Im Gesundheitswesen ist Vertrauen die entscheidende Währung. Doch dieses Vertrauen wird heute stärker auf die Probe gestellt als je zuvor. Wer heute eine Praxis führt, kommt an einem Thema nicht vorbei: der IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV)¹.
Sie ist weit mehr als nur ein weiteres bürokratisches Dokument. Für Ärztinnen, Ärzte und Psychotherapeuten bildet sie den verbindlichen rechtlichen Rahmen, um die sensiblen Daten ihrer Patient:innen zu schützen. Die Richtlinie fordert von Praxen jeder Größe, ihre IT-Infrastruktur zu härten – von der sicheren Konfiguration der Geräte über regelmäßige Updates bis hin zur kritischen Auswahl der genutzten Software-Dienste¹. Das Ziel: Die Digitalisierung darf keine Einfallstore für Cyberkriminalität öffnen. Für viele Praxisteams bedeutet dies jedoch zunächst eine enorme Verantwortung und Unsicherheit: Welche Anbieter sind wirklich sicher? Wer erfüllt die strengen Vorgaben, die der Gesetzgeber – etwa mit dem Digital-Gesetz (DigiG) – nun auch explizit von Cloud-Dienstleistern fordert?²
Für uns bei Idana war deshalb von Anfang an klar: Datenschutz und Datensicherheit sind keine Punkte, die wir erst „bei Bedarf“ abarbeiten. Sie sind unser Fundament.
Sicherheit als Identität, nicht als Reaktion
Schon lange bevor regulatorische Anforderungen in Deutschland und Europa verschärft wurden, war es unser Anspruch, die digitale Anamnese sicherer zu machen als jede papierbasierte Lösung – und sicherer als die meisten digitalen Alternativen am Markt.
Heute – viele Jahre nach unserem Start – zeigt sich dieser Anspruch klarer denn je: Idana ist eines der wenigen digitalen Gesundheitsprodukte im ambulanten Bereich, das ein BSI-C5-Testat vorweisen kann.
Warum wir uns diesen Weg bewusst ausgesucht haben, was das für unsere Kund:innen bedeutet und warum manche gängigen Mythen rund um Datenschutz im Markt gefährlich verkürzt sind, darum geht es in diesem Beitrag.
Warum Datenschutz für uns kein „Feature” ist, sondern Verantwortung
Praxissoftware gehört zu den kritischsten Infrastrukturen, die wir in Deutschland haben. Ärzt:innen müssen sich darauf verlassen können, dass jede digitale Lösung, die sie nutzen, rechtskonform ist – nicht nur „gefühlt sicher“, sondern tatsächlich nachweisbar sicher.
Für uns bedeutet Datenschutz deshalb:
- Rechtliche Sicherheit für Ärzt:innen, damit sie ihre Sorgfaltspflichten gemäß DSGVO und § 393 SGB V erfüllen können.
- Maximale technische Sicherheit, die über bloße Branchenstandards hinausgeht.
- Transparenz, damit Praxen jederzeit nachvollziehen können, worauf sie sich verlassen.
Wir entwickeln Idana nicht für uns – wir entwickeln es für Menschen, die täglich Verantwortung tragen. Digitalisierung darf ihnen nie zusätzliche Risiken aufbürden.
Warum wir uns bewusst für BSI C5 entschieden haben
Mit der zunehmenden Digitalisierung ist endlich auch klarer geregelt, wonach sich Anbieter von Cloud-Software im Gesundheitswesen richten müssen. Das neue Digital-Gesetz (DigiG) verschärft die Anforderungen an die IT-Sicherheit im Gesundheitswesen deutlich. Gemäß § 393 SGB V sind Leistungserbringer zunehmend verpflichtet, bei der Cloud-Nutzung Sicherheitsnachweise nach höchsten Standards einzufordern. Mit dem BSI C5-Testat liefern wir diesen Nachweis proaktiv und garantieren unseren Kunden volle Rechtssicherheit.².
Das BSI-C5-Testat ist dabei der maßgebliche Prüfstandard des Bundesamtes für Sicherheit in der Informationstechnik. Er bewertet nicht nur die Infrastruktur, sondern die komplette Anwendung und die zugehörigen Prozesse. Sogar die Weiterentwicklung des Standards, der sogenannte „Community Draft“ für den C5:2025, zeigt, dass die Anforderungen an Cloud-Sicherheit stetig steigen und dynamisch an neue Bedrohungslagen angepasst werden³.
Für uns war schnell klar: Wenn wir den Anspruch haben, eine der sichersten digitalen Lösungen im ambulanten Bereich zu sein, dann müssen wir uns auch an den strengsten Maßstäben messen lassen. Dass wir inzwischen das BSI C5 Testat erhalten haben, fühlt sich nicht wie der Abschluss eines Projekts an, sondern wie ein logischer Schritt auf einem Weg, den wir schon lange gehen.
Was häufig übersehen wird: Sichere Server reichen nicht aus – die Software zählt
In Gesprächen mit Praxen stoßen wir immer wieder auf Annahmen, die verständlich, aber problematisch sind.
Dazu gehört der Gedanke, dass ein Serverstandort in Deutschland automatisch für rechtliche Sicherheit sorgt. Ein deutscher Server ist wichtig – auch wir hosten ausschließlich in Deutschland – aber er ist nur ein kleines Puzzlestück. Er sagt nichts darüber aus, wie sicher die Software ist: sichere Server machen keine unsichere Software sicher.
Ähnlich verhält es sich mit ISO-Zertifizierungen. Viele Anbieter werben damit, dass ihr Rechenzentrum ISO 27001-zertifiziert ist. Das ist gut und wichtig – aber es ersetzt nicht die Prüfung der Software selbst. ISO bewertet primär das Managementsystem für Informationssicherheit. Der BSI C5-Kriterienkatalog geht hingegen deutlich tiefer in die Cloud-spezifischen Anforderungen und verlangt ein detailliertes Reporting, das weit über ein bloßes ISO-Zertifikat hinausgeht. Während die ISO 27001 etwa allgemein die Kontrolle privilegierter Zugriffe fordert, setzt BSI C5 auf strikte operative Vorgaben wie die zeitliche Befristung jeder privilegierten Berechtigung, lückenlose Aktivitätsprotokolle mit automatischer Missbrauchserkennung und – besonders wichtig für Praxen – die Pflicht zur Kundeninformation innerhalb von 72 Stunden, wenn Mitarbeiter des Anbieters auf unverschlüsselte Daten zugreifen.
Dieser Standard prüft die „gelebte Sicherheit“ eines Softwareprodukts – die Architektur, die Entwicklungsprozesse, die Verschlüsselungsmechanismen, das Monitoring, das Incident Management und vieles mehr. Alles Dinge, die Praxen laut der KBV-Sicherheitsrichtlinie und den gesetzlichen Vorgaben im Blick behalten müssen, wenn sie Cloud-Lösungen nutzen.
Was das für unsere Kund:innen bedeutet
Für Ärztinnen und Ärzte heißt das: Mit Idana nutzen Sie eine Lösung, die nicht nur sicher „wirkt“, sondern deren Sicherheitsniveau geprüft und dokumentiert ist. Das unterstützt Sie dabei, Ihre Pflichten gemäß der KBV IT-Sicherheitsrichtlinie¹ sowie DSGVO und § 393 SGB V zu erfüllen und im Ernstfall gegenüber Behörden auskunftsfähig zu sein.
Für Patientinnen und Patienten heißt es: Antworten auf Fragen aus Formularen und Fragebögen, sowie hochgeladene Dateien, die Signatur etc. sind durch echte Ende-zu-Ende-Verschlüsselung geschützt. Niemand außer den Behandelnden kann die Inhalte sehen – nicht einmal wir bei Idana.
Und für Praxen bedeutet es Zukunftssicherheit: Wir entwickeln Idana stetig weiter, bauen unsere Sicherheitsarchitektur aus und orientieren uns dabei konsequent an den Vorgaben, die ein modernes, cloudbasiertes Gesundheitsprodukt erfüllen muss. Nicht irgendwann – sondern jetzt.
Unser Antrieb: Echte Sicherheit statt leerer Versprechen
Wir haben Idana gegründet, weil wir überzeugt sind, dass digitale Medizin sicher sein muss, um gut zu sein. Sicherheit ist für uns kein Verkaufsargument – sie ist die Grundlage für jedes Vertrauen, das uns Ärztinnen, Ärzte und Patient:innen entgegenbringen.
Dass wir heute zu den wenigen Gesundheits-SaaS-Anbietern gehören, die ein BSI-C5-Testat vorweisen können, ist kein Zufall. Es ist das Ergebnis einer Haltung:
- Wir verstehen Datenschutz als Verantwortung.
- Wir wollen Ärzt:innen echte Sicherheit geben – nicht nur versprechen.
- Und wir werden weiterhin konsequent in die Maßnahmen investieren, die dafür notwendig sind.
Digitalisierung im Gesundheitswesen funktioniert nur, wenn Menschen sich darauf verlassen können, dass ihre Daten geschützt sind.
Quellenverzeichnis:
¹ Kassenärztliche Bundesvereinigung (KBV): IT-Sicherheit in der Praxis – Richtlinie und Umsetzungshilfen. Verfügbar unter: kbv.de
² Simpliant: Neues Digital-Gesetz – Pflicht zu C5-Testierung für SaaS-Anbieter im Gesundheitswesen. Verfügbar unter: simpliant.eu
³ Advanta: BSI C5:2025 Community Draft – Ausblick auf die neuen Anforderungen. Verfügbar unter: advanta.de
⁴ Advanta: ISO 27001 vs. BSI C5 – Die Unterschiede im Detail. Verfügbar unter: advanta.de
