Wirtschaftsprüfer ✓Rechtsanwälte ✓ Steuerberater ✓ und Unternehmensberater ✓: Vier Perspektiven. Eine Lösung. …
Wirtschaftsprüfung und prüfungsnahe Beratung von Unternehmen ✓ Erfahrene Prüfer ✓ Exzellente Beratung ✓ …
Rechtsberatung für Unternehmen ✓ Erfahrene Rechtsanwälte ✓ Exzellente juristische Beratung ✓ Maßgeschneiderte …
Steuerberatung für Unternehmen und Familienunternehmen ✓ Erfahrene Steuerberater ✓ Exzellente Beratung ✓ …
Unternehmensberatung für Unternehmen ✓ Erfahrene Consultants ✓ Exzellente Beratung ✓ Maßgeschneiderte Lösungen » …
BFH stärkt Nutzung des Bodenrichtwerts für Agrarflächen
European Defence Fund – mehr als ein Förderinstrument
Warum Strukturentscheidungen über Erfolg entscheiden
EU-Taxonomie: Delegierter Rechtsakt im EU-Amtsblatt veröffentlicht
Baker Tilly auf der Structured FINANCE: Expertise für Ihre Finanzierungsstrategie
Baker Tilly baut Beratung im Bereich Immobilienbewertung weiter aus
Neue Hinweispflicht für Arbeitgeber bei Einstellung aus Drittstaaten
Freihandelsabkommen zwischen der EU und Indien – ein erster Überblick
Baker Tilly verstärkt Steuerbereich mit Fabian Maerz
Datentransfer beim Handel mit Indien: Das müssen Unternehmen wissen
Unternehmen, Technologie und Recht – Das kommt 2026 auf Sie zu
IKT-Risiken beim Einsatz von KI: Neue BaFin-Orientierungshilfe
Branchenübergreifende Expertise für individuelle Lösungen ✓ Unsere interdisziplinären Teams kombinieren Fachwissen …
Neuer DAWI-Freistellungsbeschluss: Das sind die wesentlichen Änderungen
DAWI-Freistellungsbeschluss: Neue Fördermöglichkeiten für erschwinglichen Wohnraum
Neuregelungen für Betreiber von Stromerzeugungsanlagen
Individuelle Beratung ✓ maßgeschneiderte Lösungen von Experten aus Wirtschaftsprüfung, Steuer-, Rechts- & …
Baker Tilly bietet ein breites Spektrum individueller und innovativer Beratungsdienstleistungen in an. Erfahren …
Baker Tilly startet mit vier neuen Partnern in das Jahr
Neuer Partner im Bereich Forensic Services: Baker Tilly baut Beratung aus
Baker Tilly in Deutschland erneut mit zweistelligem Umsatzwachstum
Im Juli 2024 traten mit dem Digital-Gesetz (DigiG) neue Vorgaben für die Cloud-Nutzung im Gesundheitswesen in Kraft. Durch die Regelung der Nutzung von Cloud-Diensten soll für eine sichere Verarbeitung von Gesundheitsdaten nach geltenden Datenschutzstandards gesorgt werden. Der Schutz von sensiblen Gesundheitsdaten soll weiter verbessert werden. Nachweisen können Gesundheitsdienstleister beziehungsweise die Verarbeiter ihrer Daten das im SGB V vorgeschriebene Maß an Sicherheit durch ein C5-Testat. Die neue Regelung umfasst alle Cloud-Dienstleistungen innerhalb der EU.
C5 – die Kurzschreibweise für den Cloud Computing Compliance Criteria Catalogue – ist der Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) und umfasst Mindestanforderungen an sicheres Cloud Computing, welche nach dem „Stand der Technik“ umzusetzen sind. Nach geltenden Regulierungen kann ein C5-Testat nur durch eine Wirtschaftsprüfungsgesellschaft ausgestellt werden.
• Die Verarbeitung von Gesundheitsdaten ist erlaubt – jedoch unter strikten Voraussetzungen Nach dem neuen Gesetzestext ist die Verarbeitung von Gesundheitsdaten explizit erlaubt. Jedoch gelten hier als Voraussetzung strenge Vorschriften. Es wird verlangt, Cloud-basierte Services nach dem sogenannten „Stand der Technik“ zu betreiben. Dieser wird vorgegeben durch den C5 des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
• Nicht nur Gesundheitsdienstleister sind von der neuen Regelung betroffen Hat der Gesundheitsdienstleister Cloud-basierte Services ausgelagert, ist darauf zu achten, dass die Regelungen sich auf alle an der Datenverarbeitung Beteiligten beziehen. So reicht es nicht aus, wenn ein Dienstleister ein C5-Testat vorweist. Sofern Leistungen von Unterauftragnehmern für den Cloud-Service erforderlich sind, müssen auch deren Sicherheitsmaßnahmen und Kontrollen geprüft werden. Zusätzlich wird verlangt, dass die „datenverarbeitende Stelle“ eine Niederlassung im Inland unterhält.
• Der C5 deckt die wichtigsten Themenbereiche der Informationssicherheit ab Neben grundlegenden Themen wie der Organisation der Informationssicherheit, Compliance und physischer Sicherheit stellt der C5 auch tiefergehende Anforderungen. Dazu gehören der Aufbau eines Identitäts- und Berechtigungsmanagements, die Regelung des Umgangs mit Sicherheitsvorfällen und der Umgang mit Ermittlungsanfragen staatlicher Stellen.
• Die neuen Bestimmungen unterliegen strengen Umsetzungsfristen Bis zum Juli 2025 reicht die Vorlage eines C5-Typ-1-Testats aus. Danach wird ein Typ-2-Testat verlangt, welches neben der Konzeption des Sicherheitssystems auch die Wirksamkeit der umgesetzten Maßnahmen im Berichtszeitraum prüft.
Die hohen Anforderungen in Kombination mit straffen Fristen erfordern eine zeitnahe Umsetzung. Dazu gehört eine Analyse der Prozesse – sowohl auf der eigenen Seite als auch auf der der Dienstleister.
Baker Tilly unterstützt bei allen Schritten auf dem Weg zum C5-Testat: initiales Readiness Assessment zur Bestimmung des Reifegrades, Typ-1-Prüfung zur Angemessenheit und abschließende Typ-2-Prüfung der Wirksamkeit.
Boris Ortolf
Director
Certified Information Systems Security Professional (CISSP), Certified Cloud Security Professional (CCSP)
Sprechen Sie mit uns – einfach unverbindlich
Jetzt Kontakt aufnehmen
Alle Beiträge anzeigen