Unter Cloud-Computing wurde, nicht nur in Deutschland, über Jahre hinweg eine Form der Bereitstellung von gemeinsam nutzbaren und flexibel skalierbaren IT-Leistungen durch nicht fest zugeordnete IT-Ressourcen verstanden. Im Rahmen von Outsourcing-Projekten wurden Cloud-Dienstleistungen eingekauft, um z. B. eine Anwendung in einem externen Rechenzentrum bei einem Dienstleister zu betreiben und sich keine Gedanken um CPU, Arbeitsspeicher oder Speicherkapazität zu machen: Bei Bedarf musste nichts angeschafft, sondern nur beim Dienstleister nachbestellt werden.
Seit Dezember 2022 wird der Begriff aus rechtlicher Sicht „Cloud-Computing-Dienst“ europäisch definiert. Damit ist rechtlich festgelegt, was ein Cloud-Computing-Dienst ist und was nicht – was letztlich u. a. auch Auswirkungen auf die Vertragsgestaltung hat: Wird ein Cloud-Computing-Dienst angeboten, so müssen die Vorgaben der Definition erfüllt sein.
Zugleich bestehen rechtliche Anforderungen, sowohl an Cloud-Anbieter als auch an Cloud-Nutzer, insbesondere im Bereich der IT-Sicherheit. Es wird daher vermutlich Unternehmen geben, die in der Vergangenheit einen Cloud-Dienst einkauften und seitdem nutzen. Diese sollten prüfen, ob die gesetzliche Begriffsbestimmung des „Cloud-Computing“ mit dem eingekauften Dienst übereinstimmt. Wenn nicht, sollten die betreffenden Unternehmen überlegen, ob man aufgrund der gesetzlichen Begriffsbestimmung die Namenskonventionen zum eingekauften Dienst zusammen mit dem Anbieter anpasst; explizit einen Cloud-Dienst einzukaufen und zu nutzen, dann aber gesetzliche Anforderungen, wie sie beispielsweise in § 393 SGB V zu finden sind, mit dem Hinweis „ist kein Cloud-Dienst“ nicht umzusetzen, könnte bei Prüfungen durch Behörden rechtliche Herausforderungen bringen.
Anbieter von entsprechenden Diensten sollten ebenfalls prüfen, ob die von ihnen angebotenen Dienste der europäischen Cloud-Definition entsprechen. Ist dies so, müssen alle gesetzlichen Anforderungen an einen Cloud-Computing-Dienst erfüllt werden. Insbesondere sollten entsprechende Anbieter die Aktivitäten der EU-Kommission hinsichtlich Umsetzung der Vorgaben der NIS-2-Richtlinie verfolgen; es könnten ihnen daraus ab Oktober 2024 neue rechtliche Anforderungen bezüglich zu ergreifender Maßnahmen erwachsen – inkl. Nachweisplicht.
Wird hingegen die Begriffsbestimmung des Cloud-Computings nicht erfüllt, sollte ein Dienst auch nicht mit diesem Label vertrieben werden. Aus Marketing-Gründen Kunden einen Cloud-Dienst zu verkaufen, jedoch die Vorgaben bzgl. Cloud-Computing nicht zu erfüllen (insbesondere Anforderungen hinsichtlich IT-Sicherheit aus diversen EU-Gesetzen), wird rechtliche Herausforderungen beinhalten, wie z. B., dass Kunden falsche Informationen und Zusicherungen über den verkauften Dienst bereitgestellt werden.
Aufgrund von Nachfragen, wer alles zu „Leistungserbringern“ im Sinne der SGB V gehört, wurde ein Abschnitt mit Ausführungen zu den Adressaten des § 393 SGB V eingefügt sowie ein Anhang mit beispielhafter Nennung von Leistungserbringern, die Heil- und Hilfsmittela anbieten, ergänzt.
Die Praxishilfe wurde von der
