Am 26. März 2024 wurde das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens („Digital-Gesetz“ – DigiG) verkündet. Es enthält in § 393 SGB V nF weitreichende Regelungen zur Zulässigkeit des Cloud-Einsatzes im Gesundheitswesen, die am 1. Juli 2024 in Kraft treten werden. Danach dürfen Sozial- und Gesundheitsdaten im Wege des Cloud-Computings nur verarbeitet werden, wenn die Anforderungen des § 393 SGB V nF erfüllt sind.
Dabei ist Anbietern von Cloud-Computing-Diensten oder Software-as-a-Service im Life-Sciences-Sektor ggf. nicht bewusst, dass auch sie den Bestimmungen des Digital-Gesetzes unterliegen und welche rechtlichen und technischen Anforderungen sie erfüllen müssen. Die Umsetzung dieser Anforderungen kann im Einzelnen mit einigen Hürden verbunden sein. Sie ist jedoch unabdingbar, um ab dem 1. Juli 2024 (weiterhin) Cloud-Dienste für Leistungserbringer im Gesundheitswesen (wie Krankenhäuser und Ärzte) sowie Kranken- und Pflegekassen anbieten zu können.
Territoriale Beschränkung der Verarbeitung
Die Neuregelung in § 393 Abs. 2 SGB V nF schränkt zunächst den Ort der Verarbeitung deutlich ein. Eine Verarbeitung darf nur im (i) Inland, (ii) in einem Mitgliedsstaat der Europäischen Union, (iii) dem Europäischen Wirtschaftsraum und der Schweiz oder (iv) in einem Drittland mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO erfolgen. Eine weitere Voraussetzung für die Verarbeitung ist, dass die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt.
Eine solche territoriale Beschränkung ist dem Gesundheitsdatenschutz grundsätzlich nicht fremd. § 80 SGB X enthält bereits eine vergleichbare Einschränkung. § 393 Abs.1 SGB V nF wird nun als speziellere Norm in das SGB V eingefügt und spezifiziert die bisherige allgemeine Regelung des § 80 SGB X für die Nutzung von Cloud-Diensten im Gesundheitswesen.
Erfordernis einer Niederlassung
Sofern die Verarbeitung von Gesundheits- und Sozialdaten nicht nur im Inland erfolgt, ist weiter sicherzustellen, dass die verarbeitende Stelle auch über eine Niederlassung im Inland verfügt. Der Begriff der Niederlassung wird weder im Digital-Gesetz noch in der Gesetzesbegründung definiert. Wann eine Niederlassung im Einzelfall vorliegt, ist daher auch anhand vom EuGH aufgestellter Grundsätze zu prüfen. Dabei ist insbesondere sicherzustellen, dass die Verarbeitung auch im Rahmen der Tätigkeit der Niederlassung erfolgt.
Neue Pflicht für Zertifizierung
Gemäß § 393 Abs. 3 Nr. 2 SGB V nF muss ein aktuelles Zertifikat für die datenverarbeitende Stelle nach dem Cloud Computing Compliance Criteria Catalogue (auch C5 genannt) vorliegen. Der C5 Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik spezifiziert Mindestanforderungen an sicheres Cloud Computing. Anbieter von Software und Leistungserbringer müssen prüfen, ob sie unter diese Zertifizierungspflicht fallen.
Leistungserbringer im Sinne des SGB V müssen nicht notwendigerweise selbst C5 zertifiziert sein. Die C5-Zertifizierungspflicht betrifft jedoch meist die Anbieter von Cloud-Computing-Diensten oder Software-as-a-Service.
Abgrenzungsschwierigkeiten innerhalb eines Konzerns
Dies kann zu Abgrenzungsproblemen bei der Anwendung auf Konzerne führen. Hier ist zu differenzieren, ab wann eine einzelne Konzerngesellschaft unter die C5-Testierpflicht fällt, wenn sie Cloud-Computing-Dienste innerhalb des Konzerns anbietet oder Dienste externer Anbieter an andere Konzerngesellschaften „durchreicht“.
Betroffene Verarbeitungsvorgänge
Zuletzt ist insbesondere für Leistungserbringer im Sinne des SGB V zu beachten, welche Verarbeitungstätigkeiten von der Regelung in § 393 SGB V nF erfasst werden. Eine ausdrückliche Regelung hierzu fehlt im Digital-Gesetz. Im Ergebnis wird § 393 SGB V nF zum Beispiel auch dann anwendbar sein, wenn Leistungserbringer nicht nur Regelleistungen innerhalb des Systems der Gesetzlichen Krankenversorgung erbringen, sondern auch privatärztliche Leistungen.
Fazit
§ 393 SGB V nF enthält sowohl für die Leistungserbringer im Gesundheitswesen sowie Kranken- und Pflegekassen, als auch für die Anbieter von Cloud-Computing-Diensten und Software-as-a-Service Fallstricke. Daher ist es wichtig, die Anwendbarkeit der Norm sowie den genauen Umfang der C5-Testierpflicht anhand des einzelnen Cloud-Dienstes sowie seines Einsatzzweckes zu beurteilen.