Seit dem 1. Juli 2024 gilt der neue § 393 SGB V. Darin geht es um den Einsatz von Cloud-Diensten für die Verarbeitung von Gesundheits- und Sozialdaten im Gesundheitsbereich. Piltz Legal hat für den Bundesverband Gesundheits-IT – bvitg e. V. („bvitg“) ein Gutachten zu ausgewählten Fragen der Mitglieder des bvitg erstellt. Dieses Gutachten ist jetzt öffentlich auf der Website des bvitg unter der folgenden URL abrufbar: https://www.bvitg.de/wp-content/uploads/2024-05-27_bvitg-Cloud-Gutachten.pdf. In diesem Newsbeitrag gehen wir auf ausgewählte Themen ein, die auch im Gutachten detaillierter besprochen werden.

Kommt es für das Vorliegen eines Cloud-Computing-Dienstes darauf an, ob mit dem relevanten Dienst personenbezogene Daten verarbeitet werden?

Weil der § 393 Abs. 1 SGB V eine Verarbeitung von Gesundheits- und Sozialdaten mit Cloud-Computing-Diensten unter bestimmten Voraussetzungen erlaubt, mag man zunächst meinen, dass ein Cloud-Computing-Dienst nur dann vorliegt, wenn personenbezogene Daten verarbeitet werden. Der Begriff „Cloud-Computing-Dienst“ wird in § 384 Nr. 5 SGB V definiert. Die dort enthaltene Definition ist deckungsgleich mit derjenigen in Art. 6 Nr. 30 NIS2-Richtlinie. Aus keiner der dort geregelten Definitionsmerkmale geht allerdings direkt oder indirekt hervor, dass es für das Vorliegen eines Cloud-Computing-Dienstes darauf ankommt, ob personenbezogene Daten verarbeitet werden.

Der deutsche Gesetzgeber wollte sowohl im SGB V als auch im BSI-Gesetz einen einheitlichen Begriff verwenden (siehe BT, Drucksache 20/9048, S. 135 in Bezug auf Nr. 5). Weil in § 393 SGB V aber keine unionsrechtlich verpflichtend national zu regelnden Vorgaben umgesetzt werden, hätte der deutsche Gesetzgeber auch im SGB V eine andere Definition verwenden können. Demzufolge ist es zwar so, dass der § 393 SGB V von vornherein nicht anwendbar sein kann, wenn mit einem Cloud-Computing-Dienst keine personenbezogenen (Gesundheits- oder Sozialdaten) Daten verarbeitet werden. Aber für das Vorliegen eines Cloud-Computing-Dienstes kommt es trotzdem nicht darauf an, ob mit dem relevanten Dienst personenbezogene Daten verarbeitet werden oder nicht.

Rechenzentrumsdienste als Cloud-Computing-Dienste?

In der Praxis stellt sich auch die Frage, ob schon ein Rechenzentrumsdienst ein Cloud-Computing-Dienst sein kann. In dem Zusammenhang sei vorab allgemein darauf verwiesen, dass es einerseits eine Vielzahl an Definitionsmerkmalen gibt, die alle zusammen erfüllt sein müssen, damit ein Cloud-Computing-Dienst vorliegt. Andererseits sind alle einzelnen Definitionsmerkmale stark auslegungsbedürftig. Aktuell besteht deswegen diesbezüglich definitiv eine unklare Rechtslage, bei der man in vielen Fällen Spielraum dafür hat, in verschiedene Richtung zu argumentieren.

Was ein Rechenzentrumsdienst ist, wird in Art. 6 Nr. 31 NIS2-Richtlinie definiert. Ein Rechenzentrumsdienst meint „einen Dienst, mit dem spezielle Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von IT- und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Datentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungskontrolle bereitgestellt werden.“ Ein Cloud-Computing-Dienst meint „einen digitalen Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind.“ In Erwägungsgrund 33 zur NIS2-Richtlinie werden zudem die einzelnen Begriffsmerkmale für Cloud-Computing-Dienste näher erläutert.

Vergleicht man die Definitionen, so ist nicht auf den ersten Blick erkennbar, dass ein Rechenzentrumsdienst auch ein Cloud-Computing-Dienst sein kann, jedoch nicht immer sein muss. Das wird aber in Erwägungsgrund 35 Satz 1 und 2 zur NIS2-Richtlinie deutlich. Dort heißt es wie folgt: „Dienste, die von Anbietern von Rechenzentrumsdiensten angeboten werden, werden möglicherweise nicht immer in Form eines Cloud-Computing-Diensts erbracht. Dementsprechend sind Rechenzentren möglicherweise nicht immer Teil einer Cloud-Computing-Infrastruktur“.

In den folgenden Fällen geht es zwar um einen Rechenzentrumsdienst, aber dieser Dienst ist schon dann kein Cloud-Computing-Dienst, wenn eine der folgenden Aussagen auf so einen Rechenzentrumsdienst zutrifft:

• der Rechenzentrumsdienst ist kein digitaler Dienst, weil die relevante Dienstleistung nicht elektronisch, sondern in anderer Form erbracht wird;
• der Rechenzentrumsdienst ermöglicht keinen umfassenden Fernzugang, weil der Dienst nicht über das Netz bereitgestellt wird oder nicht über Mechanismen zugänglich gemacht wird, die den Einsatz heterogener Thin- oder Thick-Client-Plattformen (einschließlich Mobiltelefonen, Tablets, Laptops und Arbeitsplatzrechnern) fördern;
• der Rechenzentrumsdienst wird nicht in Bezug auf Rechenressourcen erbracht, weil ein Zugang zu anderen Arten von Ressourcen bereitgestellt wird (bspw. nur Serverunterbringung);
• der Rechenzentrumsdienst ist nicht skalierbar, weil die Rechenressourcen nicht unabhängig von ihrem geografischen Standort vom Anbieter des Dienstes flexibel zugeteilt werden können;
• der Rechenzentrumsdienst ist nicht elastisch, weil die Rechenressource nicht entsprechend der Nachfrage bereitgestellt und freigegeben wird und somit die Menge der verfügbaren Ressourcen nicht rasch erhöht oder reduziert werden kann;
• der Rechenzentrumsdienst ist nicht gemeinsam nutzbar.

Wer ist die „datenverarbeitende Stelle“, die eine Niederlassung im Inland haben muss und das Vorliegen eines BSI-C5-Testats nachweisen muss?

Im Datenschutzrecht gibt es die Rolle des Verantwortlichen, der manchmal auch als „verantwortliche Stelle“ bezeichnet wird. In § 393 Abs. 2 letzter Halbsatz SGB V und Abs. 3 Nr. 2 der Vorschrift wird auf die „datenverarbeitende Stelle“ verwiesen. Diese Stelle muss entsprechend der Regelung aus Abs. 2 eine Niederlassung im Inland haben und nach dem Abs. 3 ein BSI-C5-Testat nachweisen können. Mit der „datenverarbeitenden Stelle“ wird also ein Adressat bestimmt. Weil der Begriff heute im Datenschutzrecht nicht gebräuchlich ist, in den Sozialgesetzbüchern sonst auch nicht verwendet wird und der Begriff obendrein nicht definiert ist, stellen sich hier viele Fragen. Eine „datenverarbeitende Stelle“ verlangt dem Wortlaut nach nämlich nur eine Stelle, die Datenverarbeitungen vornimmt, ohne dabei auf einen Verantwortlichen oder Auftragsverarbeiter abzustellen.

Allerdings wurde der Begriff früher in mittlerweile nicht mehr gültigen Datenschutzgesetzen verwendet. Bspw. das hessische Datenschutzgesetz sah in seiner Fassung vom 20.5.2011 vor, dass die datenverarbeitende Stelle der Verantwortliche ist. Genauso war es in anderen Landesdatenschutzgesetzen geregelt. Während also vor Geltung der DSGVO der Begriff noch gebräuchlich war, so wird er aktuell nicht mehr verwendet. Es ist jedoch sehr gut denkbar, dass der Verfasser der Vorgaben des § 393 SGB V bei der Wortwahl „datenverarbeitende Stelle“ an das alte Begriffsverständnis anknüpfen wollte.

Es ist in der Gesamtschau nicht eindeutig klar, wer genau die datenverarbeitende Stelle i.S.v. § 393 SGB V ist. Im erstellten Gutachten (hier) finden Sie hierzu weitere Ausführungen. Die besseren Argumente sprechen dafür, dass mit dem Begriff auf jeden Fall Leistungserbringer und Kranken- und Pflegekassen gemeint sind. Nicht geklärt ist, ob auch die Auftragsverarbeiter (bspw. Anbieter der Cloud-Dienste) unter den Begriff „datenverarbeitende Stelle“ fallen. Es ist in jedem Fall sehr misslich, dass der deutsche Gesetzgeber diesen Begriff verwendet hat und gleichzeitig aus der Gesetzesbegründung nicht klar wird, warum die althergebrachte Formulierung anstelle der im SGB sonst üblichen Begriffe verwendet wurde. Bei einer künftigen Anpassung des § 393 SGB V sollte hier unbedingt eine Klarstellung erfolgen.

Strenge Vorgaben für Drittlandsübermittlungen

In § 393 Abs. 2 SGB V werden Vorgaben geregelt, durch die vermieden werden soll, dass Gesundheits- und Sozialdaten in unsichere Drittstaaten übermittelt werden. Konkret wird geregelt, dass eine Verarbeitung von Sozial- und Gesundheitsdaten mit Cloud-Computing-Diensten vorgenommen werden darf, wenn die Verarbeitung entweder im Inland oder einem Mitgliedstaat der EU oder des EWR oder in einem Drittstaat mit Angemessenheitsbeschluss (nach Art. 45 DSGVO) erfolgt. Außerdem muss die datenverarbeitende Stelle über eine Niederlassung in Deutschland verfügen.

Aus den eben zitierten Vorgaben wird deutlich, dass im Anwendungsbereich des § 393 SGB V Drittlandsübermittlungen nicht auf Basis von Standardvertragsklauseln oder Binding Corporate Rules oder den Ausnahmen aus Art. 49 DSGVO erfolgen können. Es muss bei einer Drittlandsübermittlung immer ein Angemessenheitsbeschluss vorhanden sein. Würde also der aktuelle Angemessenheitsbeschluss für die USA vom EuGH gekippt werden, dann hätte dies im Anwendungsbereich des § 393 SGB V auch weitreichende Folgen für den Cloud-Einsatz weitverbreiteter Dienste im Gesundheitsbereich.

Ausblick

In nächster Zeit stellen sich für sehr viele Akteure aus dem Gesundheitsbereich eine Vielzahl an Fragen zum § 393 SGB V. In dem von uns erstellten Gutachten finden Sie erste Antworten auf einige praxisrelevante Fragen. Wenn Sie weitere Fragen haben, sprechen Sie uns an!