Neue Anforderungen an Cloud-Computing-Dienste im Gesundheitswesen
Fast ohne breitere mediale Begleitung ist mit dem Digital-Gesetz jüngst ein Gesetzespaket in Kraft getreten, das weitreichende Auswirkungen (unter anderem) auf alle Cloud-Dienste im Gesundheitswesen hat.
A. Was ist das Digital-Gesetz?
Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz; DigiG) ist am 26.03.2024 in Kraft getreten.
Darin werden unter anderem die elektronische Patientenakte (ePA) eingeführt, das E-Rezept weiterentwickelt und als verbindlicher Standard festgesetzt, digitale Gesundheitsanwendungen tiefergehend in die Versorgungsprozesse eingebunden und Beschränkungen in der Telemedizin aufgehoben.
Weitere wesentliche Neuerungen betreffen das Thema Interoperabilität und Cybersicherheit im Gesundheitswesen. In diesem Zusammenhang werden auch Cloud-Computing-Dienste ausdrücklich geregelt. Die wichtigsten Vorgaben finden sich im komplett neu gefassten § 393 SGB V, der seit dem 01.07.2024 anzuwenden ist.
B. Was ist für Cloud-Computing-Dienste neu?
Mit dem neuen § 393 SGB V möchte der Gesetzgeber die Verarbeitung von Sozial- und Gesundheitsdaten durch den Einsatz von Cloud-Computing-Diensten ausdrücklich erlauben und zugleich durch die klare Formulierung von Anforderungen an deren Einsatz Rechtsklarheit schaffen. Tatsächlich werden mit der Vorschrift im Vergleich zur bisherigen Rechtslage strengere Anforderungen aufgestellt.
Außerdem sehen sich Akteure im Sozial- und Gesundheitswesen weiterhin einem komplexen Normengefüge ausgesetzt. So gelten neben § 393 SGB V abhängig von der konkreten Situation (Verwendung der Dienste durch Leistungsträger, Krankenhäuser oder sonstige Leistungserbringer etc.) weitere Regelungen, wie etwa Art. 28 DS-GVO (Auftragsverarbeitung), § 203 StGB (Berufsgeheimnis), ergänzende Geheimhaltungsverpflichtungen z.B. aus dem ärztlichen Berufsrecht und auch landesrechtliche Einschränkungen wie etwa Einschränkungen für Krankenhäuser ( siehe beispielsweise die hohen Anforderungen an den Einsatz von Auftragsverarbeitern in § 38 Landeskrankenhausgesetz Mecklenburg-Vorpommern oder § 7 Gesundheitsdatenschutzgesetz Nordrhein-Westfalen, während es aber zumindest in anderen Ländern jüngst zu einer Liberalisierung kam, wie etwa in Bayern – wir berichteten – oder in Baden-Württemberg). Eine Prüfung im Einzelfall muss deshalb weiterhin mit Blick auf den gesamten regulatorischen Rahmen erfolgen, ggf. einschließlich der Prüfung, auf Verfassungs- und Unionsrechtskonformität einzelner Aspekte.
I. Wer und was fällt unter die Regelung?
Ausweislich des § 393 Absatz 1 SGB V richtet sich die Regelung an
- Leistungserbringer im System der gesetzlichen Krankenversicherung,
- die gesetzlichen Kranken- und Pflegekassen sowie
- ihre jeweiligen Auftragsverarbeiter (vgl. Art. 28 DS-GVO).
„Cloud-Computing-Dienste“ definiert das Gesetz als digitale Dienste, die „auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind“. Dies deckt sich mit der Definition aus der Richtlinie (EU) 2022/2555 (NIS-2-RL).
II. Welche Anforderungen werden an die IT-Sicherheit gestellt?
Neben der allgemeinen Anforderung, dass dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen werden müssen, sollte die „datenverarbeitende Stelle“ für die Soft- und Hardware, die für die Cloud-Computing-Dienste eingesetzt wird, ein sogenanntes BSI C5-Testat vorlegen können. Für weitere Informationen zum BSI C5 Testat verweisen wir auf die Seiten des BSI.
Bis zum 30.06.2025 kann das aktuelle BSI C5-Testat durch ein C5-Typ-1 Testat ersetzt werden. Neben dem C5-Testat sollen zudem generell andere Zertifikate/Testate zulässig sein, soweit diese ebenfalls bescheinigen, dass nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit getroffen worden sind. Welche Zertifikate/Testate eine solche Eignung aufweisen, soll – voraussichtlich im Laufe des Jahres – durch eine Rechtsverordnung des Bundesministeriums für Gesundheit klargestellt werden.
Das Gesetz lässt im Übrigen nicht klar erkennen, ob die betreffend das Testat verpflichtete „datenverarbeitende Stelle“ den Leistungserbringer/die Kasse, deren Auftragsverarbeiter oder beide meint.
In jedem Fall sollten Betroffene umgehend ihre eigenen Zertifizierungen überprüfen und sich bei ihren Auftragsverarbeitern vergewissern, dass die erforderlichen Zertifikate/Testate vorliegen.
III. Welche Anforderungen gelten beim Drittstaatentransfer?
Die Verarbeitung von Sozial- und Gesundheitsdaten durch Cloud-Computing-Dienste ist territorial beschränkt. Sie darf nur erfolgen: im Inland, in der Europäischen Union, im EWR, in der Schweiz oder in einem Staat, für den ein Angemessenheitsbeschluss nach der DS-GVO vorliegt (vgl. § 393 Abs. 2 SGB V).
Insbesondere für Cloud-Computing-Dienste, bei denen ein Datentransfer in die USA stattfindet, ist zu prüfen, ob der Importeur in den USA nach dem EU-U.S. Data Privacy Framework zertifiziert ist (wir berichteten). Ob der Weg über die Standardvertragsklauseln damit für jedwede Übermittlung in Drittländer ohne Angemessenheitsbeschluss (z.B. Fernzugriffe für Wartung/Support) versperrt ist, wird auf Basis des jeweiligen Einzelfalls zu diskutieren sein.
Zudem muss die „datenverarbeitende Stelle“ nach dem ausdrücklichen Wortlaut des Gesetzes eine Niederlassung in Deutschland haben. Ob diese Regelung unionsrechtskonform ist, wird ggf. zu klären sein.
C. Welche Sanktionen drohen bei Non-Compliance?
§ 393 SGB V ist nicht sanktionsbewährt. Mithin löst eine Non-compliance keine Bußgelder nach dem SGB V aus.
Denkbar erscheint jedoch, dass Verstöße gegen § 393 SGB V als Reflex Verstöße gegen die DS-GVO auslösen. Dies würde den Sanktionsrahmen der DS-GVO eröffnen.
Außerdem kann der Auftraggeber gegenüber seinem Auftragnehmer ggf. vertragliche Mangelgewährleistungsansprüche geltend machen, wenn der Cloud-Computing-Dienst nicht den Anforderungen des § 393 SGB V entspricht. Jedenfalls ist die Lieferkette auf Compliance mit den neuen Vorgaben zu überprüfen.
Für Unternehmen, die selbst Cloud-Computing-Dienste betreiben, um Sozial- und Gesundheitsdaten zu verarbeiten, gilt daher, eigene Zertifikate und Testate zu überprüfen. Fehlen solche, sollte umgehend eine Zertifizierung oder die Einholung des Testats angestoßen werden, um zu verhindern, dass es zu möglichen Konflikten mit Vertragspartnern kommt. Zu prüfen ist nach den relevanten Verträgen, wer die Kosten dafür zu tragen hat oder ob diese ggf. auf mehrere Vertragspartner umgelegt werden können.
Weitere Informationen können insbesondere dem FAQ des Bundesgesundheitsministeriums zum DigiG entnommen werden.