Die Neufassung des § 393 SGB V durch das Digital-Gesetz im Sommer vergangenen Jahres ordnete den Rechtsrahmen für den Einsatz von Cloud-Computing-Diensten bei der Verarbeitung von Sozial- sowie Gesundheitsdaten und verschaffte Leistungserbringern mehr Rechtssicherheit.
Die Zulässigkeit einer Verarbeitung setzt grundsätzlich voraus, dass ein aktuelles C5-Testat der datenverarbeitenden Stelle “im Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud Computing Dienstes eingesetzt Cloud Systeme und die eingesetzte Technik vorliegt”.
Was unter einem aktuellen C5-Testat verstanden wird, ändert sich mit der Zeit: So gilt bis zum 30.06.2025 als aktuelles C5-Testat ein C5-Typ-1-Testat, während ab dem Folgetag nur ein C5-Typ-2-Testat als aktuell gilt.
Ferner besteht die Möglichkeit, anstelle eines aktuellen C5-Testats auch ein Testat oder Zertifikat nach einem Standard mit vergleichbarem oder höherem Sicherheitsniveau vorzulegen. Welche Standards diese Anforderungen erfüllen, soll in der “C5-Äquivalenz-Verordnung” geregelt werden, die gegenwärtig als Referentenentwurf vom 06.01.2025 vorliegt.
Der Referentenentwurf regelt, dass eine Testierung oder Zertifizierung nach einem der Standards
- DIN EN ISO/IEC 27001:2022
- ISO 27001 auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Cloud Controls Matrix Version 4.0
als Nachweis für ein gleichwertiges Sicherheitsniveau wie C5-Typ-1 gilt, sofern ergänzende Voraussetzungen erfüllt werden: So muss etwa zusätzlich ein Maßnahmenplan erstellt werden, der sich mit Abweichungen zwischen den C5-Basiskriterien und dem Alternativstandard auseinandersetzt. Diese “materiellen Lücken” – so der Wortlaut des Referentenentwurfs – sind zu beheben. Hierfür ist eine Meilensteinplanung für zwölf Monate zu erstellen. Letztlich zielt der Referentenentwurf darauf ab, dass ein C5-Typ-1-Testat innerhalb von 18 Monaten ab Erstellung der Meilensteinplanung erlangt werden soll.
Die C5-Äquivalenz-Verordnung soll rückwirkend vom 01.07.2024 in Kraft treten.
Der Referentenentwurf stößt vielerorts auf Kritik. So etwa von Seiten der Deutschen Krankenhaus Gesellschaft, die in ihrer Stellungnahme vom 24.01.2025 beanstandet, das im Referentenentwurf vorgesehene Verfahren sei überaus komplex und verfehle das Ziel, den Nachweis zu vereinfachen. Der Referentenentwurf regele nicht ausdrücklich, dass äquivalente Nachweise für C5-Typ1-Testate bei einer Testierung der Wirksamkeit von Maßnahmen für C5-Typ2-Testate weiterhin verwendet werden könnten.
Der Bundesverband Gesundheits-IT – bvitg e. V. schreibt in seiner Stellungnahme vom 24.01.2025 im Zusammenhang mit den Erfüllungsaufwänden, angemessene Übergangsfristen könnten die deutlichen Mehraufwände für die Industrie reduzieren, trotzdem entstünden hohe jährlich wiederkehrende Kosten, die in der Konsequenz zu Kostensteigerungen bei den Leistungserbringern führten.
Der Branchenverband Bitkom e.V. macht in seiner Stellungnahme im Januar 2025 den Verbesserungsvorschlag, im Bereich der zusätzlichen Maßnahmen einen Verweis auf die internationale Norm ISO 27017 sowie ISO 27018, die für Cloud Computing gelte, aufzunehmen. Eine „echte“ Äquivalenzverordnung biete zudem die Möglichkeit, eine C5-Testierung mit der internationalen Norm ISO 27001 gleichzusetzen.
Angesichts der in Kürze endenden Legislaturperiode bleibt abzuwarten, welche weitere Richtung das Bundesministerium für Gesundheit mit der C5-Äquivalenz-Verordnung einschlagen wird. Leistungserbringer und Anbieter von Cloud-Diensten sollten die weitere Entwicklung im Blick behalten und diese insbesondere bei der Vergabe von Aufträgen und der Vertragsgestaltung berücksichtigen.
Gerne unterstützen wir Sie dabei. Jetzt Kontakt aufnehmen!