News

Gutachten von Piltz Legal zum Cloud-Einsatz im Gesundheitswesen für den bvitg – Fragen zum neuen § 393 SGB V

Seit dem 1. Juli 2024 gilt der neue § 393 SGB V. Darin geht es um den Einsatz von Cloud-Diensten für die Verarbeitung von Gesundheits- und Sozialdaten im Gesundheitsbereich. Piltz Legal hat für den Bundesverband Gesundheits-IT – bvitg e. V. („bvitg“) ein Gutachten zu ausgewählten Fragen der Mitglieder des bvitg erstellt. Dieses Gutachten ist jetzt öffentlich auf der Website des bvitg unter der folgenden URL abrufbar: https://www.bvitg.de/wp-content/uploads/2024-05-27_bvitg-Cloud-Gutachten.pdf. In diesem Newsbeitrag gehen wir auf ausgewählte Themen ein, die auch im Gutachten detaillierter besprochen werden.

Kommt es für das Vorliegen eines Cloud-Computing-Dienstes darauf an, ob mit dem relevanten Dienst personenbezogene Daten verarbeitet werden?

Weil der § 393 Abs. 1 SGB V eine Verarbeitung von Gesundheits- und Sozialdaten mit Cloud-Computing-Diensten unter bestimmten Voraussetzungen erlaubt, mag man zunächst meinen, dass ein Cloud-Computing-Dienst nur dann vorliegt, wenn personenbezogene Daten verarbeitet werden. Der Begriff „Cloud-Computing-Dienst“ wird in § 384 Nr. 5 SGB V definiert. Die dort enthaltene Definition ist deckungsgleich mit derjenigen in Art. 6 Nr. 30 NIS2-Richtlinie. Aus keiner der dort geregelten Definitionsmerkmale geht allerdings direkt oder indirekt hervor, dass es für das Vorliegen eines Cloud-Computing-Dienstes darauf ankommt, ob personenbezogene Daten verarbeitet werden.

Der deutsche Gesetzgeber wollte sowohl im SGB V als auch im BSI-Gesetz einen einheitlichen Begriff verwenden (siehe BT, Drucksache 20/9048, S. 135 in Bezug auf Nr. 5). Weil in § 393 SGB V aber keine unionsrechtlich verpflichtend national zu regelnden Vorgaben umgesetzt werden, hätte der deutsche Gesetzgeber auch im SGB V eine andere Definition verwenden können. Demzufolge ist es zwar so, dass der § 393 SGB V von vornherein nicht anwendbar sein kann, wenn mit einem Cloud-Computing-Dienst keine personenbezogenen (Gesundheits- oder Sozialdaten) Daten verarbeitet werden. Aber für das Vorliegen eines Cloud-Computing-Dienstes kommt es trotzdem nicht darauf an, ob mit dem relevanten Dienst personenbezogene Daten verarbeitet werden oder nicht.

Rechenzentrumsdienste als Cloud-Computing-Dienste?

In der Praxis stellt sich auch die Frage, ob schon ein Rechenzentrumsdienst ein Cloud-Computing-Dienst sein kann. In dem Zusammenhang sei vorab allgemein darauf verwiesen, dass es einerseits eine Vielzahl an Definitionsmerkmalen gibt, die alle zusammen erfüllt sein müssen, damit ein Cloud-Computing-Dienst vorliegt. Andererseits sind alle einzelnen Definitionsmerkmale stark auslegungsbedürftig. Aktuell besteht deswegen diesbezüglich definitiv eine unklare Rechtslage, bei der man in vielen Fällen Spielraum dafür hat, in verschiedene Richtung zu argumentieren.

Was ein Rechenzentrumsdienst ist, wird in Art. 6 Nr. 31 NIS2-Richtlinie definiert. Ein Rechenzentrumsdienst meint „einen Dienst, mit dem spezielle Strukturen oder Gruppen von Strukturen für die zentrale Unterbringung, die Verbindung und den Betrieb von IT- und Netzausrüstungen zur Erbringung von Datenspeicher-, Datenverarbeitungs- und Datentransportdiensten sowie alle Anlagen und Infrastrukturen für die Leistungsverteilung und die Umgebungskontrolle bereitgestellt werden.“ Ein Cloud-Computing-Dienst meint „einen digitalen Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind.“ In Erwägungsgrund 33 zur NIS2-Richtlinie werden zudem die einzelnen Begriffsmerkmale für Cloud-Computing-Dienste näher erläutert.

Vergleicht man die Definitionen, so ist nicht auf den ersten Blick erkennbar, dass ein Rechenzentrumsdienst auch ein Cloud-Computing-Dienst sein kann, jedoch nicht immer sein muss. Das wird aber in Erwägungsgrund 35 Satz 1 und 2 zur NIS2-Richtlinie deutlich. Dort heißt es wie folgt: „Dienste, die von Anbietern von Rechenzentrumsdiensten angeboten werden, werden möglicherweise nicht immer in Form eines Cloud-Computing-Diensts erbracht. Dementsprechend sind Rechenzentren möglicherweise nicht immer Teil einer Cloud-Computing-Infrastruktur“.

In den folgenden Fällen geht es zwar um einen Rechenzentrumsdienst, aber dieser Dienst ist schon dann kein Cloud-Computing-Dienst, wenn eine der folgenden Aussagen auf so einen Rechenzentrumsdienst zutrifft:

  • der Rechenzentrumsdienst ist kein digitaler Dienst, weil die relevante Dienstleistung nicht elektronisch, sondern in anderer Form erbracht wird;
  • der Rechenzentrumsdienst ermöglicht keinen umfassenden Fernzugang, weil der Dienst nicht über das Netz bereitgestellt wird oder nicht über Mechanismen zugänglich gemacht wird, die den Einsatz heterogener Thin- oder Thick-Client-Plattformen (einschließlich Mobiltelefonen, Tablets, Laptops und Arbeitsplatzrechnern) fördern;
  • der Rechenzentrumsdienst wird nicht in Bezug auf Rechenressourcen erbracht, weil ein Zugang zu anderen Arten von Ressourcen bereitgestellt wird (bspw. nur Serverunterbringung);
  • der Rechenzentrumsdienst ist nicht skalierbar, weil die Rechenressourcen nicht unabhängig von ihrem geografischen Standort vom Anbieter des Dienstes flexibel zugeteilt werden können;
  • der Rechenzentrumsdienst ist nicht elastisch, weil die Rechenressource nicht entsprechend der Nachfrage bereitgestellt und freigegeben wird und somit die Menge der verfügbaren Ressourcen nicht rasch erhöht oder reduziert werden kann;
  • der Rechenzentrumsdienst ist nicht gemeinsam nutzbar.

Wer ist die „datenverarbeitende Stelle“, die eine Niederlassung im Inland haben muss und das Vorliegen eines BSI-C5-Testats nachweisen muss?

Im Datenschutzrecht gibt es die Rolle des Verantwortlichen, der manchmal auch als „verantwortliche Stelle“ bezeichnet wird. In § 393 Abs. 2 letzter Halbsatz SGB V und Abs. 3 Nr. 2 der Vorschrift wird auf die „datenverarbeitende Stelle“ verwiesen. Diese Stelle muss entsprechend der Regelung aus Abs. 2 eine Niederlassung im Inland haben und nach dem Abs. 3 ein BSI-C5-Testat nachweisen können. Mit der „datenverarbeitenden Stelle“ wird also ein Adressat bestimmt. Weil der Begriff heute im Datenschutzrecht nicht gebräuchlich ist, in den Sozialgesetzbüchern sonst auch nicht verwendet wird und der Begriff obendrein nicht definiert ist, stellen sich hier viele Fragen. Eine „datenverarbeitende Stelle“ verlangt dem Wortlaut nach nämlich nur eine Stelle, die Datenverarbeitungen vornimmt, ohne dabei auf einen Verantwortlichen oder Auftragsverarbeiter abzustellen.

Allerdings wurde der Begriff früher in mittlerweile nicht mehr gültigen Datenschutzgesetzen verwendet. Bspw. das hessische Datenschutzgesetz sah in seiner Fassung vom 20.5.2011 vor, dass die datenverarbeitende Stelle der Verantwortliche ist. Genauso war es in anderen Landesdatenschutzgesetzen geregelt. Während also vor Geltung der DSGVO der Begriff noch gebräuchlich war, so wird er aktuell nicht mehr verwendet. Es ist jedoch sehr gut denkbar, dass der Verfasser der Vorgaben des § 393 SGB V bei der Wortwahl „datenverarbeitende Stelle“ an das alte Begriffsverständnis anknüpfen wollte.

Es ist in der Gesamtschau nicht eindeutig klar, wer genau die datenverarbeitende Stelle i.S.v. § 393 SGB V ist. Im erstellten Gutachten (hier) finden Sie hierzu weitere Ausführungen. Die besseren Argumente sprechen dafür, dass mit dem Begriff auf jeden Fall Leistungserbringer und Kranken- und Pflegekassen gemeint sind. Nicht geklärt ist, ob auch die Auftragsverarbeiter (bspw. Anbieter der Cloud-Dienste) unter den Begriff „datenverarbeitende Stelle“ fallen. Es ist in jedem Fall sehr misslich, dass der deutsche Gesetzgeber diesen Begriff verwendet hat und gleichzeitig aus der Gesetzesbegründung nicht klar wird, warum die althergebrachte Formulierung anstelle der im SGB sonst üblichen Begriffe verwendet wurde. Bei einer künftigen Anpassung des § 393 SGB V sollte hier unbedingt eine Klarstellung erfolgen.

Strenge Vorgaben für Drittlandsübermittlungen

In § 393 Abs. 2 SGB V werden Vorgaben geregelt, durch die vermieden werden soll, dass Gesundheits- und Sozialdaten in unsichere Drittstaaten übermittelt werden. Konkret wird geregelt, dass eine Verarbeitung von Sozial- und Gesundheitsdaten mit Cloud-Computing-Diensten vorgenommen werden darf, wenn die Verarbeitung entweder im Inland oder einem Mitgliedstaat der EU oder des EWR oder in einem Drittstaat mit Angemessenheitsbeschluss (nach Art. 45 DSGVO) erfolgt. Außerdem muss die datenverarbeitende Stelle über eine Niederlassung in Deutschland verfügen.

Aus den eben zitierten Vorgaben wird deutlich, dass im Anwendungsbereich des § 393 SGB V Drittlandsübermittlungen nicht auf Basis von Standardvertragsklauseln oder Binding Corporate Rules oder den Ausnahmen aus Art. 49 DSGVO erfolgen können. Es muss bei einer Drittlandsübermittlung immer ein Angemessenheitsbeschluss vorhanden sein. Würde also der aktuelle Angemessenheitsbeschluss für die USA vom EuGH gekippt werden, dann hätte dies im Anwendungsbereich des § 393 SGB V auch weitreichende Folgen für den Cloud-Einsatz weitverbreiteter Dienste im Gesundheitsbereich.

Ausblick

In nächster Zeit stellen sich für sehr viele Akteure aus dem Gesundheitsbereich eine Vielzahl an Fragen zum § 393 SGB V. In dem von uns erstellten Gutachten finden Sie erste Antworten auf einige praxisrelevante Fragen. Wenn Sie weitere Fragen haben, sprechen Sie uns an!

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

Neuer Referentenentwurf des BMJ: Gesetz zur Änderung des Bürgerlichen Gesetzbuchs – Einsichtnahme in die Patientenakte

Hinsichtlich des Anspruchs auf Erhalt von Informationen und Dokumenten aus einer Patientenakte ist eine Änderung des Bürgerlichen Gesetzbuches geplant. Diese Änderungen schlägt des Bundesjustizministerium in einem aktuellen Referentenentwurf als Reaktion auf das EuGH-Urteil in der C‑307/22 vom 26. Oktober 2023 vor.  

DSK zum datenschutzkonformen KI-Einsatz

Die DSK-Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ adressiert vor allem Verantwortliche, die KI einsetzen, aber auch mittelbar Entwickler, Hersteller und Anbieter von KI-Lösungen. Sie bietet einen Überblick zu aus Sicht der Behörden relevanten Kriterien, soll jedoch nicht als abschließender Anforderungskatalog verstanden werden. Trotzdem enthält das Dokument Verweise auf eine große Vielzahl verschiedener rechtlicher Anforderungen.

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.