ISO 27001 und BSI C5: Was Klinik-IT-Verantwortliche bei der Auswahl digitaler Patientenaufnahme-Software prüfen müssen

VonMag. iur. Alexander Viehhauser Stunden Erstmalig veröffentlicht am Stunden Zuletzt aktualisiert am

Auswahl digitaler Patientenaufnahme-Software prüfen müssen

Wer in einer Klinik für IT-Sicherheit verantwortlich ist, kennt die Situation: Eine Fachabteilung oder die Verwaltungsleitung möchte eine neue Cloud-Lösung einführen. Die Verkaufsunterlagen des Anbieters sind professionell gestaltet. ISO 27001 steht irgendwo — manchmal als Logo, manchmal als ein Satz. Was das konkret bedeutet, bleibt offen. Und die Fragen, auf die es tatsächlich ankommt — Wo werden die Patientendaten verarbeitet? Gibt es Drittlandtransfers? Wie sieht die Mandantentrennung aus? — bleiben oft unbeantwortet, bis der Auftragsverarbeitungsvertrag schon unterschrieben ist.

Dieser Artikel richtet sich an Klinik-IT-Verantwortliche und Datenschutzbeauftragte, die Cloud-Software für die präoperative Patientenaufnahme evaluieren. Er erklärt, was hinter den Zertifizierungsbegriffen steckt, nennt konkrete Prüfpunkte — und legt offen, wo medudoc heute steht.

Gesundheitsdaten sind keine gewöhnlichen Daten

Die präoperative Patientenaufnahme erfasst systematisch Informationen, die unter Art. 9 DSGVO als besondere Kategorien personenbezogener Daten eingestuft werden: Anamnese, Vorerkrankungen, Medikamentenlisten, Risikofaktoren, Allergien, die informierte Einwilligung zum Eingriff. Das bedeutet erhöhte Anforderungen an die Rechtsgrundlage der Verarbeitung, an technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO und in der Regel die Pflicht zur Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO.

Ein Softwareanbieter, der diese Daten im Auftrag Ihrer Klinik verarbeitet, agiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Klinik bleibt Verantwortliche. Das bedeutet in der Praxis: Wenn der Auftragsverarbeiter unsorgfältig arbeitet, trägt die Klinik die Konsequenzen — gegenüber der Aufsichtsbehörde, gegenüber betroffenen Patient:innen und im Haftungsfall. Die Sorgfalt bei der Anbieterauswahl ist daher keine Bürokratiepflicht, sondern ein konkretes Risikosteuerungsinstrument.

Was ISO 27001 tatsächlich aussagt — und was nicht

ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Eine gültige Zertifizierung bedeutet, dass ein akkreditierter externer Auditor bestätigt hat, dass das Unternehmen ein systematisches Rahmenwerk betreibt, um Informationssicherheitsrisiken zu identifizieren, zu bewerten, zu behandeln und kontinuierlich zu verbessern — und dass dieses Rahmenwerk dokumentiert und regelmäßig überprüft wird.

Was ISO 27001 nicht bedeutet: dass keine Sicherheitsvorfälle eintreten können, dass alle denkbaren Risiken eliminiert sind oder dass das Zertifikat automatisch auf alle Produkte und Dienste des Unternehmens zutrifft. Der Geltungsbereich — der sogenannte Scope — ist entscheidend.

Konkrete Prüfpunkte bei der Anbieterauswahl:

  • Liegt ein gültiges ISO-27001-Zertifikat vor, ausgestellt von einer nach DAkkS oder einem gleichwertigen Akkreditierer zugelassenen Zertifizierungsstelle?
  • Umfasst der Scope explizit die Entwicklung, den Betrieb und die Verarbeitung patientenbezogener Daten — oder nur einen Teilbereich des Unternehmens?
  • Wann wurde das Zertifikat ausgestellt, wann ist es gültig bis? ISO-27001-Zertifikate sind auf drei Jahre begrenzt und erfordern jährliche Überwachungsaudits.

Ein ISO-27001-Logo, das auf ein fünf Jahre altes Zertifikat mit anderem Scope verweist, ist für Ihre Risikobeurteilung ohne Aussagewert.

BSI C5 — der Cloud-spezifische Sicherheitsmaßstab

Der BSI Cloud Computing Compliance Controls Catalogue (BSI C5) wurde vom Bundesamt für Sicherheit in der Informationstechnik entwickelt und adressiert spezifisch die Anforderungen an Cloud-Dienste. Er ist damit für die Frage, wie sicher ein Cloud-Dienst für den klinischen Einsatz ist, direkter anwendbar als ISO 27001 allein.

BSI C5 unterscheidet zwei Prüftypen:

  • Typ 1: Prüfung der Angemessenheit der Sicherheitskontrollen zu einem definierten Stichtag. Dokumentiert, ob die Kontrollen vorhanden und angemessen konzipiert sind.
  • Typ 2: Prüfung der Wirksamkeit der Kontrollen über einen Betrachtungszeitraum (typischerweise sechs bis zwölf Monate). Dieser Typ ist für den Nachweis der operativen Sicherheit deutlich aussagekräftiger — er zeigt, ob die Kontrollen nicht nur existieren, sondern tatsächlich funktionieren.

BSI C5 prüft unter anderem Organisationssicherheit, Asset-Management, physische Sicherheit, Kryptographie, Zugangssteuerung, Vorfallmanagement, Geschäftskontinuität und — besonders relevant für die Klinik-Beschaffung — die vollständige Transparenz über Subdienstleister und Subverarbeitungsketten.

Ein häufiges Muster in Anbieter-Unterlagen ist der Hinweis, BSI C5 werde „angestrebt“ oder sei „in Vorbereitung“. Das ist kein Negativmerkmal per se — C5-Audits sind aufwändig. Die relevante Frage ist: Läuft ein konkretes, beauftragtes Audit? Und wenn ja, für welchen Zeitraum und mit welchem Auditunternehmen? Diese Fragen sollten schriftlich beantwortet sein.

Fünf Fragen, die jede Klinik-IT stellen sollte

Unabhängig davon, welche Cloud-Lösung für die präoperative Patientenaufnahme evaluiert wird — diese fünf Fragen sollten vor der Vertragsunterzeichnung schriftlich beantwortet sein:

1. Wo werden Patientendaten verarbeitet?

Europäischer Wirtschaftsraum oder Drittland? Gibt es Subdienstleister außerhalb der EU — etwa für KI-gestützte Verarbeitungsschritte, Analysen oder Support-Dienste? Drittlandtransfers sind unter der DSGVO möglich, aber nur unter erhöhten Anforderungen (Standardvertragsklauseln oder Angemessenheitsbeschluss). Viele Klinikgruppen und Maximalversorger schreiben EU-only-Datenhaltung als formales Zuschlagskriterium in Ausschreibungen.

2. Wie ist die Mandantentrennung realisiert?

Teilen mehrere Klinik-Kunden eines Anbieters dieselben Datenbankschichten, oder sind die Patientendaten Ihrer Klinik technisch strikt von anderen Mandanten getrennt? Diese Frage entscheidet, ob ein Sicherheitsvorfall bei einer anderen Klinik die eigenen Daten beeinflussen kann — und ob Konfigurationsfehler eines anderen Mandanten sich auf Ihre Instanz auswirken.

3. Welche TOMs sind dokumentiert und nachweisbar?

Art. 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen. Konkret bedeutet das: Wie werden ruhende Daten verschlüsselt? Welcher Transportverschlüsselungsstandard wird eingesetzt? Wie sind Zugriffsrechte geregelt und dokumentiert? Wie werden Aktivitäten protokolliert und für Audits auswertbar gemacht? Ein seriöser Anbieter stellt eine strukturierte TOM-Dokumentation ohne besonderen Aufwand bereit — sie ist Pflichtbestandteil eines rechtswirksamen AVV.

4. Liegt ein vollständiger AVV nach Art. 28 DSGVO vor?

Nicht nur vorhanden, sondern: Entspricht der Auftragsverarbeitungsvertrag dem aktuellen DSGVO-Stand? Enthält er eine vollständige, aktuell gehaltene Liste der eingesetzten Subdienstleister (Sub-AVV)? Regelt er das Verfahren bei Datenpannen inklusive der 72-Stunden-Meldepflicht nach Art. 33 DSGVO? Und wurde er von beiden Seiten rechtsverbindlich unterzeichnet? Die AVV-Vorlage sollte vor dem Pilotbetrieb vorliegen, nicht erst nach Go-live.

5. Wie wird auf einen Sicherheitsvorfall reagiert?

Welchen dokumentierten Prozess hat der Anbieter für die Erkennung, Klassifizierung und Meldung von Datenpannen? Wer ist Ihr Ansprechpartner, und in welcher Frist werden Sie informiert? Welche Recovery-Ziele (RTO, RPO) sind vertraglich zugesichert? Und ist dieser Prozess im Rahmen eines externen Audits überprüft worden — oder handelt es sich um ein internes Versprechen?

Was Kliniken zu Recht einfordern

In Beschaffungsgesprächen mit Kliniken erlebe ich, dass diese Fragen zunehmend präziser gestellt werden — und das ist richtig so. DSGVO-Konformität ist heute eine Selbstverständlichkeit, keine Differenzierung. Was Klinik-IT-Verantwortliche und Datenschutzbeauftragte zu Recht einfordern, sind Nachweise: ein vorliegendes Zertifikat mit klar definiertem Scope, eine AVV-Vorlage, die juristisch belastbar ist, und eine ehrliche Auskunft darüber, was noch im Aufbau ist und was bereits prüfbar vorliegt.

Anbieter, die auf diese Fragen konkret antworten können — mit Dokumenten —, machen Ihre Beschaffungsarbeit effizienter und reduzieren Ihr Restrisiko. Anbieter, die ausweichen oder generische Aussagen machen, geben Ihnen damit eine inhaltliche Antwort.

Informationen zu den Sicherheitsstandards und Zertifizierungen von medudoc sowie die AVV-Vorlage stehen im Trust Center unter trust.medudoc.com bereit.

Wo medudoc heute steht

Im Sinne der hier beschriebenen Prüflogik lege ich den eigenen Stand offen:

medudoc ist seit April 2026 nach ISO/IEC 27001:2022 zertifiziert. Der Geltungsbereich umfasst Entwicklung, Betrieb, Wartung und Vertrieb der medudoc-Plattform einschließlich der Verarbeitung patientenbezogener Daten. Das Zertifikat ist gültig bis März 2029. Es kann unter trust.medudoc.com eingesehen und heruntergeladen werden.

Für BSI C5 läuft aktuell der Typ-1-Prüfprozess durch ein beauftragtes Wirtschaftsprüfungsunternehmen. Das Typ-1-Testat steht noch aus — der Auditprozess ist aktiv, aber noch nicht abgeschlossen. Kliniken, die BSI C5 als formales Zuschlagskriterium bereits heute voraussetzen, empfehle ich ein direktes Gespräch zum aktuellen Stand und erwarteten Zeitplan.

Patientendaten werden ausschließlich in Deutschland verarbeitet. KI-gestützte Verarbeitungsschritte verbleiben innerhalb der EU. Es gibt keine Drittlandtransfers. Eine vollständige AVV-Vorlage nach Art. 28 DSGVO mit TOM-Anlage und Subdienstleisterliste steht für die Vertragsprüfung bereit.

Den aktuellen Status aller Qualitäts- und Sicherheitsstandards aktualisieren wir fortlaufend.

Fazit

IT-Sicherheit und Datenschutz sind im Beschaffungsprozess für klinische Cloud-Software kein nachgelagertes Thema — sie gehören in die erste Runde der Evaluation. Die Fragen, die eine Klinik heute stellt, sind dieselben, die eine Datenschutzaufsichtsbehörde im Schadensfall stellen würde. Der Unterschied liegt darin, ob die Antworten vorliegen, bevor ein Vorfall eintritt.

Die fünf Prüfpunkte aus diesem Artikel — Datenhaltungsort, Mandantentrennung, TOMs, AVV und Vorfallmanagement — sind keine erschöpfende Checkliste, aber ein verlässlicher Ausgangspunkt für jedes Beschaffungsgespräch.

Wenn Sie den digitalen präoperativen Workflow für Ihre Klinik evaluieren und konkrete Fragen zu Sicherheitsarchitektur, Zertifizierungsstand oder AVV haben, sprechen Sie uns direkt an: Demo anfragen.

Mag. iur. Alexander Viehhauser ist Unternehmensjurist bei medudoc und begleitet dort die rechtlichen und datenschutzrechtlichen Fragestellungen rund um die digitale Patientenaufnahme. Seine Schwerpunkte liegen im Medizin- und Gesundheitsrecht, im Datenschutz sowie in der regulatorischen Compliance für digitale Gesundheitslösungen im DACH-Raum.

Ähnliche Beiträge