C5-Testat – Schreckgespenst oder reales Problem?

27.02.2025

Seit dem 1. Juli 2024 gilt § 393 SGB V, der den „Cloud-Einsatz im Gesundheitswesen“ regelt.

Der Gesetzgeber stellt hohe Sicherheitsanforderungen an Cloud-Computing-Dienste, die zur Verarbeitung von Sozial- und Gesundheitsdaten genutzt werden. Die Definition von Gesundheitsdaten ist dabei weit gefasst und schließt auch vermeintlich harmlose Informationen ein, wie Bestelldaten beim Kauf nicht verschreibungspflichtiger Arzneimittel, aufgezeichnete Aktivitäten oder Schrittzahlen aus einer Fitness-App. Selbst reine Rechnungsdaten eines Patienten gelten als Gesundheitsdaten, sofern sie von einem Arzt oder Therapeuten zur Abrechnung verarbeitet werden.

Was ist ein C5-Testat?

Ein C5-Testat bescheinigt ein hohes Sicherheitsniveau eines Cloud-Dienstes. Die Kriterien wurden durch das BSI festgelegt und basieren auf dem BSI-Grundschutz.

Es gibt zwei Arten des C5-Testats:

Das C5-Typ1-Testat entspricht in etwa der ISO 27001:2022-Norm und stellt eine Momentaufnahme dar. Im Rahmen der Testierung erfolgt eine Angemessenheitsprüfung (Audit). Grundsätzlich ist das C5-Typ1-Testat der erste Schritt, um nachzuweisen, dass ein Rechenzentrum ein wirksames ISMS (Information Security Management System) implementiert hat und technisch gut gesichert ist.

Das C5-Typ2-Testat umfasst eine Angemessenheitsprüfung mit Wirksamkeitsbewertung. Die Testierung beinhaltet mehrere Audits, um die Effizienz der getroffenen Sicherheitsmaßnahmen zu bewerten. Laut BSI dauert die Zertifizierung zwischen sechs und zwölf Monaten.

C5-Testate müssen grundsätzlich jährlich erneuert werden. Die Prüfung erfolgt durch eine Wirtschaftsprüfungsgesellschaft und bedarf der Bestätigung eines Wirtschaftsprüfers, was mit erheblichen Kosten verbunden ist.

Seit dem 1. Juli 2024 dürfen Sozial- und Gesundheitsdaten von Leistungserbringern und Krankenkassen nur in einer C5-testierten Cloud verarbeitet werden. Ab dem 1. Juli 2025 wird das Sicherheitsniveau weiter erhöht: Ab dann ist ein C5-Typ2-Testat zwingend erforderlich.

Jegliche Verarbeitung von Sozial- und Gesundheitsdaten durch Leistungserbringer, Kranken- und Pflegekassen sowie deren Auftragsverarbeiter muss in einer C5-Cloud erfolgen. Dies betrifft auch die Nutzung von Bürosoftware wie MS365 oder Only Office, sofern die Daten nicht ausschließlich lokal verarbeitet werden.

Wer ist betroffen?

Betroffen sind Leistungserbringer i.S.d. vierten Kapitels SGB V, Kranken- und Pflegekassen sowie deren Auftragsverarbeiter. Zu den Leistungserbringern zählen unter anderem Ärzte, Apotheker, aber auch Physiotherapeuten. Eine nicht abschließende Liste der betroffenen Berufsgruppen finden Sie am Ende dieses Artikels.

Alternativen zum C5-Testat

Derzeit existieren keine geeigneten Alternativen zum C5-Typ2-Testat. Zwar gab es einen Entwurf für eine Äquivalenzverordnung, doch dieser liegt seit Monaten unbeachtet in den Schubladen der alten Bundesregierung und wurde bislang nicht weiterbearbeitet. Zudem bezieht sich dieser Entwurf ausschließlich auf das C5-Typ1-Testat. Ab Juli 2025 wird jedoch die höhere Stufe, C5-Typ2, verpflichtend.

Umgang mit dem C5-Testat

Alle Leistungserbringer und ihre Auftragsverarbeiter, die Sozial- und Gesundheitsdaten verarbeiten, müssen sicherstellen, dass sie ausschließlich eine C5-testierte Cloud verwenden.

Theoretisch können Sie Ihren eigenen Dienstleister selbst überprüfen und die öffentlich zugängliche Liste der INA einsehen. Allerdings ist dort aktuell nur ein Unternehmen mit einem C5-Typ1-Testat gelistet. Daher sollten Sie unbedingt einen C5-Nachweis direkt bei Ihrem Cloud-Anbieter anfordern.

Viele Cloud-Anbieter verzichten aufgrund der hohen Kosten auf eine C5-Typ2-Testierung. Liegt dieses Testat nicht vor, ist die Datenverarbeitung rechtswidrig und stellt einen strafbaren Verstoß gegen die Datenschutzbestimmungen dar.

Falls der Cloud-Anbieter kein C5-Testat nachweisen kann, besteht unter Umständen die Möglichkeit, aufgrund einer Störung der Geschäftsgrundlage vom Vertrag zurückzutreten und zu einem C5-testierten Anbieter zu wechseln. Ein solcher Wechsel ist jedoch oft mit erheblichen Kosten und organisatorischem Aufwand verbunden, insbesondere für Auftragsverarbeiter, die beispielsweise Arztsoftware bereitstellen.

Es gibt jedoch alternative Lösungen. Je nach Verarbeitungssituation kann die C5-Pflicht durch eine Vereinbarung zur gemeinsamen Verantwortlichkeit oder den Einsatz einer privaten Cloud umgangen werden. Allerdings darf eine solche Vereinbarung kein reines Umgehungsgeschäft darstellen, da sie sonst unwirksam ist und hohe Bußgelder wegen vorsätzlicher Datenschutzverletzungen drohen. Wichtig ist, dass nicht nur eine entsprechende Vereinbarung getroffen, sondern auch der Hauptvertrag datenschutzkonform gestaltet wird. Falls der Hauptvertrag die datenschutzrechtlichen Besonderheiten nicht ausreichend berücksichtigt, ist es schwierig, Rechtssicherheit zu schaffen. Auch der Einsatz einer privaten Cloud muss entsprechend rechtlich gut abgesichert sein.

Wir beraten Sie gerne zu allen Fragen rund um das C5-Testat als auch Sozial- und Gesundheitsdaten. Dank unserer langjährigen und praxisorientierten Erfahrung helfen wir Ihnen, Ihr Vorhaben erfolgreich umzusetzen.

Vereinbaren Sie einfach ein unverbindliches Erstgespräch, um zu besprechen, wie unsere Rechtsanwält:innen Sie unterstützen können.

 

Liste der betroffenen Berufe:

  • Ärzte/ alle zur vertragsärztlichen Versorgung zugelassene oder ermächtigte Personen oder Einrichtungen
  • Zahnärzte
  • Psychotherapeuten
  • Apotheken, wenn Rahmenvertrag nach § 129 Abs. 3 SGB V
  • Krankenhäuser, Kliniken, Rehakliniken – vgl. §§ 107 f. SGB V
  • Träger stationärer oder ambulanter Vorsorge und Rehabilitation im Sinne von §§ 111, 111 a, 111 c SGB V, mit denen Verträge bestehen
  • Erbringer von Heilmitteln i.S.v. § 124 SGB V (z.B. Physiotherapeuten, Ergotherapeuten, Podologen, Ernährungstherapeuten, Sprach- und Stimmtherapeuten)
  • Erbringer von Hilfsmitteln, mit denen Verträge bestehen, vgl. §§ 126 f. SGB V (z.B. Hörgeräteakustiker, Optiker, Orthopädiemechaniker, Orthopädieschuhmacher, Zahntechniker)
  • selbstständige Erbringer von Haushaltshilfe, wenn Vertrag nach § 132 Abs. 1 S. 2 SGB V
  • Erbringer häuslicher Krankenpflege, wenn Vertrag nach § 132a Abs. 2 SGB V
  • Erbringer von Soziotherapie, wenn Vertrag nach § 132b SGB V
  • Erbringer sozialmedizinischer Nachsorgemaßnahmen, wenn Vertrag nach § 132c SGB V
  • Erbringer von spezialisierter ambulanter Palliativversorgung, wenn Vertrag nach § 132d SGB V
  • Erbringer der Versorgung mit Schutzimpfungen, wenn Vertrag nach § 132e Abs. 1 SGB V
  • Betriebsärzte, wenn Vertrag nach § 132f SGB V (Gesundheitsförderung)
  • zugelassene Pflegeeinrichtungen im Sinne von § 43 SGB V, wenn Vertrag nach § 132g SGB V
  • Einrichtungen der Kurzzeitpflege, wenn Vertrag nach § 132h SGB V
  • Erbringer außerklinischer Intensivpflege, wenn Vertrag nach § 132l SGB V
  • Hebammen/ggf. Gebetshäuser, wenn Vertrag nach § 134a Abs. 1 SGB V
  • Erbringer von Rettungsdienst- und Krankentransportleistungen, wenn Vertrag nach § 133 Abs. 1 SGB V
  • Pharmazeutische Unternehmen, wenn Vertrag nach §§ 130a-131 SGB V
  • Zahntechniker, wenn Vertrag nach §§ 88, 89 Abs. 7 und 8 SGB V

 

Bild von Bethany Drouin auf Pixabay

 

 

Justyna Rulewicz

Justyna Rulewicz

RECHTSANWÄLTIN / GESCHÄFTSFÜHRENDE PARTNERIN (CEO)

Profil ansehen
Piotr Stojgniew Maluszczak

Piotr Stojgniew Maluszczak

RECHTSANWALT/WIRSTSCHAFTSMEDIATOR

Profil ansehen

Weitere Artikel

03.12.2024

Vorsicht, Drogenmafia. Worauf Sie bei Reisen achten sollten

Wir freuen uns, dass unser Fachbeitrag „Koffer, Drogen und unschuldige…

Weiterlesen
29.10.2021

Datenschutz Awareness in der Filmproduktion

Wieso ist das Thema für alle an der Filmproduktion Beteiligten…

Weiterlesen
15.04.2021

Newsletter Corona Testpflicht

Corona Testpflicht für Arbeitgeber – Was ist zu beachten?  Wie…

Weiterlesen
ALLE ARTIKEL

Bleiben Sie auf dem Laufenden!

Alle wichtigen Neuigkeiten zu DataLaw einmal im Monat in Ihrem Postfach.