2024: Die Gesetzgebung zur Bekämpfung der Cyberkriminalität boomt. Wie im Bereich der DSGVO gibt es allgemeine und sektorenspezifische Regelungen. Zu den allgemeinen Regelungen gehören die NIS2-2- RL und der CRA, und zu den sektorenspezifischen Regelungen gehören im Moment insbesondere Regelungen für die Sektoren Gesundheit,Banken und Versicherungen. Die Regelungen für den Gesundheitssektor sind im SGB V angelegt und durch das „Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen“ (DigiG) bedingt. Dessen wesentliche Regelungen sollen hier kurz dargelegt werden:
I: Zertifizierungspflicht
In dem § 393 SGB V ist die Verpflichtung zur Zertifizierung neu eingefügt.
Leistungserbringer im Sinne des vierten Kapitels sind Kranken und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter. Sie dürfen Sozialdaten und Gesundheitsdaten auch im Wege des Cloud Computing verarbeiten, sofern die Voraussetzungen der Absätze 2 bis 4 erfüllt sind.
Absatz 2regelt Zulässigkeit nach lokalen Kriterien. In Absatz 3 heißt es dann, dass
- nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen worden sein müssen,
- ein aktuelles C 5- Testat der datenverarbeitenden Stelle im Hinblick auf die Basiskriterien C 5 für die im Rahmen des Cloud Computing – Dienstes eingesetzten Cloud Systeme vorliegen muss
- die in einem Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden umgesetzt sind.
Leistungserbringer sind Unternehmen, die Leistungen zur Verarbeitung von Gesundheitsdaten für Kunden im Wege des Cloud Computing erbringen. Kunden sind alle Einrichtungen (Kliniken, MVZ, etc.) die Cloudservices zur Verarbeitung von Gesundheitsdaten einsetzen.
Der Terminus der Gesundheitsdaten wird vermutlich systematisch an den in der DSGVO im Art 4 Nr.15 DSGVO verwendeten Begriff angelehnt. Wo auch immer die Inhalte der Dateien personenbezogene Daten umfassen, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, oder die die Erbringung von Gesundheitsdienstleistungen beinhalten, wird der Begriff erfüllt sein. Eine Ausnahme besteht höchstens dann, wenn die Daten so aufbereitet sind, dass eine Rückverfolgbarkeit vernünftigerweise nicht erwartet werden kann. Werden also die Daten mit einem technischen System chiffriert und erst dann in das andere System eingelesen, liegt kein Anwendungsbereich vor. Ist eine Dechiffrierung wieder im selben System möglich, so ist der Anwendungsbereich eröffnet.
Letztlich wird in der Praxis stets die Frage erhoben, welche Unternehmen in der Lieferkette (also welche Subunternehmer, Kooperationspartner etc.) die angeforderten Kriterien erfüllen müssen. Die Frage kann nur im Hinblick auf das im Einzelfall bestehende Risiko erfolgen. Je mehr die betroffenen Subunternehmer in die Verarbeitung der Gesundheitsdaten eingebunden sind (also Tore für eine mangelnde Integrität oder Verfügbarkeit darstellen) desto eher besteht die Notwendigkeit dafür, dass auch diese Subunternehmer die Testate beibringen müssen.
2024: Die Gesetzgebung zur
Bekämpfung der Cyberkriminalität boomt. Wie im Bereich der DSGVO gibt es
allgemeine und sektorenspezifische Regelungen. Zu den allgemeinen Regelungen
gehören die NIS2-2- RL und der CRA, und zu den sektorenspezifischen Regelungen
gehören im Moment insbesondere Regelungen für die Sektoren Gesundheit,Banken
und Versicherungen. Die Regelungen für den Gesundheitssektor sind im SGB V
angelegt und durch das „Gesetz zur Beschleunigung der Digitalisierung im
Gesundheitswesen“ (DigiG) bedingt. Dessen wesentliche Regelungen sollen hier
kurz dargelegt werden: I: ZertifizierungspflichtIn dem § 393 SGB V ist die
Verpflichtung zur Zertifizierung neu eingefügt.Leistungserbringer im Sinne des
vierten Kapitels sind Kranken und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter.
Sie dürfen Sozialdaten und Gesundheitsdaten auch im Wege des Cloud Computing
verarbeiten, sofern die Voraussetzungen der Absätze 2 bis 4 erfüllt sind.Absatz 2 regelt Zulässigkeit
nach lokalen Kriterien. In Absatz 3 heißt es dann, dass (1)
nach dem Stand der Technik angemessene
technische und organisatorische Maßnahmen zur Gewährleistung der
Informationssicherheit ergriffen worden sein müssen, (2)
ein aktuelles C 5- Testat der
datenverarbeitenden Stelle im Hinblick auf die Basiskriterien C 5 für die im
Rahmen des Cloud Computing – Dienstes eingesetzten Cloud Systeme vorliegen muss(3) die
in einem Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für
Kunden umgesetzt sind.Leistungserbringer sind
Unternehmen, die Leistungen zur Verarbeitung von Gesundheitsdaten für Kunden im
Wege des Cloud Computing erbringen. Kunden sind alle Einrichtungen (Kliniken,
MVZ, etc.) die Cloudservices zur Verarbeitung von Gesundheitsdaten einsetzen. Der Terminus der Gesundheitsdaten
wird vermutlich systematisch an den in der DSGVO im Art 4 Nr.15 DSGVO
verwendeten Begriff angelehnt. Wo auch immer die Inhalte der Dateien personenbezogene
Daten umfassen, die sich auf die körperliche oder geistige Gesundheit einer
natürlichen Person beziehen, oder die die Erbringung von
Gesundheitsdienstleistungen beinhalten, wird der Begriff erfüllt sein. Eine
Ausnahme besteht höchstens dann, wenn die Daten so aufbereitet sind, dass eine
Rückverfolgbarkeit vernünftigerweise nicht erwartet werden kann. Werden also
die Daten mit einem technischen System chiffriert und erst dann in das andere
System eingelesen, liegt kein Anwendungsbereich vor. Ist eine Dechiffrierung
wieder im selben System möglich, so ist der Anwendungsbereich eröffnet. Letztlich wird in der Praxis
stets die Frage erhoben, welche Unternehmen in der Lieferkette (also welche Subunternehmer,
Kooperationspartner etc.) die angeforderten Kriterien erfüllen müssen. Die Frage
kann nur im Hinblick auf das im Einzelfall bestehende Risiko erfolgen. Je mehr die
betroffenen Subunternehmer in die Verarbeitung der Gesundheitsdaten eingebunden
sind (also Tore für eine mangelnde Integrität oder Verfügbarkeit darstellen)
desto eher besteht die Notwendigkeit dafür, dass auch diese Subunternehmer die
Testate beibringen müssen.
