendungen und Speicherumgebungen alle geltenden gesetzlichen Anforderungen zum Schutz von Patientendaten erfüllen. In dieser stark regulierten und häufig ins Visier genommenen Branche muss das Verständnis der Cloud-Compliance im Gesundheitswesen für jede Organisation oberste Priorität haben. In der Praxis bedeutet dies, die Anforderungen des HIPAA, des HITECH Act und – für international tätige Organisationen – der EU-Datenschutz-Grundverordnung (DSGVO) in einer Infrastruktur zu erfüllen, die Rechenzentren, public cloud und Endgeräte umfasst.
Im Mittelpunkt dieser Anforderungen stehen elektronische geschützte Gesundheitsdaten (ePHI): alle individuell identifizierbaren Gesundheitsdaten, die elektronisch erstellt, empfangen, gepflegt oder übertragen werden, darunter elektronische Patientenakten, Telemedizin-Übertragungen, Abrechnungsdaten und cloudbasierte Backups. Wo immer sich ePHI befinden, gelten die Compliance-Anforderungen für die Cloud im Gesundheitswesen. Die regulatorischen Standards bleiben auch bei der Cloud-Migration bestehen, und diese hat die Architektur neu definiert, die zu ihrer Einhaltung erforderlich ist.
Wichtigste Erkenntnisse
- Datenpannen im Gesundheitswesen verursachen durchschnittlich Kosten in Höhe von 9,77 Millionen Dollar pro Vorfall, was fast dem Doppelten des branchenübergreifenden Durchschnitts entspricht
- Die Cloud-Compliance legt die Verantwortung für die Sicherheit auf Netzwerkebene, die Zugriffskontrolle und die Datenverkehrsprüfung bei der Gesundheitsorganisation und nicht beim Cloud-Anbieter
- Der Großteil des Datenverkehrs im Gesundheitswesen wird über verschlüsselte TLS-Sitzungen übertragen, die von Perimeter-Tools nicht überprüft werden können, weshalb die Transparenz des verschlüsselten Datenverkehrs eine zentrale Anforderung der HIPAA darstellt
- Gemäß HIPAA und DSGVO können scheinbar neutrale Cloud-Entscheidungen wie die Auswahl einer Backup-Region Verpflichtungen zum grenzüberschreitenden Datentransfer nach sich ziehen
Warum die Einhaltung von Vorschriften im Bereich Healthcare-Cloud wichtig ist
Die Compliance-Anforderungen für Cloud-Lösungen im Gesundheitswesen sind aufgrund realer Bedrohungen mit potenziell schwerwiegenden Folgen entstanden. Ransomware-Angriffe haben mitten in der Schicht den Zugriff auf elektronische Patientenakten lahmgelegt und Krankenhäuser dazu gezwungen, Krankenwagen umzuleiten und Eingriffe zu verschieben. Phishing-Kampagnen haben zur unbefugten Offenlegung von Millionen von Patientenakten geführt. Versuche, Daten zu entwenden, erfolgen regelmäßig über verschlüsselten Datenverkehr, den herkömmliche Sicherheitstools niemals überprüfen. Die Vorschriften zur Einhaltung der Cloud-Sicherheitsstandards im Gesundheitswesen sind eine kodifizierte Reaktion auf dokumentierte, wiederkehrende Schäden.
Die finanziellen Folgen von Sicherheitsmängeln im Gesundheitswesen können besonders schwerwiegend sein. Laut dem IBM of a Data Breach Report 2025“ ist das Gesundheitswesen seit vierzehn Jahren in Folge die Branche mit den höchsten Kosten durch Datenverletzungen, wobei die durchschnittlichen Kosten pro Vorfall 9,77 Millionen US-Dollar erreichen – fast doppelt so viel wie der branchenübergreifende Durchschnitt. Diese Zahl umfasst direkte Behebungsmaßnahmen, Betriebsunterbrechungen und behördliche Strafen, jedoch nicht die operativen Schäden für die Patientenversorgung, die eine schwerwiegende Datenverletzung verursacht.
Die behördliche Durchsetzung hält Schritt. Das Büro für Bürgerrechte des US-Gesundheitsministeriums (HHS) hat allein im Jahr 2024 im Rahmen von 22 Durchsetzungsmaßnahmen über 9,9 Millionen US-Dollar an HIPAA-Vergleichszahlungen eingezogen. Eine vorgeschlagene Aktualisierung der HIPAA-Sicherheitsvorschriften würde die seit langem bestehende Unterscheidung zwischen „erforderlichen“ und „empfehlenswerten“ Umsetzungsspezifikationen aufheben und Verschlüsselung, Multi-Faktor-Authentifizierung sowie eine Systemwiederherstellung innerhalb von 72 Stunden pauschal vorschreiben. Für Organisationen, die ihre Programme noch im Aufbau haben, bedeutet das Verständnis der Compliance-Anforderungen für die Cloud im Gesundheitswesen im Rahmen dieser geplanten Regelung, dass Änderungen vermieden werden können, sobald diese endgültig verabschiedet ist.
Wichtige Vorschriften zur Einhaltung der Compliance-Anforderungen für Cloud-Lösungen im Gesundheitswesen
Um die Compliance im Bereich Healthcare-Cloud zu verstehen, muss man zunächst die drei dafür maßgeblichen Rechtsrahmen kennen: HIPAA, den HITECH Act und – für globale Unternehmen – die DSGVO.
HIPAA und die Cloud
Die Einhaltung der HIPAA-Vorschriften in der Cloud beginnt mit der HIPAA-Sicherheitsvorschrift, die nationale Standards für den Schutz von elektronisch gespeicherten oder übertragenen ePHI festlegt. Ihre Anforderungen gelten uneingeschränkt für Cloud-Umgebungen. Eine Einrichtung des Gesundheitswesens, die einen Cloud-Dienst zur Speicherung, Verarbeitung oder Übertragung von ePHI nutzt, muss vor der Übertragung von ePHI eine HIPAA-konforme Geschäftspartnervereinbarung (Business Associate Agreement, BAA) mit dem Anbieter abschließen. Dies gilt auch für einen CSP, der ausschließlich verschlüsselte ePHI speichert und keinen Entschlüsselungsschlüssel besitzt.
Die Sicherheitsvorschrift gliedert ihre Anforderungen an die Cloud-Sicherheit im Gesundheitswesen in administrative Sicherheitsmaßnahmen (Risikoanalyse, Mitarbeiterschulung und Zugriffsverwaltung), physische Sicherheitsmaßnahmen (Kontrollen von Einrichtungen und Arbeitsplätzen) sowie technische Sicherheitsmaßnahmen (Zugriffskontrollen, Prüfkontrollen, Verschlüsselung und Übertragungssicherheit). In Cloud-Umgebungen teilt sich die Verantwortung für diese Kontrollen die Organisation und der Anbieter, und eine unterzeichnete BAA ohne aktive Konfiguration seitens der Organisation führt regelmäßig zu Verstößen gegen die Vorschriften.
Anforderungen des HITECH-Gesetzes
Das Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (HITECH Act) erweitert den Geltungsbereich der HIPAA-Vorschriften in zweierlei Hinsicht, die für die Cloud-Compliance relevant sind. Erstens macht er Geschäftspartner direkt haftbar für Verstöße gegen die HIPAA-Sicherheitsvorschriften, wodurch Cloud-Anbieter direkten regulatorischen Maßnahmen ausgesetzt sind, wenn sie ePHI unsachgemäß behandeln. Zweitens verhängt er strenge finanzielle Strafen bei Nichteinhaltung, wobei die jährlichen Höchststrafen 1,9 Millionen US-Dollar pro Verstoßkategorie erreichen können. HITECH erweitert zudem die Meldepflichten bei Datenschutzverletzungen: Bei Verstößen, von denen 500 oder mehr Personen betroffen sind, müssen die betroffenen Einrichtungen sowohl diese Personen als auch das HHS innerhalb von 60 Tagen nach Bekanntwerden benachrichtigen.
Überlegungen zur DSGVO für globale Organisationen im Gesundheitswesen
Gesundheitsorganisationen, die in der Europäischen Union tätig sind oder Gesundheitsdaten von EU-Bürgern verarbeiten, müssen zudem die Datenschutz-Grundverordnung (DSGVO) einhalten. Die DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten ein, für die verschärfte Schutzvorschriften gelten, und sieht zusätzliche Anforderungen hinsichtlich der Datenminimierung, der Zweckbindung, der Rechte der betroffenen Personen – einschließlich des Rechts auf Löschung – sowie Beschränkungen für den grenzüberschreitenden Datentransfer vor. Entscheidungen zur Cloud-Architektur, die auf den ersten Blick betrieblich neutral erscheinen, wie beispielsweise die Auswahl einer Backup-Region, können die Bestimmungen der DSGVO zur Datenverlagerung auslösen und Verpflichtungen begründen, mit deren Handhabung Organisationen, die nur der HIPAA unterliegen, nicht vertraut sind.
Häufige Herausforderungen bei der Einhaltung von Compliance-Vorschriften im Gesundheitswesen
Die Lücke bei der geteilten Verantwortung ist die häufigste Ursache für Compliance-Risiken. Eine unterzeichnete BAA mit einem großen Cloud-Anbieter deckt nicht alle von diesem Anbieter angebotenen Dienste ab; jeder Anbieter führt eine Liste der HIPAA-konformen Dienste, und die Workloads müssen auf diese Dienste beschränkt bleiben. Die Konfiguration von Zugriffskontrollen, Verschlüsselung und Audit-Protokollierung innerhalb der abgedeckten Dienste liegt unabhängig vom Bereitstellungsmodell weiterhin in der Verantwortung der Organisation. Organisationen, die davon ausgehen, dass eine unterzeichnete BAA pauschalen Schutz bietet, finden bei Audits regelmäßig ePHI in nicht abgedeckten Diensten.
Die Verschlüsselung verschärft das Problem noch. Netzwerksicherheitstools, darunter Intrusion-Detection-Systeme, DLP-Lösungen und Firewalls der nächsten Generation, können verschlüsselten Datenverkehr nicht überprüfen, wie er im Gesundheitswesen üblicherweise vorkommt. Malware, Datenexfiltration und unbefugte Zugriffe finden regelmäßig innerhalb von TLS-Sitzungen statt, die von der Perimetersicherheit niemals geöffnet werden. Die HIPAA-Sicherheitsvorschrift verpflichtet Organisationen dazu, Sicherheitsvorfälle zu erkennen und darauf zu reagieren, was sowohl ein architektonisches als auch ein richtlinienbezogenes Problem darstellt.
Die Komplexität durch die Vielzahl der Anbieter führt mit der Zeit zu einem Verlust an Transparenz. Eine typische Cloud-Umgebung im Gesundheitswesen umfasst einen primären Cloud-Anbieter, Anbieter von Backup- und Disaster-Recovery-Lösungen, Anbieter von Managed Security Services sowie mehrere SaaS-Anbieter, von denen jeder potenziell ePHI verarbeitet und eine eigene BAA benötigt. Gesundheitsorganisationen, die Cloud-Dienste schrittweise eingeführt haben, sind oft nicht in der Lage, eine vollständige Bestandsaufnahme der Speicherorte von ePHI zu erstellen, was die Erfüllung der Anforderungen der HIPAA an die Sicherheitsrisikoanalyse erschwert.
Compliance in der Healthcare-Cloud im Vergleich zur Compliance vor Ort
Gesundheitsorganisationen mit lokalen Bereitstellungen kontrollieren jede Ebene der Infrastruktur, von physischen Zugangskontrollen über Netzwerksegmentierung bis hin zur Verschlüsselung auf Anwendungsebene. Dies bürdet der Organisation zwar die gesamte Last der Compliance auf, ermöglicht jedoch auch eine durchgängige Kontrolle und Vorhersehbarkeit. Andererseits ist dieses Modell mit Kapitalinvestitionen, Personalbedarf und Skalierbarkeitsbeschränkungen verbunden, was die meisten Gesundheitsorganisationen dazu veranlasst hat, auf Cloud- oder Hybrid-Alternativen umzusteigen .
Die Cloud-Compliance verteilt die Verantwortung, verringert sie jedoch nicht. Cloud-Anbieter sichern die physische Infrastruktur und die Hypervisor-Ebene. Alles darüber hinaus, einschließlich Anwendungskonfiguration, Zugriffskontrollen, Identitätsmanagement und Datenverkehrsüberwachung, bleibt in der Zuständigkeit des Unternehmens. Wie das HHS ausdrücklich festgestellt hat: „Ein CSP ist nicht für Compliance-Verstöße verantwortlich, die ausschließlich auf Handlungen oder Unterlassungen des Kunden zurückzuführen sind.“
Hybride Bereitstellungen, die mittlerweile von vielen Organisationen im Gesundheitswesen genutzt werden, erfordern eine einheitliche Durchsetzung von Richtlinien in beiden Umgebungen. Der Datenverkehr an der Schnittstelle zwischen lokaler und Cloud-Infrastruktur muss verschlüsselt, überprüft und protokolliert werden, um die Prüfungsanforderungen des HIPAA zu erfüllen. Compliance-Lücken treten am häufigsten genau an dieser Schnittstelle auf. Daher ist es am nachhaltigsten, die Cloud-Compliance im Gesundheitswesen als architektonische Disziplin zu betrachten und nicht nur als Checkliste für regulatorische Anforderungen.
Wie A10 Networks die Einhaltung von Cloud-Vorschriften im Gesundheitswesen A10 Networks
A10 Networks schließt die Lücke zwischen den Richtlinienanforderungen und den technischen Kontrollmechanismen, die zu deren Durchsetzung in verteilten Gesundheitsumgebungen erforderlich sind. Die Unterstützung für Organisationen im Gesundheitswesen umfasst drei Bereiche: Transparenz des verschlüsselten Datenverkehrs, Sicherheit bei der Anwendungsbereitstellung und zentralisierte Verwaltung.
Die SSL/TLS-Prüfung ist eine grundlegende Anforderung, die viele Compliance-Programme im Gesundheitswesen bislang nicht angemessen umgesetzt haben. A10 Thunder® SSL Insight® (SSLi®) bietet eine zentralisierte Architektur nach dem Prinzip „einmal entschlüsseln, überall prüfen“: Der ePHI-Datenverkehr wird entschlüsselt, an eine beliebige Kombination von Sicherheitsprüfungstools (NGFW, IDS/IPS, DLP, Antivirus, ATP) weitergeleitet und vor der Weiterleitung erneut verschlüsselt. Dadurch entfallen die Leistungseinbußen, die bei der Entschlüsselung jedes einzelnen Geräts entstehen, während Sicherheitsteams gleichzeitig den Einblick in den verschlüsselten Datenverkehr erhalten, den die Anforderungen der HIPAA an die Erkennung von Vorfällen verlangen.
A10 Thunder® ADC bietet fortschrittlichen Lastausgleich, DDoS-Schutz und integrierte Anwendungssicherheit für lokale, public cloud und Hybrid-Bereitstellungen. Der globale Server-Lastausgleich (GSLB) erfüllt die Anforderungen der HIPAA an die Notfallplanung für Disaster Recovery und Geschäftskontinuität, während anwendungsspezifische Analysen die für Compliance-Prüfungen erforderliche Transparenz des Datenverkehrs gewährleisten.
ThreatX von A10 Networks unterstützt Organisationen im Gesundheitswesen dabei, die Vielzahl an Tools und Lücken in der Transparenz in Cloud-Umgebungen mit Lösungen verschiedener Anbieter zu reduzieren – dank einer einheitlichen Plattform, die WAF, API-Schutz, Bot-Abwehr und DDoS-Schutz vereint. Das verwaltete SOC bietet eine kontinuierliche, von Experten unterstützte Überwachung auf Anwendungsebene, schließt die Lücken, die isolierte Einzelprodukte regelmäßig hinterlassen, und liefert den von der HIPAA geforderten Prüfpfad für die Reaktion auf Vorfälle.
A10 Control, die einheitliche Verwaltungsplattform von A10, bündelt die Überwachung des Gerätestatus, die Datenverkehrsanalyse, die Verwaltung des Zertifikatslebenszyklus und die Durchsetzung von Richtlinien über alle A10-Bereitstellungen hinweg. Sowohl Best Practices für die Cloud-Governance im Gesundheitswesen als auch die Anforderungen der HIPAA-Prüfungskontrolle verlangen einen dokumentierten Nachweis darüber, welcher Datenverkehr die Gesundheitssysteme durchläuft und wie der Zugriff verwaltet wird. A10 Control bietet diese Transparenz kontinuierlich und verfügt über konfigurierbare Warnmeldungen, die Anomalien kennzeichnen, die Organisationen gemäß HIPAA erkennen und auf die sie reagieren müssen.
Häufig gestellte Fragen
Die HIPAA-Konformität in der Cloud erfordert, dass jeder Cloud-Dienstleister, der mit ePHI umgeht, eine Business Associate Agreement (BAA) unterzeichnet und die administrativen, physischen und technischen Sicherheitsvorkehrungen der Sicherheitsvorschrift umsetzt. Die Verantwortung für die Konfiguration dieser Sicherheitsvorkehrungen innerhalb der Cloud-Umgebung liegt bei der Gesundheitsorganisation. Eine unterzeichnete BAA legt die Verpflichtungen des Anbieters fest, erfüllt jedoch nicht die Verpflichtungen der Organisation.
Eine unterzeichnete BAA legt zwar die regulatorischen Verpflichtungen des Cloud-Anbieters fest, nimmt jedoch keine Konfigurationen im Namen der Organisation vor. Die Einhaltung der Datenschutzvorschriften für Cloud-Daten im Gesundheitswesen erfordert, dass die Organisation aktiv Zugriffskontrollen, Verschlüsselung, Protokollierung von Prüfungen und die Überwachung von Vorfällen innerhalb der Cloud-Umgebung implementiert. Organisationen, die eine unterzeichnete BAA als Endziel betrachten, stellen bei Audits regelmäßig fest, dass Kontrollmaßnahmen nicht konfiguriert sind und ePHI in nicht abgedeckten Diensten vorhanden ist.
Die Strafen nach dem HIPAA reichen je nach Verschuldensgrad von 100 bis 50.000 US-Dollar pro Verstoß, wobei pro Verstoßkategorie eine jährliche Obergrenze von 1,9 Millionen US-Dollar gilt. Durch den HITECH Act wurden Geschäftspartner, darunter auch Cloud-Dienstleister, für von ihnen verursachte Verstöße direkt haftbar gemacht. Strafen für vorsätzliche Fahrlässigkeit – beispielsweise wenn eine Anforderung bekannt ist, aber nichts unternommen wird – fallen in die höchste Strafstufe und stellen eine Priorität bei der Durchsetzung durch das OCR dar.
Hybride Bereitstellungen erfordern eine gleichzeitige Durchsetzung von Compliance-Vorgaben sowohl in lokalen als auch in Cloud-Umgebungen, wobei an der Schnittstelle zwischen beiden Umgebungen einheitliche Richtlinien gelten müssen. Der Datenverkehr, der diese Schnittstelle passiert, muss während der Übertragung verschlüsselt, zu Prüfungszwecken protokolliert und auf Bedrohungen überprüft werden können. Sicherheitstools, die in beiden Umgebungen eingesetzt werden können, sind der zuverlässigste Weg, diese Lücke zu schließen.
Jede Organisation, die in der EU tätig ist oder Gesundheitsdaten von EU-Bürgern verarbeitet, muss die Anforderungen der DSGVO erfüllen. Die DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten ein und führt zusätzliche Anforderungen hinsichtlich des Datenstandorts, der Rechte des Einzelnen und der Beschränkungen für grenzüberschreitende Übermittlungen ein, die unabhängig vom HIPAA gelten. Entscheidungen zur Cloud-Architektur, die auf den ersten Blick betrieblich neutral erscheinen, wie beispielsweise die Auswahl einer Backup-Region, können Verpflichtungen gemäß der DSGVO auslösen, die vom HIPAA allein nicht abgedeckt werden.