KRITIS, C5-Testat und ESG-Reporting Auswirkungen für Krankenhäuser

C5-Testat: Cloud-Sicherheit im Gesundheitswesen

Verpflichtung zur Vorlage eines C5-Testats

Seit Juli 2024 müssen Cloud-Anbieter, die im deutschen Gesundheitswesen tätig sind, ein C5-Testat (Cloud Computing Compliance Controls Catalogue) vorweisen können. 📋 Diese vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Zertifizierung stellt sicher, dass Cloud-Dienste bestimmte Sicherheitsstandards erfüllen.

Wichtig: Als Krankenhaus musst Du selbst kein C5-Testat besitzen, wenn Du nur Cloud-Nutzer bist. Allerdings bist Du verpflichtet:

• Nachzuweisen, dass Deine eingesetzten Cloud-Dienste ein gültiges C5-Testat besitzen (z.B. durch Verträge oder Lieferantenaudits)
• Ein Verzeichnis der eingesetzten Dienste zu führen (gemäß Art. 30 DSGVO und § 75c SGB V)
• Datenschutzfolgeabschätzungen (DSFA) zu erstellen, wenn sensible Daten verarbeitet werden

Das C5-Testat wird durch unabhängige Wirtschaftsprüfungsgesellschaften (z.B. KPMG, PwC, EY) erstellt und basiert auf dem C5-Katalog des BSI. Die Anforderungen umfassen zahlreiche Sicherheitsbereiche, darunter:

• Organisatorische Sicherheit
• Sicherheitsrichtlinien und -verfahren
• Personalsicherheit
• Identitäts- und Berechtigungsmanagement
• Kryptographie und Schlüsselmanagement
• Kommunikationssicherheit
• Portabilität und Interoperabilität
• Beschaffung, Entwicklung und Wartung von Informationssystemen

C5-Typ-1 vs. C5-Typ-2 Testate

Das BSI unterscheidet zwischen zwei Arten von C5-Testaten, die unterschiedliche Prüftiefen repräsentieren: 🔍

C5-Typ-1-Testat:

• Bestätigt die angemessene Konzeption von Kontrollen
• Basiert auf einer Momentaufnahme (zu einem bestimmten Zeitpunkt)
• Geringerer Prüfungsumfang und entsprechend kostengünstiger

C5-Typ-2-Testat:

• Bestätigt sowohl die angemessene Konzeption als auch die Wirksamkeit der Kontrollen
• Prüfung über einen definierten Zeitraum (mindestens 6 Monate)
• Umfassendere Prüfung mit höherer Aussagekraft und entsprechend kostenintensiver

Für besonders sensible Anwendungen, wie die Verarbeitung von Patientendaten, ist ein C5-Typ-2-Testat empfehlenswert. Als Klinikmanager solltest Du bei der Auswahl von Cloud-Anbietern auf den Typ des vorliegenden Testats achten und diesen in Relation zur Sensibilität der zu verarbeitenden Daten setzen.

Relevanz für die Verarbeitung von Patientendaten

Die Nutzung von Cloud-Diensten für die Verarbeitung von Patientendaten unterliegt besonders strengen Anforderungen. 🔒 Ein C5-Testat bietet hier eine wichtige Grundlage für die rechtskonforme Nutzung solcher Dienste.

Patientendaten gehören zu den besonders schützenswerten personenbezogenen Daten im Sinne der DSGVO. Ihre Verarbeitung erfordert daher besondere Schutzmaßnahmen. Das C5-Testat deckt viele dieser Anforderungen ab, insbesondere:

• Verschlüsselung der Daten bei Übertragung und Speicherung
• Standortgebundene Datenspeicherung innerhalb der EU
• Zugriffskontrollen und Berechtigungsmanagement
• Löschkonzepte und Datentrennung
• Protokollierung von Zugriffen

Als Klinikbetreiber musst Du trotz C5-Testat des Anbieters eine eigene Risikobewertung vornehmen und zusätzliche vertragliche Vereinbarungen (Auftragsverarbeitungsvertrag) mit dem Cloud-Anbieter treffen.

Integration ins Risikomanagement

Das C5-Testat sollte in das allgemeine Risikomanagement Deiner Klinik integriert werden. 📊 Dabei sind folgende Aspekte zu berücksichtigen:

• Klassifizierung der Daten nach Schutzbedarf
• Risikoanalyse für die Cloud-Nutzung
• Definition von Mindestanforderungen für verschiedene Datenklassen
• Ausfallsicherheit und Business Continuity
• Regelmäßige Überprüfung der Compliance-Anforderungen

Ein strukturierter Risikomanagementprozess hilft dabei, die passenden Cloud-Anbieter auszuwählen und deren Leistungen kontinuierlich zu bewerten. Dabei solltest Du auch die Abhängigkeit von einzelnen Anbietern (Vendor Lock-in) berücksichtigen und gegebenenfalls Multi-Cloud-Strategien in Betracht ziehen.

Herausforderungen bei der Anbieterauswahl

Die Auswahl geeigneter Cloud-Anbieter mit C5-Testat stellt viele Krankenhäuser vor Herausforderungen. 🤔 Zu den häufigsten Problemen gehören:

• Begrenzte Anzahl von Anbietern mit spezifischem Healthcare-Fokus und C5-Testat
• Unterschiedliche Testattypen und -umfänge, die schwer vergleichbar sind
• Internationale Anbieter mit abweichenden Zertifizierungsstandards
• Komplexe Vertragsgestaltung und Service Level Agreements
• Mangelnde Transparenz bei Subunternehmern und deren Zertifizierungen

Bei der Anbieterauswahl empfiehlt sich ein strukturierter Auswahlprozess mit klaren Bewertungskriterien. Neben dem C5-Testat sollten auch Aspekte wie Branchenkenntnis, Referenzen, Support und Kosten berücksichtigt werden.

Es kann sinnvoll sein, spezialisierte Beratung hinzuzuziehen, um die technischen und rechtlichen Aspekte der C5-Zertifizierung korrekt zu bewerten. Die Deutsche Krankenhausgesellschaft bietet hier wertvolle Orientierungshilfen.

Schulungen für Mitarbeitende

Die sichere Nutzung von Cloud-Diensten erfordert geschulte Mitarbeitende. 👩‍🏫 Schulungsmaßnahmen sollten folgende Inhalte umfassen:

• Grundlagen der Cloud-Sicherheit
• Korrekte Nutzung der implementierten Cloud-Dienste
• Datenschutz bei der Cloud-Nutzung
• Erkennung von Sicherheitsrisiken
• Meldewege bei Sicherheitsvorfällen

Die Schulungen sollten zielgruppenspezifisch ausgerichtet sein. Während IT-Mitarbeitende tiefergehende technische Schulungen benötigen, sollten klinische Anwender praxisnahe Handlungsanweisungen erhalten. Online-Lernplattformen und regelmäßige Auffrischungskurse helfen dabei, das Wissen aktuell zu halten.

Leseprobe Handbuch 🚀

Leseprobe anfordern!

100% DSGVO-konform.

ESG-Reporting: Nachhaltigkeitsberichterstattung nach CSRD

Verpflichtung zur Berichterstattung ab 2025

Mit der Corporate Sustainability Reporting Directive (CSRD) hat die EU die Anforderungen an die Nachhaltigkeitsberichterstattung deutlich verschärft. 📝 Ab dem Geschäftsjahr 2025 sind auch große Krankenhäuser zur ESG-Berichterstattung (Environmental, Social, Governance) verpflichtet.

Von der Berichtspflicht betroffen sind Einrichtungen, die mindestens zwei der folgenden drei Kriterien erfüllen:

• Bilanzsumme über 20 Millionen Euro
• Nettoumsatz über 40 Millionen Euro
• Mehr als 250 Mitarbeitende im Jahresdurchschnitt

Für betroffene Krankenhäuser bedeutet dies einen erheblichen zusätzlichen Aufwand. Die Berichterstattung umfasst deutlich mehr Informationen als bisherige Nachhaltigkeitsberichte und muss strengen formalen Anforderungen genügen. Eine frühzeitige Vorbereitung ist daher essentiell.

Neben regulatorischen Anforderungen wächst auch der Druck von Stakeholdern wie Patienten, Mitarbeitenden und Kostenträgern, die zunehmend Transparenz in Nachhaltigkeitsfragen fordern. Ein proaktiver Umgang mit ESG-Themen kann hier zum Wettbewerbsvorteil werden.

Anwendung der European Sustainability Reporting Standards

Für die ESG-Berichterstattung müssen Krankenhäuser die European Sustainability Reporting Standards (ESRS) anwenden. 📊 Diese umfassen allgemeine Standards sowie sektorspezifische Anforderungen, die alle relevanten Nachhaltigkeitsaspekte abdecken.

Die ESRS basieren auf dem Doppelten Wesentlichkeitsprinzip:

• Impact Materiality: Auswirkungen der Organisation auf Umwelt und Gesellschaft
• Financial Materiality: Auswirkungen von Nachhaltigkeitsaspekten auf die finanzielle Lage der Organisation

Die Berichterstattung muss nach einem strukturierten Prozess erfolgen, der folgende Schritte umfasst:

1. Wesentlichkeitsanalyse zur Identifikation relevanter Themen
2. Datenerhebung zu den als wesentlich identifizierten Aspekten
3. Analyse und Bewertung der Daten
4. Berichterstellung gemäß ESRS-Vorgaben
5. Prüfung durch unabhängige Dritte
6. Veröffentlichung und Kommunikation

Besonders herausfordernd ist dabei die erforderliche externe Prüfung des Berichts, die zusätzliche Kosten verursacht und eine solide Datenbasis erfordert.

Erfassung von Umwelt-, Sozial- und Governance-Kriterien

Die ESG-Berichterstattung umfasst drei Hauptbereiche, die für Krankenhäuser jeweils spezifische Herausforderungen mit sich bringen: 🌱

Environmental (Umwelt):

• Energieverbrauch und -effizienz
• CO2-Fußabdruck und Klimarisiken
• Wasserverbrauch und -management
• Abfallmanagement und Kreislaufwirtschaft
• Umgang mit gefährlichen Stoffen
• Maßnahmen zur Klimaanpassung und Umweltzielen

Social (Soziales):

• Arbeitsbedingungen und Arbeitsschutz
• Diversity und Inklusion
• Aus- und Weiterbildung
• Patientensicherheit und -zufriedenheit
• Engagement in der lokalen Gemeinschaft
• Mitarbeiterzufriedenheit und Gesundheitsquote

Governance (Unternehmensführung):

• Compliance und Antikorruption
• Datenschutz und Informationssicherheit
• Transparenz in der Unternehmensführung
• Nachhaltige Beschaffung
• Risikomanagement
• Nachhaltigkeitsstrategie und Zielerreichung

Für jede dieser Kategorien müssen konkrete Kennzahlen (KPIs) definiert und erhoben werden. Diese sollten sowohl absolute Werte als auch relative Vergleichsgrößen umfassen und Entwicklungen im Zeitverlauf darstellen.

Mehr zu nachhaltiger Klinikführung und effizienten Prozessen bieten wir im Rahmen eines Seminars Prozesse im Krankenhaus effektiv und effizient organisieren.

Konkrete Kennzahlen und Nachweispflichten

Für eine vollständige und konforme ESG-Berichterstattung müssen Krankenhäuser quantitative und qualitative Daten offenlegen. 📈 Hier eine Übersicht der wichtigsten Kennzahlen:

Umwelt (Environment):

• Treibhausgasemissionen in CO₂-Äquivalenten:
  • Scope 1: Direkte Emissionen (eigene Heizungen, Fuhrpark)
  • Scope 2: Indirekte Emissionen (Stromverbrauch)
  • Idealerweise auch Scope 3: Lieferkettenemissionen
• Energieverbrauch: Gesamtverbrauch (kWh/Jahr) und Anteil erneuerbarer Energien (%)
• Wasserverbrauch: Absoluter Verbrauch und relative Effizienz
• Abfallaufkommen: Gesamtmenge und Recyclingquote (%)

Soziales (Social):

Beschäftigtenstruktur:

• Gesamtzahl der Mitarbeitenden
• Altersstruktur und Geschlechterverteilung
• Fluktuationsrate und Betriebszugehörigkeit

Arbeitsbedingungen:

• Unfallzahlen und Gesundheitsquote
• Weiterbildungsstunden pro Mitarbeiter:in
• Arbeitszeitmodelle und Work-Life-Balance

Gleichstellung & Diversität:

• Frauenanteil in Führungspositionen (%)
• Lohngleichheit (Gender Pay Gap)
• Maßnahmen zur Chancengleichheit

Mitarbeiterzufriedenheit:

• Ergebnisse aus Mitarbeiterbefragungen
• Engagement-Index

Governance:

• Unternehmensführung:
  • Organisationsstrukturen (Organigramm)
  • Compliance-Strukturen und -Mechanismen
• Ethik und Integrität:
  • Korruptionspräventionsmaßnahmen
  • Meldestellen und Whistleblower-Systeme
• Strategie:
  • Nachhaltigkeitsstrategie und Umsetzungsgrad
  • Zielerreichungsgrad vorheriger Berichtszeiträume
• Vergütungssysteme:
  • Nachhaltigkeitsbezogene Vergütungskomponenten für Führungskräfte

Datenerhebung und -verarbeitung

Eine der größten Herausforderungen beim ESG-Reporting ist die Datenerhebung und -verarbeitung. 💻 Krankenhäuser müssen hierfür neue Prozesse etablieren und gegebenenfalls in entsprechende Software-Lösungen investieren.

Zu den typischen Herausforderungen gehören:

• Fehlende oder unvollständige Datengrundlagen
• Unterschiedliche Datenquellen und -formate
• Mangelnde Vergleichbarkeit historischer Daten
• Fehlende Expertise für die Datenerhebung und -analyse
• Integration in bestehende Managementsysteme

Um diese Herausforderungen zu bewältigen, empfiehlt sich ein schrittweises Vorgehen:

1. GAP-Analyse: Welche Daten sind vorhanden, welche fehlen?
2. Priorisierung der Datenerhebung basierend auf der Wesentlichkeitsanalyse
3. Etablierung von Datenerhebungsprozessen und Verantwortlichkeiten
4. Implementierung von Software-Lösungen zur Datenverarbeitung
5. Schulung der verantwortlichen Mitarbeitenden
6. Regelmäßige Qualitätssicherung der erhobenen Daten

Viele Krankenhäuser entscheiden sich für spezialisierte ESG-Software, die die Datenerhebung, -analyse und Berichterstellung unterstützt. Diese sollte möglichst mit bestehenden Systemen integriert werden, um Doppelerfassungen zu vermeiden.

Veröffentlichungspflichten

Die erhobenen ESG-Daten müssen gemäß den regulatorischen Vorgaben veröffentlicht werden. 📢 Für Krankenhäuser ergeben sich je nach Rechtsform und Größe unterschiedliche Veröffentlichungspflichten:

Veröffentlichungskanäle:

• Interner Jahresbericht oder Lagebericht: Die ESG-Informationen werden oft als Teil des Jahresberichts auf der eigenen Website veröffentlicht
• Bundesanzeiger: Berichtspflichtige Krankenhäuser müssen ihre ESG-Daten im Publikations-Modul des elektronischen Bundesanzeigers hochladen
• Zukünftig (ab 2026): Daten werden auch im European Single Access Point (ESAP) verfügbar sein, der zentralen ESG-Datenbank der EU

Wann ist ein Krankenhaus berichtspflichtig?
Ein Krankenhaus unterliegt der CSRD-Richtlinie, wenn es wirtschaftlich tätig ist und mindestens zwei der folgenden Kriterien erfüllt:

• 250 oder mehr Mitarbeitende
• Mehr als 40 Millionen Euro Umsatz
• Bilanzsumme über 20 Millionen Euro

Auch wenn Dein Krankenhaus diese Kriterien nicht erfüllt, kann eine freiwillige ESG-Berichterstattung sinnvoll sein – etwa zur Stärkung des Vertrauens bei Patienten und Stakeholdern oder als Vorbereitung auf zukünftige Anforderungen.