Anforderungen an den Einsatz von Cloud-Computing in der Sozialversicherung
Datenschutzrechtliche Besonderheiten
Unter Cloud Computing kann der bedarfsgerechte Zugriff auf IuK-Technologien (Hardware, Software, Plattformen) als Service über ein Netzwerk (Internet, Intranet) verstanden werden.
Das BAS hat zahlreiche Anfragen zum Einsatz von Cloud-Lösungen geprüft. Dabei beruht der überwiegende Anteil der Einsatzszenarien rechtlich auf einem Verhältnis der Auftragsverarbeitung. Der jeweilige Sozialversicherungsträger tritt dabei als verantwortlicher Auftraggeber und der Cloud-Anbieter als Auftragnehmer auf. Aus diesem Grunde sind die entsprechenden Vorschriften zur Verarbeitung von Sozialdaten im Auftrag hier ein wesentlicher Anknüpfungs- und Beratungspunkt (§ 80 SGB X i. V. m. Artikel 28 DSGVO).
Die formellen und inhaltlichen Anforderungen an Vereinbarungen von Auftragsverarbeitungen (im Folgenden kurz: AVV) ergeben sich aus Artikel 28 DSGVO. Grundsätzlich ist zu empfehlen, geeignete Vorlagen zu verwenden (z. B. des vdek e. V. bzw. des GKV-Spitzenverbandes). Ein Verweis auf allgemeine Regelungen (z. B. AGBs), die darüber hinaus noch einseitig durch den Cloud-Anbieter angepasst bzw. geändert werden können, erfüllen diese Anforderungen nicht.
Eine Besonderheit des Sozialdatenschutzrechts stellt die räumliche Beschränkung der Verarbeitung von Sozialdaten auf vier explizit genannte Bereiche dar (§ 80 Abs. 2 SGB X). Eine Verarbeitung darf nur im Inland, in einem anderen Mitgliedstaat der Europäischen Union, in einem diesem gleichgestellten Staat (§ 35 Abs. 7 SGB I) oder in einem Land stattfinden, zu dem ein Angemessenheitsbeschluss der EU-Kommission vorliegt (Artikel 45 DSGVO). Im letztgenannten Fall sieht die DSGVO auch eine Fortgeltung bereits erlassener Angemessenheitsbeschlüsse vor. Eine Verarbeitung von Sozialdaten ausschließlich auf Basis geeigneter Garantien, wie z. B. auf Grundlage der sogenannten EU-Standardvertragsklauseln oder der sog. Binding Corporate Rules (siehe Artikel 46 DSGVO) ist mit dieser Sonderregelung im Bereich der Sozialversicherung ausgeschlossen.
Bezüglich des Speicherortes der sog. ruhenden Daten bieten Cloud-Anbieter oftmals Betriebsmodelle an, bei denen die Speicherung auf Deutschland bzw. auf die EU beschränkt wird. Ein anderes Bild ergibt sich oftmals bei den Wartungs- und Servicediensten. Diese sind häufig nach dem sog. Follow-the-sun-Prinzip weltweit organisiert und sehen in den entsprechenden Vertragswerken eine Legitimierung entsprechender Zugriffe durch die EU-Standardvertragsklauseln vor. Wie oben dargestellt, ist eine solche Verarbeitung von Sozialdaten im Auftrag jedoch nicht zulässig.
Dies führt jedoch nicht zwangsläufig dazu, dass solche Angebote in der Sozialversicherung nicht eingesetzt werden können. Vielmehr haben wir in unseren Prüfungen festgestellt, dass im Einzelfall mit den jeweiligen Anbietern geeignete Schutzmaßnahmen verbindlich vereinbart werden konnten. Z. B. können weltweit organisierte Supportprozesse durch die Vereinbarung fester Support-Manager oder eines Freigabeverfahrens mit Interventionsmöglichkeit des Verantwortlichen wirksam auf die zulässige Region begrenzt werden. Das BAS steht den Sozialversicherungsträgern für Beratungen gerne zur Verfügung.
Im Ergebnis ist der Einsatz von Cloud-Lösungen auch in der gesetzlichen Sozialversicherung möglich. Grundvoraussetzung ist die wirksame Vereinbarung einer Auftragsverarbeitung sowie die Begrenzung der Verarbeitung auf die in § 80 Abs. 2 SGB X genannten Regionen (zu weiteren Einzelheiten siehe Rundschreiben „Anforderungen an Cloud-basierte IT-Lösungen in der Sozialversicherung“ vom 22. März 2019.
Ökonomische Effekte bei der Integration von Cloud-Diensten
Soweit eine Nutzung externer Cloud-Dienste aus sozial- und datenschutzrechtlicher Sicht zulässig ist, müssen die ökonomischen und meist strategischen Effekte umfassend analysiert werden (§ 69 Abs. 2 SGB IV).
Als Vorteile werden häufig die Unabhängigkeit von eigenen IT-Ressourcen, die dadurch erzielte Flexibilität bei der (agilen) Anpassung von Geschäftsprozessen sowie Kostenersparnisse durch bessere Skalierbarkeit genannt. Diese Argumente sind im Rahmen der Wirtschaftlichkeitsbetrachtung nicht zuletzt im Hinblick auf spätere Erfolgskontrollen mit Fakten zu untermauern. In der Fachöffentlichkeit konnte nachverfolgt werden, dass die ökonomischen Vorteile nicht in allen Fällen realisiert werden konnten und Rechnungen teilweise höher ausfielen als ursprünglich veranschlagt wurde. Teilweise wurde in nachträglichen Analysen deutlich, dass die Bereitstellung des jeweiligen Dienstes aus dem eigenen Rechenzentrum (sog. On-Premise-Lösung) doch vorteilhafter ist. Aus diesem Grund sind die wirtschaftlichen Effekte unbedingt im Rahmen begleitender Erfolgskontrollen zu überwachen.
Als Nachteile sind insbesondere strategische Abhängigkeiten von externen Cloud-Anbietern und der sog. Lock-in-Effekt zu berücksichtigen. Dieser bezeichnet folgende Abhängigkeit: Bei zunehmender Integration der Cloud-Dienste in das Informationssystem werden die Wechselkosten erhöht, was zur sinkenden Wahrscheinlichkeit eines Systemwechsels führt. Diese negativen Effekte sind zu berücksichtigen, indem einerseits die Wechselkosten mit kalkuliert werden und andererseits Exit-Strategien (wie z. B. sog. Multi-Cloud-Ansätze) in die Analyse einbezogen werden sollten.
Nicht zuletzt ist die Außenwirkung der Verarbeitung von Sozialdaten in der Cloud zu berücksichtigen. Auch wenn die rechtlichen und sicherheitstechnischen Voraussetzungen erfüllt sind, hängt in manchen Anwendungsbereichen der positive Veränderungsprozess bei der Einführung digitaler Lösungen von der Akzeptanz und dem (subjektiven) Vertrauen der Betroffenen ab. Dies muss ebenfalls berücksichtigt werden.
Im Ergebnis können Cloud-Lösungen gegenüber einer sog. On-Premise-Lösung vorteilhaft sein, was aber differenziert analysiert und durch Erfolgskontrollen kontrolliert werden muss. Zudem müssen strategische Effekte wie z. B. Lock-in-Effekte und Akzeptanz der Betroffenen bei der Analyse und Einsatzentscheidung mitberücksichtigt werden.
(Stand: 14.04.2022)