Durch die im Juli 2024 erfolgte Neufassung des § 393 SGB V wird der rechtlichen Rahmen für den Einsatz von Cloud-Computing-Diensten bei der Verarbeitung von Sozial- und Gesundheitsdaten konkretisiert.
Der § 393 SGB V richtet sich konkret an medizinische Leistungserbringer sowie deren Auftragsverarbeiter, welche Sozial- und Gesundheitsdaten mittels Cloud-Computing-Diensten verarbeiten. Vor dem Hintergrund der zunehmenden Digitalisierung im Gesundheitswesen sollen insbesondere der datenschutzkonforme Einsatz internetbasierter IT-Anwendungen, wie z. B. von Patientenportalen, gewährleistet werden.
Voraussetzung für die Zulässigkeit einer solchen Datenverarbeitung ist der Nachweis eines aktuellen C5-Testats der datenverarbeitenden Stelle. Dieses Testat muss sich auf die C5-Basiskriterien in Bezug auf die eingesetzten Cloud-Systeme und die verwendeten technischen und organisatorischen Maßnahmen beziehen.
Mit der rückwirkend zum 1. Juli 2024 in Kraft getretenen C5-Gleichwertigkeitsverordnung (C5GleichwV) wurde eine befristete Übergangsregelung geschaffen, die es ermöglicht, bis zu zwei Jahre lang alternative Nachweise anstelle eines C5-Typ-2-Testats vorzulegen. Zwar entfällt mit Wirkung zum 1. Juli 2024 vorübergehend die Pflicht zur Vorlage eines aktuellen C5-Typ-2-Testats, dennoch definiert die C5GleichwV verbindliche Anforderungen, die weiterhin erfüllt sein müssen, um eine rechtmäßige Datenverarbeitung unter Einsatz von Cloud-Diensten sicherzustellen.
Welche Zertifizierungen und Nachweise gelten als C5-Äquivalent?
Als gleichwertig zur C5-Zertifizierung gelten unter der Verordnung folgende Zertifizierungen bzw. Testate:
- ISO/IEC 27001 in Verbindung mit dem BSI-IT-Grundschutz,
- Cloud Controls Matrix (CCM) Version 4.0 in der jeweils aktuellen Fassung,
- ISO/IEC 27001 in der jeweils gültigen Fassung.
Neben dem Vorliegen einer gültigen Zertifizierung nach einem der genannten Standards muss der Cloud-Dienstleister einen strukturierten Maßnahmenplan vorlegen, der folgende Elemente umfasst:
- Identifikation der Lücken
Übersicht, welche Basiskriterien aus dem C5-Katalog nicht durch die alternative Zertifizierung abgedeckt sind.
- Maßnahmen zur Schließung
Dokumentation, welche technischen und organisatorischen Maßnahmen ergriffen werden, um diese Lücken aus Punkt 1 zu schließen.
- Zeitplan für Umsetzung
Meilensteinplan mit terminiertem Ablauf, so dass alle Vorkehrungen aus Nummer 2 innerhalb von 12 Monaten nach Erstellung des Plans umgesetzt sind.
- Plan zur C5-Testierung
Nachweis, wie innerhalb von 18 Monaten ab Meilensteinplanung nach Nummer 3 ein C5 Typ 1 Testat erreicht wird und innerhalb von 24 Monaten nach Meilensteinplanung nach Nummer 3 ein C5 Typ 2 Testat – inklusive der Vereinbarungen mit Auditoren oder Aufnahme von Vertragsverhandlungen.
Der Maßnahmenplan sowie das alternative Testat bzw. Zertifikat sind auf Verlangen dem jeweiligen medizinischen Leistungserbringer, der den Cloud-Dienst in Anspruch nimmt, unverzüglich zur Verfügung zu stellen. Diese Transparenzpflicht soll sicherstellen, dass auch bei Nutzung eines alternativen Nachweises ein mit dem C5-Standard vergleichbares Sicherheitsniveau gewährleistet ist.
Weiterführenden Links
C5-Gleichwertigkeitsverordnung – C5GleichwV (externer Link)
§ 393 Cloud – Einsatz im Gesundheitswesen (externer Link)