Durch die im Juli 2024 erfolgte Neufassung des § 393 SGB V wird der rechtlichen Rahmen für den Einsatz von Cloud-Computing-Diensten bei der Verarbeitung von Sozial- und Gesundheitsdaten konkretisiert.
Der § 393 SGB V richtet sich konkret an medizinische Leistungserbringer sowie deren Auftragsverarbeiter, welche Sozial- und Gesundheitsdaten mittels Cloud-Computing-Diensten verarbeiten. Vor dem Hintergrund der zunehmenden Digitalisierung im Gesundheitswesen sollen insbesondere der datenschutzkonforme Einsatz internetbasierter IT-Anwendungen, wie z. B. von Patientenportalen, gewährleistet werden.
Voraussetzung für die Zulässigkeit einer solchen Datenverarbeitung ist der Nachweis eines aktuellen C5-Testats der datenverarbeitenden Stelle. Dieses Testat muss sich auf die C5-Basiskriterien in Bezug auf die eingesetzten Cloud-Systeme und die verwendeten technischen und organisatorischen Maßnahmen beziehen.
Mit der rückwirkend zum 1. Juli 2024 in Kraft getretenen C5-Gleichwertigkeitsverordnung (C5GleichwV) wurde eine befristete Übergangsregelung geschaffen, die es ermöglicht, bis zu zwei Jahre lang alternative Nachweise anstelle eines C5-Typ-2-Testats vorzulegen. Zwar entfällt mit Wirkung zum 1. Juli 2024 vorübergehend die Pflicht zur Vorlage eines aktuellen C5-Typ-2-Testats, dennoch definiert die C5GleichwV verbindliche Anforderungen, die weiterhin erfüllt sein müssen, um eine rechtmäßige Datenverarbeitung unter Einsatz von Cloud-Diensten sicherzustellen.
Weiterlesen →