Reuschlaw

Cloud-Dienste im Gesundheitswesen

C5-Testat als Schlüs­sel zur Compliance

Mit dem Digital-Gesetz wur­de die Nut­zung von Cloud-Diensten im Gesund­heits­we­sen erlaubt – jedoch unter stren­gen Vor­aus­set­zun­gen. Cloud-Anbieter dür­fen ihre Diens­te nur bereit­stel­len, wenn sie ein C5-Testat des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) vor­le­gen. Nutzt ein Cloud-Anbieter die Diens­te Drit­ter, ist zu prü­fen, inwie­weit ein C5-Testat erfor­der­lich ist.

C5-Testat

Nach § 393 Abs. 3 Nr. 2 des 5. Sozi­al­ge­setz­bu­ches (SGB V) müs­sen Cloud-Anbieter für ihre Cloud-Systeme und ‑Tech­no­lo­gien ein C5-Testat vor­le­gen. Das Tes­tat bestä­tigt, dass alle rele­van­ten Sicherheits- und Daten­schutz­an­for­de­run­gen erfüllt sind. Grund­la­ge des Testats ist der Kri­te­ri­en­ka­ta­log C5:2020 des BSI, der ins­ge­samt 125 Kri­te­ri­en aus 17 The­men­be­rei­chen umfasst und in Basis- und Zusatz­an­for­de­run­gen unter­teilt ist.

Wer ist verpflichtet?

Pri­mä­rer Adres­sat der Ver­pflich­tung aus dem SGB V sind Cloud-Anbieter. Die­se grei­fen häu­fig für ver­schie­de­ne Kom­po­nen­ten auf Dienst­leis­tun­gen Drit­ter zurück. Hier­bei wird dis­ku­tiert, ob ein Cloud-Anbieter ein Tes­tat des Dritt­an­bie­ters oder zusätz­lich ein eige­nes Tes­tat  vor­le­gen muss.  Auch wenn  der Wort­laut der Norm offen for­mu­liert ist und hier­zu unter­schied­li­che Auf­fas­sun­gen ver­tre­ten wer­den, ergibt sich aus dem Sinn und Zweck der Rege­lung, einen umfas­sen­den Schutz der Daten gewähr­leis­ten zu wol­len, sowie aus dem C5-Kriterienkatalog, der eige­ne Vor­ga­ben für den Ein­satz von Sub­dienst­leis­tern ent­hält, eine Gesamt­lö­sung. Danach müs­sen sowohl der Cloud-Anbieter als auch die ein­ge­setz­ten Sub­dienst­leis­ter ein C5-Testat vorweisen.

Umset­zung in der Praxis

Cloud-Anbieter haben zwei Mög­lich­kei­ten, ein C5-Testat vor­zu­le­gen: Bei der Carve-in Metho­de inte­griert der Anbie­ter die Sicher­heits­maß­nah­men des Sub­dienst­leis­ters in sei­ne eige­ne C5-Prüfung. Bei der Carve-out Metho­de wer­den die Sicher­heits­maß­nah­men des Dritt­an­bie­ters aus­ge­nom­men und durch ein Tes­tat des Dritt­an­bie­ters nach­ge­wie­sen.  In der Pra­xis emp­fiehlt sich die Carve-Out-Methode. Die­se ermög­licht es Cloud-Anbietern, sich auf die eige­nen Sicher­heits­maß­nah­men zu kon­zen­trie­ren, was Vor­tei­le wie Kosten- und Auf­wands­mi­ni­mie­rung mit sich bringt.

Mit der C5-Gleichwertigkeitsverordnung kön­nen sogar nun auch alter­na­ti­ve Sicher­heits­zer­ti­fi­ka­te als gleich­wer­tig zum C5-Testat aner­kannt wer­den. Mög­li­che Alter­na­ti­ven sind etwa ISO/IEC 27001, ISO 27001 (basie­rend auf dem IT-Grundschutz des BSI) oder Cloud Con­trols Matrix Ver­si­on 4.0. Zusätz­li­che Vor­aus­set­zung ist die Vor­la­ge eines detail­lier­ten Maßnahmenplans.

Wei­te­re Anfor­de­rung: Drittlandtransfer

Daten­ver­ar­bei­tung. Gesund­heits­da­ten dür­fen nur inner­halb der EU, des Euro­päi­schen Wirt­schafts­raums, der Schweiz oder in Län­dern mit EU-Angemessenheitsbeschluss ver­ar­bei­tet wer­den. Für US-amerikanische Cloud-Anbieter ist auch bei Vor­lie­gen des aktu­el­len Ange­mes­sen­heits­be­schlus­ses zusätz­lich eine Zer­ti­fi­zie­rung nach dem Data Pri­va­cy Frame­work Pro­gram erforderlich.

Fazit

Cloud-Anbieter benö­ti­gen ein eige­nes C5-Testat. Zusätz­lich ist die C5-Zertifizierung der Sub­dienst­leis­ter zu prü­fen. Einen Über­blick, wel­che Anbie­ter über ein C5-Testat ver­fü­gen, bie­tet die pri­vat geführ­te Lis­te „BSI C5 Atte­sta­ti­ons“.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.