AWS Germany – Amazon Web Services in Deutschland
Unterstützung von Kunden im Rahmen der DiGAV
Eine steigende Anzahl von Gesundheitsdienstleistern, Kostenträgern und IT-Fachleuten nutzt die sicheren, flexiblen und skalierbaren Cloud-Dienste von Amazon Web Services (AWS), um Daten zu speichern und zu verarbeiten. Dazu gehören auch personenbezogene Daten. AWS bietet eine Vielzahl von Werkzeugen an, um Kunden dabei zu unterstützen, verschiedene regulatorische und gesetzliche Anforderungen in Deutschland zu erfüllen, wenn sie Workloads im Gesundheitswesen in die Cloud verlagern. Solche regulatorischen Anforderungen sind unter anderem das Gesetz zur digitalen Versorgung (DVG) sowie die Verordnung über digitale Gesundheitsanwendungen (DiGAV).
Was ist die DiGAV und welche Bedeutung hat sie für AWS Kunden?
Die DiGAV wurde im April 2020 eingeführt, um die Digitalisierung des deutschen Gesundheitssystems zu fördern. Die DiGAV ermöglicht die Anerkennung bestimmter Gesundheitsanwendungen im Rahmen des deutschen gesetzlichen Krankenversicherungssystems als erstattungsfähig. Um die Anforderungen der DiGAV einzuhalten und somit die Erstattungsfähigkeit zu ermöglichen, müssen Organisationen allerdings nachweisen, dass ihre Anwendungen die Datenschutzanforderungen der DiGAV erfüllen. Dazu gehört unter anderem auch, dass personenbezogene Daten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) oder eines Landes verarbeitet werden, für das ein Angemessenheitsbeschluss der Europäischen Kommission auf der Grundlage von Artikel 45 der EU-Datenschutzgrundverordnung (DSGVO) besteht.
Wie unterstützt AWS Kunden?
Während Organisationen sich in den letzten zehn Jahren auf die Digitalisierung des Gesundheitswesens konzentriert haben, wird es künftig darum gehen, Werkzeuge und Anwendungen bereitzustellen, die dabei helfen die Gesundheit zu verbessern; eine große Chance, um die Versorgung zu transformieren und die Erfahrungen von Pflegepersonal und Patienten zu verbessern. Dieser Wandel wird jedoch in erster Linie davon abhängen, dass Daten zum richtigen Zeitpunkt sind, wo sie benötigt werden. Darüber hinaus, muss gewährleistet werden, dass die Gesundheitsdaten der Patienten sicher und geschützt sind und alle gesetzlichen Anforderungen erfüllt werden.
Um zu verstehen, welche AWS-Dienste ohne Datenübertragung aus der/den vom Kunden ausgewählten AWS-Region(en) genutzt werden können, bietet AWS seinen Kunden einen transparenten Überblick über die Datenschutzfunktionen der AWS-Dienste an. Durch die Auswahl von AWS-Diensten, die keine Kundendaten übertragen, der ordnungsgemäßen Konfiguration dieser Dienste sowie der Nutzung von AWS-Region(en) innerhalb des EWR ist eine reine EWR-Datenverarbeitung möglich. So können Kunden Anwendungen in der AWS-Cloud erstellen und ausführen, welche im Rahmen der DiGAV erstattungsfähig sind. Darüber hinaus können Kunden auf das AWS DSGVO Zentrum zugreifen, um mehr über die Nutzung von AWS-Diensten in Übereinstimmung mit der DSGVO zu erfahren.
AWS bietet darüber hinaus technische Werkzeuge (wie beispielsweise AWS Service Control Policies) an, die Kunden dabei unterstützen, die Nutzung von AWS-Diensten in Regionen außerhalb des EWR zu sperren. Mit dem DiGAV Blueprint stellt AWS ein zusätzliches Werkzeug zur Verfügung, das Kunden bei der Einrichtung entsprechender technischer Schutzvorrichtungen für Gesundheitsdaten in Deutschland unterstützt. Im Rahmen des AWS Modells der geteilten Verantwortung müssen Kunden die Dienste so konfigurieren, dass keine Datenverarbeitung außerhalb des EWR ausgelöst wird.
Um Kunden bei der Erfüllung der DiGAV-Anforderungen weiter zu unterstützen, bietet AWS verstärkte Verpflichtungen zum Schutz von Kundendaten für Kunden an, deren Verarbeitungsaktivitäten von personenbezogenen Daten in AWS der DSGVO unterliegen. Dazu gehören robuste vertragliche Verpflichtungen in Bezug auf Datenoffenlegungsanfragen von Regierungsstellen.
Um angemessene Datenschutzmaßnahmen nachzuweisen, werden Kunden üblicherweise aufgefordert, ein Datenschutzkonzept vorzulegen, das die anwendbaren technischen und organisatorischen Schutzmaßnahmen (TOMs) dokumentiert. AWS kann Kunden ein Muster für eine solche Dokumentation für Lösung auf AWS bereitstellen. Mehr Informationen dazu auch in den FAQs.
Unterstützung von Kunden im Gesundheitsbereich
Kunden können AWS Ressourcen nutzen, um geeignete AWS-Dienste auszuwählen und technische Sicherheitsvorkehrungen zu treffen, die eine auf den EWR beschränkte Datenverarbeitung für personenbezogene Daten, einschließlich Gesundheitsdaten und -dokumente, sicherstellen, um so gegenüber Aufsichtsbehörden die Einhaltung der DiGAV-Anforderungen auf AWS nachzuweisen.
Mit Hilfe von AWS-Diensten schaffen unsere Kunden im Gesundheitswesen innovative Lösungen, die den Zugang zu Pflege und Versorgung des richtigen Patienten zur richtigen Zeit verbessern. Da sich die rechtlichen Rahmenbedingungen in diesem Bereich ständig weiterentwickeln, arbeiten wir intensiv daran, unsere Kunden dabei zu unterstützen, auf neue Regeln und Richtlinien zu reagieren und die höchsten Standards in Bezug auf Sicherheit und Datenschutz zu erfüllen.
Wenn Sie Fragen dazu haben, wie Sie AWS-Dienste im Rahmen der DiGAV nutzen können, wenden Sie sich bitte an Ihren Kundenbetreuer oder fordern Sie eine Kontaktaufnahme an. Siehe FAQs für weiterführende Informationen.
Ressourcen
- Datenschutzfunktionen der AWS-Dienste
- DiGAV-Blueprint
- Modell der geteilten Verantwortung
- DSGVO-Zentrum
- AWS EU-Infrastruktur-Übersicht
- AWS GDPR Data Processing Addendum
- Supplementary Addendum zum AWS GDPR Data Processing Addendum
- Blog Post zu den gestärkten Verpflichtungen zum Schutz von Kundendaten
- Unterstützung von Kunden im Rahmen der DiGAV – FAQs