Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Steuern
  • Haufe Steuer Office Excellence
  • Rechtsprechung
  • Gesetzgebung & Politik
  • Finanzverwaltung
  • Steuerwissen & Tipps
  • Taxulting

Sommer, SGB V § 393 Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Norbert Finkenbusch

0 Rechtsentwicklung

 

Rz. 1

Art. 2 Nr. 6 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat die Vorschrift mit Wirkung zum 1.7.2024 in das SGB eingefügt. Sozial- und Gesundheitsdaten dürfen durch Cloud-Dienste verarbeitet werden.

1 Allgemeines

 

Rz. 2

Die Vorschrift regelt den Einsatz von cloudbasierten Systemen im Gesundheitswesen und stellt spezielle Anforderungen an den Cloud-Einsatz. § 80 SGB X ist ergänzend anzuwenden. Damit werden ein sicherer Einsatz der bereits weit verbreiteten Technik auch im Gesundheitswesen ermöglicht und insbesondere für Leistungserbringer technische Mindeststandards gesetzt.

2 Rechtspraxis

2.1 Clouddienste (Abs. 1)

 

Rz. 3

Leistungserbringer und Kranken- und Pflegekassen (§ 4 SGB V, § 1 Abs. 3 SGB XI) sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes verarbeiten. Dazu sind abschließend genannte Mindestanforderungen zu erfüllen (Abs. 2, 3). Die Regelung enthält die Erlaubnis, Cloud-Computing für gesetzlich genannte Tatbestände bei der Verarbeitung von Sozial- und Gesundheitsdaten zu nutzen. Die Regelung legt Mindeststandards sowohl für die Auftragsverarbeitung (vgl. Art. 28 DSGVO) durch externe Cloud-Dienstleister als auch für den Einsatz einer eigenen Cloud-Lösung des jeweiligen Leistungserbringers fest.

2.2 Datenschutz (Abs. 2)

 

Rz. 4

Aus datenschutzrechtlichen Gründen dürfen Sozial- und Gesundheitsdaten im Cloud-Computing nur

  • im Inland,
  • in einem Mitgliedstaat der Europäischen Union oder
  • in einem gleichgestellten Drittstaat (Island, Liechtenstein, Norwegen, Schweiz)

verarbeitet werden. Die datenverarbeitende Stelle muss über eine Niederlassung im Inland verfügen. § 80 Abs. 2 SGB X ist ergänzend zu beachten.

2.3 Voraussetzungen (Abs. 3)

 

Rz. 5

Daten dürfen im Cloud-Dienst nur verarbeitet werden, wenn

  • nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen worden sind,
  • ein aktuelles C5-Testat der datenverarbeitenden Stelle vorliegt und
  • die im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden umgesetzt sind.

Angemessene technische und organisatorische Maßnahmen (Nr. 1) sind fortlaufend zu prüfen und anzupassen (nach dem Stand der Technik). Welche Maßnahmen angemessen sind, richtet sich nach Abs. 5. Cloud-Systeme (Komponenten, Prozesse) und Cloud-Technik sind nach dem C5-Standard des BSI (§ 384 Nr. 6) unabhängig geprüft und testiert (Nr. 2). Die in der Berichterstattung zur C5-Testierung regelmäßig enthaltenen Auflagen zu Konfiguration und Betrieb der testierten Systeme (Endnutzer-Kontrollen) müssen verpflichtend umgesetzt werden (Nr. 3).

 

Rz. 6

Der C5-Kriterienkatalog und das jeweilige C5-Testat enthalten auch sog. "Korrespondierende Kriterien für Kunden". Die Aufrechterhaltung der Informationssicherheit eines Cloud-Dienstes obliegt nicht alleine dem Cloud-Anbieter. Auch die Kunden müssen den Mitwirkungspflichten in ihrem Verantwortungsbereich nachkommen. Bei Cloud-Diensten für Infrastruktur sind Kunden typischerweise selbst dafür verantwortlich, z. B. Sicherheitsaktualisierungen für das von Ihnen genutzte Betriebssystem einzuspielen, wohingegen diese Verantwortung bei der Nutzung eines Cloud-Dienstes für eine Software typischerweise beim Cloud-Anbieter liegt. Im C5-Testat können für einzelne C5-Kriterien korrespondierende Kriterien für Kunden festgelegt sein, die aufzeigen sollen, wo potenziell Mitwirkungspflichten bestehen.

Die Leistungserbringer sind zur Einhaltung der korrespondierenden Kriterien für Kunden (auch bezeichnet als Endkunden- oder Endnutzer-Kontrolle) vor dem Einsatz von Cloud-Diensten verpflichtet. Die Möglichkeit zu einer niedrigschwelligen Endkunden-Kontrolle soll vom Prozess her von der datenverarbeitenden Stelle, d. h. dem Cloud-Dienstleister, nachgehalten werden. Denn die Leistungserbringer sollen nicht damit überfordert und belastet werden, den C5-Bericht ihres Cloud-IT-Dienstleisters auszuwerten und aufwändige Endkunden-Kontrollen vorzunehmen.

Die Cloud-IT-Dienstleister selbst werden daher verpflichtet, ihren Prüfbericht des Testats in Form einer einfach verständlichen, möglichst kurzen Kontroll-/Check-/Prüfliste aufzuarbeiten, damit für die Leistungserbringer schnell und einfach erkennbar wird, zu welchen Voraussetzungen die Cloud-Dienste des Anbieters eingesetzt werden können (z. B. Voraussetzungen wie Passwörter, Verschlüsselung, etc.). Diese Prozessänderung und -vereinfachung zugunsten der Leistungserbringer ist geboten, damit die C5-Testierung die volle Wirkung entfalten kann und Unsicherheiten genommen werden (BT-Drs. 20/9788 S. 192 f.).

2.4 Stufenweise Einführung der Testierpflicht (Abs. 4)

 

Rz. 7

Für die C5-Testierung bis zum 30.6.2025 ist ein C5-Typ-1-Testat ausreichend, das den standardkonformen Status der Cloud-Bestandteile für den Testierungszeitpunkt bescheinigt (Satz 1). Ab dem 1.7.2025 müssen C5-Typ-2-Testate vorgelegt werden, die für einen Zeitraum vor dem Testierungszeitpunkt den standardkonformen Status der Cloud-Bestandteile bescheinigen (Satz 2). Die Testierungszeiträume mü...

Dieser Inhalt ist unter anderem im Haufe Steuer Office Excellence enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Trennungsunterhalt / 5 Steuerliche Berücksichtigung
    1.258
  • Änderungsvorschriften / 3.1 "Schlichte" Änderung
    1.048
  • Neuregelungen für Kleinunternehmer ab 1.1.2025 (USTB 202 ... / 1. Kleinunternehmerregelung für im Inland ansässige Kleinunternehmer
    1.037
  • Umsatzsteuer bei Betriebskostenabrechnung für Mietverhäl ... / 1. Betriebskostenabrechnung zwischen Vermieter und Mieter
    1.016
  • Kündigung und Niederlegung von Mandaten in der Steuerber ... / 5.3 Wichtiger Grund berechtigt zur Kündigung zur Unzeit
    734
  • Geschäftsfähigkeit / 4 Beschränkte Geschäftsfähigkeit Minderjähriger zwischen 7 und 18 Jahren
    552
  • Pflegekosten / 2 Pflegebedürftigkeit eines Angehörigen
    527
  • Änderungsvorschriften / 3 Änderung von Steuerbescheiden
    516
  • Änderungsvorschriften / 3.3 Änderung wegen neuer Tatsachen und Beweismittel
    455
  • Grundsteuer für land- und forstwirtschaftliche Betriebe ... / 5.1 Landwirtschaftliche Nutzung – § 237 Abs. 2 BewG
    444
  • Ausschluss vom Vorsteuerabzug
    433
  • Ehescheidung: Scheidungsfolgenvereinbarung / 5.3 Übertragung an Ehepartner bzw. Veräußerung des Familienwohnheims
    409
  • Frotscher/Drüen, GewStG § 8 Hinzurechnungen / 8.4 Umfang der Hinzurechnung
    396
  • Erbschaftsteuererklärung ab dem 1.7.2016 / 2.14.2 Erbfallkosten (Zeilen 98 bis 103)
    384
  • Ehescheidung: Scheidungsfolgenvereinbarung / 6 Kosten der Scheidungsfolgenvereinbarung
    367
  • Praxisveräußerung und Praxisaufgabe: Voraussetzungen und Tarifprivilegien
    359
  • Private Kapitaleinkünfte in den Anlagen KAP, KAP-BET und ... / b) Gewinne aus der Veräußerung bestandsgeschützter Alt-Anteile i.S.d. § 56 Abs. 6 Satz 1 Nr. 2 InvStG (Zeile 10)
    350
  • Ausschluss vom Vorsteuerabzug / 2 Ausschluss bei steuerfreien Umsätzen
    332
  • Lizenzgebühren (Steuerabzug) – ABC IntStR
    331
  • Honorargestaltung für Steuerberater 01/2019 / 3 Gebührenrechnung: Jahresabschluss nach § 35 StBVV abrechnen
    329
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Steuern
Erfolgreich umsetzen: Neue Arbeitswelt in der Steuerberatung
Neue Arbeitswelt in der Steuerberatung
Bild: Haufe Shop

Das Buch ist ein Wegweiser für alle, die ihre Kanzlei in eine moderne und zukunftsorientierte Arbeitsumgebung transformieren wollen. Es bietet Strategien und praktische Ratschläge, um die Vorteile von New Work voll auszuschöpfen und sich erfolgreich den neuen Herausforderungen zu stellen.
SGB V - Gesetzliche Kranken... / § 393 Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung
SGB V - Gesetzliche Kranken... / § 393 Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung

  (1) Leistungserbringer im Sinne des Vierten Kapitels und Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten auch im Wege des Cloud-Computing-Dienstes verarbeiten, sofern die Voraussetzungen der ...

4 Wochen testen
Newsletter Steuern
Bild: Adobe
Newsletter Steuern - BFH-Urteilsservice

Aktuelle Informationen zur neuesten BFH-Rechtsprechung frei Haus - abonnieren Sie unseren Newsletter:

  • Kurzkommentierungen
  • Praxishinweise
  • wöchentlich
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Steuern Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Haufe Onlinetraining
Smartsteuer
Schäffer-Poeschel
Lexware
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Steuern Shop
Steuern Software
Komplettlösungen Steuern
Kanzleimanagement Lösungen
Steuern im Unternehmen
Lösungen für die Steuererklärung
Steuer-Kommentare
Alle Steuern Produkte

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren