Durch die im Juli 2024 erfolgte Neufassung des § 393 SGB V wird der rechtlichen Rahmen für den Einsatz von Cloud-Computing-Diensten bei der Verarbeitung von Sozial- und Gesundheitsdaten konkretisiert. 

Der § 393 SGB V richtet sich konkret an medizinische Leistungserbringer sowie deren Auftragsverarbeiter, welche Sozial- und Gesundheitsdaten mittels Cloud-Computing-Diensten verarbeiten. Vor dem Hintergrund der zunehmenden Digitalisierung im Gesundheitswesen sollen insbesondere der datenschutzkonforme Einsatz internetbasierter IT-Anwendungen, wie z. B. von Patientenportalen, gewährleistet werden. 

Voraussetzung für die Zulässigkeit einer solchen Datenverarbeitung ist der Nachweis eines aktuellen C5-Testats der datenverarbeitenden Stelle. Dieses Testat muss sich auf die C5-Basiskriterien in Bezug auf die eingesetzten Cloud-Systeme und die verwendeten technischen und organisatorischen Maßnahmen beziehen. 

Mit der rückwirkend zum 1. Juli 2024 in Kraft getretenen C5-Gleichwertigkeitsverordnung (C5GleichwV) wurde eine befristete Übergangsregelung geschaffen, die es ermöglicht, bis zu zwei Jahre lang alternative Nachweise anstelle eines C5-Typ-2-Testats vorzulegen. Zwar entfällt mit Wirkung zum 1. Juli 2024 vorübergehend die Pflicht zur Vorlage eines aktuellen C5-Typ-2-Testats, dennoch definiert die C5GleichwV verbindliche Anforderungen, die weiterhin erfüllt sein müssen, um eine rechtmäßige Datenverarbeitung unter Einsatz von Cloud-Diensten sicherzustellen. 

Die Datenschutzkonferenz (DSK) hat mit der aktuellen Bewertung des Online-Terminmanagementsystems Doctolib eine kritische Haltung gegenüber diesem cloudbasierten Dienst eingenommen. Auch die Deutsche Datenschutzvereinigung (DVD) hat sich kritisch gegenüber Doctolib positioniert.  

Die Sensibilisierung für den Schutz besonders schützenswerter Gesundheitsdaten ist zweifellos berechtigt und notwendig. Gleichzeitig zeigt die öffentliche Debatte, dass differenzierte Analysen oft zu kurz kommen. Begriffe wie „Datenkraken“ erschweren eine sachliche Auseinandersetzung mit der Frage, wie cloudbasierte Systeme datenschutzkonform ausgestaltet werden können. Grundsätzlich besteht auf Seiten der Praxen ein hoher Bedarf, solche cloudbasierten Lösungen zu nutzen, sofern die datenschutzrechtlichen Grundprinzipien – wie Zweckbindung, Datenminimierung, technisch-organisatorische Maßnahmen und klar geregelte Auftragsverarbeitung – eingehalten werden. Neben den benötigten Funktionen können solche Anbieter häufig einen besseren Schutz vor Cyberrisiken bieten, als es eine Praxis mit ihren begrenzten Mitteln umsetzen kann.  

Am Beispiel Doctolib wird deutlich, dass pauschale Kritik nicht leider keinen Weg aufweist, wie solch ein Dienst datenschutzkonform eingesetzt werden könnte. Es bedarf es einer präzisen Aussage: Welche datenschutzrechtlichen Anforderungen werden nicht erfüllt? Wo bestehen konkrete technische oder vertragliche Defizite? Eine sachlich geführte Diskussion, die aber auch durch den Anbieter mit konkreten Informationen zu den ergriffenen Datenschutzmaßnahmen unterstützt wird, kann wesentlich zur Verbesserung der Datenschutzpraxis beitragen. 

Vor diesem Hintergrund stellt sich für betriebliche Datenschutzbeauftragte in Arztpraxen oder medizinischen Einrichtung ganz konkret die Frage, welche Anforderungen erfüllt werden müssen, um den Einsatz cloudbasierter Terminmanagementlösungen datenschutzkonform zu gestalten. Dabei ist die Aufgabe des Datenschutzbeauftragten nicht nur fokussiert auf technische oder formale Aspekte, sondern sie verlangt eine umfassende datenschutzrechtliche Bewertung auf Basis der tatsächlichen Systemarchitektur, der vertraglichen Regelungen und der praktischen Umsetzung im Alltag der Einrichtung. 

Die Entnscheiderfabrik geht in die heiße Phase und präsentierte beim Sommer-Camp 2025 die Effizienzpotenziale digitaler Transformationsprojekte im Gesundheitswesen. Unter dem Motto „Krankenhauserfolg durch Nutzen stiftende Digitalisierungsprojekte“ versammelten sich am 26. und 27. Mai 2025 die Projektteams aus Kliniken, Industrie und Beratung bei der Weidemann-Gruppe in Magdeburg, dem diesjährigen Gastgeber der Veranstaltung.

Ziel des Sommer-Camps war es, konkrete Digitalisierungsprojekte vorzustellen, die nachweislich zur Verbesserung von Patientenversorgung, Effizienz und Wirtschaftlichkeit in Krankenhäusern beitragen. Die vorgestellten Projekte zeigten praxisnah, wie durch innovative IT-Lösungen und partnerschaftliche Zusammenarbeit zwischen Kliniken und Industrie messbarer Nutzen generiert werden kann.

Die IT-Sicherheitslücken wurden bisher vor allem über die CVE-Datenbank der US-Organisation Mitre erfasst, die Informationen zur Schwere, betroffenen Komponenten und Herstelleraussagen bereitstellt. Nun hat die EU-Cybersicherheitsagentur ENISA mit der European Union Vulnerability Database (EUVD) eine eigene Schwachstellendatenbank für die EU ins Leben gerufen.

Die EUVD soll, im Vergleich zu anderen Schwachstellendatenbanken, einen ganzheitlichen und vernetzten Ansatz bieten. Mithilfe der Open-Source-Software Vulnerability-Lookup werden Informationen aus verschiedenen Quellen schnell zusammengeführt. Das EUVD-Team sammelt öffentlich verfügbare Schwachstelleninformationen von unterschiedlichen Akteuren, etwa Herstellern und CERTs.

Ziel ist es, verlässliche und praxisrelevante Daten bereitzustellen, z. B. zu Gegenmaßnahmen oder dem Ausnutzungsstatus. Durch die Verwendung des standardisierten Formats CSAF wird zudem die Automatisierung der Verarbeitung und Verbreitung von Sicherheitshinweisen unterstützt.

Aktuell befindet sich die Datenbank in der Beta-Phase.

Link: European Union Vulnerability Database (externer Link)

Die Datenschutzgrundverordnung (DSGVO), welche im Jahr 2018 eingeführt wurde, soll reformiert werden. Die Reform der Datenschutz-Grundverordnung verfolgt mehrere zentrale Ziele, die auf eine bessere Balance zwischen Datenschutz, wirtschaftlicher Handhabbarkeit und effizienter Durchsetzung abzielen. Hier sind die wichtigsten Ziele der Reform im Überblick:

Die Bundesregierung hat eine zentrale Maßnahme zur strukturellen Weiterentwicklung akutstationärer Versorgungskapazitäten ergriffen und den Transformationsfonds eingeführt. Mit der Verordnung zur Verwaltung des Transformationsfonds im Krankenhausbereich (externer Link) wird die konkrete Umsetzung und Mittelverwendung dieses Fonds geregelt.

Ziel dieser Verordnung ist die Transformation der Krankenhausstrukturen zur Anpassung an die durch das Krankenhausversorgungsverbesserungsgesetz vom 5. Dezember 2024 (BGBl. 2024 I Nr. 400) bewirkten Rechtsänderungen. Mit diesem Fonds soll der notwendige Umbau der Krankenhauslandschaft in Deutschland finanziell unterstützt werden. Hierzu zählen zum Beispiel Maßnahmen zur Konzentration von Versorgungsstrukturen, die Verbesserung der Qualität sowie die Stärkung sektorenübergreifender Versorgungskonzepte.

In der Verordnung wird festgelegt, wie Anträge gestellt werden, welche Voraussetzungen für eine Förderung erfüllt sein müssen. Festgelegt wird auch, wie solche Mittel verteilt werden und welche Nachweispflichten bestehen, damit nur solche Projekte unterstützt werden, welche einen klaren Beitrag zur Transformation der Krankenhausversorgung leisten.

Quellen
Verordnung zur Verwaltung des Transformationsfonds im Krankenhausbereich (externer Link)

Die Anwendung EVB-IT digital (externer Link) wurde entwickelt, um den Prozess der IT-Beschaffung zu digitalisieren und damit zukunftsfähiger und vereinfacht zu gestalten. Die Anwendung, welche im Webbrowser lokal ausgeführt wird, ermöglicht einem Anwender die automatisierte Erstellung von Verträgen durch eine Interviewtechnik und einen Vertrags-Wizard, der standardisierte Regelungs- und Vertragselemente kombiniert. Diese Methode soll die Verwaltungsdigitalisierung unterstützen und legt einen weiteren Grundstein für das Smart-Contracting in der Vertragsverwaltung.

Langfristig sollen die dokumentorientierten Formularverträge (externer Link) durch EVB-IT digital abgelöst werden, um komplexe Leistungen der Digitalwirtschaft praxisgerecht abzubilden und Open Government zu unterstützen. Perspektivisch ist die Integration in weitere Geschäftsprozesse wie Vergabemanagement-, Vertragsmanagement- und Warenwirtschaftssysteme geplant.

Was sind EVB-IT?

Die EVB-IT (Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen) sind standardisierte Vertragsregelungen, die speziell für IT-Beschaffungen der öffentlichen Hand entwickelt wurden. Diese Regelungen steigern die Akzeptanz im Markt und reduzieren den Prüfaufwand. Seit Mitte der 90er Jahre werden die EVB-IT von einer Arbeitsgruppe unter der Leitung des Bundesministeriums des Innern und für Heimat sowie Vertretern von Bund, Ländern und Kommunen erstellt. Die Verhandlungen mit der IT-Wirtschaft werden vom Bitkom e.V. geführt.

Informationen zu den EVB-IT digital finden Sie hier.

Quelle und weiterführende Informationen: https://www.cio.bund.de/

Das Entscheider-Event fand am 12.-13.02.2025 im 19. Jahr statt und die 5 Digitalisierungsthemen der Gesundheitswirtschaft 2025 wurden gewählt. Zwölf Finalisten stellten ihre Digitalisierungskonzepte auf dem Entscheider-Event vor. Auf Basis dieser Präsentationen wählten die anwesenden Vertreter der Krankenhaus Führungs- und Leitungsebene die „fünf Digitalisierungsthemen der Gesundheitswirtschaft“, welche im Jahr 2025 von Industrie, Beratern und Krankenhäusern bearbeitet werden.

Die Entscheiderfabrik lädt zum Digitalisierungsgipfel der Gesundheitswirtschaft vom 12.02. – 13.02.2025 ein.

Auf dem Entscheider-Event werden die 5 Digitalisierungsthemen der Gesundheitswirtschaft aus 12 Finalisten durch Klinikentscheider gewählt. Die Entscheiderfabrik ist damit seit 2006 Inkubator in der Gesundheitswirtschaft: Kliniken probieren 12 Monate kostenneutral aus, ob eine Digitalisierungslösung tatsächlich einen Nutzen stiftenden Beitrag zum Erfolg des Krankenhauses beiträgt oder eben nicht.