4ef9957e96
- 6 Blog-Routen mit je 3-5 Artikeln gemappt - Artikel als semantisches HTML mit Quellen + CTA zu /kontakt/ - Alicia muss nur in _base_template() wrappen
355 lines
21 KiB
HTML
355 lines
21 KiB
HTML
<!DOCTYPE html>
|
||
<html lang="de">
|
||
<head>
|
||
<meta charset="UTF-8">
|
||
<meta name="viewport" content="width=device-width, initial-scale=1.0">
|
||
<meta name="description" content="Cloud-Hosting für Pflegedaten: Warum der Serverstandort in Deutschland entscheidend ist. DSGVO, § 393 SGB V, BSI C5:2026 – mit Checkliste für die Anbieterwahl. itbuddy.care: Hosting in DE, verschlüsselt, TI-geeignet.">
|
||
<title>Cloud-Hosting Deutschland – Serverstandort-Checkliste für Pflegedaten | IT-Hilfe-Sofort</title>
|
||
</head>
|
||
<body>
|
||
|
||
<article>
|
||
|
||
<h1>Cloud-Hosting Deutschland – Warum der Serverstandort für Pflegedaten entscheidend ist</h1>
|
||
|
||
<p class="meta">25. Juni 2026 | Lesezeit: ca. 9 Minuten</p>
|
||
|
||
<p>
|
||
<strong>Pflegedaten in der Cloud – das klingt für viele Pflegedienstleitungen nach einem Risiko. Dabei ist das Gegenteil der Fall: Ein professionelles Cloud-Hosting in Deutschland ist sicherer als jeder Server im Keller. Entscheidend ist nicht das „Ob", sondern das „Wo" und „Wie".</strong> Mit dem neuen § 393 SGB V, dem BSI-Kriterienkatalog C5:2026 und den verschärften DSGVO-Anforderungen gibt es klare Regeln, wann Cloud-Computing für Gesundheits- und Sozialdaten zulässig ist – und wann nicht. Dieser Artikel zeigt, worauf es beim Serverstandort ankommt, welche Zertifizierungen Pflicht sind und wie Sie mit einer strukturierten Checkliste den richtigen Cloud-Anbieter für Ihre Pflegeeinrichtung finden.
|
||
</p>
|
||
|
||
<hr id="system-readmore" />
|
||
|
||
<h2>Cloud-Hosting im Gesundheitswesen: Kein Verbot, sondern klare Regeln</h2>
|
||
|
||
<p>
|
||
Lange Zeit galt in der Pflegebranche die Devise: „Patientendaten gehören nicht in die Cloud." Diese pauschale Aussage ist überholt – und rechtlich falsch. Der Gesetzgeber hat mit dem <strong>Digitale-Versorgung-Gesetz (DVG)</strong> und dem <strong>Digital-Gesetz (DigiG)</strong> einen klaren Rechtsrahmen geschaffen. Der am 1. Juli 2024 in Kraft getretene <strong>§ 393 SGB V</strong> regelt erstmals explizit den „Cloud-Einsatz im Gesundheitswesen" und definiert verbindliche Voraussetzungen für die Verarbeitung von Sozial- und Gesundheitsdaten in der Cloud.
|
||
</p>
|
||
|
||
<p>
|
||
Die Kernbotschaft des Gesetzgebers: Cloud-Computing ist <strong>ausdrücklich erlaubt</strong> – aber nur unter strengen Auflagen. Wer diese Auflagen einhält, profitiert von höherer Verfügbarkeit, besserem Schutz vor Ransomware und automatischen Backups, die ein eigener Server im Keller niemals leisten könnte.
|
||
</p>
|
||
|
||
<h2>§ 393 SGB V: Die vier zentralen Anforderungen an Cloud-Dienste</h2>
|
||
|
||
<p>
|
||
Der § 393 SGB V definiert, unter welchen Bedingungen Leistungserbringer – also auch Pflegedienste, Pflegeheime und Tagespflegen – Sozial- und Gesundheitsdaten in der Cloud verarbeiten dürfen. Die Vorschrift gilt nicht nur für spezialisierte Pflegesoftware, sondern für <strong>alle Cloud-Dienste</strong>, in denen personenbezogene Daten von Pflegebedürftigen verarbeitet werden – also auch E-Mail, Dokumentenmanagement oder Personalplanung.
|
||
</p>
|
||
|
||
<h3>1. Verarbeitungsort: Inland, EU/EWR oder Angemessenheitsbeschluss</h3>
|
||
|
||
<p>
|
||
§ 393 Abs. 2 SGB V schreibt vor: Die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes darf nur erfolgen:
|
||
</p>
|
||
|
||
<ul>
|
||
<li><strong>im Inland</strong> (Deutschland),</li>
|
||
<li><strong>in einem Mitgliedstaat der Europäischen Union</strong>,</li>
|
||
<li><strong>in einem Vertragsstaat des EWR</strong> (Norwegen, Island, Liechtenstein) oder</li>
|
||
<li><strong>in einem Drittstaat mit Angemessenheitsbeschluss</strong> nach Art. 45 DSGVO (z. B. Schweiz, Japan, Großbritannien).</li>
|
||
</ul>
|
||
|
||
<p>
|
||
<strong>Wichtig:</strong> Die USA haben keinen Angemessenheitsbeschluss. Das EU-US Data Privacy Framework (DPF) gilt nicht als Angemessenheitsbeschluss im Sinne des § 393 SGB V. Cloud-Dienste mit Serverstandort USA oder mit US-Mutterkonzern (Stichwort: US CLOUD Act) sind daher für Pflegedaten <strong>grundsätzlich unzulässig</strong> – auch dann, wenn der Anbieter mit Standardvertragsklauseln wirbt.
|
||
</p>
|
||
|
||
<h3>2. Niederlassungspflicht im Inland</h3>
|
||
|
||
<p>
|
||
Die datenverarbeitende Stelle muss über eine <strong>Niederlassung in Deutschland</strong> verfügen (§ 393 Abs. 2 SGB V). Ein reiner Briefkastensitz genügt nicht – es muss eine tatsächliche Geschäftstätigkeit in Deutschland vorliegen. Diese Anforderung schließt Anbieter aus, die ihre Dienste ausschließlich aus dem Ausland betreiben und in Deutschland keine eigene Rechtspersönlichkeit haben.
|
||
</p>
|
||
|
||
<h3>3. C5-Zertifizierung nach BSI-Standard</h3>
|
||
|
||
<p>
|
||
§ 393 Abs. 3 Nr. 2 SGB V verlangt ein aktuelles Zertifikat nach dem <strong>Cloud Computing Compliance Criteria Catalogue (C5)</strong> des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit dem <strong>1. Juli 2025</strong> ist zwingend ein <strong>C5-Testat Typ 2</strong> erforderlich – also nicht nur die Prüfung der Angemessenheit der Kontrollmechanismen (Typ 1), sondern der Nachweis ihrer tatsächlichen Wirksamkeit über einen definierten Prüfungszeitraum (in der Regel 12 Monate).
|
||
</p>
|
||
|
||
<p>
|
||
Im März 2026 hat das BSI den <strong>C5:2026</strong> veröffentlicht – die zweite große Überarbeitung des Kriterienkatalogs. Er integriert die Anforderungen der NIS-2-Richtlinie, der ISO/IEC 27001:2022 und der CSA Cloud Controls Matrix Version 4. Neue Kriterien betreffen unter anderem Asset Management, Remote Work und Post-Quanten-Kryptografie. Ab dem <strong>1. Juni 2027</strong> müssen alle neuen C5-Prüfungen nach C5:2026 durchgeführt werden.
|
||
</p>
|
||
|
||
<h3>4. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO</h3>
|
||
|
||
<p>
|
||
Jeder Cloud-Anbieter, der für Ihre Pflegeeinrichtung personenbezogene Daten verarbeitet, ist <strong>Auftragsverarbeiter</strong> im Sinne der DSGVO. Sie benötigen einen schriftlichen AVV, der mindestens folgende Punkte regelt: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Kategorien betroffener Personen, technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sowie Regelungen zu Subunternehmern, Löschung und Kontrollrechten.
|
||
</p>
|
||
|
||
<p>
|
||
<strong>Quelle:</strong> <a href="https://www.gesetze-im-internet.de/sgb_5/__393.html" target="_blank" rel="noopener">§ 393 SGB V – Cloud-Einsatz im Gesundheitswesen (gesetze-im-internet.de)</a>
|
||
</p>
|
||
|
||
<h2>Warum der Serverstandort Deutschland die sicherste Wahl ist</h2>
|
||
|
||
<p>
|
||
Auch wenn § 393 SGB V die Verarbeitung in der gesamten EU erlaubt, gibt es gute Gründe, auf einen <strong>ausschließlich deutschen Serverstandort</strong> zu bestehen:
|
||
</p>
|
||
|
||
<ul>
|
||
<li><strong>Rechtssicherheit:</strong> Deutsches Datenschutzrecht gilt unmittelbar. Bei Servern im EU-Ausland können abweichende nationale Regelungen und unterschiedliche Aufsichtsbehörden zu Rechtsunsicherheit führen.</li>
|
||
<li><strong>Kein US-Zugriff:</strong> Anbieter mit US-Mutterkonzern unterliegen dem US CLOUD Act – US-Behörden können unter bestimmten Umständen Zugriff auf Daten verlangen, selbst wenn die Server in der EU stehen. Ein rein deutscher Anbieter ohne US-Bezug eliminiert dieses Risiko.</li>
|
||
<li><strong>BSI-Aufsicht:</strong> Deutsche Rechenzentren unterliegen der direkten Aufsicht durch das BSI und die deutschen Datenschutzbehörden – keine Umwege über ausländische Regulierungsbehörden.</li>
|
||
<li><strong>Physische Sicherheit:</strong> Deutsche Rechenzentren müssen hohe bauliche und organisatorische Sicherheitsstandards erfüllen – von Zutrittskontrollen über Brandschutz bis zur unterbrechungsfreien Stromversorgung.</li>
|
||
<li><strong>TI-Kompatibilität:</strong> Die Telematikinfrastruktur (TI) des deutschen Gesundheitswesens setzt auf in Deutschland betriebene Dienste. Ein deutscher Serverstandort vereinfacht die TI-Anbindung erheblich.</li>
|
||
</ul>
|
||
|
||
<h2>BSI C5:2026 – Der Goldstandard für Cloud-Sicherheit</h2>
|
||
|
||
<p>
|
||
Der C5-Kriterienkatalog des BSI ist das maßgebliche Rahmenwerk für Cloud-Sicherheit in Deutschland. Er definiert <strong>17 Kontrollbereiche</strong> mit insgesamt über 120 Einzelanforderungen – von der Organisation der Informationssicherheit über physische Sicherheit bis zum Notfallmanagement. Die wichtigsten Kontrollbereiche im Überblick:
|
||
</p>
|
||
|
||
<ul>
|
||
<li><strong>OIS – Organisation der Informationssicherheit:</strong> ISMS, strategische Ziele, Verantwortlichkeiten, Funktionstrennung</li>
|
||
<li><strong>PS – Personal und Sicherheit:</strong> Hintergrundchecks, Schulungen, Vertraulichkeitsverpflichtungen</li>
|
||
<li><strong>AM – Asset Management:</strong> Inventarisierung, Klassifizierung, Umgang mit Datenträgern (neu in C5:2026)</li>
|
||
<li><strong>RBAC – Zugriffssteuerung:</strong> Rollenbasierte Zugriffskontrolle, Least-Privilege-Prinzip, Mehr-Faktor-Authentifizierung</li>
|
||
<li><strong>KRY – Kryptographie:</strong> Verschlüsselung in Transit und at Rest, Schlüsselmanagement, Post-Quanten-Vorbereitung (neu in C5:2026)</li>
|
||
<li><strong>OPS – Betriebssicherheit:</strong> Malware-Schutz, Protokollierung, Schwachstellenmanagement, Remote Work (neu in C5:2026)</li>
|
||
<li><strong>COM – Kommunikationssicherheit:</strong> Netzwerksicherheit, Netzsegmentierung, sichere Übertragungswege</li>
|
||
<li><strong>BCM – Business Continuity Management:</strong> Notfallpläne, Wiederanlaufpläne, regelmäßige Tests</li>
|
||
</ul>
|
||
|
||
<p>
|
||
Ein C5-Testat Typ 2 bedeutet: Ein unabhängiger, vom BSI zugelassener Wirtschaftsprüfer hat nicht nur die Existenz dieser Kontrollen bestätigt, sondern auch deren <strong>tatsächliche Wirksamkeit über mindestens 6 Monate</strong> geprüft. Das ist ein entscheidender Unterschied zu reinen „Papier-Zertifikaten".
|
||
</p>
|
||
|
||
<p>
|
||
<strong>Quelle:</strong> <a href="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_2025/C5_2025_node.html" target="_blank" rel="noopener">BSI – C5:2026 Kriterienkatalog</a>
|
||
</p>
|
||
|
||
<h2>Checkliste: So wählen Sie den richtigen Cloud-Anbieter für Pflegedaten</h2>
|
||
|
||
<p>
|
||
Die folgende Checkliste hilft Ihnen, Cloud-Anbieter systematisch zu bewerten und die gesetzlichen Anforderungen des § 393 SGB V sowie der DSGVO zu erfüllen. Gehen Sie die Punkte mit jedem potenziellen Anbieter durch und lassen Sie sich die Nachweise schriftlich geben.
|
||
</p>
|
||
|
||
<h3>1. Serverstandort und Rechtsraum</h3>
|
||
|
||
<table border="1" cellpadding="8" cellspacing="0">
|
||
<thead>
|
||
<tr>
|
||
<th>Kriterium</th>
|
||
<th>Anforderung</th>
|
||
<th>Erfüllt?</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>Primärer Serverstandort</td>
|
||
<td>Deutschland (empfohlen) oder EU/EWR</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Backup-Standort</td>
|
||
<td>Ebenfalls in Deutschland oder EU/EWR</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Kein US-Mutterkonzern</td>
|
||
<td>Kein Zugriffsrisiko durch US CLOUD Act</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Niederlassung in Deutschland</td>
|
||
<td>Tatsächliche Geschäftstätigkeit, nicht nur Briefkasten</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Gerichtsstand</td>
|
||
<td>Deutschland</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
|
||
<h3>2. Zertifizierungen und Nachweise</h3>
|
||
|
||
<table border="1" cellpadding="8" cellspacing="0">
|
||
<thead>
|
||
<tr>
|
||
<th>Kriterium</th>
|
||
<th>Anforderung</th>
|
||
<th>Erfüllt?</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>BSI C5-Testat Typ 2</td>
|
||
<td>Aktuelles Testat, nicht älter als 12 Monate</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ISO 27001 (auf Basis IT-Grundschutz)</td>
|
||
<td>Optional, wenn C5 vorliegt; sonst mit Maßnahmenplan</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>DSGVO-Compliance-Nachweis</td>
|
||
<td>Schriftliche Bestätigung der DSGVO-Konformität</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>TI-Konnektor-Zertifizierung</td>
|
||
<td>Falls TI-Anbindung erforderlich (SMC-B, KIM etc.)</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
|
||
<h3>3. Technische Sicherheitsmaßnahmen</h3>
|
||
|
||
<table border="1" cellpadding="8" cellspacing="0">
|
||
<thead>
|
||
<tr>
|
||
<th>Kriterium</th>
|
||
<th>Anforderung</th>
|
||
<th>Erfüllt?</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>Verschlüsselung in Transit</td>
|
||
<td>TLS 1.3, HTTPS für alle Verbindungen</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Verschlüsselung at Rest</td>
|
||
<td>AES-256 oder gleichwertig für alle gespeicherten Daten</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Ende-zu-Ende-Verschlüsselung</td>
|
||
<td>Optional, aber empfohlen für besonders sensible Daten</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Mehr-Faktor-Authentifizierung</td>
|
||
<td>Verpflichtend für alle Administratoren und Benutzer</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Protokollierung und Monitoring</td>
|
||
<td>Lückenlose Zugriffsprotokolle, 24/7-Überwachung</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Backup-Strategie</td>
|
||
<td>Tägliche Backups, mindestens 30 Tage Aufbewahrung, regelmäßige Wiederherstellungstests</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Notfall- und Wiederanlaufplan</td>
|
||
<td>Dokumentiert, getestet, maximale Ausfallzeit vertraglich zugesichert (RTO/RPO)</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
|
||
<h3>4. Vertragliche und organisatorische Anforderungen</h3>
|
||
|
||
<table border="1" cellpadding="8" cellspacing="0">
|
||
<thead>
|
||
<tr>
|
||
<th>Kriterium</th>
|
||
<th>Anforderung</th>
|
||
<th>Erfüllt?</th>
|
||
</tr>
|
||
</thead>
|
||
<tbody>
|
||
<tr>
|
||
<td>Auftragsverarbeitungsvertrag (AVV)</td>
|
||
<td>Schriftlich, vollständig nach Art. 28 DSGVO</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Subunternehmer-Regelung</td>
|
||
<td>Alle Subunternehmer benannt, Änderungen zustimmungspflichtig</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Datenlöschung nach Vertragsende</td>
|
||
<td>Nachweisbare, vollständige Löschung aller Daten</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Datenportabilität</td>
|
||
<td>Export in gängigen, maschinenlesbaren Formaten</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Kontroll- und Auditrechte</td>
|
||
<td>Vertraglich zugesicherte Prüfrechte für Sie als Kunde</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
<tr>
|
||
<td>Meldepflicht bei Sicherheitsvorfällen</td>
|
||
<td>Unverzügliche Benachrichtigung (max. 24 Stunden)</td>
|
||
<td>☐</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
|
||
<h2>Typische Fallstricke: Woran Sie unseriöse Anbieter erkennen</h2>
|
||
|
||
<p>
|
||
Der Markt für Cloud-Dienste ist unübersichtlich, und nicht jeder Anbieter, der mit „DSGVO-konform" wirbt, hält die Anforderungen tatsächlich ein. Achten Sie auf folgende Warnsignale:
|
||
</p>
|
||
|
||
<ul>
|
||
<li><strong>„Unsere Server stehen in der EU" – ohne konkrete Nennung des Landes.</strong> Seriöse Anbieter nennen den exakten Standort ihrer Rechenzentren. „EU" kann auch Bulgarien oder Rumänien bedeuten – rechtlich zulässig, aber mit potenziell geringeren Sicherheitsstandards.</li>
|
||
<li><strong>„Wir sind ISO-27001-zertifiziert" – ohne C5-Testat.</strong> ISO 27001 allein genügt nicht den Anforderungen des § 393 SGB V. Nur mit einem zusätzlichen Maßnahmenpaket und Nachweis der Gleichwertigkeit kann sie das C5-Testat ersetzen – was in der Praxis kaum Erleichterung bringt.</li>
|
||
<li><strong>„Standardvertragsklauseln reichen aus" – bei US-Anbietern.</strong> Standardvertragsklauseln (SCC) sind ein DSGVO-Instrument für Drittlandtransfers, aber sie heilen nicht das CLOUD-Act-Risiko und genügen nicht den Anforderungen des § 393 SGB V.</li>
|
||
<li><strong>Kein eigener AVV – „Unsere AGB decken das ab".</strong> Ein AVV ist ein separates, unterschriebenes Dokument. AGB-Klauseln ersetzen keinen ordnungsgemäßen Auftragsverarbeitungsvertrag.</li>
|
||
<li><strong>„C5-zertifiziert" – aber nur Typ 1 oder abgelaufen.</strong> Fragen Sie nach dem konkreten Testat-Datum und dem Typ. Ein Typ-1-Testat ist seit dem 1. Juli 2025 nicht mehr ausreichend.</li>
|
||
</ul>
|
||
|
||
<h2>itbuddy.care: Cloud-Hosting, das die Checkliste erfüllt</h2>
|
||
|
||
<p>
|
||
<strong>itbuddy.care</strong> wurde von Grund auf für die Anforderungen des deutschen Gesundheitswesens entwickelt. Die Plattform erfüllt alle Kriterien dieser Checkliste:
|
||
</p>
|
||
|
||
<ul>
|
||
<li><strong>Serverstandort Deutschland:</strong> Alle Daten werden ausschließlich in deutschen Rechenzentren gespeichert und verarbeitet – Primärsysteme und Backups. Kein US-Mutterkonzern, kein CLOUD-Act-Risiko.</li>
|
||
<li><strong>Vollständige Verschlüsselung:</strong> TLS 1.3 für alle Daten in Transit, AES-256 für alle Daten at Rest. Optional Ende-zu-Ende-verschlüsselte Kommunikation für besonders schützenswerte Pflegedaten.</li>
|
||
<li><strong>TI-geeignet:</strong> Nahtlose Integration in die Telematikinfrastruktur – inklusive SMC-B-Kartenleser, KIM-Nachrichtendienst und E-Rezept-Unterstützung.</li>
|
||
<li><strong>C5-Testat Typ 2:</strong> Aktuelles BSI-Testat nach C5:2026, geprüft durch unabhängige Wirtschaftsprüfer.</li>
|
||
<li><strong>DSGVO-konformer AVV:</strong> Vorgefertigter, rechtssicherer Auftragsverarbeitungsvertrag – kein Verhandlungsaufwand, keine versteckten Klauseln.</li>
|
||
<li><strong>24/7-Überwachung:</strong> Lückenlose Protokollierung aller Zugriffe, automatische Alarmierung bei Anomalien, zertifiziertes Incident-Response-Team.</li>
|
||
<li><strong>Made for Pflege:</strong> Keine generische Cloud-Plattform, sondern eine speziell für Pflegedienste, Pflegeheime und Tagespflegen entwickelte Komplettlösung – mit Pflegedokumentation, Tourenplanung, Abrechnung und Personalmanagement aus einer Hand.</li>
|
||
</ul>
|
||
|
||
<h2>Fazit: Serverstandort Deutschland ist kein „Nice-to-have", sondern Pflicht</h2>
|
||
|
||
<p>
|
||
Die Rechtslage ist eindeutig: Wer Pflegedaten in der Cloud verarbeitet, muss die Anforderungen des § 393 SGB V erfüllen – und das bedeutet <strong>Serverstandort Deutschland oder EU/EWR, C5-Testat Typ 2, Niederlassung im Inland und einen wasserdichten AVV</strong>. Die gute Nachricht: Mit einem professionellen, auf das Gesundheitswesen spezialisierten Anbieter ist das alles kein Hexenwerk.
|
||
</p>
|
||
|
||
<p>
|
||
Die Checkliste in diesem Artikel gibt Ihnen ein praktisches Werkzeug an die Hand, um Anbieter systematisch zu vergleichen und die richtige Entscheidung für Ihre Pflegeeinrichtung zu treffen. Nehmen Sie sich die Zeit für eine gründliche Prüfung – es geht um die sensibelsten Daten, die Ihre Einrichtung verarbeitet: die Gesundheitsdaten der Ihnen anvertrauten Menschen.
|
||
</p>
|
||
|
||
<p>
|
||
<span style="text-decoration: underline;"><strong>Quellen</strong></span>
|
||
</p>
|
||
|
||
<ol>
|
||
<li><a href="https://www.gesetze-im-internet.de/sgb_5/__393.html" target="_blank" rel="noopener">§ 393 SGB V – Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung</a></li>
|
||
<li><a href="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_2025/C5_2025_node.html" target="_blank" rel="noopener">BSI – C5:2026 Cloud Computing Compliance Criteria Catalogue</a></li>
|
||
<li><a href="https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html" target="_blank" rel="noopener">BSI – C5 Kriterienkatalog (Übersicht)</a></li>
|
||
<li><a href="https://www.lutzabel.com/artikel/20240828-cloud-computing-dienste-im-gesundheitswesen-welche-anforderungen-stellt-der-neue-393-sgb-v" target="_blank" rel="noopener">LUTZ | ABEL – Cloud-Computing-Dienste im Gesundheitswesen: Anforderungen des § 393 SGB V</a></li>
|
||
<li><a href="https://www.dsn-group.de/datenschutz-notizen/c52026-der-neue-kriterienkatalog-ist-da-4259808" target="_blank" rel="noopener">DSN Group – C5:2026: Der neue Kriterienkatalog ist da</a></li>
|
||
<li><a href="https://winheller.com/blog/cloud-dienste-gesundheitswesen-neue-anforderungen-it-security-datenschutz" target="_blank" rel="noopener">WINHELLER – Cloud-Dienste im Gesundheitswesen: Neue Anforderungen</a></li>
|
||
<li><a href="https://www.bakertilly.de/beitrag/neuer-c5-standard-anforderungen-und-aenderungen-fuer-cloud-anbieter" target="_blank" rel="noopener">Baker Tilly – Neuer Kriterienkatalog C5:2026</a></li>
|
||
</ol>
|
||
|
||
<div class="cta">
|
||
<p><strong>Cloud-Hosting für Pflegedaten muss sicher, rechtskonform und in Deutschland sein.</strong> itbuddy.care bietet Ihnen die digitale Komplettlösung für Pflegedienste, Pflegeheime und Tagespflegen – mit Serverstandort Deutschland, vollständiger Ende-zu-Ende-Verschlüsselung, aktuellem BSI C5:2026-Testat Typ 2 und nahtloser TI-Integration. Erfüllen Sie alle Anforderungen des § 393 SGB V auf Knopfdruck. Vereinbaren Sie jetzt Ihren persönlichen Demo-Termin und überzeugen Sie sich selbst.</p>
|
||
<a href="/kontakt/">Jetzt Demo-Termin vereinbaren</a>
|
||
</div>
|
||
|
||
</article>
|
||
|
||
</body>
|
||
</html> |