Im Gesundheitswesen ist seit dem 01.07.2025 ein C5-Typ2-Testat Pflicht, wenn Cloud-Anwendungen Sozial- oder Gesundheitsdaten verarbeiten. Das bis dahin genügende C5-Typ1-Testat reicht mittlerweile nicht mehr aus. Welche Gesundheitseinrichtungen von den neuen Vorgaben betroffen sind und wann die Pflicht gilt, erfahren Sie im folgenden Beitrag.
Weiterlesen: C5-Typ2-Testat ist Pflicht im GesundheitswesenRechtliche Grundlage
Ganz allgemein gilt, dass wer personenbezogene Daten verarbeitet, angemessene Schutzmaßnahmen einsetzen muss, um deren Sicherheit zu gewährleisten. Hintergrund der neuen Vorgabe ist § 393 Abs. 4 Satz 2 Sozialgesetzbuch (SGB) V, der auf eine nachweisbare wirksame Umsetzung von Sicherheitsmaßnahmen abzielt.
Die gesetzliche Neuregelung betrifft eine Vielzahl von Leistungserbringern im Gesundheitswesen und stellt Cloud-Anbieter wie auch ihre Kunden vor operative und strategische Herausforderungen. Unternehmen, die in diesem Sektor tätig sind, sollten die neue Rechtslage sorgfältig prüfen und bestehende Dienstleisterverhältnisse entsprechend evaluieren.
Betroffene Einrichtungen
Die neue Pflicht trifft alle Institutionen, die Gesundheits- oder Sozialdaten auf Basis von Cloud-Diensten verarbeiten und zu den Leistungserbringern im Sinne des Vierten Kapitels des SGB V zählen, entsprechend § 69 bis § 140h SGB V. Dazu gehören zunächst Vertragsärzte, zu denen auch Zahnärzte und Psychotherapeuten zählen. Daneben sind auch Heilmittelerbringer wie Physiotherapeuten oder Ergotherapeuten betroffen. Weiterhin umfasst sind Krankenhäuser. Außerdem gehören zu den Adressaten Hilfsmittelerbringer, die zum Beispiel Rollstühle anbieten und Apotheken sowie pharmazeutische Unternehmen. Zuletzt sind auch häusliche Pflegeeinrichtungen sowie Rettungsdienste erfasst.
Betroffene Anwendungen
Insbesondere SaaS-Anwendungen, also Software as Service, sind betroffen. Diese bieten vollständige Softwarelösungen über das Internet an, ohne dass Installationen oder Updateprozesse lokal in der Einrichtung durchgeführt werden müssen. Solche Anwendungen können beispielsweise Online-Terminvergabe-Dienste sein oder Dokumentationssysteme.
Von Typ1 zu Typ2 – was sich inhaltlich ändert
Bereits das C5-Typ1-Testat nach § 393 Abs. 4 Satz 1 SGB V verlangte eine Angemessenheitsprüfung. Hier wurde kontrolliert, ob die beim Cloud-Anbieter implementierten technischen und organisatorischen Maßnahmen grundsätzlich geeignet sind, die Sicherheit der Verarbeitung zu gewährleisten.
Das Typ2-Testat geht darüber hinaus und verlangt zusätzlich den Nachweis in Form einer zeitraumbezogenen Wirksamkeitsbetrachtung, dass diese Maßnahmen tatsächlich wirksam umgesetzt werden. Die Prüfung erfolgt damit nicht nur punktuell, sondern prozessbegleitend und auf Basis realer Betriebsabläufe. Deshalb ist auch eine jährliche Erneuerung vorgeschrieben.
Grundlage beider Testate ist der „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Dieser Katalog definiert Anforderungen an die Sicherheit und Transparenz von Cloud-Diensten. Er soll eine standardisierte Prüfung der Informationssicherheit ermöglichen. Die Prüfung können Wirtschaftsprüfungsgesellschaften durchführen. Inhaltlich sind beispielsweise Fragen zur Datenverschlüsselung, Zugriffskontrollen, Notfallmanagement und Kontrollmechanismen umfasst.
Auch Unterauftragsnehmer müssen einbezogen werden
Ein häufig unterschätzter Aspekt ist die Einbindung von Unterauftragsnehmern. Wenn ein Softwarehersteller für den Betrieb seiner SaaS-Leistung selbst Cloud-Ressourcen eines Drittanbieters verwendet, ist dieser Drittanbieter Subunternehmer. In der Praxis wird zum Teil vertreten, dass ein Verweis auf das C5-Testat des eigentlichen Cloud-Dienstleisters genüge. Andere meinen, dass es lediglich auf die Verarbeitung von Gesundheitsdaten mittels eines Cloud-Dienstes ankommt und deshalb sowohl der Subunternehmer als auch der Software-Hersteller das Testat vorlegen müssen.
Übergangsregelungen
Nicht jeder Cloud-Anbieter kann bereits ein C5-Typ2-Testat vorweisen. Für diese Fälle enthält die „Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen“ (C5GleichwV) eine Übergangsregelung. Sie erlaubt es, befristet andere anerkannte Sicherheitszertifizierungen vorzulegen. Beispielsweise genügt zunächst auch das gültige ISO/IEC 27001, ISO 27001 nach IT-Grundschutz oder die aktuell gültige Cloud Controls Matrix (CCM) Version 4.0.
Erforderlich ist zusätzlich eine transparente Dokumentation, welche Anforderungen des C5-Katalogs von der jeweiligen Zertifizierung nicht erfasst sind und wie diese Lücken durch eigene Maßnahmen kompensiert werden. Dabei ist ein Zeitplan vorzulegen, wie innerhalb von 12 Monaten diese Lücken beseitigt werden und wie in 18 Monaten ein C5-Typ1- und innerhalb von 24 Monaten ein C5-Typ2-Testat erreicht werden soll.
Fehlendes Zertifikat
Besonders kritisch sind Konstellationen, in denen der Anbieter weder ein C5-Testat noch einen gleichwertigen Nachweis erbringt. In diesem Fall darf die Gesundheitseinrichtung den Dienst ab sofort nicht mehr nutzen. Ein Fortbetrieb trotz fehlender Nachweise kann zu datenschutzrechtlichen Risiken und hohen Bußgeldern führen.
Fazit
Die Einführung der C5-Typ2-Testatpflicht markiert einen Schritt hin zu einem sicheren Cloud-Einsatz im Gesundheitswesen. Gesundheitseinrichtungen sind gut beraten, die neuen Vorgaben zum Anlass zu nehmen, bestehende SaaS-Verträge zu überprüfen, neue Anbieter sorgfältig auszuwählen und die Einhaltung der Anforderungen durchgängig zu dokumentieren. Die Übergangsregelungen bieten zwar zeitlichen Spielraum, sie entbinden jedoch nicht von der Pflicht jetzt tätig zu werden.
