Das C5-Testat im Gesundheitswesen: Warum es 2025 nicht mehr ohne geht

Die Digitalisierung im Gesundheitswesen schreitet voran. Krankenhäuser, Arztpraxen und Krankenkassen setzen dabei verstärkt auf Cloud-Lösungen, um Daten effizient und datenschutzkonform zu verwalten sowie sicher miteinander zu arbeiten. Damit steigt auch die Verantwortung der Cloud-Anbieter: Sie müssen hohe Sicherheitsstandards erfüllen, um sensible Gesundheitsdaten zu schützen.

Mit dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) hat der Gesetzgeber bereits die Marschrichtung in Sachen "Datensicherheit in der Cloud" für Betriebe und Organisationen im Gesundheitswesen vorgegeben. Die Aussage dabei ist klar: Wer als Cloud-Anbieter seine Dienste für Unternehmen im Gesundheitswesen zur Verfügung stellen will, braucht dafür ein C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Diese Vorgabe zur Beachtung der hohen Anforderungen gilt bereits seit Juli 2023. Mitte 2025 wird diese Pflicht noch einmal verschärft werden. Was genau das C5-Testat für das Gesundheitswesen bedeutet, welche Branchen von dieser Pflicht betroffen sind und warum Stackfield als Kollaborationstool schon heute eine sichere Wahl für das Gesundheitswesen ist, wird im folgenden Artikel beleuchtet.

Inhalt des Artikels:
• Was bedeutet die C5-Testat-Pflicht für das Gesundheitswesen?
• Wieso sind personenbezogene Daten im Gesundheitswesen besonders schützenswert?
• Wer ist von der gesetzlichen Verpflichtung betroffen?
• Ab wann ist ein C5-Testat für Cloud-Anbieter Pflicht?
• Was ist der Unterschied zwischen einem Typ-1- und einem Typ-2-Testat?
• Ist Stackfield für die Nutzung im Gesundheitswesen geeignet?
• Fazit: Im Gesundheitswesen kommen Cloud-Anbieter nicht ohne ein C5-Testat aus

Was bedeutet die C5-Testat-Pflicht für das Gesundheitswesen?

Cloud-Dienste wie etwa Praxis- oder Projektmanagementsoftware sind aus dem Gesundheitswesen nicht mehr wegzudenken. Sie ermöglichen eine schnelle und flexible Datenverarbeitung, bringen jedoch auch Risiken mit sich. Um die Sicherheit der IT-Systeme zu gewährleisten, fordert die deutsche Gesetzgebung im Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) deshalb einen standardisierten Nachweis, unter anderem in Form eines C5-Testats. Das C5-Testat (Cloud Computing Compliance Criteria Catalogue) definiert verbindliche Mindeststandards für Cloud-Anbieter.

Dieses Testat soll ein sicherer Nachweis dafür sein, dass Anbieter angemessene technische und organisatorische Maßnahmen ergriffen haben, um Gesundheitsdaten vor unbefugtem Zugriff zu schützen. Die gesetzliche Verankerung schafft Transparenz und erleichtert Organisationen im Gesundheitswesen die Auswahl eines sicheren Cloud-Dienstleisters.

Wieso sind personenbezogene Daten im Gesundheitswesen besonders schützenswert?

Gesundheitsdaten gehören zu den sensibelsten Informationen, die verarbeitet werden können. Sie enthalten persönliche und oft intime Details zu Erkrankungen, Behandlungen oder genetischen Voraussetzungen. Ein unbefugter Zugriff oder Missbrauch kann schwerwiegende Folgen haben – sowohl für die betroffenen Personen als auch für das Vertrauen in das Gesundheitssystem.

Die Datenschutz-Grundverordnung (DSGVO) stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten ein. Das bedeutet, dass für ihre Verarbeitung besonders strenge Schutzmaßnahmen gelten. Nach Artikel 9 DSGVO ist die Verarbeitung solcher Daten grundsätzlich verboten – es sei denn, es liegt eine ausdrückliche Einwilligung der betroffenen Person vor oder eine gesetzliche Ausnahme greift.

Warum ist der Schutz so wichtig?

• Gefahr des Missbrauchs: Gesundheitsdaten könnten für Diskriminierung genutzt werden – etwa durch Versicherungen oder Arbeitgeber. Eine ungesicherte Cloud-Infrastruktur erhöht das Risiko für Datenlecks und Cyberangriffe.
• Verpflichtung zu Vertraulichkeit und Integrität: Nach Artikel 32 DSGVO müssen Organisationen technische und organisatorische Maßnahmen treffen, um Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen. Das C5-Testat hilft dabei, diese Anforderungen umzusetzen und die Einhaltung dieser in einem Berichtszeitraum nachzuweisen.
• Hohe Bußgelder bei Verstößen: Datenschutzverstöße können nach Artikel 83 DSGVO mit Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden. Unternehmen im Gesundheitswesen müssen daher sicherstellen, dass Cloud-Dienstleister höchste Sicherheitsstandards erfüllen.

Wer ist von der gesetzlichen Verpflichtung betroffen?

Das fünfte Sozialgesetzbuch definiert klar, welche Bereiche von den Regelungen zum Cloud-Einsatz im Gesundheitswesen betroffen sind:

Unter dem Begriff "Leistungserbringer" versteht man im deutschen Gesundheitssystem alle diejenigen Gruppen, die Leistungen für die Versicherten der Krankenkassen erbringen. Zu diesen Leistungserbringern gehören zum Beispiel:

• Krankenhäuser
• Vertragsärzte
• Apotheken
• Pharmazeutische Unternehmen
• die gesetzlichen Kranken- und Pflegekassen selbst

Die C5-Testat-Pflicht betrifft aber eben nicht nur die Leistungserbringer, sondern auch alle Cloud-Dienste, die in diesem Kontext mit sensiblen Gesundheitsdaten arbeiten. Dazu gehören nicht nur Organisationen, die Cloud-Dienste nutzen, sondern gerade auch die IT-Anbieter, die diese Dienste zur Verfügung stellen. Insbesondere Krankenhäuser, Arztpraxen oder Krankenkassen sind gesetzlich verpflichtet, penibel darauf zu achten, dass ihre Dienstleister ein gültiges C5-Testat vorweisen können.

Für Cloud-Anbieter bedeutet das eine umfassende Sicherheitsprüfung, um den hohen Anforderungen gerecht zu werden. Wer als Dienstleister für Personen und / oder Organisationen im Gesundheitssektor tätig ist, muss die Anforderungen zwingend erfüllen, um nicht aus der Lieferkette ausgeschlossen zu werden.

Ab wann ist ein C5-Testat für Cloud-Anbieter Pflicht?

Bereits seit dem 1. Juli 2023 ist ein C5-Testat für Cloud-Dienstleister im Gesundheitswesen vorgeschrieben. Bis zum 30. Juni 2025 reicht dafür ein sogenanntes Typ-1-Testat aus, das die Sicherheitsmaßnahmen zu einem bestimmten Zeitpunkt bewertet.

Ab dem 1. Juli 2025 verschärfen sich die Anforderungen noch einmal: Cloud-Anbieter benötigen dann zwingend ein C5-Typ-2-Testat.

Diese Erweiterung ist entscheidend, da ein Typ-2-Testat nicht nur die Existenz von Sicherheitsmaßnahmen bestätigt, sondern auch deren kontinuierliche Umsetzung über einen längeren Zeitraum hinweg prüft. Für Cloud-Anbieter bedeutet das einen erheblichen Mehraufwand.

Was ist der Unterschied zwischen einem Typ-1- und einem Typ-2-Testat?

Der wichtigste Unterschied der beiden Arten des C5-Testats liegt in der Art der Prüfung:

• C5-Typ-1-Testat: Prüft bei einer sogenannten Stichtagsprüfung einmalig, ob alle Sicherheitsmaßnahmen implementiert wurden.
• C5-Typ-2-Testat: Bewertet über einen längeren Zeitraum hinweg, ob die Sicherheitsvorkehrungen in der Praxis eingehalten werden.

Ein Typ-1-Testat bestätigt also lediglich, dass Sicherheitsmechanismen existieren. Das Typ-2-Testat geht weiter und stellt sicher, dass diese Maßnahmen auch dauerhaft wirksam sind. Die ab Juli 2025 geltende Pflicht zur Typ-2-Zertifizierung stellt somit eine signifikante Erhöhung der Sicherheitsstandards dar.

• Organisation der Informationssicherheit: Gibt es klare Sicherheitsrichtlinien und Verantwortlichkeiten?
• Sicherheitsvorfälle und Notfallmanagement: Existieren Mechanismen zur Erkennung, Meldung und Behebung von Sicherheitsvorfällen?
• Prüfung der Datensicherheit: Werden moderne Verschlüsselungsverfahren und Schutzmaßnahmen für gespeicherte und übertragene Daten genutzt?
• Prüfung der physischen Sicherheit: Wie sind Rechenzentren gegen unbefugten Zugriff und physische Gefahren geschützt?
• Auditierbarkeit und Nachvollziehbarkeit: Sind Maßnahmen zur kontinuierlichen Kontrolle und Protokollierung der Sicherheit implementiert?

Ist Stackfield für die sichere Nutzung im Gesundheitswesen geeignet?

Die kurze Antwort lautet: Ja!

Wir bei Stackfield haben uns schon früh auf die neuen gesetzlichen Vorgaben eingestellt und bereits Ende 2024 unser C5-Testat Typ-2 erhalten. Damit haben wir den Nachweis, dass Stackfield nicht nur den hohen Ansprüchen des BSI genügt und über alle erforderlichen Sicherheitsmaßnahmen wie zum Beispiel eine echte Ende-zu-Ende-Verschlüsselung verfügt, sondern diese auch über einen längeren Zeitraum hinweg konsequent umgesetzt hat und weiterhin umsetzt. Unsere Kunden können sich also darauf verlassen, dass alle gesetzlichen Anforderungen umgesetzt werden und die sensiblen Gesundheitsdaten bestmöglich geschützt werden.

Fazit: Im Gesundheitswesen kommen Cloud-Anbieter nicht ohne ein C5-Testat aus

Die Sicherheit personenbezogener Daten ist ein essentieller Bestandteil des Gesundheitswesens – sowohl aus rechtlicher als auch aus ethischer Sicht. Die DSGVO stellt strenge Anforderungen an den Umgang mit sensiblen Gesundheitsdaten, und Verstöße können schwerwiegende Konsequenzen haben. Mit der Verschärfung der C5-Testat-Pflicht ab Juli 2025 steigt die Verantwortung für Cloud-Anbieter weiter.

Das C5-Testat bietet Gesundheitsorganisationen eine verlässliche Grundlage, um sichere Cloud-Dienste auszuwählen. Insbesondere die verpflichtende Typ-2-Zertifizierung stellt sicher, dass Sicherheitsmaßnahmen nicht nur existieren, sondern auch konsequent eingehalten werden. Unternehmen wie Stackfield, die frühzeitig auf diese Anforderungen reagiert haben, geben ihren Kunden die Sicherheit, dass sie gesetzlich festgelegten Rahmenbedingungen vollumfänglich abgebildet werden.