Mit dem Inkrafttreten des Digitalgesetzes (DigiG) im Juli 2024 ist für alle Krankenhäuser in Deutschland, die Cloud-Dienste zur Verarbeitung von Patientendaten nutzen, ein C5-Testat (Cloud Computing Compliance Criteria Catalogue) verpflichtend. Die tatsächliche Anzahl der Krankenhäuser, die bereits ein eigenes C5-Testat besitzen, ist aktuell nicht öffentlich dokumentiert. Cloud-Dienstleister registrieren: Die C5-Zertifizierung hat die Auswahl von Cloud-Anbietern für Krankenhäuser in Deutschland grundlegend verändert.
Dieses C5-Testat, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), bestätigt, dass Cloud-Dienste strenge Anforderungen an Datenschutz, Informationssicherheit und technische Maßnahmen erfüllen. Die C5-Zertifizierung ist damit ein zentraler Nachweis für Cybersecurity und Compliance im Gesundheitswesen.
Ein C5-Testat bescheinigt, dass der Cloud-Anbieter – und damit indirekt das Krankenhaus als Betreiber – die über 120 Sicherheitsanforderungen des BSI konsequent umsetzt. Dazu zählen unter anderem die Organisation der Informationssicherheit, Verschlüsselung, physische Sicherheit und der Umgang mit Sicherheitsvorfällen. Krankenhäuser müssen spätestens seit Juli 2024 sicherstellen, dass entweder sie selbst oder ihr Cloud-Anbieter ein aktuelles C5-Testat vorweisen können. Besonders für sogenannte KRITIS-Häuser (kritische Infrastrukturen) ist die Einhaltung dieser Vorgaben essenziell, um bei Audits und Prüfungen bestehen zu können.
Die tatsächliche Anzahl der Krankenhäuser, die bereits ein eigenes C5-Testat besitzen, ist aktuell nicht öffentlich dokumentiert. In der Praxis genügt es jedoch, wenn der genutzte Cloud-Dienstleister das Testat nachweist. Viele Krankenhäuser setzen daher auf zertifizierte Anbieter wie Telepaxx oder CompuGroup Medical, die explizit mit ihrem C5-Testat werben. Einzelne HealthTech-Unternehmen wie Recare haben für ihre Plattformen ebenfalls ein C5-Testat erhalten, sind aber Ausnahmen.
Insgesamt lässt sich festhalten: Die Mehrheit der Krankenhäuser in Deutschland sichert Cybersecurity und Compliance durch die Nutzung C5-zertifizierter Cloud-Dienste. Ein eigenes C5-Testat besitzen bislang nur wenige Einrichtungen, da die Gesetzgebung primär auf die Zertifizierung der Cloud-Anbieter abzielt. Die Umstellung auf sichere, regelkonforme Cloud-Infrastrukturen ist jedoch branchenweit im Gang und wird offensichtlich durch die gesetzlichen Vorgaben weiter beschleunigt.
Krankenhäuser in Deutschland müssen ab Juli 2025 sicherstellen, dass alle eingesetzten Cloud-Dienste ein aktuelles C5-Typ-2-Testat besitzen. Sie sind verpflichtet, dies im Rahmen von Audits und Prüfungen nachzuweisen, insbesondere bei KRITIS-Prüfungen. Die C5-Testat-Pflicht betrifft sowohl die Krankenhäuser als Nutzer als auch die Cloud-Anbieter als Dienstleister, wobei die eigentliche Testierung in der Regel beim Cloud-Anbieter liegt.
C5-Zertifizierung und Auswahl von Cloud-Anbietern für Krankenhäuser
Die Einführung der C5-Zertifizierung (Cloud Computing Compliance Criteria Catalogue) hat die Auswahl von Cloud-Anbietern für Krankenhäuser in Deutschland grundlegend verändert. Mit Inkrafttreten des § 393 SGB V und der verpflichtenden C5-Testierung für Cloud-Dienste im Gesundheitswesen ist die C5-Zertifizierung zu einem zentralen Entscheidungskriterium geworden.
- Rechtliche Verpflichtung: Krankenhäuser dürfen Cloud-Dienste zur Verarbeitung von Patientendaten nur dann nutzen, wenn der Anbieter ein gültiges C5-Testat (ab Juli 2025: Typ 2) vorweisen kann. Dies ist gesetzlich vorgeschrieben und wird bei Audits und Prüfungen kontrolliert.
- Nachweis der IT-Sicherheit: Die C5-Zertifizierung bestätigt, dass der Cloud-Anbieter strenge Anforderungen an Datenschutz, Informationssicherheit, Verschlüsselung, Identitätsmanagement und Notfallmanagement erfüllt. Krankenhäuser können so sicherstellen, dass sensible Gesundheitsdaten bestmöglich geschützt sind.
- Transparenz und Vertrauen: Das C5-Testat schafft Transparenz über die getroffenen Schutzmaßnahmen und stärkt das Vertrauen von Patienten, Datenschutzbeauftragten und Geschäftsführungen in die Sicherheit der Cloud-Lösung.
- Reduziertes Haftungsrisiko: Durch die Wahl eines C5-zertifizierten Anbieters minimieren Krankenhäuser ihr eigenes Haftungsrisiko bei Datenschutzverstößen oder Sicherheitsvorfällen, da sie nachweisen können, anerkannte Standards eingehalten zu haben.
- Marktzugang und Zukunftssicherheit: Viele Softwarelösungen und HealthTech-Anwendungen setzen heute die Nutzung eines C5-zertifizierten Cloud-Partners voraus. Anbieter ohne C5-Testat werden vom Markt zunehmend ausgeschlossen oder sind für Krankenhäuser nicht mehr wählbar.
C5-Testat für den Anbieter-Zugang zum Markt
Die C5-Zertifizierung ist das entscheidende Auswahlkriterium für Cloud-Anbieter im deutschen Gesundheitswesen. Krankenhäuser sind verpflichtet, ausschließlich C5-zertifizierte Anbieter zu wählen, um rechtlichen Vorgaben, Sicherheitsanforderungen und dem eigenen Risikomanagement gerecht zu werden. Anbieter ohne C5-Testat sind faktisch vom Markt ausgeschlossen. Die Zertifizierung sorgt für Transparenz, stärkt das Vertrauen und minimiert Risiken für Krankenhäuser, Patienten und Dienstleister gleichermaßen.
Autor: Wolf-Dietrich Lorenz
Foto: Adobe Stock / Brian