[[{}law:sgb_5:392|←]][[{}law:sgb_5|↑]][[{}law:sgb_5:395|→]] ==== § 393 Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung ==== (1)_{[[law:sgb_5:393#abs_1_1|1]]} Leistungserbringer im Sinne des Vierten Kapitels und Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten auch im Wege des Cloud-Computing- Dienstes verarbeiten, sofern die Voraussetzungen der Absätze 2 bis 4 erfüllt sind. (2)_{[[law:sgb_5:393#abs_2_1|1]]} Die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes darf nur 1. im Inland, 2. in einem Mitgliedstaat der Europäischen Union oder 3. in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen und sofern die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt. (3)_{[[law:sgb_5:393#abs_3_1|1]]} Eine Verarbeitung nach Absatz 1 ist nur zulässig, wenn zusätzlich zu den Anforderungen des Absatzes 2 1. nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen worden sind, 2. ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt und 3. die im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden umgesetzt sind. (4)_{[[law:sgb_5:393#abs_4_1|1]]} Bis zum 30. _{[[law:sgb_5:393#abs_4_2|2]]}Juni 2025 gilt als aktuelles C5-Testat im Sinne des Absatzes 3 Nummer 2 ein C5-Typ1-Testat. _{[[law:sgb_5:393#abs_4_3|3]]}Ab dem 1. _{[[law:sgb_5:393#abs_4_4|4]]}Juli 2025 gilt als aktuelles C5-Testat im Sinne des Absatzes 3 Nummer 2 ein aktuelles C5-Typ2-Testat. _{[[law:sgb_5:393#abs_4_5|5]]}Eine Verarbeitung nach Absatz 3 Nummer 2 ist ferner auch zulässig, soweit für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die Cloud-Technik anstelle eines aktuellen C5-Testats ein Testat oder Zertifikat nach einem Standard vorliegt, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau sicherstellt. _{[[law:sgb_5:393#abs_4_6|6]]}Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festzulegen, welche Standards die Anforderungen nach Satz 3 erfüllen. (5)_{[[law:sgb_5:393#abs_5_1|1]]} Technische und organisatorische Maßnahmen gelten als angemessen im Sinne von Absatz 3 Nummer 1, wenn folgende Anforderungen erfüllt werden: 1. in der vertragsärztlichen und vertragszahnärztlichen Versorgung die Voraussetzungen des § 390, 2. in zugelassenen Krankenhäusern die Voraussetzungen des § 391 und 3. von Krankenkassen die Voraussetzungen des Branchenspezifischen Sicherheitsstandards für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV). (6)_{[[law:sgb_5:393#abs_6_1|1]]} In allen anderen Fällen gelten technische und organisatorische Maßnahmen als angemessen im Sinne von Absatz 3 Nummer 1, wenn sie gleichwertig zu den Anforderungen nach § 391 sind. _{[[law:sgb_5:393#abs_6_2|2]]}Der Angemessenheitsmaßstab nach Satz 1 gilt nicht, soweit Verarbeiter nach Absatz 1 ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben. (7)_{[[law:sgb_5:393#abs_7_1|1]]} Informationen über die nach Absatz 3 Nummer 2 testierten Cloud- Systeme und testierte Cloud-Technik werden von dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 auf Antrag veröffentlicht. _{[[law:sgb_5:393#abs_7_2|2]]}Dem Antrag nach Satz 1 ist eine Kontrollliste zu den korrespondierenden Kriterien für Kunden anzufügen. (8)_{[[law:sgb_5:393#abs_8_1|1]]} Die Vorschriften des Zehnten Buches und des Bundesdatenschutzgesetzes bleiben unberührt.