In stark regulierten Branchen wie dem Banken- und Versicherungswesen wurde das C5-Zertifikat zum Goldstandard für Compliance und Sicherheit und stellt einen vertrauenswürdigen Maßstab dar.
Die Digitalisierung des Gesundheitswesens in Deutschland nimmt Fahrt auf und wird zunehmend durch die Nachfrage der Endnutzer vorangetrieben. So halten 89 % der Deutschen die Digitalisierung im Gesundheitswesen grundsätzlich für richtig. Gleichzeitig bedeutet ein höherer Digitalisierungsgrad eine wachsende Anzahl an Datenschutzvorfällen und Sicherheitsbedenken. Der Schutz persönlicher Gesundheitsdaten und die Einhaltung strenger Vorschriften schaffen eine sichere digitale Infrastruktur, die nicht nur die Zusammenarbeit und Innovation im Gesundheitsbereich fördert, sondern auch das Engagement der Patienten und den Zugang zu Dienstleistungen stärkt und letztlich den Wandel des Gesundheitswesens in Deutschland vorantreibt.
Einheitliche Sicherheitsstandards durch das C5 Testat
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führte im Jahr 2016 den Cloud Computing Compliance Controls Catalogue (C5) in Deutschland ein. Sicherheitsstandards für Cloud-Dienstleister werden durch ein Testat nachgewiesen, das auf dem Katalog basiert und sowohl die Einhaltung deutscher Marktanforderungen als auch bewährter Best Practices gewährleistet. Es ermöglicht Unternehmen, die Sicherheitsstandards von Cloud-Anbietern in Bereichen wie Datenschutz, Transparenz und Risikomanagement zu bewerten.
In stark regulierten Branchen wie dem Banken- und Versicherungswesen wurde C5 zum Goldstandard für Compliance und Sicherheit und stellt einen vertrauenswürdigen Maßstab dar. Insbesondere beim Umgang mit hochsensiblen Daten wie Gesundheitsdaten ist das relevant. Diese breite Akzeptanz hat das BSI als Schlüsselbehörde zur Gestaltung von Cloud-Sicherheitsrichtlinien in Deutschland und international positioniert, wodurch der C5-Standard im europäischen Raum Respekt und Anerkennung erfährt. Da die digitale Transformation branchenübergreifend weiter voranschreitet, ist die Nachweisbarkeit der Einhaltung von C5 zu einem unverzichtbaren Instrument für eine sichere Cloud-Nutzung geworden.
Was bedeutet C5 2025 für Krankenkassen und private Krankenversicherungen?
Ab Januar 2025 dürfen Krankenkassen und Dienstleister sowie ihre jeweiligen Datenverarbeiter solche Daten nur dann in Cloud-Anwendungen verarbeiten, wenn ein C5 Testat Typ 1 vorhanden ist. Die privaten Krankenversicherungen sind indirekt ebenfalls dazu verpflichtet, sich an diesen Standard zu halten, da sie sich per Vorschrift an “gängige Standards” halten müssen, was die C5-Regelung beinhaltet. Der neue Paragraf 393 des Fünften Sozialgesetzbuchs (SGB V), „Cloud-Nutzung im Gesundheitswesen; Ermächtigung zum Erlass von Verordnungen“, stellt einen wichtigen Schritt zum Schutz sensibler, persönlicher, sozialer und gesundheitlicher Daten dar, wie vom Bundesministerium für Gesundheit dargelegt. Ziel der Regelung ist es, eine sichere Nutzung von Cloud-Systemen im Gesundheitswesen zu ermöglichen und dabei Mindestanforderungen an die Technik für Dienstleister festzulegen.
Das C5-Framework ist nicht brandneu und weist zahlreiche Überschneidungen mit bestehenden Vorschriften auf. Insbesondere steht es in Einklang mit:
- deutschem Recht und der Datenschutz-Grundverordnung (DSGVO), was hohe Standards für Datenschutz und Verantwortlichkeit gewährleistet, internationalen Standards:
- ISO/IEC 27001:2013, ein führender Standard für das Informationssicherheitsmanagement,
- ISO/IEC 27017:2015, spezifischer Sicherheitsstandard für Cloud-Dienste,
- ISO/IEC 27002:2016, Leitlinien für Sicherheitsmaßnahmen,
- BSI – IT-Grundschutz, ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Cybersecurity-Framework, das verschiedene IT-Komponenten wie Netzwerke, Server und Anwendungen abdeckt,
- CSA (Cloud Security Alliance) – Cloud Controls Matrix 3.0.1 (CSA CCM), das Cloud-Sicherheitsanforderungen mit anerkannten Standards, Vorschriften und Best Practices abgleicht, um Compliance sicherzustellen und Risiken in den Bereichen Datenschutz, Governance und Sicherheitsmanagement effektiv zu managen,
- AICPA (American Institute of Certified Public Accountants) – Trust Services Criteria 2017 (TSC), das häufig zur Bewertung der Effektivität von Systemen herangezogen wird, die Daten verarbeiten, und sicherstellt, dass diese bestimmte Vertrauensprinzipien erfüllen, insbesondere im Kontext von SOC 2-Berichten,
- ANSSI (Agence nationale de la sécurité des systèmes d’information, Nationale Agentur für Cybersicherheit in Frankreich) – Anbieter von Cloud-Computing-Diensten v. 3.1 SecNumCloud, mit dem Ziel, Vertrauen in Cloud-Dienste zu stärken, indem ein standardisierter Zertifizierungsprozess für öffentliche Auftraggeber und Organisationen geschaffen wird, die mit sensiblen Daten arbeiten,
- IDW (Institut der Wirtschaftsprüfer in Deutschland e.V.) RS FAIT 5 – Stellungnahme zur Rechnungslegung, die Wirtschaftsprüfern ein Rahmenwerk zur Beurteilung und Berichterstattung über die Effektivität interner Kontrollen in Bezug auf die Prozesse der Finanzberichterstattung bietet.
Die Einhaltung der BSI C5-Anforderungen stellt für Cloud-Anbieter einen erheblichen Aufwand dar, der deutlich über gängige Standards wie ISO 27001 hinausgeht und umfassende, jährliche Prüfungen durch externe Wirtschaftsprüfer erfordert. Die C5-Zertifizierung umfasst zwei Prüfarten: Typ 1 als Momentaufnahme der Sicherheitskontrollen und Typ 2, welche deren Wirksamkeit über sechs bis zwölf Monate bewertet – Letztere wird ab Juli 2025 als Marktzugangsvoraussetzung erforderlich sein. Auch wenn Anbieter durch eine Gap-Analyse bestehende Maßnahmen teilweise an die C5-Kriterien anpassen können, bleibt die Umsetzung kosten- und zeitintensiv. Dieser Aufwand zahlt sich jedoch langfristig aus, da die C5-Zertifizierung höchste Standards für Datenschutz und Compliance sicherstellt und so einen nachhaltigen Wettbewerbsvorteil schafft.
Darüber hinaus legt der neue Paragraf 393 auch Beschränkungen bezüglich des Standorts der Datenverarbeitung fest. Diese darf nur in Deutschland, einem Mitgliedstaat der Europäischen Union oder des Europäischen Wirtschaftsraums, in der Schweiz oder in einem Drittland mit einem Angemessenheitsbeschluss nach Artikel 45 der DSGVO erfolgen. Zudem muss der Verantwortliche Datenverarbeiter eine Niederlassung in Deutschland haben.
Das bedeutet das C5 Zertifikat für Gini
Für jedes Unternehmen, das mit Patienten- und Gesundheitsdaten arbeitet, wie z. B. die PKV, ist es wichtig, nur solche vertrauenswürdigen Dienstleister auszuwählen, welche die C5-Auditkriterien einhalten, um die Geschäftskontinuität und die Compliance sicherzustellen. Gini, als Anbieter von Gini Pay Connect – einer integrierten digitalen Zahlungslösung für die PKV – verpflichtet sich, alle notwendigen Anforderungen im Einklang mit der BSI C5 bis Juni 2025 zu erfüllen. Das zeigt Ginis Engagement, seine Datensicherheitsstandards zusätzlich zu der bereits bestehenden ISO 27001 Zertifizierung zu erhalten und kontinuierlich zu verbessern. Darüber hinaus ist der eigene Rechenzentrumsstandort in Deutschland garantiert, so dass hochsensible Daten die EU nicht verlassen.
Wir bei Gini möchten mit unseren Beiträgen, Artikeln, Leitfäden, Whitepaper und Pressemitteilungen alle Menschen erreichen. Deshalb betonen wir, dass sowohl weibliche, männliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich angesprochen werden. Sämtliche Personenbezeichnungen beziehen sich auf alle Geschlechter, auch dann, wenn in Inhalten das generische Maskulinum genutzt wird.