Vergangenes Jahr wurde § 393 SGB V im Rahmen des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) geändert. Eine der wesentlichen Neuerungen ist das Erfordernis eines C5-Testats für SaaS-Anbieter im Gesundheitswesen in Bezug auf ihre Cloud-Systeme. Das Gesetz sieht vor, dass Cloud-Dienste derzeit bis zum 30.06.2025 ein C5-Typ1-Testat benötigen, ab dem 01.07.2025 dann ein C5-Typ2-Testat erforderlich sein wird.
Zusätzlich erlaubt § 393 Abs. 4 S. 3 SGB V, dass anstelle eines C5-Testats auch ein Testat oder Zertifikat nach einem Standard anerkannt werden kann, der ein im Vergleich zum C5-Standard gleichwertiges oder höheres Sicherheitsniveau sicherstellt:
Eine Verarbeitung nach Absatz 3 Nummer 2 ist ferner auch zulässig, soweit für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die Cloud-Technik anstelle eines aktuellen C5-Testats ein Testat oder Zertifikat nach einem Standard vorliegt, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau sicherstellt.
Das BMG wird in § 393 Abs. 4 S. 4 SGB V dazu ermächtigt, per Rechtsverordnung zu regeln, welche Standards diesen Anforderungen entsprechen. Von dieser Kompetenz will das BMG nun Gebrauch machen, da es am 06.01.2025 einen Referentenentwurf für die sog. „C5-Äquivalenz-Verordnung“ (Link) veröffentlicht hat.
Inhalt der C5-Äquivalenz-Verordnung
Der Entwurf sieht vor, dass dem C5-Typ1-Testat eine Zertifizierung über die Einhaltung dreier anderer Standards gleichgestellt werden, wodurch betroffene Unternehmen die Möglichkeit erhalten sollen, für einen Übergangszeitraum nicht zwingend ein C5-Typ1-Testat zu benötigen. Vielmehr soll es zumindest übergangsweise ausreichen, ein äquivalentes Testat unter weiteren Voraussetzungen vorweisen zu können, um der Testierungspflicht nach § 393 Abs. 3 Nr. 2 SGB V nachzukommen. Die folgenden drei Standards werden dem C5-Typ1-Testat gleichgestellt:
- DIN EN ISO/IEC 27001:2022
- ISO 27001 auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Cloud Controls MatrixVersion 4.0
Zusätzlich zu einem Testat über die Einhaltung eines der Standards ist es erforderlich, einen Maßnahmenplan vorzulegen, der dazu dient, die Umsetzung der C5-Kriterien vorzubereiten und zu dokumentieren. Unter anderem sind Lücken der vorliegenden Testierung des Cloud-Services im Vergleich zu den C5-Kriterien festzustellen und innerhalb eines Zeitplans Maßnahmen zu bestimmen, die zu der Erfüllung der C5-Kriterien führen sollen. Der Plan muss darauf ausgerichtet sein, innerhalb von 18 Monaten nach Erstellung der „Meilensteinplanung“ ein C5-Typ1-Testat zu erlangen. Erst bei gleichzeitiger Vorlage dieses Maßnahmenplans gilt das vorhandene Testat als dem C5-Typ1-Testat gleichgestellt.
Wann die Verordnung verabschiedet wird, ist noch unklar. In Kraft treten soll sie jedenfalls rückwirkend am 01.07.2024.
Folgeprobleme
Das BMG gibt somit vor, dass § 393 SGB V langfristig in jedem Fall ein C5-Testat erfordert. Andere Standards werden C5 nur übergangsweise gleichgestellt – eine dauerhafte Gleichstellung ist vorerst nicht vorgesehen. § 393 Abs. 4 S. 3, 4 SGB V erlaubt hingegen (weiterhin), dass auch nach dem Übergangszeitraum andere Testate als gleichwertig anerkannt werden können.
Durch den Entwurf in Unklarheit geraten ist der Stichtag, ab dem ein C5-Typ2-Testat erforderlich sein soll. Nach dem Wortlaut müsste dies gemäß § 393 Abs. 4 S. 2 SGB V nach wie vor der 01.07.2025 sein. Denn die C5-Äquivalenz-VO stellt die drei Standards (plus Maßnahmenplan) allein dem C5-Typ1-Testat gleich, das gemäß § 393 Abs. 4 S. 1 SGB V nur bis zum 30.06.2025 ausreicht. Die Verordnung lässt § 393 Abs. 4 S. 2 SGB V unberührt, sodass eigentlich ab Juli 2025 das C5-Typ2-Testat für alle Unternehmen erforderlich sein müsste, die der Testierungspflicht des § 393 Abs. 3 Nr. 2 SGB V unterliegen.
Die Regelung des § 1 Abs. 2 Nr. 4 C5-Äquivalenz-VO (RefE) deutet aber darauf hin, dass dies zumindest nicht für diejenigen Unternehmen gelten soll, die nach der Verordnung über ein äquivalentes Testat (inkl. Maßnahmenplan) verfügen. Denn der Maßnahmenplan soll schließlich Maßnahmen festlegen, die innerhalb von 18 Monaten ab Erstellung der Meilensteinplanung zur Erlangung eines C5-Typ1-Testats führen. Dies ist als 18-monatige Frist zur Erlangung eines C5-Typ1-Testats zu verstehen, die in dem Moment zu laufen beginnt, in dem der Meilensteinplan erstellt wurde. Wird somit eine Frist zur Erlangung eines C5-Typ1-Testats gewährt, die in jedem Fall über den 01.07.2025 hinausreicht, so kann nicht gleichzeitig ab dem 01.07.2025 ein C5-Typ2-Testat erforderlich sein.
Der Entwurf dürfte daher so zu verstehen sein, dass bei Erfüllung der Anforderungen des § 1 C5-Äquivalenz-VO (RefE) kein C5-Typ2-Testat ab dem 01.07.2025 erforderlich ist. Gälte dies jedoch nicht auch für Unternehmen, die bereits über ein C5-Typ1-Testat verfügen, so würden diese schlechter gestellt als diejenigen, die lediglich ein äquivalentes Testat vorweisen können. Denn diese müssten weiterhin bis zum 01.07.2025 ein C5-Typ2-Testat erlangen.
Daher muss die Verordnung ergänzend so ausgelegt werden, dass die Regelung des § 393 Abs. 4 S. 2 SGB V vollständig von der Verordnung überlagert wird, sodass derzeit entweder ein C5-Typ1-Testat oder ein nach der Verordnung äquivalentes Testat inkl. Maßnahmenplan erforderlich ist, der die Erlangung eines C5-Typ1-Testats binnen 18 Monaten vorsieht. Dies entspricht auch den Einwänden von Verbänden während des Gesetzesänderungsverfahrens des § 393 SGB V, die die kurze Frist zur Erlangung eines C5-Testats bereits im Gesetzgebungsverfahren kritisiert hatten.
Ausblick
Nach all dem bleibt jedoch offen, ab wann ein C5-Typ2-Testat erforderlich sein soll. Da sich die streitigen Regelungen noch im Entwurfsstadium befinden und die Verordnung noch nicht von der gesamten Regierung beschlossen wurde, bleibt zu hoffen, dass der Verordnungsgeber in Bezug auf das Verhältnis zu § 393 Abs. 4 S. 2 SGB V Klarheit schafft. Viel Zeit bleibt der Bundesregierung hierfür angesichts der bevorstehenden Neuwahlen allerdings nicht mehr.
Im Ergebnis bleibt jedoch festzuhalten, dass nach dem Willen des BMG § 393 Abs. 3 Nr. 2 SGB V langfristig in jedem Fall ein C5-Testat erfordert. Die Gleichstellung anderer Standards, wie dies § 393 Abs. 4 S. 3 SGB V erlaubt, ist über einen Übergangszeitraum hinaus nicht vorgesehen.
Unternehmen sollten daher in jedem Fall auf die Erfüllung der C5-Kriterien hinarbeiten.
Für Unternehmen, die nicht bereits über ein Testat eines äquivalenten Standards verfügen, dürfte es in aller Regel nicht zu empfehlen sein, dauerhaft auf einen der drei äquivalenten Standards zu setzen, da diese nur übergangsweise ausreichen.