2.1 Clouddienste (Abs. 1)
Rz. 3
Leistungserbringer und Kranken- und Pflegekassen (§ 4 SGB V, § 1 Abs. 3 SGB XI) sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes verarbeiten. Dazu sind abschließend genannte Mindestanforderungen zu erfüllen (Abs. 2, 3). Die Regelung enthält die Erlaubnis, Cloud-Computing für gesetzlich genannte Tatbestände bei der Verarbeitung von Sozial- und Gesundheitsdaten zu nutzen. Die Regelung legt Mindeststandards sowohl für die Auftragsverarbeitung (vgl. Art. 28 DSGVO) durch externe Cloud-Dienstleister als auch für den Einsatz einer eigenen Cloud-Lösung des jeweiligen Leistungserbringers fest.
2.2 Datenschutz (Abs. 2)
Rz. 4
Aus datenschutzrechtlichen Gründen dürfen Sozial- und Gesundheitsdaten im Cloud-Computing nur
- im Inland,
- in einem Mitgliedstaat der Europäischen Union oder
- in einem gleichgestellten Drittstaat (Island, Liechtenstein, Norwegen, Schweiz)
verarbeitet werden. Die datenverarbeitende Stelle muss über eine Niederlassung im Inland verfügen. § 80 Abs. 2 SGB X ist ergänzend zu beachten.
2.3 Voraussetzungen (Abs. 3)
Rz. 5
Daten dürfen im Cloud-Dienst nur verarbeitet werden, wenn
- nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen worden sind,
- ein aktuelles C5-Testat der datenverarbeitenden Stelle vorliegt und
- die im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden umgesetzt sind.
Angemessene technische und organisatorische Maßnahmen (Nr. 1) sind fortlaufend zu prüfen und anzupassen (nach dem Stand der Technik). Welche Maßnahmen angemessen sind, richtet sich nach Abs. 5. Cloud-Systeme (Komponenten, Prozesse) und Cloud-Technik sind nach dem C5-Standard des BSI (§ 384 Nr. 6) unabhängig geprüft und testiert (Nr. 2). Die in der Berichterstattung zur C5-Testierung regelmäßig enthaltenen Auflagen zu Konfiguration und Betrieb der testierten Systeme (Endnutzer-Kontrollen) müssen verpflichtend umgesetzt werden (Nr. 3).
Rz. 6
Der C5-Kriterienkatalog und das jeweilige C5-Testat enthalten auch sog. "Korrespondierende Kriterien für Kunden". Die Aufrechterhaltung der Informationssicherheit eines Cloud-Dienstes obliegt nicht alleine dem Cloud-Anbieter. Auch die Kunden müssen den Mitwirkungspflichten in ihrem Verantwortungsbereich nachkommen. Bei Cloud-Diensten für Infrastruktur sind Kunden typischerweise selbst dafür verantwortlich, z. B. Sicherheitsaktualisierungen für das von Ihnen genutzte Betriebssystem einzuspielen, wohingegen diese Verantwortung bei der Nutzung eines Cloud-Dienstes für eine Software typischerweise beim Cloud-Anbieter liegt. Im C5-Testat können für einzelne C5-Kriterien korrespondierende Kriterien für Kunden festgelegt sein, die aufzeigen sollen, wo potenziell Mitwirkungspflichten bestehen.
Die Leistungserbringer sind zur Einhaltung der korrespondierenden Kriterien für Kunden (auch bezeichnet als Endkunden- oder Endnutzer-Kontrolle) vor dem Einsatz von Cloud-Diensten verpflichtet. Die Möglichkeit zu einer niedrigschwelligen Endkunden-Kontrolle soll vom Prozess her von der datenverarbeitenden Stelle, d. h. dem Cloud-Dienstleister, nachgehalten werden. Denn die Leistungserbringer sollen nicht damit überfordert und belastet werden, den C5-Bericht ihres Cloud-IT-Dienstleisters auszuwerten und aufwändige Endkunden-Kontrollen vorzunehmen.
Die Cloud-IT-Dienstleister selbst werden daher verpflichtet, ihren Prüfbericht des Testats in Form einer einfach verständlichen, möglichst kurzen Kontroll-/Check-/Prüfliste aufzuarbeiten, damit für die Leistungserbringer schnell und einfach erkennbar wird, zu welchen Voraussetzungen die Cloud-Dienste des Anbieters eingesetzt werden können (z. B. Voraussetzungen wie Passwörter, Verschlüsselung, etc.). Diese Prozessänderung und -vereinfachung zugunsten der Leistungserbringer ist geboten, damit die C5-Testierung die volle Wirkung entfalten kann und Unsicherheiten genommen werden (BT-Drs. 20/9788 S. 192 f.).
2.4 Stufenweise Einführung der Testierpflicht (Abs. 4)
Rz. 7
Für die C5-Testierung bis zum 30.6.2025 ist ein C5-Typ-1-Testat ausreichend, das den standardkonformen Status der Cloud-Bestandteile für den Testierungszeitpunkt bescheinigt (Satz 1). Ab dem 1.7.2025 müssen C5-Typ-2-Testate vorgelegt werden, die für einen Zeitraum vor dem Testierungszeitpunkt den standardkonformen Status der Cloud-Bestandteile bescheinigen (Satz 2). Die Testierungszeiträume müssen eine lückenlose Abfolge darstellen, um den standardkonformen Status kontinuierlich belegen zu können. Die zeitlich gestaffelten Anforderungen stellen eine stufenweise Einführung der Testierungspflicht in einer Übergangsfrist dar, um eine Überlastung der bereits aktiven Cloud-Anbieter durch die Anforderungen an ein C5-Typ-2-Testat zu vermeiden (BT-Drs. 20/9048 S. 151).
Rz. 8
Alternativ ist eine Verarbeitung zulässig, soweit anstelle eines aktuellen C5-Testats ein Testat oder Zertifikat nach einem Standard vorliegt, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau sicherstellt (Satz 3). Die Öffnung ...