Cloud-Computing im Gesundheitswesen: Neue Regelungen ab Juli 2024

Cloud-Computing zählt heute zu den bedeutendsten digitalen Trends. Charakteristisch für Cloud-Computing ist die Verlagerung von Informationstechnologien weg von der lokalen Infrastruktur der Nutzenden hin zu dezentralen Netzwerken. Dies umfasst eine Vielzahl von Diensten, darunter Speicherplatz, Rechenleistung und Anwendungsprogramme bis hin zur Nutzung künstlicher Intelligenz.

Im Grunde genommen kann man Cloud-Computing als das Outsourcing wesentlicher IT-Elemente von einer zentralen, lokalen Infrastruktur hin zu einer dezentralen Struktur beschreiben. Diese Technologie wird bereits in vielen Bereichen, wie beispielsweise im E-Commerce oder im Versicherungs- und Bankenwesen, erfolgreich eingesetzt. Doch auch im Gesundheitswesen werden zunehmend Cloud-Lösungen implementiert, um von den vielfältigen Vorteilen dieser Technologie zu profitieren.

Gesetzliche Anpassungen zur Datensicherheit

Am 1. Juli 2024 trat diesbezüglich eine wesentliche Änderung in Kraft. Der überarbeitete § 393 des Sozialgesetzbuchs V (SGB V), angepasst durch Artikel 2 Nummer 6 des Digitalgesetzes (DigiG), bringt umfassende Neuerungen mit sich. Die Änderungen zielen dabei grundsätzlich darauf ab, die Sicherheit und den Datenschutz in einer Branche zu verbessern, die zunehmend auf digitale Lösungen angewiesen ist.

Denn in einer Welt, in der Patientendaten und medizinische Informationen immer häufiger in die Cloud verlagert werden, ist es entscheidend, diese sensiblen Daten vor Missbrauch und Verlust zu schützen. Die neuen Regelungen sollen daher sicherstellen, dass Sozial- und Gesundheitsdaten durch Leistungserbringer, Kranken- und Pflegekassen sowie deren Auftragsverarbeiter sicher und im Einklang mit den Datenschutzvorschriften verarbeitet werden.

Überblick über die neuen Regelungen

Grundlegende Berechtigung zur Datenverarbeitung

Mit der neuen Fassung von § 393 SGB V dürfen Leistungserbringer, Krankenkassen und Pflegekassen sowie ihre Auftragsverarbeiter Sozial- und Gesundheitsdaten mittels Cloud-Computing-Diensten verarbeiten, sofern sie die Voraussetzungen des § 393 Abs. 2–4 SGB V erfüllen. Diese Berechtigung erstreckt sich sowohl auf nationale als auch auf internationale Cloud-Dienstleistungen innerhalb der EU und anderer gleichgestellter Staaten (§ 393 Abs. 2 SGB V).

Technische und organisatorische Maßnahmen

Zur Sicherstellung der Informationssicherheit sind nach § 393 Abs. 3 Nr. 1 SGB V angemessene technische und organisatorische Maßnahmen, die dem „Stand der Technik“ entsprechen, erforderlich. Diese beinhalten ein aktuelles C5-Testat (Cloud-Computing Compliance Criteria Catalogue) der datenverarbeitenden Stelle sowie die Umsetzung der im Prüfbericht des C5-Testats enthaltenen Kriterien durch die Kunden.

Übergangsregelung und zukünftige Anforderungen

Bis zum 30. Juni 2025 gilt ein aktuelles C5-Typ1-Testat als ausreichend. Ab dem 1. Juli 2025 wird dann ein aktuelles C5-Typ2-Testat benötigt. „Aktuell“ bedeutet dabei, dass es regelmäßig erneuert und auf dem neuesten Stand der Technik gehalten werden muss. Es prüft nicht nur die Implementierung, sondern auch die fortlaufende Wirksamkeit der Sicherheitsmaßnahmen hinsichtlich der C5-Basiskriterien.

Es ist auch zulässig, Daten zu verarbeiten, wenn für die verwendeten Cloud-Systeme und Technologien ein Testat oder Zertifikat nach einem Standard vorliegt, dessen Sicherheitsniveau vergleichbar oder höher ist als das des aktuellen C5-Testats. Das Bundesministerium für Gesundheit kann entsprechende Standards durch Rechtsverordnung festlegen.

Branchenspezifische Sicherheitsstandards

Für verschiedene Bereiche im Gesundheitswesen gelten spezifische Anforderungen:

1. Vertragsärztliche und vertragszahnärztliche Versorgung: gemäß § 390 SGB V.
2. Krankenhäuser: gemäß § 391 SGB V.
3. Krankenkassen: gemäß dem Branchenspezifischen Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV).

Für alle anderen Fälle müssen die Maßnahmen mindestens den Anforderungen gemäß § 391 SGB V entsprechen. Es sei denn, es handelt sich um Betreiber kritischer Infrastrukturen, die bereits gemäß § 8a des BSI-Gesetzes verpflichtet sind, angemessene technische Vorkehrungen zu treffen.

Transparenz und Veröffentlichung

Die Informationen über die testierten Cloud-Systeme und Cloud-Techniken werden vom Kompetenzzentrum für Interoperabilität im Gesundheitswesen auf einer eigenen Plattform veröffentlicht. Das Kompetenzzentrum spielt eine wesentliche Rolle bei der Entwicklung, Förderung und Durchsetzung verbesserter Standards im Gesundheitswesen. Es arbeitet aktiv mit verschiedenen Institutionen und Stakeholdern zusammen, um die Interoperabilität und den sicheren Austausch von medizinischen Daten zu fördern.

Fazit

Durch die Novellierung des § 393 SGB V hat der Gesetzgeber entscheidende Regelungen für den Einsatz von Cloud-Computing-Diensten im Gesundheitswesen eingeführt. Diese Anpassungen zielen darauf ab, den wachsenden Anforderungen an die Sicherheit und den Datenschutz gerecht zu werden, insbesondere angesichts der zunehmenden Digitalisierung und Nutzung von Cloud-Technologien in diesem sensiblen Bereich.

Die neuen Bestimmungen sollen sicherstellen, dass die Verarbeitung von Sozial- und Gesundheitsdaten durch Leistungserbringer, Kranken- und Pflegekassen sowie deren Auftragsverarbeiter auf höchstem Sicherheitsniveau erfolgt. Gleichzeitig werden durch die klaren Vorgaben Transparenz und Nachvollziehbarkeit der Datenverarbeitung verbessert, um den Schutz sensibler Daten auch in einer zunehmend digitalen Gesundheitswelt zu gewährleisten.