Die Digitalisierung des Gesundheitswesens schreitet voran. Elektronische Patientenakten, Telemedizin-Plattformen und digitale Gesundheitsanwendungen verändern die medizinische Versorgung grundlegend. Mit der zunehmenden Vernetzung steigen jedoch auch die Anforderungen an IT-Sicherheit und Datenschutz. Ein Überblick über die wichtigsten Rechtsgrundlagen.
Digitalisierung im medizinischen Bereich
Krankenhäuser, Arztpraxen und Pflegeeinrichtungen verarbeiten täglich hochsensible Patientendaten, zunehmend über Cloud-basierte Systeme. Gleichzeitig nimmt die Zahl der Cyberangriffe auf Gesundheitseinrichtungen zu. Der Gesetzgeber hat darauf mit einem dichten Regelungsrahmen reagiert, der Leistungserbringer, Softwareanbieter und Cloud-Dienstleister gleichermaßen in die Pflicht nimmt.
I. DSGVO: Fundament des Gesundheitsdatenschutzes
Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich untersagt und nur unter engen Voraussetzungen zulässig. Verantwortliche müssen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO treffen. Bei Verstößen drohen Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Für Softwareanbieter sind zudem die Grundsätze Privacy by Design und Privacy by Default (Art. 25 DSGVO) verpflichtend.
II. NIS-2: Verschärfte Cybersecurity-Pflichten
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft und erfasst Unternehmen in 18 kritischen Sektoren, darunter das Gesundheitswesen. Die Richtlinie verpflichtet zu einem strukturierten Risikomanagement, schnellen Meldepflichten bei Sicherheitsvorfällen und zur persönlichen, nicht delegierbaren Verantwortung der Geschäftsleitung. Cloud-Dienstleister und Softwareanbieter im Gesundheitswesen fallen mit hoher Wahrscheinlichkeit in den Anwendungsbereich. Für wesentliche Einrichtungen drohen Bußgelder bis 10 Mio. Euro.
III. Digital-Gesetz (DigiG): Cloud-Computing unter Erlaubnisvorbehalt
Das DigiG hat mit § 393 SGB V erstmals eine spezifische Rechtsgrundlage für Cloud-Computing im Gesundheitswesen geschaffen. Die Norm stellt die Nutzung von Cloud-Diensten unter einen Erlaubnisvorbehalt: Leistungserbringer, Kassen und deren Auftragsverarbeiter dürfen Gesundheitsdaten nur in der Cloud verarbeiten, wenn kumulative Anforderungen erfüllt sind. Dazu gehören territoriale Beschränkungen, eine Niederlassungspflicht im Inland, angemessene technische Maßnahmen und ein aktueller C5-Nachweis. Auch Softwareanbieter, die SaaS-Lösungen für Leistungserbringer bereitstellen, fallen als Auftragsverarbeiter unter diese Pflichten.
IV. DiGAV: Anforderungen an digitale Gesundheitsanwendungen
Die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) konkretisiert die Anforderungen an DiGA-Hersteller. Sie verlangt unter anderem ein Informationssicherheits-Managementsystem, die Einhaltung der Technischen Richtlinie BSI TR-03161 sowie Nachweise zur Datensicherheit. Seit 2024 müssen DiGA-Hersteller zudem ein BSI-Zertifikat nach der Technischen Richtlinie vorlegen. Für Softwareanbieter im DiGA-Umfeld ergibt sich damit ein eigenständiger Pflichtenkatalog, der neben DSGVO und NIS-2 zu beachten ist.
§ 393 SGB V im Fokus: Was Softwareanbieter wissen müssen
§ 393 SGB V betrifft nicht nur klassische Cloud-Anbieter. Auch „branchenneutrale“ SaaS-Lösungen fallen unter die Norm, sobald Leistungserbringer zum Kundenkreis gehören. Die Anforderungen umfassen
- die Einhaltung territorialer Verarbeitungsgrenzen (kein Zugriff aus Drittstaaten ohne Angemessenheitsbeschluss),
- eine inländische Niederlassung der datenverarbeitenden Stelle sowie
- die Umsetzung korrespondierender Kundenkriterien durch die Nutzer.
Wer die Voraussetzungen nicht erfüllt, riskiert die Rechtswidrigkeit der gesamten Datenverarbeitung.
Wie WINHELLER Sie unterstützt
Die Schnittstelle von IT-Recht, Datenschutz und Cybersecurity ist ein Kernbereich unserer Beratung. Unsere Rechtsanwälte verbinden juristische Präzision mit technischem Verständnis und unterstützen Sie bei der Anwendbarkeitsprüfung nach § 393 SGB V, der Gestaltung DSGVO- und DigiG-konformer Auftragsverarbeitungsverträge, der Datentransfer-Analyse bei internationalen Strukturen, der NIS-2-Compliance einschließlich Geschäftsleiterhaftung sowie bei der Vertretung gegenüber Aufsichtsbehörden. Kommen Sie gern mit Ihren Fragen auf uns zu!
