Einsatz von Cloud-Diensten im Gesundheitswesen

§ 393 SGB V formuliert neue Anforderungen an den Einsatz von Cloud-Diensten im Gesundheitswesen

Seit dem 1. Juli 2024 gilt § 393 SGB V in seiner durch das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz (DigiG) | BMG (bundesgesundheitsministerium.de)) überarbeiteten Fassung und formuliert nun konkrete Anforderungen an den Cloud-Einsatz durch Leistungserbringer sowie Kranken- und Pflegekassen. Leistungserbringer, wie Krankenhäuser und vertragsärztliche sowie vertragszahnärztliche Versorger, Kranken- und Pflegekassen, haben nun klarere datenschutzrechtliche Regelungen zur Verarbeitung personenbezogener Gesundheits- und Sozialdaten durch Clouddienste. Über eine sichere Cloudanbindung ist auch dem Einsatz von KI-Anwendungen und weiteren Services für Leistungserbringer die Tür geöffnet.

Auftragsverarbeitung

Zunächst gibt der Gesetzgeber durch den eindeutigen Wortlaut des § 393 Abs. 1 SGB V vor, dass externe Cloud-Dienstleistungen nur im Rahmen der Auftragsverarbeitung im Sinne des Art. 4 Nr. 8 DSGVO beauftragt bzw. genutzt werden sollen.

Territoriale Beschränkungen

Die Gesundheits- und Sozialdaten dürfen durch Cloud-Computing-Dienste nur

• innerhalb Deutschlands,
• einem Mitgliedstaat der EU,
• einem Mitgliedstaat des EWR und der Schweiz (vgl. § 35 Abs. 7 SGB I),
• oder einen Drittstaat mit einem entsprechenden Angemessenheitsbeschluss gemäß Art. 45 DSGVO, der die Verarbeitung abdeckt,
  

verarbeitet werden.

Sofern Gesundheits- und Sozialdaten außerhalb Deutschlands verarbeitet werden sollen, muss die datenverarbeitende Stelle zusätzlich über eine Niederlassung im Inland verfügen. Eine genaue Definition des Begriffs „Niederlassung“ ist zwar weder im Digital-Gesetz noch in seiner Gesetzesbegründung enthalten. Das Sozialgesetzbuch nutzt den Begriff der Niederlassung jedoch auch im Zusammenhang mit Datenverarbeitungen in § 35 Abs. 6 SGB I und stellt dort auf den eigentlichen Ort der Verarbeitung ab. Nach einer Entscheidung des EuGH (EuGH 1.10.2015 – C-230/14) ist jedoch grundsätzlich ein flexibles Verständnis des Niederlassungsbegriffs anzuwenden, nach der ein Unternehmen nicht nur an dem Ort niedergelassen sein kann, an dem es eingetragen ist. Um festzustellen, ob eine für die Datenverarbeitung verantwortliche Stelle über eine Niederlassung im Inland oder ausschließlich in einem anderen Mitgliedstaat verfügt, ist sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten in diesem anderen Mitgliedstaat unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen zu betrachten. Dies ist im Einzelfall durch die Auftraggeber zu prüfen und zu bewerten.

Technische und organisatorische Anforderungen

Um den Anforderungen der neuen Regelung des § 393 Abs. 3 SGB V zu entsprechen, müssen dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen werden. Zusätzlich muss ein aktuelles C5-Testat (Cloud Computing Compliance Criteria Catalogue) für die eingesetzten Clouddienste oder Software-as-a-Service und der eingesetzten Technik bzgl. der C5-Basiskriterien vorliegen.

Der C5 Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik spezifiziert Mindestanforderungen an sicheres Cloud Computing und bietet Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Cloud-Anbieters. Er kann als Grundlage für ein kundeneigenes Risikomanagement herangezogen werden.

Daneben gelten nach § 393 Abs. 5 SGB V branchenspezifische Anforderungen an die technischen und organisatorischen Maßnahmen.

Für die vertragsärztliche und vertragszahnärztliche Versorgung gilt zusätzlich § 390 SGB und für Krankenhäuser gilt § 391 SGB V. Krankenkassen müssen den Branchenspezifischen Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV) entsprechen.

In allen anderen Fällen gelten technische und organisatorische Maßnahmen als angemessen im Sinne von § 393 Absatz 3 Nummer 1 SGB V, wenn sie gleichwertig zu den Anforderungen nach §391 SGB V sind. Dieser Angemessenheitsmaßstab gilt nicht, soweit Verarbeiter bzw. der Leistungserbringer oder die Pflege- oder Krankenkasse ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a BSI-Gesetze angemessene technische Vorkehrungen zu treffen haben.

Übergangsregelung und künftige Anforderungen

Bis zum 30. Juni 2025 gilt nach der Regelung des § 393 Abs. 4SGB V ein C5-Typ1-Testat als ausreichend. Ab dem 1. Juli 2025 wird hingegen ein aktuelles C5-Typ2-Testat benötigt. Ein C5-Testat wird als aktuell eingestuft, wenn es regelmäßig erneuert und auf dem neusten Stand der Technik gehalten wird.

Ferner ist eine Verarbeitung auch zulässig, soweit für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die Cloud-Technik anstelle eines aktuellen C5-Testats ein Testat oder Zertifikat nach einem Standard vorliegt, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau sicherstellt. Das Bundesministerium für Gesundheit hat die Befugnis, entsprechende Standards durch Rechtsverordnung festzulegen.

Transparenz

Informationen über die zertifizierten Cloud-Systeme und Cloud-Technik werden vom Kompetenzzentrum für Interoperabilität im Gesundheitswesen (kurz KIG) über eine Plattform veröffentlicht. Das KIG fördert bessere Standards in der Medizin und arbeitet eng mit verschiedenen Institutionen und Stakeholdern zusammen entsprechend seinem Mandat im Digitalgesetz.

Fazit

Der überarbeitete § 393 SGB V etabliert Sicherheitsstandards für den Einsatz von Cloud-Computing-Diensten im Gesundheitswesen, die allen Beteiligten mehr Sicherheit gibt. Leistungserbringer im Sinne des SGB sind jedoch auch gehalten, ihre Dienstleister im Zusammenhang mit Cloud-Diensten sorgfältig zu überprüfen, auszuwählen und für angemessene vertragliche Grundlagen zu sorgen. Dies wird von Leistungserbringern die Entwicklung eines strukturierten Prozesses mit flankierenden Maßnahmen abverlangen, darunter unter anderem:

• Compliance Bewertung: Leistungserbringer werden Cloud-Computing-Dienste zunächst umfassend dahingehend bewerten müssen, ob diese die Anforderungen des § 393 SGB V erfüllen, darunter auch das Vorhandensein einer Niederlassung im Inland.
• Vertragliche Sicherstellung: Die Verträge mit Cloud-Computing-Diensteanbietern müssen sowohl Art. 28 DSGVO als auch § 393 SGB V genügen. Dazu gehören auch die regelmäßige Überprüfung und Aktualisierung der Verträge, sowie ggf. auch die Durchführung von Audits beim Anbieter.
• Technische und organisatorische Maßnahmen: Leistungserbringer müssen sich mit der Cybersicherheit eingesetzter Cloud-Computing-Diensteanbieter genauso befassen wie die Anbieter selbst. Dies umfasst auch die Implementierung und Dokumentierung der technischen und organisatorischen Maßnahmen. Cloud-Computing-Diensteanbieter sollten sich, soweit nicht bereits vorhanden, darüber hinaus frühzeitig um das C5-Testat bemühen, wenn sie im Gesundheitssektor ihre Leistungen anbieten wollen. Auch mit Blick auf den vom Bundeskabinett am 24.07.2024 verabschiedeten Entwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz dürfte die Umsetzung der NIS2-Richtlinie in Deutschland in greifbare Nähe rücken und somit weitere umzusetzende Maßnahmen im Bereich Cybersicherheit und Risikomanagement zu berücksichtigen sein.
• Risikomanagement und Due Diligence: Der Einsatz von Cloud-Computing-Diensten durch Leistungserbringer erfordert die Entwicklung eines Risikomanagementsystems und Due-Diligence-Verfahrens, um die kontinuierliche Einhaltung gesetzlicher Anforderungen sicherstellen zu können. Dazu gehört auch das regelmäßige Monitoring der Einhaltung durch die Cloud-Computing-Dienste und deren Sicherheitsstandards sowie die Bewertung.
• Schulung und Sensibilisierung: Zuletzt müssen auch die Mitarbeiter für die Risiken des Einsatzes von Cloud-Computing-Diensten sensibilisiert und auf die Anforderungen des Datenschutzes sowie die Bedeutung deren Einhaltung geschult werden.
  

Die Umsetzung dieser Anforderungen wird erfahrungsgemäß kompetente Begleitung und Beratung erfordern. Melden Sie sich daher bei uns - wir unterstützen Sie gerne.