Die C5-Testatpflicht nach § 393 SGB V – Wen trifft es denn nun wirklich?

Mit dem neu eingeführten § 393 SGB V, der eine C5-Testatpflicht für Leistungserbringer im Sinne des Vierten Kapitel des SGB V (z. B. Krankenhäuser, MVZ, Arztpraxen) sowie Kranken- und Pflegekassen und ihre jeweiligen Auftragsverarbeiter fordert, hat der Gesetzgeber im letzten Jahr für eine Überraschung bei den Betroffenen gesorgt. Lange wurde auf die „Verordnung über gleichwertige Sicherheitsnachweise zum C5 – Standard für Cloud-​Computing-Dienste im Gesundheitswesen (C5-Gleichwertigkeitsverordnung)“ gewartet, die erhoffte Klarheit, welche Zertifikate/Testate geeignet sind, um ein notwendiges C5-Testat zu ersetzen, blieb aber aus (wir berichteten​). In der Praxis treten häufig Subunternehmer an uns heran, mit der Frage, ob eine C5-Testatpflicht gegeben ist. Mit dem nachfolgenden Artikel stellen wir unsere Auffassung zur aktuellen Rechtslage dar.​

Mit Erlass des Digital-Gesetz (DigiG) am 25.3.2024 wurde auch – für viele Betroffene überraschend – der § 393 im SGB V ergänzt. Aus Gründen der IT-Sicherheit sind nunmehr Leistungserbringer im Sinne des Vierten Kapitels des SGB V sowie Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsverarbeiter bei einer Verarbeitung von Sozialdaten und Gesundheitsdaten im Wege des Cloud-Computings​ unter anderem verpflichtet, ein aktuelles C5-Testat der datenverarbeitenden Stelle vorzulegen bzw. zu besitzen.

In der Praxis besteht vor allem bei Subunternehmern, die zwar Auftragsverarbeiter der u. a. Leistungserbringer sind, die Cloud aber bei einem Dienstleister betreiben, Unsicherheit dahingehend, ob Sie selber verpflichtet, sind sich nach C5 testieren zu lassen oder ob hier ein Testat beim Dienstleister (z. B. AWS, Azure) ausreichend ist.

Es ist zunächst festzustellen, dass das BSI zwar die Anforderungen für die Testierung nach dem C5-Kriterienkatalog festlegt, jedoch keine Kompetenz dahingehend hat, festzulegen, wer nach § 393 SGB V verpflichtet ist, ein solches vorzuweisen. Hierauf weist es auch in seinen FAQ C5 explizit hin, indem es dort heißt: „Die Auslegung des DigiG bzw. des § 393 SGB V obliegt dem Bundesministerium für Gesundheit (BMG). Deshalb kann das BSI keine Fragen zur Rechtsauslegung des § 393 SGB V geben. Auch kann das BSI keine Aussage zu einer Gleichwertigkeit eines Testats oder einer Zertifizierung zum C5 im Sinne von § 393 (4) SGB V treffen.“¹

Selbst, wenn das BSI eine andere Rechtsauffassung als das BMG vertreten würde, wäre dieses somit nicht entscheidend für die Frage wer unter die Testierpflicht des § 393 SGB V fällt. 

Das BMG selber hat im Gesetzeswortlaut festgelegt, dass Sozialdaten und Gesundheitsdaten der u. a. Leistungserbringer durch sie selber und ihre jeweiligen Auftragsverarbeiter im Wege des Cloud-Computings nur dann verarbeitet werden, wenn „… ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt.“²

Nach dem eindeutigen Gesetzeswortlaut benötigt daher die datenverarbeitende Stelle und damit der Auftragsverarbeiter selber eine C5 Testierung. 

Dieses wird auch in den FAQs des BMG zum DigiG bestätigt in welchen es heißt: „Gemäß § 393 Absatz 3 Nummer 2 SGB V muss ein aktuelles C5-Testat in Hinblick auf die C5-Basiskriterien für diejenigen Cloud-Systeme (Software) und die zugrundeliegende Technik (Hardware) vorliegen, die zur Erbringung von Cloud-Computing-Diensten eingesetzt werden.“

Es werden keine Einschränkungen dahingehend vorgenommen, dass das C5-Testat nicht notwendig ist, oder durch eine alternative Testierung oder Zertifizierung ersetzt werden kann, wenn ein weiterer Subunternehmer über ein solches Testat verfügt.

Diese Auffassung indirekt bestätigt hat da BMG mit Erlass der C5-Gleichwertigkeitsverordnung, in welcher festgelegt ist, in welchen Konstellationen ein C5-Testat durch anderweitige Zertifizierungen oder Testate (vorübergehend) ersetzt werden kann. Der zuvor besprochene Fall ist hier gerade nicht geregelt. 

Der Auftragsverarbeiter, d. h. der SaaS-Anbieter, selber wird zum jetzigen Rechtsstand nicht darum herumkommen, sich nach C5 testieren zu lassen, wenn eine Datenverarbeitung nach § 393 SGB V stattfindet. 

​