Direkt zum Inhalt
Filter by categories
Group 2 Created with Sketch.
Wirtschaftsprüfung & Risk Advisory
Cloud über ein Ipad vom Arzt gehalten
von
Gregor Strobl

Cloud-Dienste im Gesundheitswesen

C5 Typ 2-Testat wird ab Juli 2025 Pflicht

Die Digitalisierung des deutschen Gesundheitswesens schreitet unaufhaltsam voran. Mit ihr entstehen neue Möglichkeiten für effizientere Patientenversorgung, verbesserte Kommunikation zwischen Leistungserbringern und innovative Gesundheitslösungen. Doch diese Entwicklung bringt auch erhebliche Herausforderungen im Bereich der Datensicherheit mit sich. Der §393 SGB V und die damit verbundenen Anforderungen an Cloud-Dienste, insbesondere das C5-Testat Typ 2, spielen dabei eine zentrale Rolle für alle Akteure im Gesundheitswesen.

Verschärfung der Anforderungen ab Juli 2025

Die regulatorischen Anforderungen an Cloud-Dienste im Gesundheitswesen werden sich ab dem 1. Juli 2025 deutlich verschärfen. Bis zum 30. Juni 2025 ist ein C5-Typ-1-Testat (Angemessenheitsprüfung) ausreichend. Ab dem 1. Juli 2025 wird ein C5-Typ-2-Testat verpflichtend, wobei zusätzlich die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen nachzuweisen bzw. zu prüfen ist.

Diese Verschärfung stellt insbesondere kleinere Cloud-Anbieter vor erhebliche Herausforderungen. Die Kosten für die Vorbereitung sowie eine C5-Typ-2-Testierung sind vor allem für kleinere Unternehmen nicht zu unterschätzen.

C5-Gleichwertigkeitsverordnung als Übergangslösung

Der Gesetzgeber hat die C5-Gleichwertigkeitsverordnung (C5GleichwV) geschaffen, um den Übergang zu erleichtern. Durch die Verordnung werden temporär – maximal aber für zwei Jahre – alternative Nachweise als gleichwertig anerkannt. 

Als C5-äquivalente Zertifizierungen gelten:

  • DIN EN ISO/IEC 27001:2022
  • ISO 27001 auf Basis von IT-Grundschutz (BSI)
  • Cloud Control Matrix (CCM) Version 4.0

Jedoch reicht die Vorlage einer solchen Zertifizierung allein nicht aus. Es ist zusätzlich ein umfassender Maßnahmenplan notwendig, aus dem hervorgeht: welche C5-Kriterien durch die alternative Zertifizierung nicht abgedeckt sind, mit welchen Maßnahmen diese Lücken geschlossen werden und wie die Umsetzung dieser Maßnahmen innerhalb von maximal 12 Monaten erfolgen soll, wie innerhalb von 18 Monaten das C5-Typ-1-Testat und innerhalb von 24 Monaten das C5-Typ-2 Testat erreicht werden soll.

Zu beachten ist, dass alle genannten Fristen parallel laufen und sich nicht aneinanderreihen. Die Übergangsregelung bietet somit lediglich einen zeitlich begrenzten Aufschub und keinen dauerhaften Ersatz für die C5-Zertifizierung.

Die rechtliche Grundlage: §393 SGB V im Detail

Der §393 des SGB V regelt die Informationssicherheit in der gesetzlichen Krankenversicherung und stellt hohe Anforderungen an den Umgang mit Gesundheitsdaten. Diese Vorschrift verpflichtet Krankenkassen, Leistungserbringer und andere Akteure im Gesundheitswesen dazu, angemessene technische und organisatorische Maßnahmen zum Schutz von Versicherten- und Patientendaten zu treffen.

Besonders relevant wird diese Vorschrift, wenn es um die Nutzung von Cloud-Diensten geht. Gesundheitsdaten gehören zu den sensibelsten personenbezogenen Informationen und unterliegen daher besonderen Schutzbestimmungen. Die Auslagerung dieser Daten in Cloud-Infrastrukturen erfordert höchste Sicherheitsstandards und entsprechende Nachweise.

Was ist das C5-Testat und warum Typ 2?

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Prüfstandard für Cloud-Anbieter. Es definiert Mindestanforderungen an die sichere Cloud-Nutzung und richtet sich sowohl an Cloud-Anbieter als auch an Cloud-Nutzer.

Die C5-Testierung basiert auf dem internationalen Prüfungsstandard ISAE 3000 (International Standard on Assurance Engagements 3000), der vom International Auditing and Assurance Standards Board (IAASB) entwickelt wurde und liefert die für die Implementierung und Prüfung relevanten Kriterien. 

Das C5-Testat existiert in zwei Varianten:

Typ 1 bescheinigt, dass die Sicherheitskontrollen des Cloud-Anbieters zu einem bestimmten Stichtag angemessen gestaltet waren. Diese Momentaufnahme reicht jedoch für kritische Anwendungen im Gesundheitswesen nicht aus.

Typ 2 geht deutlich weiter und bestätigt nicht nur die angemessene Gestaltung der Kontrollen, sondern auch deren wirksame Umsetzung über einen bestimmten Zeitraum (mind. 6 Monate) hinweg. Dieses Testat dokumentiert, dass die Sicherheitsmaßnahmen nicht nur theoretisch vorhanden sind, sondern in der Praxis kontinuierlich und effektiv funktionieren.

Ein entscheidender Aspekt für die Glaubwürdigkeit und Aussagekraft von C5-Testaten ist, dass diese ausschließlich von Wirtschaftsprüfungsgesellschaften mit entsprechender Fachkompetenz erstellt werden können. Die Prüfer müssen sowohl über tiefgreifendes Verständnis für IT-Sicherheit als auch für die spezifischen Anforderungen (z.B. berufsspezifische Zertifizierungen) des C5-Katalogs verfügen. 

Warum ist das C5 Typ 2-Testat im Gesundheitswesen unerlässlich?

  • Rechtliche Compliance und Haftungsschutz: Für Unternehmen im Gesundheitswesen ist das C5 Typ 2-Testat mehr als nur eine technische Empfehlung – es ist ein rechtlicher Schutzschild. Bei der Auswahl von Cloud-Diensten für die Verarbeitung von Gesundheitsdaten müssen Verantwortliche ihre Sorgfaltspflicht nachweisen können. Ein C5 Typ 2-Testat dokumentiert, dass bei der Anbieterauswahl höchste Standards angelegt wurden.
  • Vertrauen und Transparenz: Patienten vertrauen darauf, dass ihre Gesundheitsdaten sicher verwahrt werden. Das C5 Typ 2-Testat schafft die notwendige Transparenz und das Vertrauen in die verwendeten IT-Systeme. Es zeigt, dass die Datensicherheit nicht dem Zufall überlassen wird, sondern systematisch und kontinuierlich gewährleistet wird.
  • Kontinuierliche Sicherheitsüberwachung: Im Gegensatz zum Typ 1-Testat beweist das Typ 2-Testat, dass Sicherheitskontrollen nicht nur einmalig implementiert, sondern über einen längeren Zeitraum hinweg wirksam betrieben werden. Dies ist besonders wichtig, da Bedrohungen im Cyberraum sich ständig weiterentwickeln und Sicherheitsmaßnahmen entsprechend angepasst werden müssen.
     

Praktische Auswirkungen für verschiedene Akteure

  • Krankenhäuser und Arztpraxen: Medizinische Einrichtungen, die Cloud-Lösungen für Patientendatenmanagement, Bildarchivierung oder Kommunikation einsetzen möchten, sollten ausschließlich Anbieter mit gültigem C5 Typ 2-Testat wählen; dies gilt insbesondere für:
    • Elektronische Patientenakten
    • PACS-Systeme (Picture Archiving and Communication System)
    • Praxisverwaltungssysteme in der Cloud
    • Telemedizinische Anwendungen
  • Krankenkassen: Gesetzliche Krankenkassen müssen bei der Auswahl von IT-Dienstleistern besonders sorgfältig vorgehen, da sie große Mengen an Versichertendaten verarbeiten. Das C5 Typ 2-Testat hilft dabei, die Compliance-Anforderungen des §393 SGB V zu erfüllen und rechtliche Risiken zu minimieren.
  • Software-Anbieter und Health-Tech-Unternehmen: Unternehmen, die Gesundheitssoftware entwickeln oder entsprechende Services anbieten, sollten nur mit Cloud-Partnern zusammenarbeiten, die über ein gültiges C5 Typ 2-Testat verfügen. Dies ist nicht nur ein Qualitätsmerkmal, sondern oft eine Voraussetzung für die Marktfähigkeit ihrer Lösungen.
     

Der Weg zum C5 Typ 2-Testat: Was Anbieter beachten müssen

Cloud-Anbieter, die im Gesundheitswesen tätig werden möchten, müssen einen umfassenden Prozess durchlaufen. Dieser umfasst u.a. die Implementierung aller C5-Grundanforderungen, die Bereiche wie Datenschutz, Kryptografie, Identitäts- und Zugangsmanagement, Protokollierung und Monitoring sowie Incident Management abdecken. 

Zu beachten ist dabei, dass neben der einmaligen Implementierung auch die kontinuierliche Überwachung und Dokumentation der Sicherheitskontrollen über mindestens zwölf Monate erforderlich ist.

Fazit: C5 Typ 2 als Mindeststandard

Das C5 Typ 2-Testat ist kein "Nice-to-have", sondern eine zwingende Notwendigkeit für Cloud-Dienste im Gesundheitswesen. Es stellt sicher, dass die strengen Anforderungen des §393 SGB V erfüllt werden und schafft das notwendige Vertrauen in die Sicherheit von Gesundheitsdaten in der Cloud.

Obwohl die C5-Gleichwertigkeitsverordnung temporäre Alternativen bietet, führt kein Weg an einem „echten“ C5-Testat vorbei. Unternehmen, die von der Übergangsregelung profitieren möchten, sollten diese Zeit nutzen, um sich systematisch auf die vollständige C5 Typ2-Testierung vorzubereiten, statt die Anforderungen nur aufzuschieben.

Für alle Akteure im Gesundheitswesen sollte die Regel gelten: Keine Cloud-Nutzung ohne gültiges C5 Typ 2-Testat oder einen glaubwürdigen Übergangsplan zu diesem Ziel. Nur so lassen sich die Chancen der Digitalisierung nutzen, ohne die Sicherheit und den Schutz von Patientendaten zu gefährden.

In einer Zeit, in der Cyberangriffe auf Gesundheitseinrichtungen zunehmen, ist das C5 Typ 2-Testat mehr als nur ein Gütesiegel – es ist ein unverzichtbarer Baustein für die sichere Zukunft des digitalen Gesundheitswesens.

Hier finden Sie weitere Informationen zu unseren Dienstleistungen in diesem Bereich.

Ansprechpartner