Zum 1. Juli 2024 ist eine eine bedeutende Änderung im Bereich des Cloud-Computings im Gesundheitswesen in Kraft getreten. Der § 393 des Sozialgesetzbuchs V (SGB V) wurde im Rahmen des Artikel 2 Nummer 6 des Digitalgesetzes (DigiG) umfassend überarbeitet. Diese Anpassung soll die Nutzung von Cloud-Computing-Diensten durch Leistungserbringer, Kranken- und Pflegekassen sowie ihres Auftrags(daten)verarbeiter (ja, im Gesetzestext heißt es erstaunlicherweise Auftragsdatenverarbeiter) regeln und sicherstellen, dass Sozial- und Gesundheitsdaten sicher und im Einklang mit den geltenden Datenschutzvorschriften verarbeitet werden.
Überblick der neuen Regelungen
Grundlegende Berechtigung zur Datenverarbeitung
Laut der neuen Fassung von § 393 SGB V dürfen Leistungserbringer, Krankenkassen und Pflegekassen sowie deren Auftragsverarbeiter Sozial- und Gesundheitsdaten mittels Cloud-Computing-Diensten verarbeiten, sofern sie die vorgeschriebenen Voraussetzungen erfüllen. Diese Berechtigung erstreckt sich sowohl auf nationale als auch auf internationale Cloud-Dienstleistungen innerhalb der EU und anderer gleichgestellter Staaten.
Geographische Beschränkungen
Die Verarbeitung dieser sensiblen Daten ist nur zulässig:
- im Inland,
- in einem Mitgliedstaat der Europäischen Union oder,
- in einem Staat, der gemäß § 35 Absatz 7 des Ersten Buches gleichgestellt ist, oder
- in einem Drittstaat, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 679/2016 vorliegt und die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt.
Technische und organisatorische Maßnahmen
Für die Verarbeitung von Daten sind nach dem „Stand der Technik“ angemessene technische und organisatorische Maßnahmen zur Informationssicherheit erforderlich. Diese Maßnahmen beinhalten:
- Ein aktuelles C5-Testat (Cloud Computing Compliance Criteria Catalogue) der datenverarbeitenden Stelle.
- Umsetzung der im Prüfbericht des C5-Testats enthaltenen Kriterien durch die Kunden.
Übergangsregelung und zukünftige Anforderungen
Bis zum 30. Juni 2025 gilt ein C5-Typ1-Testat als ausreichend. Ab dem 1. Juli 2025 wird ein aktuelles C5-Typ2-Testat benötigt. Ein „aktuelles C5-Testat“ bedeutet in diesem Kontext, dass es regelmäßig erneuert und auf dem neusten Stand der Technik gehalten wird. Es prüft nicht nur die Implementierung, sondern auch die fortlaufende Wirksamkeit der Sicherheitsmaßnahmen in Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud Computing dienst eingesetzten Cloud System und die verwendete Technik.
Des Weiteren ist eine Verarbeitung auch dann zulässig, wenn für die genannten Cloud Systeme und Technologien ein Testat oder Zertifikat nach einem Standard vorliegt, dessen Sicherheitsniveau vergleichbar oder höher ist als das des aktuellen C5-Testats der datenverarbeitenden Stelle gemäß den C5-Basiskriterien. Das Bundesministerium für Gesundheit hat die Befugnis, entsprechende Standards durch Rechtsverordnung festzulegen.
Branchenspezifische Sicherheitsstandards
Für die verschiedenen Bereiche im Gesundheitswesen gelten spezifische Anforderungen an die technischen und organisatorischen Maßnahmen:
- Vertragsärztliche und vertragszahnärztliche Versorgung: gemäß § 390 SGB V.
- Krankenhäuser: gemäß § 391 SGB V.
- Krankenkassen: gemäß dem Branchenspezifischen Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV).
Für alle anderen Fälle müssen die Maßnahmen mindestens den Anforderungen gemäß § 391 SGB V entsprechen, es sei denn, es handelt sich um Betreiber Kritischer Infrastrukturen, die bereits gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen treffen müssen.
Transparenz und Veröffentlichung
Die Informationen über die testierten Cloud-Systeme und Cloud-Techniken werden von dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen auf einer zu betreibenden Plattform veröffentlicht. Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen (KIG) spielt eine zentrale Rolle bei der Entwicklung, Förderung und Durchsetzung verbesserten Standards im Gesundheitswesen gemäß dem Mandat des Digitalgesetzes. Es arbeitet aktiv mit verschiedenen Institutionen und Stakeholdern zusammen, um die Interoperabilität und den sicheren Austausch von medizinischen Daten und Informationen zu fördern. Hierzu ist eine Kontrollliste der korrespondierenden Kriterien für Kunden einzureichen.
Fazit
Mit der Überarbeitung des § 393 SGB V schafft der Gesetzgeber klare und zeitgemäße Rahmenbedingungen für den Einsatz von Cloud-Computing-Diensten im Gesundheitswesen. Diese Regelungen sollen nicht nur die Sicherheit und den Schutz sensibler Daten gewährleisten, sondern auch die Transparenz und Nachvollziehbarkeit der Datenverarbeitung verbessern.