C5 Testat: Sicherheit und Compliance für Cloud-Dienste

Stephan Hendel, LL.M.

Rechtsanwalt

Die Digitalisierung hat das Gesundheitswesen nachhaltig verändert. Mit dem Bestreben, Abläufe zu optimieren und Daten effizienter zu verwalten, steigt auch die Abhängigkeit von informationstechnologischen Systemen. Dies macht die Branche jedoch zunehmend anfällig für Cyberangriffe. Um die Sicherheit sensibler Gesundheitsdaten zu gewährleisten, hat der Gesetzgeber spezielle Anforderungen festgelegt. Ein zentrales Element hierbei ist das C5-Testat des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das Cloud-Dienste auf ihre Sicherheit überprüft.

Rechtlicher Rahmen: Das Digitalgesetz und § 393 SGB V

Im März 2024 trat das Digitalgesetz (DigiG) in Kraft, das unter anderem die Vorgaben zur Cybersicherheit im Gesundheitswesen neu strukturiert und erweitert hat. § 393 SGB V regelt nun explizit den Einsatz von Cloud-Computing-Diensten durch Leistungserbringer sowie Kranken- und Pflegekassen. Demnach dürfen Sozial- und Gesundheitsdaten nur unter bestimmten Voraussetzungen in der Cloud verarbeitet werden.

Wesentliche Anforderungen gemäß § 393 SGB V

Räumliche Beschränkung der Datenverarbeitung: Die Verarbeitung darf nur im Inland, in einem EU-Mitgliedstaat oder in einem Drittstaat mit anerkanntem Datenschutzniveau erfolgen.
Technische und organisatorische Maßnahmen (TOM): Es müssen angemessene Vorkehrungen zur Gewährleistung der Informationssicherheit getroffen werden.
C5-Testat: Ein aktuelles C5-Testat des BSI muss für die genutzten Cloud-Dienste vorliegen.
Umsetzung korrespondierender Endkundenkriterien: Leistungserbringer müssen spezifische Anforderungen aus dem Prüfbericht des Testats umsetzen.

Was ist das C5-Testat?

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein Kriterienkatalog des BSI, der Mindestanforderungen an die Sicherheit von Cloud-Diensten definiert. Er umfasst 17 Themengebiete mit über 120 Einzelkriterien, darunter Bereiche wie Datensicherheit, Compliance und Transparenz.

Bedeutung für Leistungserbringer

Für Krankenhäuser, Arztpraxen und andere Akteure im Gesundheitswesen ist das Vorliegen eines aktuellen C5-Testats nun gesetzlich vorgeschrieben. Es dient als Nachweis dafür, dass der genutzte Cloud-Dienst hohe Sicherheitsstandards erfüllt und somit den Schutz sensibler Patientendaten gewährleistet.

Typen von C5-Testaten

C5 Typ 1: Bescheinigt den konformen Status der Cloud-Systeme zu einem bestimmten Testierungszeitpunkt. Dieses Testat ist bis zum 30. Juni 2025 zulässig.
C5 Typ 2: Bestätigt den konformen Status über einen definierten Zeitraum hinweg. Ab dem 1. Juli 2025 ist dieses Testat verpflichtend.

Praktische Umsetzung und Herausforderungen

Auswahl geeigneter Cloud-Dienstleister

Leistungserbringer müssen sicherstellen, dass ihre Cloud-Dienstleister über ein gültiges C5-Testat verfügen. Dies erfordert eine sorgfältige Auswahl und regelmäßige Überprüfung der Anbieter.

Einhaltung der Endkundenkriterien

Die im C5-Testat enthaltenen Anforderungen an Endkunden müssen von den Leistungserbringern umgesetzt werden. Dies umfasst beispielsweise spezifische Konfigurationen und Sicherheitsmaßnahmen im eigenen IT-System.

Vertragliche Absicherung

Bei der Inanspruchnahme von IT-Dienstleistungen muss vertraglich gewährleistet sein, dass die Anforderungen des C5-Testats eingehalten werden. Dies beinhaltet auch die Verpflichtung von Unterauftragsverarbeitern zur Compliance.

Vorteile der C5-Zertifizierung

Erhöhung der Datensicherheit: Schutz vor Cyberangriffen und unbefugtem Zugriff auf sensible Gesundheitsdaten.
Rechtssicherheit: Erfüllung der gesetzlichen Vorgaben gemäß § 393 SGB V.
Vertrauensbildung: Stärkung des Vertrauens von Patienten und Partnern in die Sicherheit der Datenverarbeitung.
Wettbewerbsvorteil: Positionierung als moderner und sicherheitsbewusster Leistungserbringer.

Unterstützung durch Gabler & Hendel Rechtsanwälte

Die Umsetzung der gesetzlichen Anforderungen stellt viele Leistungserbringer vor Herausforderungen. Die Gabler & Hendel Rechtsanwälte stehen Ihnen hierbei kompetent zur Seite. Wir bieten:

- Rechtsberatung zur IT-Sicherheit: Umfassende Beratung zu den gesetzlichen Vorgaben und deren praktischer Umsetzung.
- Vertragsgestaltung: Erstellung und Prüfung von Verträgen mit Cloud-Dienstleistern unter Berücksichtigung der Compliance-Anforderungen.
- Compliance-Management: Unterstützung bei der Implementierung von Prozessen zur Einhaltung der Endkundenkriterien des C5-Testats.
- Schulungen: Sensibilisierung Ihrer Mitarbeiter für die Bedeutung von IT-Sicherheit und Datenschutz im Gesundheitswesen.

Fazit

Die zunehmende Digitalisierung im Gesundheitswesen erfordert hohe Sicherheitsstandards bei der Verarbeitung von Sozial- und Gesundheitsdaten. Das C5-Testat des BSI stellt sicher, dass Cloud-Dienste diesen Anforderungen gerecht werden. Durch die gesetzliche Verankerung im § 393 SGB V ist es für Leistungserbringer unerlässlich, sich mit den Anforderungen vertraut zu machen und diese umzusetzen. Mit der Unterstützung von Gabler & Hendel Rechtsanwälte sind Sie bestens gerüstet, um die Compliance sicherzustellen und von den Vorteilen sicherer Cloud-Lösungen zu profitieren.