Die Verarbeitung von Daten in der Cloud bietet viele praktische Vorteile, vor allem in Bezug auf Flexibilität und Erschwinglichkeit der Rechenleistung. Von Nutzen ist dies insbesondere im Gesundheitssektor, in dem die zu verarbeitenden Daten meist eine hohe Qualität aufweisen müssen. Eine hohe Datenqualität bedeutet in der Regel, dass die zu verarbeitenden Datensätze entsprechend groß sind. Digitalisierte Forschung, remote-Gesundheitsversorgung und innovative Gesundheitsdienste erfordern daher alle viel Rechenleistung und Speicherplatz.
Die relativ dezentralisierte Natur des Gesundheitsmarktes in Europa führt allerdings dazu, dass einzelne Marktakteure oft Schwierigkeiten haben, die notwendige technische Ausrüstung selbst zu betreiben (d.h. "on-premise"). Sie müssen daher auf Drittanbieter mit dem relevanten technischen Know-how zurückgreifen. Das regulatorische Umfeld der Verarbeitung von Gesundheitsdaten in der Cloud ist jedoch komplex und entwickelt sich ständig weiter. Dieser Beitrag soll einen aktuellen Überblick über die Chancen und Herausforderungen in diesem Bereich geben.
I. Old, but gold: Datenschutz
Daten im Gesundheitswesen sind in erster Linie Daten hoher Sensibilität. Dies führt zu Herausforderungen, wenn diese Daten nicht durch die Gesundheitsversorger selbst, sondern Dritte verarbeitet werden. Insbesondere müssen solche Dritte, z.B. Cloud-Computing-Dienstleister, das komplexe Regelwerk bewältigen, dass dieses Outsourcing betrifft.
Der regulatorische Rahmen für den Datenschutz im Gesundheitssektor ist vielschichtig und wird vor allem durch die Regelungen der Datenschutz-Grundverordnung („DS-GVO“) sowie der Sozialgesetzbücher V und X geprägt. Diese Vorschriften stellen strenge Anforderungen an die Verarbeitung von Gesundheitsdaten und machen eine sorgfältige Auswahl zuverlässiger Cloud-Dienstleister sowie den Abschluss umfassender Datenverarbeitungsverträge erforderlich.
1. DS-GVO
Die DS-GVO stuft Gesundheitsdaten als eine besondere Kategorie personenbezogener Daten ein, sodass ihre Verarbeitung nur unter sehr engen Voraussetzungen zulässig ist (Art. 9 DS-GVO).
Erst kürzlich entschied der Gerichtshof der Europäischen Union („EuGH“), dass selbst solche Daten als Gesundheitsdaten anzusehen sind, die von einem Kunden bei der Bestellung von nicht verschreibungspflichtigen Medikamenten übermittelt werden. Der EuGH erachtet einen weiten Anwendungsbereich des Begriffs aufgrund der Sensibilität solcher Daten als erforderlich und argumentiert dabei mit dem Zweck der DS-GVO, den einzelnen Betroffenen zu schützen (Rechtssache C-21/23, Lindenapotheke). Der Begriff der Gesundheitsdaten ist folglich weit zu verstehen und umfasst alle Daten, die Rückschlüsse auf die gesundheitliche Situation einer betroffenen Person zulassen.
Übertragen Unternehmen im Healthcare-Bereich die Verarbeitung von Gesundheitsdaten an Drittanbieter, müssen sie besonders darauf achten, dass sie die regulatorischen Anforderungen erfüllen.
- Zunächst erfordert ein solches Outsourcing eine verbindliche Vereinbarung über die Auftragsdatenverarbeitung mit dem (Cloud-)Dienstleister, der auch angemessene Garantien dafür bieten muss, dass die Daten sicher verarbeitet werden (Art. 28 Abs. 1, Abs. 3 DSGVO).
- Die Überprüfung, ob der Dienstleister die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt hat, einschließlich Datenverschlüsselung, Zugangskontrollen und regelmäßiger Sicherheitsüberprüfungen, ist für Healthcare-Unternehmen oft schwierig. Da sie ja gerade Unterstützung bei ihrer Datenverarbeitung benötigen, fehlt ihnen oft die Expertise und das Personal, um ihre Anbieter vollständig zu prüfen – zuverlässige Anbieter sollten jedoch in der Regel Zertifizierungen wie ISO 27001, SOC Typ 1 und 2 und in Deutschland den sogenannten BSI-Grundschutz vorweisen können. Für Cloud-Computing Dienstleister ist auch das sog. C5-Zertifikat von Bedeutung.
- Es kann für Healthcare-Unternehmen eine nutzbringende Strategie sein, "direkt zur Quelle" zu gehen, d.h. direkt den Anbieter der digitalen Infrastruktur zu engagieren, anstatt einen der vielen Vermittler oder Integratoren zu beauftragen, die alle letztlich auf denselben engen Kreis an Unterauftragnehmern zurückgreifen. Auf diese Weise können Unternehmen ihr Vertragsmanagement vereinfachen, Transaktionskosten senken und die Anzahl der „Unterauftragsverarbeiter“ begrenzen, deren Beauftragung sie gemäß Art. 28 Abs. 2, Abs. 4 DS-GVO bewerten und genehmigen müssen. Für Healthcare-Unternehmen, die auf mehrere Drittanbieter angewiesen sind, kann es dabei sinnvoll sein, ihre eigene Mustervereinbarung für IT-Outsourcing zu erstellen. Größere Dienstleister mit eigenen Rechts- und Compliance-Abteilungen werden allerdings in der Regel nur ihre eigenen Vorlagen verwenden.
Darüber hinaus müssen Healthcare-Unternehmen Maßnahmen ergreifen, um sicherzustellen, dass in der Region, in der die Daten verarbeitet werden, ein angemessenes Datenschutzniveau besteht. Außerhalb der EU besteht ein angemessenes Datenschutzniveau in Ländern wie Kanada, Japan, Südkorea, die Schweiz und das Vereinigte Königreich, die alle von der EU-Kommission als „angemessen“ anerkannt wurden. Seit der Einführung des sogenannten EU-US Data Privacy Frameworks können zudem sogar Unternehmen in den USA diesen besonderen Status für sich in Anspruch nehmen, sofern sie nach diesem Framework zertifiziert sind, was bei vielen großen Anbietern der Fall ist. Nur wenn dies nicht der Fall ist, wird es notwendig, zusätzliche Vereinbarungen (sogenannte Standardvertragsklauseln) abzuschließen.
2. Sozialgesetzbücher V und X
Die deutsche Sozialgesetzgebung verkompliziert das regulatorische Umfeld weiter, indem sie zusätzliche Datenschutzanforderungen auferlegt. Beispielsweise legt der neu eingeführte § 393 SGB V explizite Anforderungen für Gesundheitsversorger und gesetzliche Krankenversicherungen fest, wenn sie Sozialdaten mithilfe von Cloud-Computing-Diensten verarbeiten. Insbesondere ist nach dieser Regelung ein C5-Testa) des Bundesamts für Sicherheit in der Informationstechnik erforderlich, um zu zeigen, dass die notwendigen technischen und organisatorischen Datensicherheitsmaßnahmen ergriffen wurden.
Ferner stellt § 393 SGB V strengere Anforderungen an die Datenlokalisierung als die DS-GVO. Sofern die Daten in einem Drittland verarbeitet werden, muss der Auftragsverarbeiter eine Niederlassung in Deutschland haben – eine Anforderung, die einige, aber nicht alle Cloud-Computing-Anbieter erfüllen. Fehlt eine Niederlassung des Anbieters selbst in Deutschland, kann die Dienstleistung u.U. von einem sog. „Systemintegrator“ mit Sitz in Deutschland bezogen werden, der als Vermittler zu einem Hyperscaler ohne solche Niederlassung fungiert.
Schließlich normiert § 80 Abs. 1 SGB X die zusätzliche Anforderung, dass die zuständige Aufsichtsbehörde vor Beginn der Auftragsverarbeitung benachrichtigt werden muss. Diese Anforderung verkompliziert ggf. Beschaffungsprozesse, ist aber zu bewältigen, wenn sie von Anfang an berücksichtigt wird.
3. Landeskrankenhaus-/Datenschutzgesetze
In einigen Bundesländern sehen die regionalen Krankenhausgesetze zusätzliche Anforderungen vor. Diese Regelungen der Krankenhausgesetze umfassen meist auch Patientendaten, ein noch weiter gefasster Begriff als der Begriff der Gesundheitsdaten im Sinne der D-SGVO.
4. Strafgesetzbuch
Ein Verstoß gegen das Datenschutzrecht kann nicht nur zu Bußgeldern und Schadensersatzansprüchen führen, sondern unter bestimmten Umständen auch strafbar sein. Die Offenlegung von Geheimnissen über persönliche oder sachliche Verhältnisse durch Angehörige von diversen Heilberufen ist gemäß § 203 StGB strafbar. Wenn Daten jedoch nur in verschlüsselter Form an den Cloud-Dienstleister übertragen werden, d.h. ohne die Möglichkeit für den Cloud-Computing-Anbieter, sie einzusehen (sog. „bring your own key“-Lösung), liegt in der Regel keine tatbestandsmäßige „Offenlegung“ vor. Darüber hinaus kann die Offenlegung an Drittanbieter dann rechtmäßig sein, wenn diese Vertraulichkeitsverpflichtungen unterworfen werden (§ 203 Abs. 3, Abs. 4 StGB).
Insgesamt wird deutlich, dass Healthcare-UNternehmen nur zuverlässige Drittanbieter engagieren sollten, die sowohl eine ausreichend ausgeklügelte technische Infrastruktur in Bezug auf Datensicherheit bieten als auch den relevanten rechtlichen Vereinbarungen zustimmen.
II. Young and wild: Cybersicherheit
Zusätzlich zu den bestehenden Datenschutzvorschriften stehen neue Cybersicherheitsanforderungen in Aussicht, die die regulatorischen Anforderungen für die Cloud-Verarbeitung im Gesundheitssektor weiter verkomplizieren.
1. NIS2 im Gesundheitswesen
Die sogenannte NIS2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtet alle EU-Mitgliedstaaten, ihr Cybersicherheitsregime bis zum 18. Oktober 2024 erheblich zu verbessern. Obwohl viele Mitgliedstaaten diese Frist verpasst haben, werden die meisten Staaten die Richtlinie wahrscheinlich in Q1/Q2 2025 umsetzen.
Unter den NIS2-Umsetzungsgesetzen werden neben Erbringern von Gesundheitsdienstleistungen (vgl. Richtlinie (EU) 2011/24), Unternehmen der Arzneimittelforschung (§ 2 AMG) und Pharmaunternehmen (vgl. C 21 NACE Rev. 2) auch Hersteller von Medizinprodukten und In-vitro-Diagnostika (wie in der Verordnung (EU) 2022/123 und der Verordnung (EU) 2017/745 definiert) erhöhten Cybersicherheitsanforderungen unterliegen. Dazu gehören insbesondere die Verpflichtungen zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik, zur Schulung sowohl des Managements als auch der Mitarbeiter, zur Meldung bestimmter Cybersicherheitsvorfälle (innerhalb von 24 Stunden) und allgemein zur Ergreifung angemessener und wirksamer Cybersicherheitsvorkehrungen. Nur Unternehmen, die 10 Millionen Euro oder weniger Jahresumsatz erzielen oder eine Jahresbilanz von 10 Millionen Euro oder weniger haben und weniger als 50 Mitarbeiter beschäftigen, sind ausgenommen.
2. Relevanz der Lieferkette
Cybersicherheitsmaßnahmen im Rahmen des NIS2-Regimes umfassen nicht nur Anforderungen an das Unternehmen selbst, sondern auch in Bezug auf seine Lieferkette. Ähnlich wie die oben genannten Datenschutzanforderungen setzt auch diese Cybersicherheitsanforderung einen Anreiz für Unternehmen, vor allem auf etablierte Anbieter mit einer ausgeklügelten technischen und rechtlichen Infrastruktur zurückzugreifen.
III. Fazit und Ausblick
Die Nutzung von Cloud-Computing-Diensten im Gesundheitssektor bietet erhebliche Vorteile, stellt Healthcare-Unternehmen jedoch auch vor zahlreiche rechtliche Herausforderungen. Sowohl die technologischen und kommerziellen Möglichkeiten als auch die regulatorischen Komplexitäten nehmen kontinuierlich zu.
Künstliche Intelligenz, ob „generativ“ oder nicht, und der AI Act sind ein solches Beispiel, der Data Act mit seinen Möglichkeiten für Datenzugang und die (sekundäre) Nutzung sind ein weiteres. Cloud-Computing wird aufgrund dieser Entwicklungen eine zukünftig noch wichtigere Rolle spielen als ohnehin, da die für KI-Anwendungen erforderliche Rechenleistung und die Anforderungen an die Zugänglichkeit von Daten, die von vernetzten Produkten und zugehörigen Diensten generiert werden, ohne Cloud-Computing nur schwer zu gewährleisten sind.
Ein drittes Beispiel ist der Europäische Gesundheitsdatenraum („EHDS“). Die entsprechende Verordnung wurde im April 2024 vom Europäischen Parlament angenommen und zielt darauf ab, den besseren Austausch und Zugang zu verschiedenen Arten von Gesundheitsdaten in der Europäischen Union zu fördern. Diese Initiative soll Einzelpersonen befähigen, die Kontrolle über ihre Gesundheitsdaten zu übernehmen und den Austausch von Daten zur Bereitstellung der Primärversorgung für Patienten (primäre Nutzung von Gesundheitsdaten) sowie die Einrichtung eines Systems zur Weiterverwendung von Gesundheitsdaten für wissenschaftliche Forschungszwecke (sekundäre Nutzung von Gesundheitsdaten) zu erleichtern. Damit schafft der EHDS eine enorme Nachfrage nach digitalen Infrastrukturdiensten, wie beispielsweise Cloud-Räumen zur Speicherung und Verarbeitung von Gesundheitsdaten und digitalen Gesundheitsakte-Systemen.
Gesundheitsdienstleister werden es bald schwer haben, wettbewerbsfähig zu bleiben, ohne in erheblichem Maße auf Cloud-Computing-Dienste zurückzugreifen. Daher ist umso wichtiger, dass sie – sofern sie nicht selbst über die notwendige Infrastruktur verfügen – die richtigen Anbieter wählen und die relevanten rechtlichen Anforderungen bei der Auslagerung ihrer Datenverarbeitung einhalten. Die Zusammenarbeit mit großen, erfahrenen Cloud-Dienstleistern kann Gesundheitsdienstleister von einem erheblichen Teil der technischen (und in gewissem Maße auch der regulatorischen) Last befreien, ist jedoch kein Ersatz für eine ernsthafte Auseinandersetzung mit den wirtschaftlichen und rechtlichen Aspekten von Cloud-Computing.
Weiterleiten