§ 393 SGB V beruht auf dem erst im März 2024 verkündeten Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens („Digital-Gesetz“ – DigiG). Aufgrund ihres Standorts im SGB V und ihrer kurzen Umsetzungsfrist hat die Regelung bislang noch keine große Bekanntheit erlangt. Aber das ist gerade dabei sich zu ändern, da der neue § 393 SGB V die Leistungserbringer nach dem Sozialgesetzbuch und Anbieter von Cloud-Services (z.B. SaaS, IaaS und PaaS) mit erheblichen Compliance-Pflichten konfrontiert.
Was zählt zu Cloud-Computing-Diensten?
§ 393 SGB V adressiert Leistungserbringer im Sinne des Sozialgesetzes und deren Auftragsdatenverarbeiter, die Sozialdaten und Gesundheitsdaten im Wege eines Cloud-Computing-Dienstes verarbeiten. Medizinische Leistungserbringer nutzen mittlerweile eine Vielzahl von Diensten; z.B. Praxisverwaltungssysteme (PVS), Krankenhausinformationssysteme (KIS) oder andere, über das Internet erreichbare IT-Systeme zum Abruf von Gesundheitsdaten wie radiologische Bilddaten oder Labordaten. Ob sie unter die gesetzliche Neuerung fallen, ist anhand einer Reihe von Kriterien zu bestimmen.
„Cloud-Computing-Dienst“ wird in § 383 Nr. 5 SGB V definiert als „digitalen Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind“. Hierzu gehören jedenfalls die typischen Cloud-Dienste: IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service) und NaaS (Network as a Service).
Überraschend mag für einige sein, dass auch Anbieter unter die Regelung fallen, die „branchenneutrale“ Cloud-Lösungen anbieten, soweit Leistungserbringer im Sinne des Sozialgesetzbuches zu den Kunden gehören. Das können beispielsweise gewöhnliche Office-Anwendungen, ERP-Lösungen und Hinweisgebersystem-Portale sein.
Vorgaben an den Verarbeitungsort
Wie zuvor auch schon § 80 Abs. 2 SGB X schreibt § 393 Abs. 2 SGB V vor, dass die Verarbeitung von Sozial- und Gesundheitsdaten nur in der EU, dem EWR, der Schweiz und in einem Drittland mit einem Angemessenheitsbeschluss i.S.d. Art. 49 DSGVO zu erfolgen hat. Zudem muss die datenverarbeitende Stelle eine Niederlassung im Inland haben.
Vorsicht ist geboten bei Cloud-Anbietern, die die Cloud-Computing-Dienste in einem Drittland durchführen. Das ist nur zulässig, wenn für das Drittland ein Angemessenheitsbeschluss existiert. Das gilt aktuell für die USA, aber beispielsweise nicht für China oder Indien. Daran würden auch keine Standardvertragsklauseln oder ein Transfer Impact Assessment (TIA) etwas ändern. Ob die Regelung auch so zu verstehen ist, dass es ausreicht, wenn bspw. chinesischer Anbieter die Cloud-Dienste aus der EU heraus betreibt, lässt sich dem Wortlaut von § 393 SGB V nicht eindeutig entnehmen. Hier muss man die weiteren Rechtsentwicklungen abwarten.
Muss eine C5-Zertifizierung her?
Nach § 393 Abs. 3 Nr. 2 SGB V muss bei der datenverarbeitende Stelle ein aktuelles Zertifikat nach dem BSI Cloud Computing Compliance Criteria Catalogue („C5“) vorliegen. Solche Zertifikate sind mit erheblichem Aufwand und Mehrkosten verbunden.
Ob der Leistungserbringer oder Auftragsverarbeiter oder beide eine „datenverarbeitende Stelle“ sind, geht nicht eindeutig aus der Regelung hervor. Bei Konzernsachverhalten wird die Abgrenzung noch komplizierter. Da nicht die datenverarbeitende Stelle, sondern das Cloud-System und die Cloud-Technik zertifiziert werden, bringt es Anbietern Wettbewerbsvorteile, wenn sie bereits zertifizierte Lösungen anbieten.
Im ersten Anwendungsjahr (bis 30. Juni 2025) gilt ein Zertifizierung vom Typ 1 (Angemessenheit der Kontrollmechanismen) als ausreichend, ab dem 1. Juli 2025 bedarf es des Typs 2 (Wirksamkeit der Kontrollmechanismen im Prüfungszeitraum). Für Anbieter bedeutet dies, dass die Prüfung schnellstmöglich angegangen werden sollte, da eine Zertifizierung des Typs 2 die Wirksamkeit über einen bestimmten Zeitraum (i.d.R. 12 Monate) voraussetzt.
Zwar ist auch ein Testat oder Zertifikat nach einem anderen Standard zulässig, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau sicherstellt. Welche Standards diese Anforderungen erfüllen, kann das Bundesministerium für Gesundheit festlegen. Dies ist bislang nicht geschehen.
Was ist jetzt zu tun?
- Leistungserbringer und deren Auftragsdatenverarbeiter sollten prüfen, ob sie unter die neue Regelung in aus § 393 SGB V fallen.
- Wenn ja, sollte der Verarbeitungsort überprüft werden eine Zertifizierung angestoßen und umgesetzt werden.
- Technische und organisatorische Maßnahmen sind möglicherweise anzupassen.