Digitales Recht für das Gesundheitswesen in Deutschland

Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens („Digitalgesetz“) wurde am 26. März 2024 verkündet. Das Digitalgesetz enthält in § 393 des Fünften Sozialgesetzbuches („SGB V“) in der jeweils gültigen Fassung weitreichende Regelungen über die Erlaubnis zur Cloud-Nutzung im Gesundheitswesen, die am 1. Juli 2024 in Kraft tritt. Demzufolge dürfen Sozial- und Gesundheitsdaten mittels Cloud Computing nur verarbeitet werden, wenn die Voraussetzungen des geänderten § 393 SGB V erfüllt sind .

Anbietern von Cloud-Computing- oder Software-as-a-Service-Diensten im Life-Science-Bereich ist möglicherweise nicht bewusst, dass auch sie den Bestimmungen des Digitalgesetzes und den rechtlichen und technischen Anforderungen unterliegen, die sie erfüllen müssen. Die Umsetzung dieser Anforderungen kann mit einer Reihe von Hindernissen verbunden sein. Es ist jedoch unerlässlich, ab dem 1. Juli 2024 Cloud-Dienste für Gesundheitsdienstleister (wie Krankenhäuser und Ärzte) sowie für Kranken- und Pflegeversicherungen (weiterhin) anbieten zu können.

Räumliche Beschränkung der Verarbeitung

Durch die Neuregelung des § 393 Abs. 1 SGB V wird der Ort der Verarbeitung erheblich eingeschränkt. Die Verarbeitung darf nur (i) in Deutschland, (ii) in einem Mitgliedstaat der Europäischen Union, (iii) im Europäischen Wirtschaftsraum und der Schweiz oder (iv) in einem Drittland mit einem Angemessenheitsbeschluss gemäß Art. 6 Abs. 1 lit. b DSGVO erfolgen . 49 DSGVO. Weitere Voraussetzung für die Verarbeitung ist, dass der Verantwortliche über eine Niederlassung in Deutschland verfügt.

Eine solche räumliche Beschränkung ist im deutschen Gesundheitsdatenschutzrecht nicht neu. Eine vergleichbare Einschränkung enthält bereits § 80 des Zehnten Sozialgesetzbuches („SGB X“). § 393 Abs. 1 SGB V in der jeweils geltenden Fassung wird nunmehr als Konkretisierungsnorm in das SGB V eingefügt und präzisiert die bisherige allgemeine Regelung des § 80 SGB Gesundheitsbereich.

Branchenanforderung

Erfolgt die Verarbeitung von Gesundheits- und Sozialdaten nicht nur in Deutschland, muss zudem sichergestellt werden, dass die datenverarbeitende Organisation auch eine Niederlassung in Deutschland hat. Der Begriff „Niederlassung“ ist weder im Digitalgesetz noch in der Begründung des Digitalgesetzes definiert. Das Vorliegen einer Niederlassung im Einzelfall ist daher anhand der vom EuGH aufgestellten Grundsätze zu prüfen. Insbesondere ist sicherzustellen, dass die Verarbeitung auch im Rahmen der Tätigkeit der Niederlassung erfolgt.

Neue Zertifizierungspflicht

Gemäß Artikel 393 al. 3 Nr. Gemäß § 2 SGB V idgF muss ein aktuelles Zertifikat des Datenverarbeiters nach dem Cloud Computing Compliance Kriterienkatalog (auch C5 genannt) vorliegen. Der C5-Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik legt die Mindestanforderungen für sicheres Cloud Computing fest. Softwarelieferanten und Dienstleister müssen prüfen, ob sie unter diese Zertifizierungspflicht fallen.

Dienstleister im Sinne des SGB V müssen nicht zwingend selbst C5-zertifiziert sein. Allerdings gilt die C5-Zertifizierungspflicht grundsätzlich für Anbieter von Cloud-Computing- oder Software-as-a-Service-Diensten.

Anwendbarkeit innerhalb einer Unternehmensgruppe

Auch bei der Anwendung auf Konzerne können die neuen Regelungen gewisse Fallstricke mit sich bringen. Hierbei gilt es zu unterscheiden, wann ein einzelnes Unternehmen der Gruppe unter die C5-Prüfpflicht fällt, wenn es Cloud-Computing-Dienste innerhalb der Gruppe anbietet oder wenn es Leistungen von externen Anbietern an andere Unternehmen der Gruppe „weitergibt“.

Relevante Verarbeitungstätigkeiten

Schließlich ist es für Dienstleister im Sinne des SGB V besonders wichtig zu beachten, welche Verarbeitungstätigkeiten unter die Regelungen des geänderten § 393 SGB V fallen. Eine explizite Regelung hierzu gibt es im Digitalrecht nicht. Daher gilt § 393 SGB V in der jeweils geltenden Fassung beispielsweise auch dann, wenn Leistungserbringer neben den Regelleistungen im Rahmen der gesetzlichen Krankenversicherung auch privatärztliche Leistungen erbringen.

Abschluss

§ 393 SGB V idgF birgt Fallstricke für Gesundheitsdienstleister und Kranken- und Pflegekassen sowie für Anbieter von Cloud-Computing-Diensten und Software as a Service. Daher ist es wichtig, die Anwendbarkeit der Verordnung und den genauen Umfang der C5-Zertifizierungspflicht anhand des einzelnen Cloud-Dienstes und seines Verwendungszwecks zu beurteilen.

Mareike Engel

"Freiberuflicher Kommunikator. Hardcore-Web-Praktiker. Unternehmer. Totaler Student. Bier-Ninja."

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert