Cloud-Dienste sind eine zentrale Grundlage für die Digitalisierung im Gesundheitswesen – insbesondere dort, wo Patientendaten verarbeitet werden. Mit der zunehmenden Nutzung von Cloud-Diensten steigen jedoch auch die Anforderungen an Informationssicherheit, Transparenz und regulatorische Nachweisführung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu zwei zentrale Anforderungskataloge herausgegeben: Zum einen definiert die Technische Richtlinie TR-03161 Sicherheits- und Datenschutzanforderungen für Digitale Gesundheitsanwendungen (DiGA) samt Hintergrundsystemen. Zum anderen schafft der „Cloud Computing Compliance Criteria Catalogue“ (C5) ein einheitliches Sicherheitsniveau für Cloud-Dienste und macht dieses prüf- sowie nachweisbar. Gemeinsam bilden C5 und TR-03161 das Sicherheitsfundament für Gesundheitsdaten, die mit Cloud-Diensten verarbeitet werden.
TR-03161: Sichere Digitalisierung im Gesundheitswesen
Digitale Gesundheitsanwendungen (DiGA) begegnen uns immer öfter: Sie unterstützen das Erkennen und Behandeln von Krankheiten, fördern die Patient:innenautonomie und steigern die Therapieeffizienz. Daher lassen sich DiGA bei zahlreichen medizinischen Indikationen wie psychischen Erkrankungen, Diabetes oder Schmerzen einsetzen.
Die „Apps auf Rezept“ werden durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) reguliert und sind seitens der Krankenkassen erstattungsfähig. Da sie hochsensible Gesundheitsdaten verarbeiten und in den Behandlungsprozess eingreifen, müssen sie höchsten Sicherheitsanforderungen genügen. Das BSI hat daher mit der Technischen Richtlinie TR-03161 gesetzlich vorgeschriebene Anforderungen definiert, welche die Entwickler und Anbieter von DiGA seit dem 1. Januar 2025 erfüllen müssen: Die Richtlinie definiert für mobile Applikationen sowie Web-Anwendungen (in Entwicklung und Betrieb) das zu erreichende Sicherheits- und Qualitätsniveau und verpflichtet DiGA-Hersteller, sich entsprechend prüfen zu lassen. Ein besonderes Augenmerk liegt auf IT- und Datensicherheit, Integrität sowie Datenschutz.
BSI C5: Sicherheit und Transparenz für Cloud-Dienste
Der „Cloud Computing Compliance Criteria Catalogue“ (C5) ist ein vom BSI entwickelter Kriterienkatalog für Cloud-Dienstleister. Er definiert Kriterien an den sicheren Betrieb von Cloud-Services und dient als Prüfkatalog für Audits. Ziel des C5 ist es, ein hohes Maß an Transparenz, Vergleichbarkeit und Sicherheit zu schaffen – insbesondere für Organisationen, die sichere und vertrauenswürdige Cloud-Angebote benötigen.
Der C5 wurde erstmals im Jahr 2015 herausgegeben und liegt seit dem Update in 2019 als Version C5:2020 vor. Derzeit aktualisiert das BSI den C5 erneut – die Veröffentlichung der nächsten Version wird für März oder April 2026 erwartet. Da der C5 ein internes Kontrollsystem voraussetzt und sich die C5-Prüfberichte auf die tatsächliche Wirksamkeit der Kontrollen in einem bestimmten, vergangenen Zeitraum beziehen, können nur Wirtschaftsprüfungsgesellschaften einen C5-Prüfbericht ausstellen.
Seit 2024 erlaubt das „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“ (kurz: Digital-Gesetz) in §393 SGB V das Verarbeiten von Gesundheitsdaten mit Cloud-Diensten – sofern deren Anbieter einen BSI C5-Prüfbericht (Typ 2) erlangt hat oder die C5-Gleichwertigkeitsverordnung erfüllt. Das Bundesministerium für Gesundheit (BMG) möchte damit erreichen, dass Gesundheitsorganisationen sensible Sozial- und Gesundheitsdaten mit modernen Cloud-Diensten verarbeiten können, während für diese ein einheitlich hohes und von einem unabhängigen Dritten bestätigtes Sicherheitsniveau sichergestellt ist.
Verbindung zwischen TR-03161 und BSI C5
Das BSI formuliert in Teil 3 der TR‑03161 spezifische Anforderungen an die Hintergrundsysteme von DiGA. Diese Anforderungen beziehen sich auf Ressourcen, auf welche die DiGA zurückgreift, wie etwa Applikationslogiken und Datenbanken oder Infrastrukturdienste wie Compute, Netzwerk, Firewall, Benutzerverwaltung und Internetverbindung.
Genau diese Hintergrundsysteme bestehen zunehmend aus Cloud-Diensten, insbesondere Infrastructure as a Service (IaaS) und Platform as a Service (PaaS). Um dem Schutzbedarf der in diesen Hintergrundsystemen verarbeiteten Gesundheitsdaten gerecht zu werden, fordert die TR 03161, dass für diese Systeme ein BSI C5-Bericht vorliegt: Der DiGA-Hersteller hat somit darauf zu achten, dass er seine DiGA nur auf solchen Cloud-Diensten betreibt, für die der Cloud-Anbieter einen BSI C5-Bericht erlangt hat. Somit bilden TR 03161 und BSI C5 zwei wesentliche Pfeiler der Informationssicherheit von DiGA.
Für DiGA‑Anbieter kann es ebenfalls sinnvoll oder sogar notwendig sein, selbst einen BSI-C5-Prüfbericht zu erlangen: Insbesondere dann, wenn sie die DiGA auch als Cloud-Dienst (meist SaaS) bereitstellen und andere Organisationen auf diese zugreifen können. Dies ist stets individuell sowie, abhängig vom jeweiligen Anwendungsfall, vor dem Hintergrund des Digital-Gesetzes zu bewerten.
Was bedeutet dies für Anbieter digitaler Gesundheitsdienste?
DiGA-Anbieter sind gesetzlich verpflichtet, eine Produktzertifizierung gemäß TR-03161 zu erlangen.
Entscheidend ist dabei, sorgfältig zu bestimmen, welche Teile der TR anwendbar sind, um einzugrenzen, welche Anforderungen verpflichtend umgesetzt werden müssen und welche ausgeschlossen werden können. Dies kann den Aufwand des DiGA-Anbieters bei der Umsetzung sowie Prüfung der Anforderungen und infolgedessen den notwendigen Invest maßgeblich beeinflussen.
Nachdem festgelegt wurde, welche Teile der TR anwendbar sind, sollten die jeweiligen Anforderungen möglichst vollständig sowie richtlinienkonform umgesetzt sowie durch eine unabhängige und zugelassene Prüfstelle geprüft werden.
Die Anforderungen umfassen Aspekte wie die sichere Authentifizierung, Verschlüsselung gemäß kryptografischer Verfahren nach dem Stand der Technik, sichere Netzwerkkommunikation und weitere Maßnahmen der IT-Sicherheit.
DiGA-Anbieter sollten Cloud-basierte Hintergrundsysteme, wie IaaS oder PaaS, nur nutzen, sofern für diese ein BSI C5 Typ 2 Prüfbericht vorliegt. Dies lässt sich in Anbieterauswahl- und Steuerungsprozessen durch entsprechende Nachfragen beim Cloud-Anbieter ermitteln. Beim Durchsehen des Berichts ist unter anderem auf den Scope, den Typ des Berichts (Typ 1 „Angemessenheit“ oder Typ 2 „Wirksamkeit“) sowie eventuelle Prüfungsfeststellungen zu achten. Für DiGA-Anbieter kann es zudem wichtig sein, zu beurteilen, inwiefern sie gemäß §384 SGB V gegebenenfalls selbst als Cloud-Anbieter gelten und einen BSI C5-Prüfbericht benötigen: Sofern ihre Kunden (wie beispielsweise Hospitäler oder Krankenkassen) mit dem Dienst Gesundheitsdaten verarbeiten, ist zu erwarten, dass sie zur Aufnahme beziehungsweise Fortführung eines Vertragsverhältnisses einen BSI C5-Prüfbericht Typ 2 fordern werden.
Zum Abschluss der Prüfung erstellt die Prüfstelle einen Bericht, übermittelt diesen zusammen mit allen relevanten Unterlagen (zum Beispiel BSI C5‑Prüfberichten) zur Konformitätsbewertung an das BSI und unterstützt bei etwaigen Rückfragen. Nach erfolgreicher Konformitätsbewertung stellt das BSI das entsprechende Datensicherheitszertifikat aus.
Der Weg zur Konformität: Ein strategischer Fahrplan
Die Anforderungen der TR-03161 und des BSI C5 sind anspruchsvoll – der Weg zur Zertifizierung lässt sich jedoch planen.
Das Navigieren dieses Prozesses erfordert tiefgehendes Fachwissen hinsichtlich der technischen Kriterien und formalen Rahmenbedingungen. Ein erfahrener Partner kann den Weg zur erfolgreichen Konformitäts-Prüfung entscheidend beschleunigen und absichern.
Follow us
Contact us
