Im Gesundheitswesen werden zunehmend Cloud-basierte IT-Anwendungen eingesetzt – und in diesem Zuge wachsen auch die Anforderungen an die Sicherheit der Software-Anbieter. Wer beispielsweise als Krankenhaus ein Patientenportal einführt, steht nicht nur vor funktionalen, sondern auch vor datenschutzrechtlichen und sicherheitstechnischen Herausforderungen. Besonders wenn Cloud-Technologie zum Einsatz kommt, ist Vertrauen in den Anbieter entscheidend. Ein zentraler Sicherheitsstandard in Deutschland ist das C5-Testat.
Doch was genau bedeutet es – und warum sollten Krankenhäuser auf C5-zertifizierte Cloud-Dienstleister setzen? Informationssicherheits-Experte Michael Siebert verschafft einen Überblick.
Michael Siebert ist seit 2008 bei samedi tätig und heute in der Position des Chief Principal Engineers. Gemeinsam mit dem Informationssicherheitsbeauftragten ist er unter anderem verantwortlich für den Aufbau und die Weiterentwicklung des Informationssicherheitsmanagementsystems, eine sichere Software-Architektur sowie die Einhaltung geltender Informationssicherheitsstandards.
Was ist das C5-Testat?
Michael Siebert: Der BSIC5-Kriterien-Katalog (BSI C5:2020) steht für den Cloud Computing Compliance Criteria Catalogue und ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Katalog.
Basis des BSI C5:2020 ist ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001, welches um weitere Kriterien erweitert wird, welche spezifisch auf die Erbringung von Dienstleistungen eines Cloud-Anbieters ausgerichtet sind.
Er legt konkrete Anforderungen an Cloud-Dienstleister fest – insbesondere in Bezug auf:
Informationssicherheit
Datenschutz
Transparenz
Interventionsmöglichkeiten
Compliance
Der C5-Standard richtet sich an professionelle Nutzer von Cloud-Diensten – etwa öffentliche Einrichtungen, Behörden oder eben Krankenhäuser – und bietet eine verlässliche Entscheidungsgrundlage bei der Auswahl eines Anbieters.
Cloud-Dienstleister können ihre Übereinstimmung mit dem C5-Anforderungskatalog des BSI durch eine unabhängige Prüfung durch ein Wirtschaftsprüfungsunternehmen nachweisen lassen. Diese Prüfung bezieht sich auf einen definierten Zeitraum – maximal 1 Jahr - und muss in regelmäßigen Abständen erneut durchgeführt werden.
Was umfasst das C5-Testat konkret?
Michael Siebert: Das Testat betrifft den kompletten Wertschöpfungsprozess: Ausgehend von der Anforderung an unser Produkt über das Lösungsdesign, die Entwicklung, Test & QA-Verfahren, Produktiv-Umgebungen bis zum Kunden-Support und Lieferantenmanagement. Unterstützt wird all dies durch ein Schwachstellen- und Incidentmanagement, Monitoring und Überwachung, Business Continuity Management sowie Compliance-Management (um z.B. neue gesetzliche Anforderungen rechtzeitig zu erkennen und umzusetzen).
Warum ist C5 besonders für Cloud-Dienstleistungen im Gesundheitswesen relevant?
Michael Siebert: Patienten- und Gesundheitsdaten gehören zu den sensibelsten personenbezogenen Daten überhaupt. Sie unterliegen besonders strengen gesetzlichen Regelungen, etwa der Datenschutz-Grundverordnung (DSGVO), dem Patientendatenschutzgesetz (PDSG) und den Anforderungen der Kassenärztlichen Bundesvereinigung (KBV). Wer mit diesen Daten arbeitet – sei es in Patientenakten, Terminbuchungssystemen oder Patientenportalen – muss für maximale Sicherheit sorgen.
Ein C5-testierter Cloud-Anbieter bietet:
Nachweisbar hohe Sicherheitsstandards durch externe Audits
Transparenz über die eingesetzten Maßnahmen, Standorte und Prozesse
Rechtskonforme Datenverarbeitung, auch im Hinblick auf internationale Standards
Ist es für Gesundheitseinrichtungen wie Krankenhäuser verpflichtend, darauf zu achten, nur C5-testierte Cloud-Dienstleister zu wählen?
Michael Siebert: Das Bundesministerium für Gesundheit (BMG) sieht die Notwendigkeit, ein durchgängig hohes Sicherheitsniveau für Cloud-basierte Anwendungen im Gesundheitswesen sicherzustellen.
Mit der Einführung des neuen § 393 im Fünften Sozialgesetzbuch (SGB V) – „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ (vgl. https://www.kma-online.de/aktuelles/it-digital-health/detail/ohne-c5-duerfen-keine-patientendaten-mehr-in-die-cloud-51733) – wird der Schutz besonders sensibler, personenbezogenen Gesundheitsdaten weiter gestärkt.
Ab dem 1. Juli 2025 dürfen Einrichtungen wie Krankenhäuser und Krankenkassen Cloud-Dienste nur noch dann nutzen, wenn diese nach BSI C5 Typ 2 testiert wurden oder ein in der C5-Gleichwertigkeits-Verordnung genannter Standard vorliegt.
Was ist der Unterschied zwischen C5 Typ 1 und Typ 2?
Michael Siebert: Beim BSI C5 Typ 1 Testat handelt es sich um einen “Test of Design“. Das Audit überprüft die bestehenden Richtlinien und Prozessbeschreibungen im Hinblick auf die Erfüllung der Kriterien im BSI C5 Katalog.
Das BSI C5 Typ 2 Testat basiert ebenfalls auf dem BSI C5 Kriterienkatalog, das Audit fällt jedoch umfangreicher aus. Im Fokus steht zusätzlich die praktische Umsetzung der im Typ 1 Audit geprüften Richtlinien und Prozesse. Beim Typ 2 handelt es sich also um einen Nachweis gelebter Sicherheit: Das Audit bewertet, ob die Maßnahmen über einen längeren Zeitraum hinweg wirksam umgesetzt wurden.
Fazit: Welche Vorteile bietet das BSI-C5-Level-2-Testat für Software-Anwender und Partner im Gesundheitswesen?
Michael Siebert: Für alle Stakeholder bedeutet das BSI C5 Typ 2 Testat den Nachweis, dass der Cloud-Dienstleister eine ganzheitlich sichere Cloud-Lösung bietet – von der Konzeption über Design und Implementierung, Hosting bis hin zum Vertragsende.
Die Entscheidung für einen C5-testierten Cloud-Dienstleister bringt Krankenhäusern mehrere handfeste Vorteile:
1. Sicherheit und Vertrauen
Patienten erwarten zu Recht, dass ihre Gesundheitsdaten sicher behandelt werden. Ein C5-Testat schafft Vertrauen – sowohl bei Patientinnen und Patienten als auch bei Datenschutzbeauftragten und Geschäftsführungen.
Und: Kommt es zu einem Datenschutzvorfall, drohen neben dem Reputationsschaden auch erhebliche rechtliche Folgen – insbesondere dann, wenn keine Schutzmaßnahmen für die gespeicherten Daten nachgewiesen werden können. Ein C5-Testat dient in diesem Fall als wichtiger Nachweis, dass anerkannte Sicherheitsstandards eingehalten wurden.
2. Rechtskonformität
Das Sozialgesetzbuch (SGB) V statuiert BSI C5:2020 oder vergleichbare Standards als Grundvoraussetzung für den Einsatz von Cloud-Diensten, soweit Gesundheitsdaten verarbeitet werden (https://www.gesetze-im-internet.de/sgb_5/__393.html). Leistungserbringer sind insofern verpflichtet Cloud-Dienste nur dann einzusetzen, wenn diese über ein C5-Testat oder einen gleichwertigen Standard verfügen. Rechtliche Risiken ergeben sich daher insbesondere auch für Leistungserbringer.
3. Effizienz bei Ausschreibungen und Audits
C5-Testate können Prozesse in der IT-Beschaffung vereinfachen, da das hinreichende Datensicherheitsniveau von unabhängiger Stelle bescheinigt worden ist.
Auch bei Audits oder Zertifizierungen (z. B. nach § 75b SGB V) ist ein zertifizierter Anbieter ein klarer Vorteil.
4. Zukunftssicherheit
IT-Sicherheit ist ein dynamisches Feld. Mit einem C5-zertifizierten Partner ist sichergestellt, dass Sicherheitsstandards regelmäßig überprüft und weiterentwickelt werden.
samedi verfügt seit 2024 über das BSI-C5-Typ-1-Testat, im Juni 2025 folgt nun das BSI-Typ-2 Testat. Mehr zum Thema Datenschutz bei samedi und zum C5-Report
Sie benötigen Beratung zum Thema C5-testierte Software für Ihre Gesundheitseinrichtung? Oder möchten den kompletten C5-Report einsehen?
