Digital-Gesetz

28. Juni 2024 • IT-Regulierung

Eines der Ziele von Digitalisierung in der öffentlichen Verwaltung ist Beschleunigung, und die führt bei ebenfalls beschleunigter Gesetzgebung zu mitunter fragwürdigen Begrifflichkeiten.

Teil dieser Beschleunigung ist der durch das Digital-Gesetz eingeführte und zum 1. Juli 2024 in Kraft tretende neue § 393 SGB V, wonach Anbieter von cloud-basierten Dienstleistungen im Gesundheitswesen über ein sogenanntes C5-Testat verfügen müssen. C5 ist ein vom BSI zusammengestellter und ziemlich umfangreicher Sicherheitsstandard für Cloud Computing; ein C5-Testat ist nicht gerade trivial zu erhalten. § 393 Abs. 3 Nr. 2 SGB V verlangt seinem Wortlaut nach, dass ein C5-Testat „der datenverarbeitenden Stelle [..] für die [..] eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt“. Das ist eine etwas unglücklich formulierte Regelung: Wer ist denn die datenverarbeitende Stelle? Vermutlich doch nicht der Leistungserbringer selbst, sonst müsste ja jede Vertragsarztpraxis, die Cloud-Dienste nutzt, ein eigenes C5-Testat organisieren (das wird durchaus ernsthaft behauptet)? Falls der SaaS-Dienstleister die datenverarbeitende Stelle ist, obwohl er datenschutzrechtlich in aller Regel Auftragsverarbeiter sein wird, darf er dann etwa seinerseits darauf verweisen, dass er ausschließlich C5-testierte Cloud-Dienste nutzt, etwa die von AWS oder von Microsoft?

„Es herrscht gerade eine gewisse Unsicherheit am Markt, wie das Gesetz ausgelegt wird. Auch Juristen sind sich noch uneinig.“