Wirtschaftsprüfer, Rechtsanwälte, Steuerberater und Unternehmensberater: Vier Perspektiven. Eine Lösung. Weltweit. …
Wir prüfen Ihre Vergangenheit und beraten Sie bei der Umsetzung zukünftiger Anforderungen und Vorhaben. Erfahren …
Unsere Mandanten vertrauen uns ihre wichtigsten rechtlichen Angelegenheiten an. Erfahren Sie mehr über unsere …
Steuergesetze sind komplex und dynamisch. Wir stellen uns gemeinsam mit Ihnen der Herausforderung Steuerrecht – …
Wir unterstützen Sie mit individuellen Lösungen, damit Ihr Unternehmen auch in Zukunft erfolgreich am Markt agiert …
Anhebung der Mini- und Midijobgrenze ab 1. Januar 2025
Update America First (again): Neue US-Strafzölle für Mexiko, Kanada und China?
Dienstradleasing: Vergaberechtliche Herausforderungen und neue Möglichkeiten für Beamte in NRW
Herausforderungen in der Unternehmensfinanzierung: Baker Tilly auf der Structured FINANCE 2024
Nachhaltigkeitsberichterstattung bei kommunalen Unternehmen: Änderung des Anwendungsbereichs zeichnet sich ab
A&A Telegram HGB
Resilienz kritischer Infrastrukturen: Was Unternehmen jetzt über das KRITIS-Dachgesetz wissen müssen
Die Inflationsausgleichsprämie läuft aus – wie Unternehmen jetzt noch handeln können
Ranking der WirtschaftsWoche: Baker Tilly ist „Top Kanzlei 2024“
Rechtssicherheit im Umgang mit Daten von Beschäftigten? Referentenentwurf für ein Beschäftigtendatengesetz
Immaterieller Schadensersatz: Facebook unterliegt beim BGH wegen Datenschutzverletzung
Digital-Gesetz: C5 für Cloud-Dienste im Gesundheitswesen
Branchenspezifische Kenntnisse sind unerlässlich, um die besten Voraussetzungen für individuelle Lösungen zu …
Urteil zu Strom- und Gaskonzessionen: Netznutzungsentgelt- und Netzanschlussprognosen als Auswahlkriterium
Fallstricke für Kommunen bei der Erhebung von Abwassergebühren: Neue Entscheidungen zur Reichweite des Vertrauensschutzes
Profitieren Sie von gebündelten interdisziplinären Kompetenzen, Experten-Teams und individuellen Lösungen. Erfahren …
Baker Tilly bietet ein breites Spektrum individueller und innovativer Beratungsdienstleistungen in an. Erfahren …
Baker Tilly Partner Dr. Alexander Fridgen als vorläufiger Insolvenzverwalter der CamperBoys GmbH bestellt
Baker Tilly Partner bestätigen Management Board
RECARO Automotive GmbH begibt sich in Eigenverwaltung – Sitzhersteller nutzt Möglichkeiten der gerichtlichen Sanierung
Im Juli 2024 traten mit dem Digital-Gesetz (DigiG) neue Vorgaben für die Cloud-Nutzung im Gesundheitswesen in Kraft. Durch die Regelung der Nutzung von Cloud-Diensten soll für eine sichere Verarbeitung von Gesundheitsdaten nach geltenden Datenschutzstandards gesorgt werden. Der Schutz von sensiblen Gesundheitsdaten soll weiter verbessert werden. Nachweisen können Gesundheitsdienstleister beziehungsweise die Verarbeiter ihrer Daten das im SGB V vorgeschriebene Maß an Sicherheit durch ein C5-Testat. Die neue Regelung umfasst alle Cloud-Dienstleistungen innerhalb der EU.
C5 – die Kurzschreibweise für den Cloud Computing Compliance Criteria Catalogue – ist der Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) und umfasst Mindestanforderungen an sicheres Cloud Computing, welche nach dem „Stand der Technik“ umzusetzen sind. Nach geltenden Regulierungen kann ein C5-Testat nur durch eine Wirtschaftsprüfungsgesellschaft ausgestellt werden.
• Die Verarbeitung von Gesundheitsdaten ist erlaubt – jedoch unter strikten Voraussetzungen Nach dem neuen Gesetzestext ist die Verarbeitung von Gesundheitsdaten explizit erlaubt. Jedoch gelten hier als Voraussetzung strenge Vorschriften. Es wird verlangt, Cloud-basierte Services nach dem sogenannten „Stand der Technik“ zu betreiben. Dieser wird vorgegeben durch den C5 des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
• Nicht nur Gesundheitsdienstleister sind von der neuen Regelung betroffen Hat der Gesundheitsdienstleister Cloud-basierte Services ausgelagert, ist darauf zu achten, dass die Regelungen sich auf alle an der Datenverarbeitung Beteiligten beziehen. So reicht es nicht aus, wenn ein Dienstleister ein C5-Testat vorweist. Sofern Leistungen von Unterauftragnehmern für den Cloud-Service erforderlich sind, müssen auch deren Sicherheitsmaßnahmen und Kontrollen geprüft werden. Zusätzlich wird verlangt, dass die „datenverarbeitende Stelle“ eine Niederlassung im Inland unterhält.
• Der C5 deckt die wichtigsten Themenbereiche der Informationssicherheit ab Neben grundlegenden Themen wie der Organisation der Informationssicherheit, Compliance und physischer Sicherheit stellt der C5 auch tiefergehende Anforderungen. Dazu gehören der Aufbau eines Identitäts- und Berechtigungsmanagements, die Regelung des Umgangs mit Sicherheitsvorfällen und der Umgang mit Ermittlungsanfragen staatlicher Stellen.
• Die neuen Bestimmungen unterliegen strengen Umsetzungsfristen Bis zum Juli 2025 reicht die Vorlage eines C5-Typ-1-Testats aus. Danach wird ein Typ-2-Testat verlangt, welches neben der Konzeption des Sicherheitssystems auch die Wirksamkeit der umgesetzten Maßnahmen im Berichtszeitraum prüft.
Die hohen Anforderungen in Kombination mit straffen Fristen erfordern eine zeitnahe Umsetzung. Dazu gehört eine Analyse der Prozesse – sowohl auf der eigenen Seite als auch auf der der Dienstleister.
Baker Tilly unterstützt bei allen Schritten auf dem Weg zum C5-Testat: initiales Readiness Assessment zur Bestimmung des Reifegrades, Typ-1-Prüfung zur Angemessenheit und abschließende Typ-2-Prüfung der Wirksamkeit.
Boris Ortolf
Director
Certified Information Systems Security Professional (CISSP), Certified Cloud Security Professional (CCSP)
Tiffany Skeete
Jetzt Kontakt aufnehmen
Kontakt aufnehmen
Alle News anzeigen
Am 8. Oktober 2024 haben das Bundesministerium für Arbeit und Soziales sowie das Bundesministerium des Inneren und für Heimat einen Referentenentwurf …
Neuigkeiten in Sachen immaterieller Schadensersatz bei Datenschutzverletzungen: Der Bundesgerichtshof (BGH) hat eine Leitentscheidung zum …
Am 12. September 2025 findet der Anfang 2024 in Kraft getretene Data Act der EU (VO (EU) 2023/2854) unmittelbar Anwendung. Der Data Act hat es als …