Zusätzliche Informationen: #Besonders geeignet für:selbst# Die Cloud-Infrastruktur der Omnikanal-Plattform muss
aus Gründen des Datenschutzes in Rechenzentren innerhalb der Europäischen Union (EU),
des Europäischen Wirtschaftsraums (EWR) oder der Schweiz realisiert sein. Die AOK
Nieder-sachsen hält diese örtliche Einschränkung für erforderlich, um das gesetzlich
vorgeschriebene Datenschutzniveau gemäß § 80 Abs. 2 SGB X und Artt. 28, 44 ff. der
Datenschutz-Grundverordnung (DSGVO) sicher einhalten zu können. Zwar lässt § 80 Abs.
2 SGB X grundsätzlich auch die Verarbeitung von Sozialdaten in einem Drittland, für
das ein Angemessenheitsbeschluss gem. Art. 45 DSGVO vorliegt (sogenannte "sichere"
Drittländer), zu. Der EuGH hat in der Vergangenheit allerdings schon mehrfach solche
Angemessenheitsbeschlüsse aufgehoben (Urteil vom 6. Oktober 2015, C 362/14; Urteil
vom 16. Juli 2020, C-311/18), sodass nicht mit Sicherheit davon ausgegangen werden
kann, dass Angemessenheitsbeschlüsse für Drittländer, die heute bestehen oder die
ggf. bis zum Ablauf der Teilnahmefrist ergehen, für die Gesamtdauer der Vertragslaufzeit
Bestand haben werden. Würden die verfahrensgegenständlichen Leistungen in Rechenzentren
in einem Drittland realisiert, für das während der Vertragslaufzeit der Angemessenheitsbeschluss
gem. Art. 45 DSGVO vom EuGH aufgehoben oder auf sonstige Weise beendet würde, dürften
ab diesem Zeitpunkt keine (Sozial-)Daten der AOK Niedersachsen mehr in diesen Rechenzentren
verarbeitet werden. Eine kurzfristige Auswechslung der Cloud-Infrastruktur, d.h. die
Verlagerung in andere Rechenzentren oder auf andere Plattformen, ist allerdings aus
technischen Gründen nicht möglich. Um sicherzustellen, dass der im Rahmen dieses Vergabeverfahrens
auszuwählende Vertragspartner die ausschreibungsgegenständlichen Leistungen während
der gesamten Vertragslaufzeit in Übereinstimmung mit § 80 Abs. 2 SGB X, Art. 44 ff.
DSGVO erbringen darf, hat sich die AOK Niedersachsen dafür entschieden, die Ausschreibung
nur an Unternehmen mit Sitz in der EU, dem EWR oder der Schweiz zu richten und vorzugeben,
dass die Cloud-Infrastruktur in Rechenzentren in der EU, dem EWR oder der Schweiz
realisiert sein muss. Datenverarbeitungstätigkeiten, bei denen die Daten physisch
in der EU, dem EWR oder der Schweiz verbleiben (z.B. Datenfernzugriffe im Rahmen von
Supporttätigkeiten), können auch aus Drittländern erbracht werden, für die ein Angemessenheitsbeschluss
gemäß Art. 45 DSGVO vorliegt. Eine Übermittlung oder sonstige Offenlegung von Personal-
und Sozialdaten der AOK Niedersachsen gegenüber Stellen in unsicheren Drittländern
ohne Angemessenheitsbeschluss muss in jedem Fall ausgeschlossen sein, auch im Rahmen
von Support- und Wartungsleistungen. Bieter, die gesellschaftsrechtlich mittelbar
oder unmittelbar von einer Stelle ("Muttergesellschaft") in einem Drittland beherrscht
werden, müssen im Vergabeverfahren den Nachweis erbringen, dass auch unter Be-rücksichtigung
der Rechtslage im Sitzland der Muttergesellschaft eine nach EU-Recht unzulässige Verarbeitung
von Personal- oder Sozialdaten der AOK Niedersachsen und insbesondere eine unzulässige
Offenlegung der Daten gegenüber der Muttergesellschaft oder gegenüber staatlichen
Stellen im Drittland ausgeschlossen ist (vgl. zu den Kriterien für diesen Nachweis
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und
der Länder vom 31. Januar 2023 "Zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten
öffentlicher Stellen von Drittländern auf personenbezogene Daten"). Es wird bereits
jetzt darauf hingewiesen, dass sich unter Umständen weitergehende datenschutzrechtliche
Anforderungen an die Leistungserbringung, die vom Auftragnehmer zu erfüllen sein werden,
aus dem aktuell laufenden Gesetzgebungsverfahren für ein Gesetz zur Beschleunigung
der Digitalisierung des Gesundheitswesens (Digital-Gesetz - DigiG) ergeben werden.
Der Entwurf der Bundesregierung enthält einen neuen § 393 SGB V-E, mit dem eine Rechtsgrundlage
für die Cloudnutzung in der Gesetzlichen Krankenversicherung geschaffen werden soll;
dieser lautet wie folgt: "§ 393 Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung
(1) Leistungserbringer im Sinne des Vierten Kapitels und Krankenkassen sowie ihre
jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten im Sinne von § 67 Absatz 2
des Zehnten Buches und Gesundheitsdaten auch im Wege des Cloud Computing-Dienstes
verarbeiten, sofern die Voraussetzungen der Absätze 2 bis 4 erfüllt sind. (2) Die
Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud Computing-Dienstes
darf nur 1. im Inland, 2. in einem Mitgliedstaat der Europäischen Union oder 3. in
einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat oder, sofern
ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt,
in einem Drittstaat erfolgen und sofern die datenverarbeitende Stelle über eine Niederlassung
im Inland verfügt. (3) Eine Verarbeitung nach Absatz 1 ist nur zulässig, wenn zusätzlich
zu den Anforderungen des Absatzes 2, 1. nach dem Stand der Technik angemessene technische
und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit er-griffen
worden sind, 2. ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick
auf die C5-Basiskriteren für die im Rahmen des Cloud Computing-Dienstes eingesetzen
Cloud-Systeme und die eingesetzte Technik vorliegt und 3. die im Prüfbericht des Testats
formulierten Endnutzer-Kontrollen umgesetzt sind. (4) Bis zum 30. Juni 2025 gilt als
aktuelles C5-Testat im Sinne des Absatz 3 Nummer 2 ein C5-Typ1-Testat. Ab dem 1. Juli
2025 gilt als aktuelles C5-Testat im Sinne des Absatz 3 Nummer 2 ein aktuelles C5-Typ2-Testat.
Eine Verarbeitung nach Absatz 3 Nummer 2 ist ferner auch zulässig, soweit für die
im Rahmen des Cloud-Computing-Dienstes eingesetzen Cloud-Systeme und die Cloud-Technik
anstelle eines aktuellen C5-Testats ein Testat oder Zertifikat nach einem Standard
vorliegt, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres
Sicherheitsniveau sicherstellt. Das Bundesministerium für Gesundheit wird ermächtigt,
durch Rechtsverordnung ohne Zustimmung des Bundesrates im Einvernehmen mit dem Bundesamt
für Sicherheit in der Informationstechnik festzulegen, welche Standards die Anforderungen
nach Satz 3 erfüllen. (5) Technische und organisatorische Maßnahmen gelten als angemessen
im Sinne von Absatz 3 Nummer 1, wenn folgende Anforderungen erfüllt werden: 1. in
der vertragsärztlichen und vertragszahnärztlichen Versorgung die Voraussetzungen des
§ 390, 2. in zugelassenen Krankenhäusern die Voraussetzungen des § 391 und 3. von
Krankenkassen die Voraussetzungen des Branchenspezifischen Sicherheitsstandards für
gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV). (6) In allen anderen Fällen
gelten technische und organisatorische Maßnahmen als angemessen im Sinne von Absatz
3 Nummer 1, wenn sie gleichwertig zu den Anforderungen nach § 391 sind. Der Angemessenheitsmaßstab
nach Satz 1 gilt nicht, soweit Verarbeiter nach Absatz 1 ohnehin als Betreiber Kritischer
Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu
treffen haben. (7) Informationen über die nach Absatz 3 Nummer 2 testierten Cloud-Systeme
und testierte Cloud-Technik werden von dem Kompetenzzentrum für Interoperabilität
im Gesundheitswesen auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 auf Antrag
veröffentlicht. (8) Die Vorschriften des Zehnten Buches und des Bundesdatenschutzgesetzes
bleiben unberührt."