{"id":5381174,"date":"2025-04-29T08:27:00","date_gmt":"2025-04-29T06:27:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=5381174"},"modified":"2025-04-28T15:30:24","modified_gmt":"2025-04-28T13:30:24","slug":"c5-testate-c5-zertifizierung","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/","title":{"rendered":"C5-Testate auch f\u00fcr Medizinproduktehersteller?"},"content":{"rendered":"\n<p>Die C5-Testate sind f\u00fcr Leistungserbringer und ggf. f\u00fcr Medizinproduktehersteller relevant. Denn das Anfang 2024 in Kraft getretene Digital-Gesetz (DigiG) definiert die Anforderungen an Cloud-Dienste im Gesundheitswesen neu.<\/p>\n\n\n\n<p>Dieser Artikel erkl\u00e4rt die wichtigsten Aspekte der C5-Zertifizierung bzw. C5-Testate f\u00fcr Medizinproduktehersteller und Leistungserbringer wie etwa Krankenh\u00e4user.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. Grundlagen der C5-Zertifizierung \/ C5-Testate<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 Zielsetzung<\/h3>\n\n\n\n<p>Der <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Informationen-und-Empfehlungen\/Empfehlungen-nach-Angriffszielen\/Cloud-Computing\/Kriterienkatalog-C5\/kriterienkatalog-c5_node.html\">Kriterienkatalog C5<\/a> (Cloud Computing Compliance Criteria Catalogue) ist ein vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) entwickelter Standard. Anhand dieser Kriterien k\u00f6nnen sowohl Anbieter als auch Kunden die IT-Sicherheit der Cloud-Dienste \u00fcberpr\u00fcfen.<\/p>\n\n\n\n<p>Der C5-Standard regelt auch, wie Pr\u00fcfungen durchgef\u00fchrt und die Ergebnisse berichtet werden sollen.<\/p>\n\n\n\n<p>Wirtschaftspr\u00fcfer d\u00fcrfen bei erfolgreicher Pr\u00fcfung ein C5-Testat ausstellen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 Aufbau des Kriterienkatalogs<\/h3>\n\n\n\n<p>Der Kriterienkatalog umfasst 17 Themengebiete mit insgesamt 125 Pr\u00fcfkriterien. Diese sind pro Themengebiet unterteilt in Basiskriterien f\u00fcr grundlegende Sicherheit und Zusatzkriterien f\u00fcr erh\u00f6hten Schutzbedarf.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Kriterienkatalog-scaled.jpg\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"654\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Kriterienkatalog-1024x654.jpg\" alt=\"Mindmap zeigt Aufbau des C5-Kriterienkatalogs, der f\u00fcr C5-Testate genutzt wird\" class=\"wp-image-5381175\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Kriterienkatalog-1024x654.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Kriterienkatalog-300x191.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Kriterienkatalog-768x490.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Kriterienkatalog-1536x980.jpg 1536w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Kriterienkatalog-2048x1307.jpg 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 1: Der C5-Kriterienkatalog umfasst 17 Themengebiete (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Beispiel<\/span><\/div>\n<p>Das Themengebiet \u201ePhysische Sicherheit (PS)\u201c fordert als <strong>Basiskriterien<\/strong>, dass Gef\u00e4hrdungen \u201eadressiert\u201c werden, wie \u201eUnberechtigter Zutritt\u201c, \u201eUnzureichende Klimatisierung\u201c, \u201eWasser\u201c und \u201eAusfall der Stromversorgung\u201c.<\/p>\n\n\n\n<p>Als <strong>Zusatzkriterien<\/strong> werden beispielsweise genannt <em>\u201eZeitvorgaben f\u00fcr den autarken Betrieb beim Eintritt au\u00dfergew\u00f6hnlicher Ereignisse (z. B. l\u00e4nger anhaltender Stromausfall, Hitzeperioden, Niedrigwasser bei K\u00e4lteversorgung mit Flusswasser) sowie maximal tolerierbare Ausfallzeiten von Versorgungseinrichtungen.\u201c<\/em><\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">1.3 Verh\u00e4ltnis zu anderen Standards<\/h3>\n\n\n\n<p>Das BSI hat den C5-Kriterienkatalog aus den Anforderungen der ISO 27001 abgeleitet. Die Beh\u00f6rde hat eine <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/CloudComputing\/Anforderungskatalog\/2020\/C5_2022_Referenztabelle_ISO27001.html\">Kreuzreferenztabelle zwischen C5 und ISO 27001:2022<\/a> publiziert.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Achtung<\/span><\/div>\n<p>Eine Zertifizierung nach ISO 27001 ist dauerhaft weder notwendig noch hinreichend, um die Forderung nach einem C5-Testat zu erf\u00fcllen. Mehr dazu im Fazit.<\/p>\n<\/div>\n\n\n\n<p>Allerdings erlaubt die <a href=\"https:\/\/www.recht.bund.de\/bgbl\/1\/2025\/91\/VO.html\">C5-Gleichwertigkeitsverordnung<\/a> <strong>tempor\u00e4r<\/strong> alternative Nachweise:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>ISO\/IEC 27001<\/li>\n\n\n\n<li>ISO 27001 mit IT-Grundschutz<\/li>\n\n\n\n<li>Cloud Controls Matrix 4.0<\/li>\n<\/ol>\n\n\n\n<p>Zus\u00e4tzlich erforderlich sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Detaillierter Ma\u00dfnahmenplan<\/li>\n\n\n\n<li>L\u00fcckendokumentation<\/li>\n\n\n\n<li>Umsetzungsplan (max. 12 Monate)<\/li>\n\n\n\n<li>C5-Typ1-Testat binnen 18 Monaten<\/li>\n\n\n\n<li>C5-Typ2-Testat binnen 24 Monaten<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">2. Notwendigkeit der C5-Testate<\/h2>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition &#8222;aktuelles C5-Testtat&#8220;<\/span><\/div>\n<p><em>das positive Pr\u00fcfergebnis \u00fcber einen sicheren Cloud-Computing-Dienst anhand des Kriterienkatalogs C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamtes f\u00fcr Sicherheit in der Informationstechnik in der jeweils g\u00fcltigen Fassung;<\/em><\/p>\n\n\n\n<p class=\"has-text-align-right\"><a href=\"https:\/\/www.gesetze-im-internet.de\/sgb_5\/__384.html\">\u00a7 384 (6) SGB V<\/a><\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 Gesetzliche Anforderungen<\/h3>\n\n\n\n<p>Die Relevanz f\u00fcr Leistungserbringer\/Betreiber und ggf. f\u00fcr Hersteller von Medizinprodukten ergibt sich aus <a href=\"https:\/\/www.gesetze-im-internet.de\/sgb_5\/__393.html\">\u00a7 393 SGB V<\/a>. Dieser Paragraf wurde aufgrund des Digital-Gesetzes (DigiG) eingef\u00fcgt. Er schreibt die C5-Zertifizierung bzw. C5-Testate f\u00fcr Cloud-Dienste im Gesundheitswesen vor.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>(1) Leistungserbringer im Sinne des vierten Kapitels und Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter d\u00fcrfen Sozialdaten und Gesundheitsdaten auch im Wege des Cloud-Computing-Dienstes verarbeiten, sofern die Voraussetzungen der Abs\u00e4tze 2 bis 4 erf\u00fcllt sind.<\/p>\n\n\n\n<p>(3) Eine Verarbeitung nach Absatz 1 ist nur zul\u00e4ssig, wenn zus\u00e4tzlich zu den Anforderungen des Absatzes 2<br>1. dem Stand der Technik angemessene technische und organisatorische Ma\u00dfnahmen zur Gew\u00e4hrleistung der Informationssicherheit ergriffen worden sind,<br>2. ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien f\u00fcr die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt und<br>3. die im Pr\u00fcfbericht des Testats enthaltenen, korrespondierenden Kriterien f\u00fcr Kunden umgesetzt sind.<\/p>\n<\/blockquote>\n\n\n\n<p>Zudem verlangt \u00a7 393 SGB V, dass die Datenverarbeitung in der EU oder einem Staat erfolgt, f\u00fcr den ein \u201eAngemessenheitsbeschluss\u201c gem\u00e4\u00df Artikel 45 der <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/eu-datenschutzgrundverordnung-dsgvo\/\">Datenschutzgrundverordnung<\/a> vorliegt. Diese Beschr\u00e4nkung findet sich <strong>nicht<\/strong> im C5-Kriterienkatalog.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 Anforderungen an die Betreiber<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">2.2.1 \u00dcbersicht \u00fcber die Anforderungen<\/h4>\n\n\n\n<p>Laut \u00a7 393 SGB V Absatz (4) ben\u00f6tigen die Betreiber ein aktuelles C5-Testat, wenn sie Gesundheitsdaten in der Cloud verarbeiten oder verarbeiten lassen. Das w\u00e4re etwa der Fall, wenn sie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>medizinische Informationssysteme in der Cloud betreiben,<\/li>\n\n\n\n<li>medizinische Daten in der Cloud abspeichern oder<\/li>\n\n\n\n<li>eine Software as a Service (SaaS) f\u00fcr Gesundheitsdaten nutzen.<\/li>\n<\/ul>\n\n\n\n<p>Bis zum 30. Juni 2025 gen\u00fcgt ein C5-Typ1-Testat, danach bedarf es eines C5-Typ2-Testats. Alternative Testate oder Zertifikate mit vergleichbarem oder h\u00f6herem Sicherheitsniveau sind noch zul\u00e4ssig.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen: Zertifikate von Typ1 und Typ2<\/span><\/div>\n<p>C5-Typ1-Testate beziehen sich auf einen Zeitpunkt der Pr\u00fcfung und bedingen Implementierungsnachweise. C5-Typ2-Testate beziehen sich auf einen zu pr\u00fcfenden Zeitraum und bedingen zudem Wirksamkeitsnachweise.<\/p>\n<\/div>\n\n\n\n<p>Die Betreiber m\u00fcssen daher diese Zertifikate von ihren Anbietern einfordern. \u00a7 393 SGB V besteht aber nicht darauf, dass auch die Zusatzkriterien des C5-Kriterienkatalogs erf\u00fcllt sind.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Achtung<\/span><\/div>\n<ol class=\"wp-block-list\">\n<li>Bei Nutzung von Unterauftragnehmern m\u00fcssen sowohl der Hauptanbieter als auch der Cloud-Dienstleister ein C5-Testat vorweisen, oder der Hauptanbieter integriert die Pr\u00fcfung des Unterauftragnehmers in seine C5-\u00dcberpr\u00fcfung. Mehr dazu weiter unten im Abschnitt zu &#8222;Carve-in und Carve-out&#8220;.<\/li>\n\n\n\n<li>Zus\u00e4tzlich m\u00fcssen die Betreiber die Anforderungen an die technischen und organisatorischen Ma\u00dfnahmen gem\u00e4\u00df \u00a7 393 bzw. \u00a7 391 SGB V erf\u00fcllen.<\/li>\n<\/ol>\n<\/div>\n\n\n\n<h4 class=\"wp-block-heading\">2.2.2 Unklarheit \u00fcber die Anforderungen<\/h4>\n\n\n\n<p>Derzeit sind sich die Juristen nicht einig, ob ein Krankenhaus selbst ein C5-Testat ben\u00f6tigt oder ob es ausreicht, das C5-Testat des Cloud-Anbieters vorzulegen.<\/p>\n\n\n\n<p>Die Antwort auf diese Frage h\u00e4ngt auch davon ab, was als die datenverarbeitende Stelle definiert wird.<\/p>\n\n\n\n<p><strong>Argumente, dass das Krankenhaus selbst ein Testat ben\u00f6tigt<\/strong><\/p>\n\n\n\n<p>Es gibt Argumente, die daf\u00fcrsprechen, dass (auch) das Krankenhaus als datenverarbeitende Stelle gilt, denn der Absatz (1) des \u00a7 393 SGB V schreibt, dass die Leistungserbringer die Daten auch im Wege des Cloud-Computings nur verarbeiten d\u00fcrften, falls gewisse Anforderungen erf\u00fcllt sind. Zu diesen z\u00e4hlt das Testat.<\/p>\n\n\n\n<p>Auch l\u00e4sst sich argumentieren, dass der Gesetzgeber generell die Sicherheit von Gesundheitsdaten sch\u00fctzen will. Viele Krankenh\u00e4user haben besonderen Nachholbedarf, weshalb eine C5-Zertifizierung des Krankenhauses selbst sinnvoll und mit dem Gesetz beabsichtigt sei.<\/p>\n\n\n\n<p><strong>Argumente, dass das Krankenhaus selbst KEIN Testat ben\u00f6tigt<\/strong><\/p>\n\n\n\n<p>Andere argumentieren, dass der Gesetzgeber nur auf die Verarbeitung der Daten beim Cloud-Computing-Dienstleister abzielt. Das w\u00fcrde im Absatz (2) des \u00a7 393 SGB V deutlich, der \u00fcber die Orte der Datenverarbeitung spricht. Dieser Ort sei nur bei den Dienstleistern relevant, weil das Gesetz nur deutsche Krankenh\u00e4user betreffe.<\/p>\n\n\n\n<p>Auch die Begr\u00fcndung des Gesetzgebers selbst w\u00fcrde zeigen, dass das Zertifikat der Dienstleister gen\u00fcgt (<a href=\"https:\/\/www.linkedin.com\/feed\/update\/urn:li:ugcPost:7318681619672780801?commentUrn=urn%3Ali%3Acomment%3A%28ugcPost%3A7318681619672780801%2C7319396984560246784%29&amp;dashCommentUrn=urn%3Ali%3Afsd_comment%3A%287319396984560246784%2Curn%3Ali%3AugcPost%3A7318681619672780801%29\">Quelle<\/a>):<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em>\u201eIm Rahmen des \u00a7 393 SGB V k\u00f6nnen f\u00fcr Unternehmen, die cloudbasierte informationstechnische Anwendungen einsetzen wollen, initial geringf\u00fcgige Mehrkosten im unteren f\u00fcnfstelligen Bereich f\u00fcr die Durchf\u00fchrung einer C5-Testierung entstehen, sofern der konkrete Anbieter des Clouddienstes nicht bereits \u00fcber ein C5-Testat verf\u00fcgt\u201c<\/em><\/p>\n\n\n\n<p class=\"has-text-align-right\"><a href=\"https:\/\/dserver.bundestag.de\/btd\/20\/090\/2009048.pdf\">BT-Drucksache 20\/9048, Seite 78<\/a><\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 Anforderungen an Hersteller<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">2.3.1 Fallunterscheidung<\/h4>\n\n\n\n<p>Die Anforderungen an Hersteller h\u00e4ngen davon ab, welcher Fall vorliegt:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Im ersten Fall bietet ein Hersteller den Patienten eine cloudbasierte Software \u201eas a Service\u201c an. Dann werden die Hersteller ggf. selbst zu Betreibern.<\/li>\n\n\n\n<li>Im zweiten Fall bietet ein Hersteller den Leistungserbringern eine cloudbasierte Software \u201eas a Service\u201c an (s. Abb. 2).<\/li>\n\n\n\n<li>Im dritten Fall verkauft bzw. vermietet ein Hersteller den Leistungserbringern eine Software, welche die Leistungserbringer selbst in der Cloud betreiben (s. Abb. 2).<\/li>\n<\/ol>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testate.jpg\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"446\" src=\"https:\/\/cdn.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testate-1024x446.jpg\" alt=\"Bild zeigt schematisch die Interaktion der Beh\u00f6rden, Krankenh\u00e4user, Hersteller und Cloud-Dienstleister und damit die Notwendigkeit der C5-Testate\" class=\"wp-image-5381176\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testate-1024x446.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testate-300x131.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testate-768x335.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testate.jpg 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 2: Vertr\u00e4ge m\u00fcssen regeln, welche der o. g. Konstellationen vorliegt (Fall 2 oder Fall 3). Daraus ergibt sich die Pflicht nach C5-Testaten. (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipp: Klare vertragliche Regelungen<\/span><\/div>\n<p>Ausschlie\u00dflich aus dem Ort, an dem die Software entwickelt, betrieben und genutzt wird, kann man nicht schlussfolgern, welcher der drei F\u00e4lle vorliegt. Daher sollten die Hersteller mit ihren Kunden die jeweiligen Rollen vertraglich klar regeln.<\/p>\n<\/div>\n\n\n\n<h4 class=\"wp-block-heading\">2.3.2 Fall 1: Hersteller ist auch Leistungserbringer<\/h4>\n\n\n\n<p>Ein Hersteller von Medizinprodukten oder IVD, der Cloud-Computing-Dienste f\u00fcr Patienten nutzt, ist <strong>direkt betroffen<\/strong>: Er z\u00e4hlt als Leistungserbringer, muss den Anforderungen des \u00a7 393 SGB V gen\u00fcgen und daher ein C5-Testat oder ggf. mehrere C5-Testate vorweisen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-medium\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat-Hersteller.jpg\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"253\" src=\"https:\/\/cdn.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat-Hersteller-300x253.jpg\" alt=\"Abbildung zeigt schematisch, die Beziehungen eines Herstellers mit dem Cloud-Anbieter, den Patienten und Beh\u00f6rden. Sie m\u00fcssen ein C5-Testat vorweisen\" class=\"wp-image-5381206\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat-Hersteller-300x253.jpg 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat-Hersteller-1024x862.jpg 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat-Hersteller-768x646.jpg 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat-Hersteller.jpg 1200w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 3: Hersteller k\u00f6nnen gleichzeitig Leistungserbringer sein und ben\u00f6tigen dann ein C5-Testat (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition &#8222;Cloud-Computing-Dienst&#8220;<\/span><\/div>\n<p><em>digitaler Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen erm\u00f6glicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;<\/em><\/p>\n\n\n\n<p class=\"has-text-align-right\"><a href=\"https:\/\/www.gesetze-im-internet.de\/sgb_5\/__384.html\">\u00a7 384 (5) SGB V<\/a><\/p>\n<\/div>\n\n\n\n<p>Als Leistungserbringer z\u00e4hlen im deutschen Gesundheitssystem all diejenigen Personengruppen, die Leistungen f\u00fcr die Versicherten der Krankenkassen erbringen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Beispiel<\/span><\/div>\n<p>Ein DiGA-Hersteller nutzt f\u00fcr seine <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/mobile-medical-apps\/\">Mobile App<\/a> einen Hyperscaler. Der Betrieb eines eigenen Servers w\u00fcrde nicht als Cloud-Computing-Dienst z\u00e4hlen.<\/p>\n<\/div>\n\n\n\n<p>Falls ein Hersteller f\u00fcr sein Angebot einen Cloud-Dienstleister unterbeauftragt, muss er entweder dessen Testat vorlegen oder seinen Unterauftragnehmer (Cloud-Dienstleister) in die eigene Pr\u00fcfung und Testierung einbeziehen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">2.3.3 Fall 2: Hersteller bietet Leistungserbringern seine Produkte als SaaS an<\/h4>\n\n\n\n<p>Wenn ein Hersteller seine Software as a Service anbietet, betrifft ihn der \u00a7 393 SGB V zumindest <strong>indirekt<\/strong>. Denn viele seiner Kunden, die Leistungserbringer, werden ein C5-Testat von ihm verlangen. Damit werden f\u00fcr den Hersteller beispielsweise zur Pflicht:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Suche nach Schwachstellen durch statische und dynamische Code-Analysen, Code-Reviews und Penetrations-Tests durch qualifizierte externe Dritte (Letzteres ist ein Zusatzkriterium.)<\/li>\n\n\n\n<li>Aktive Suche nach Schwachstellen auch in verwendeten Bibliotheken und Information der Kunden \u00fcber Schwachstellen<\/li>\n\n\n\n<li>Vorgaben f\u00fcr die Kunden zum gesetzeskonformen Betrieb wie der sicheren Konfiguration<\/li>\n\n\n\n<li>Implementierung von Audit-Logs \/ Protokollen<\/li>\n\n\n\n<li>Implementierung von geeigneten Authentifizierungs- und Autorisierungsmechanismen<\/li>\n<\/ul>\n\n\n\n<p>Falls der Hersteller f\u00fcr sein SaaS-Angebot einen Cloud-Dienst nutzt, so z\u00e4hlt der Cloud-Dienste-Anbieter als Unterauftragnehmer des Herstellers. Dann ist der Hersteller <strong>direkt<\/strong> betroffen und muss ein C5-Testat vorlegen, ggf. auch das seines Cloud-Dienste-Anbieters. Denn \u00a7 393 SGB V urteilt nur, ob Gesundheitsdaten mit einem Cloud-Computing-Dienst verarbeitet werden \u2013 unabh\u00e4ngig von den Vertragsverh\u00e4ltnissen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 576 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><path d=\"M569.5,440c18.5,32-4.7,72-41.6,72H48.1c-36.9,0-60-40.1-41.6-72L246.4,24c18.5-32,64.7-32,83.2,0L569.5,440 L569.5,440z M288,354c-25.4,0-46,20.6-46,46s20.6,46,46,46s46-20.6,46-46S313.4,354,288,354z M244.3,188.7l7.4,136 c0.3,6.4,5.6,11.3,12,11.3h48.5c6.4,0,11.6-5,12-11.3l7.4-136c0.4-6.9-5.1-12.7-12-12.7h-63.4C249.4,176,244,181.8,244.3,188.7 L244.3,188.7z\"><\/path><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Achtung<\/span><\/div>\n<p>Der C5-Kriterienkatalog unterscheidet nicht zwischen den Software-Entwicklungsaktivit\u00e4ten der Cloud-Anbieter und den Software-Entwicklungsaktivit\u00e4ten der Hersteller, deren Software in der Cloud betrieben wird.<\/p>\n<\/div>\n\n\n\n<h4 class=\"wp-block-heading\">2.3.4 Fall 3: Hersteller ist nicht Betreiber \/ Leistungserbringer<\/h4>\n\n\n\n<p>Ein Hersteller kann auch <strong>indirekt<\/strong> betroffen sein, wenn er Produkte verkauft, welche seine Kunden, die Leistungserbringer, in der Cloud eines Dritten betreiben (lassen).<\/p>\n\n\n\n<p>Dann m\u00fcssen sie ihre Produkte so entwickeln und gestalten, dass ihre Kunden die notwendigen Nachweise erbringen k\u00f6nnen. Daher \u00e4hneln die Anforderungen denen von Fall 2, auch wenn der Hersteller diese Anforderungen nicht selbst erf\u00fcllen muss.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">2.3.5 Weitere Anforderungen<\/h4>\n\n\n\n<p>MDR und IVDR fordern die <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/\">IT-Sicherheit<\/a> nach Stand der Technik. Damit wird der C5-Kriterienkatalog BSI quasi verbindlich.<\/p>\n\n\n\n<p>Zudem sollten Hersteller die zuk\u00fcnftig harmonisierte Norm <a href=\"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/iec-81001-5-1\/\">IEC 81001-5-1<\/a> beachten und erf\u00fcllen.<\/p>\n\n\n\n<p>F\u00fcr Hersteller, die ihre Produkte in den USA vermarkten wollen, gelten die Anforderungen der FDA an die <a href=\"https:\/\/www.johner-institut.de\/blog\/tag\/it-security\/\">IT Security<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Praktische Umsetzung<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 Carve-in versus Carve-out<\/h3>\n\n\n\n<p>Falls ein datenverarbeitendes Unternehmen, das ein C5-Testat ben\u00f6tigt, ein weiteres Unternehmen mit der Datenverarbeitung unterbeauftragt, hat es zwei Ans\u00e4tze:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Carve-in-Methode<\/strong>: Das Unternehmen \u00fcberpr\u00fcft alle Sicherheitsma\u00dfnahmen bei sich und dem Unterauftragnehmer. Das bedeutet einen h\u00f6heren Aufwand, aber auch vollst\u00e4ndige Kontrolle.<\/li>\n\n\n\n<li><strong>Carve-out-Methode<\/strong>: Das Unternehmen verweist auf die C5-Testate der Unterauftragnehmer. Die Folgen sind ein geringerer Aufwand, aber auch eine h\u00f6here Abh\u00e4ngigkeit.<\/li>\n<\/ul>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Der <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Broschueren\/C5_2020.pdf?__blob=publicationFile&amp;v=3\">C5-Kriterienkatalog<\/a> beschreibt die beiden Varianten genauer.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 Herausforderungen und Kosten<\/h3>\n\n\n\n<p>Zu den typischen Hauptherausforderungen z\u00e4hlen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Komplexe Koordination bei mehreren Cloud-Dienstleistern und Integration internationaler Dienstleister. Letzteres ist gerade in den USA mit Unsicherheiten behaftet.<\/li>\n\n\n\n<li>Anforderungen, die \u00fcber die ISO 27001 hinausgehen, und Vielfalt der Zertifikate und Testate (z. B. BSI Grundschutz, ISO 27001, SOC2, Trusted Cloud)<\/li>\n\n\n\n<li>Hohe Aufw\u00e4nde f\u00fcr Dokumentation und kontinuierliche \u00dcberwachung<\/li>\n\n\n\n<li>Verf\u00fcgbarkeit von Wirtschaftspr\u00fcfern, welche die Zertifikate\/Testate ausstellen k\u00f6nnen<\/li>\n\n\n\n<li>Rechtliche Unklarheiten und Beh\u00f6rden bzw. Betreiber, die im Zweifel zu viele als zu wenige C5-Testate einfordern<\/li>\n<\/ul>\n\n\n\n<p>Meist gilt es bei den Betreibern mehrere Abteilungen zu koordinieren: Einkauf, IT (z. B. CISO) und Rechtsabteilung.<\/p>\n\n\n\n<p>Auch die Kosten stellen Herausforderungen dar. Diese entstehen durch:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Externe Beratung<\/li>\n\n\n\n<li>Pr\u00fcfung, Zertifizierung, Testierung<\/li>\n\n\n\n<li>Interne Ressourcen<\/li>\n\n\n\n<li>Fortlaufende \u00dcberwachung<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">4. Fazit und Zusammenfassung<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">4.1 Auswirkungen auf die Leistungserbringer<\/h3>\n\n\n\n<p>Die Leistungserbringer m\u00fcssen die Anforderungen des \u00a7 393 SGB V erf\u00fcllen. Daher m\u00fcssen sie ein C5-Testat ihres Cloud-Dienstleisters vorlegen. Auch Hersteller von Medizinprodukten k\u00f6nnen als Cloud-Dienstleister z\u00e4hlen.<\/p>\n\n\n\n<p>Zus\u00e4tzlich m\u00fcssen die Leistungserbringer die territorialen Beschr\u00e4nkungen bei der Auswahl ihres Cloud-Dienstleisters beachten.<\/p>\n\n\n\n<p>Ob die Leistungserbringer (Krankenh\u00e4user) selbst ein eigenes Testat ben\u00f6tigen, ist derzeit noch strittig (s. Abschnitt 2.2.2). Daher sollten sie die Diskussion dar\u00fcber aufmerksam verfolgen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipp<\/span><\/div>\n<p>Im <a href=\"https:\/\/www.johner-institut.de\/gratis-angebote\/instituts-journal\/\">kostenlosen Instituts-Journal<\/a> informiert das Johner Institut w\u00f6chentlich \u00fcber regulatorische \u00c4nderungen, die neben Herstellern auch die Betreiber betreffen.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">4.2 Auswirkungen auf die Hersteller von Medizinprodukten und IVD<\/h3>\n\n\n\n<p>Hersteller m\u00fcssen f\u00fcr absolute Klarheit dar\u00fcber sorgen, in welcher Rolle sie den Betreibern ihre Produkte und Dienstleistungen anbieten. In jedem Fall m\u00fcssen sie auf Forderungen ihrer Kunden nach einem C5-Testat vorbereitet sein. Unabh\u00e4ngig davon, ob diese Forderungen berechtigt sind.<\/p>\n\n\n\n<p>F\u00fcr Hersteller mit Cloud-Diensten ist die C5-Zertifizierung unverzichtbar geworden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">4.3 Auswirkungen auf das Gesundheitssystem<\/h3>\n\n\n\n<p>Die Sicherheit von Gesundheitsdaten ist wichtig. Die Versorgung von Patientinnen und Patienten mit Medizinprodukten und IVD ist es auch.<\/p>\n\n\n\n<p>Die zus\u00e4tzlichen Anforderungen drohen, insbesondere kleinere und mittlere Hersteller und Betreiber zu \u00fcberfordern und Ressourcen zu binden, welche f\u00fcr die Herstellung von Produkten und f\u00fcr die Patientenversorgung wichtig w\u00e4ren.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><em>Der enorme finanzielle und organisatorische Aufwand zur Erlangung eines C5-Testats, insbesondere f\u00fcr kleinere Unternehmen und Startups, steht in keinem Verh\u00e4ltnis zum Nutzen.<\/em><\/p>\n\n\n\n<p class=\"has-text-align-right\">Quelle: <a href=\"https:\/\/www.bitkom.org\/sites\/main\/files\/2025-01\/20252401-bitkom-stellungnahme-c5-aequivalenzverordnung.pdf\">Bitkom<\/a><\/p>\n<\/blockquote>\n\n\n\n<p>W\u00e4re eine Zertifizierung nach ISO 27001 nicht ausreichend gewesen?<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen: Verh\u00e4ltnis von ISO 27001 und C5<\/span><\/div>\n<p><em>\u201eEine Sichtung des C5-Kriterienkatalogs in Verbindung mit den vom BSI erstellten Kreuzreferenztabellen zeigt, dass das BSI nur an wenigen Stellen ein vergleichbares oder h\u00f6heres Sicherheitsniveau der referenzierten internationalen Standards feststellt. Auch finden sich viele Kriterien aus dem C5 nicht in den referenzierten internationalen Standards wieder.<\/em><\/p>\n\n\n\n<p><em>Folglich bedeutet eine Umsetzung der C5-Kriterien f\u00fcr einen Cloud-Anbieter in der Tat einen gr\u00f6\u00dferen Mehraufwand als die reine Umsetzung z.\u00a0B. eines ISMS nach ISO\/IEC 27001.&#8220;<\/em><\/p>\n\n\n\n<p class=\"has-text-align-right\"><a href=\"https:\/\/www.datenschutz-notizen.de\/verarbeitung-von-sozial-und-gesundheitsdaten-in-der-cloud-mehraufwand-durch-c5-testat-4050799\/\">Quelle<\/a><\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">4.4 Auswirkungen auf das politische System<\/h3>\n\n\n\n<p>Die Tatsache, dass den Wirtschaftspr\u00fcfern eine prominente Rolle zugebilligt wird, kann zum Verdacht f\u00fchren, dass deren Interessenvertreter an der Gesetzgebung mitgewirkt haben. Bereits der Verdacht schadet dem Vertrauen in das politische System und die Sinnhaftigkeit der gesetzlichen Anforderungen.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Eine <a href=\"https:\/\/www.golem.de\/news\/aequivalenzverordnung-zum-bsi-c5-testat-das-chaos-geht-weiter-2502-193344.html\">scharfe Kritik am C5-Kriterienkatalog findet sich bei Golem<\/a>.<\/p>\n\n\n\n<p>Die <a href=\"https:\/\/www.bitkom.org\/sites\/main\/files\/2025-01\/20252401-bitkom-stellungnahme-c5-aequivalenzverordnung.pdf\">zielf\u00fchrenden Vorschl\u00e4ge des Bitkom<\/a> zur C5-\u00c4quivalenzverordnung hat der Gesetzgeber <strong>nicht<\/strong> aufgegriffen.<\/p>\n<\/div>\n\n\n\n<p><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 50 50\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><rect width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"13.24\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"26.49\" width=\"10.16\" height=\"10.27\"><\/rect><rect x=\"13.15\" y=\"39.73\" width=\"10.16\" height=\"10.27\"><\/rect><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Unterst\u00fctzung durch das Johner Institut<\/span><\/div>\n<p>Das Johner Institut unterst\u00fctzt Hersteller bei der gesetzeskonformen Entwicklung und \u00dcberwachung ihrer Medizinprodukte und IVD:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.johner-institut.de\/technische-dokumentation\/it-sicherheit\/\">Pr\u00fcfung<\/a>, dass die Produktanforderungen alle regulatorischen Anforderungen an die IT-Sicherheit umfassen<\/li>\n\n\n\n<li>IT-Sicherheits-Risikoanalysen und Threat-Modeling<\/li>\n\n\n\n<li><a href=\"https:\/\/www.johner-institut.de\/produktpruefung\/it-security-pentesting\/\">Penetration-Testing<\/a><\/li>\n\n\n\n<li>Pr\u00fcfen, Verbessern und Erstellen der f\u00fcr die IT-Sicherheit notwendigen Verfahrens- und Arbeitsanweisungen und Aufbau von <a href=\"https:\/\/www.johner-institut.de\/technische-dokumentation\/it-sicherheit\/\">IT-Sicherheitsmanagementsystemen<\/a><\/li>\n<\/ul>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Die C5-Testate sind f\u00fcr Leistungserbringer und ggf. f\u00fcr Medizinproduktehersteller relevant. Denn das Anfang 2024 in Kraft getretene Digital-Gesetz (DigiG) definiert die Anforderungen an Cloud-Dienste im Gesundheitswesen neu. Dieser Artikel erkl\u00e4rt die wichtigsten Aspekte der C5-Zertifizierung bzw. C5-Testate f\u00fcr Medizinproduktehersteller und Leistungserbringer wie etwa Krankenh\u00e4user.<\/p>\n","protected":false},"author":74,"featured_media":5381177,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[5,1108,184],"tags":[1126,1107,269,680],"ppma_author":[1213],"class_list":["post-5381174","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gesundheitswesen","category-regulatory-affairs","category-iec-62304-medizinische-software","tag-it-security","tag-krankenhaus","tag-medizinische-software","tag-standalone-software","category-5","category-1108","category-184","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>C5-Testate auch f\u00fcr Medizinproduktehersteller?<\/title>\n<meta name=\"description\" content=\"Die gesetzliche Forderung nach C5-Testaten betrifft nicht nur die Leistungserbringer, sondern auch einige Medizinproduktehersteller.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"C5-Testate auch f\u00fcr Medizinproduktehersteller?\" \/>\n<meta property=\"og:description\" content=\"Die gesetzliche Forderung nach C5-Testaten betrifft nicht nur die Leistungserbringer, sondern auch einige Medizinproduktehersteller.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2025-04-29T06:27:00+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png\" \/>\n\t<meta property=\"og:image:width\" content=\"582\" \/>\n\t<meta property=\"og:image:height\" content=\"582\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Christian Rosenzweig\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Christian Rosenzweig\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"12\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/\"},\"author\":{\"name\":\"Christian Rosenzweig\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\"},\"headline\":\"C5-Testate auch f\u00fcr Medizinproduktehersteller?\",\"datePublished\":\"2025-04-29T06:27:00+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/\"},\"wordCount\":2322,\"commentCount\":2,\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2025\\\/04\\\/C5-Testat.png\",\"keywords\":[\"IT Security\",\"Krankenh\u00e4user - Labore - Praxen und andere Betreiber\",\"Medizinische Software \\\/ Medical Device Software\",\"Standalone-Software\"],\"articleSection\":[\"Gesundheitswesen &amp; Health IT\",\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"Software &amp; IEC 62304\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/\",\"name\":\"C5-Testate auch f\u00fcr Medizinproduktehersteller?\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2025\\\/04\\\/C5-Testat.png\",\"datePublished\":\"2025-04-29T06:27:00+00:00\",\"description\":\"Die gesetzliche Forderung nach C5-Testaten betrifft nicht nur die Leistungserbringer, sondern auch einige Medizinproduktehersteller.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2025\\\/04\\\/C5-Testat.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2025\\\/04\\\/C5-Testat.png\",\"width\":582,\"height\":582},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/regulatory-affairs\\\/c5-testate-c5-zertifizierung\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"item\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/category\\\/regulatory-affairs\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"C5-Testate auch f\u00fcr Medizinproduktehersteller?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2015\\\/07\\\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/JohnerInstitut\\\/\",\"https:\\\/\\\/x.com\\\/christianjohner\",\"https:\\\/\\\/www.youtube.com\\\/user\\\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/#\\\/schema\\\/person\\\/a1bfe9a403a4dd4f8aed197335feb568\",\"name\":\"Christian Rosenzweig\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c\",\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"contentUrl\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/wp-content\\\/uploads\\\/2024\\\/05\\\/Christian_Rosenzweig_300x300.png\",\"caption\":\"Christian Rosenzweig\"},\"description\":\"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/christian-rosenzweig-150810134\\\/\"],\"url\":\"https:\\\/\\\/www.johner-institut.de\\\/blog\\\/author\\\/christianrosenzweig\\\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"C5-Testate auch f\u00fcr Medizinproduktehersteller?","description":"Die gesetzliche Forderung nach C5-Testaten betrifft nicht nur die Leistungserbringer, sondern auch einige Medizinproduktehersteller.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/","og_locale":"de_DE","og_type":"article","og_title":"C5-Testate auch f\u00fcr Medizinproduktehersteller?","og_description":"Die gesetzliche Forderung nach C5-Testaten betrifft nicht nur die Leistungserbringer, sondern auch einige Medizinproduktehersteller.","og_url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2025-04-29T06:27:00+00:00","og_image":[{"width":582,"height":582,"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png","type":"image\/png"}],"author":"Christian Rosenzweig","twitter_misc":{"Verfasst von":"Christian Rosenzweig","Gesch\u00e4tzte Lesezeit":"12\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/"},"author":{"name":"Christian Rosenzweig","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568"},"headline":"C5-Testate auch f\u00fcr Medizinproduktehersteller?","datePublished":"2025-04-29T06:27:00+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/"},"wordCount":2322,"commentCount":2,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png","keywords":["IT Security","Krankenh\u00e4user - Labore - Praxen und andere Betreiber","Medizinische Software \/ Medical Device Software","Standalone-Software"],"articleSection":["Gesundheitswesen &amp; Health IT","Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","Software &amp; IEC 62304"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/","url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/","name":"C5-Testate auch f\u00fcr Medizinproduktehersteller?","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png","datePublished":"2025-04-29T06:27:00+00:00","description":"Die gesetzliche Forderung nach C5-Testaten betrifft nicht nur die Leistungserbringer, sondern auch einige Medizinproduktehersteller.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png","width":582,"height":582},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/c5-testate-c5-zertifizierung\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","item":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},{"@type":"ListItem","position":3,"name":"C5-Testate auch f\u00fcr Medizinproduktehersteller?"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/a1bfe9a403a4dd4f8aed197335feb568","name":"Christian Rosenzweig","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png608f3c25642fdf010fd6a50508840c4c","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","caption":"Christian Rosenzweig"},"description":"Christian Rosenzweig ist seit mehr als 20 Jahren im regulierten Medizinprodukteumfeld t\u00e4tig und ein absoluter Enthusiast in diesem Bereich. Er ist Mitglied des Normengremiums f\u00fcr Software und vernetzte Medizinprodukte, Experte f\u00fcr aktive Medizinprodukte, Risikomanagement und IT-Security, Leiter des Bereichs Risikomanagement und IT-Security am Johner Institut, Dozent f\u00fcr diese Themenbereiche bei Seminaren des Johner Instituts, sowie in dessen Studieng\u00e4nge. Operative Beratungsarbeit in Kundenprojekten gibt ihm die M\u00f6glichkeit, den Transfer zwischen Theorie und Praxis im Alltag anzuwenden.","sameAs":["https:\/\/www.linkedin.com\/in\/christian-rosenzweig-150810134\/"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christianrosenzweig\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/04\/C5-Testat.png","jetpack-related-posts":[{"id":3788769,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/iso-27001\/","url_meta":{"origin":5381174,"position":0},"title":"ISO 27001: Informationssicherheitsmanagement f\u00fcr alle Medizinproduktehersteller?","author":"Katrin Schnetter","date":"23. Mai 2024","format":false,"excerpt":"Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei Medizinprodukteherstellern immer h\u00e4ufiger zum Thema. Die Regularien geben dazu Anlass. Dazu z\u00e4hlt u. a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller ger\u00fcckt hat. Hersteller m\u00fcssen die regulatorischen Anforderungen erf\u00fcllen, um \u00c4rger mit Beh\u00f6rden und Benannten Stellen\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Prozess-ISO-27001_Abb4_Update.jpg?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":5381548,"url":"https:\/\/www.johner-institut.de\/blog\/qualitaetsmanagement-iso-13485\/qm-zertifizierung-medizinprodukte\/","url_meta":{"origin":5381174,"position":1},"title":"QM-Zertifizierung f\u00fcr Medizinproduktehersteller","author":"Ulrich Hafen","date":"1. Juli 2025","format":false,"excerpt":"Unter QM-Zertifizierung bezeichnet man die Zertifizierung eines Qualit\u00e4tsmanagementsystems (QM-System oder QMS) durch eine Zertifizierstelle. Die Zertifizierung best\u00e4tigt dem zertifizierten Unternehmen, dass sein QM-System einem Standard gen\u00fcgt, typischerweise einer Norm (z. B. ISO\u00a09001, ISO\u00a013485) oder einem Gesetz (z. B. MDR, IVDR). Weiterf\u00fchrende Informationen Die Kategorieseite \u201eQualit\u00e4tsmanagement & ISO 13485\u201c verschafft einen\u2026","rel":"","context":"In &quot;Qualit\u00e4tsmanagement &amp; ISO 13485&quot;","block_context":{"text":"Qualit\u00e4tsmanagement &amp; ISO 13485","link":"https:\/\/www.johner-institut.de\/blog\/category\/qualitaetsmanagement-iso-13485\/"},"img":{"alt_text":"","src":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/06\/qm-zertifizierung-prozess-1.svg","width":350,"height":200,"srcset":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/06\/qm-zertifizierung-prozess-1.svg 1x, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/06\/qm-zertifizierung-prozess-1.svg 1.5x, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/06\/qm-zertifizierung-prozess-1.svg 2x, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/06\/qm-zertifizierung-prozess-1.svg 3x, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/06\/qm-zertifizierung-prozess-1.svg 4x"},"classes":[]},{"id":3577833,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/","url_meta":{"origin":5381174,"position":2},"title":"Wie Sie die Anforderungen an die Datensicherheit und den Datenschutz f\u00fcr DiGA erf\u00fcllen","author":"Claudia Schmitt","date":"13. M\u00e4rz 2023","format":false,"excerpt":"Die Anforderungen an die Datensicherheit und den Datenschutz von DiGA (Digitalen Gesundheitsanwendungen) gehen weit \u00fcber den Fragenkatalog der DiGAV hinaus. Unz\u00e4hlige weitere Vorschriften machen es den Herstellern (nicht nur) digitaler Gesundheitsanwendungen immer schwerer, den \u00dcberblick im regulatorischen Dschungel zu bewahren. Dabei sollten Hersteller m\u00f6glichst keine Anforderungen \u00fcbersehen. Andernfalls drohen Probleme\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/06\/BSI-basis-standard-kernabsicherung.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":4793202,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/","url_meta":{"origin":5381174,"position":3},"title":"HIPAA in a nutshell","author":"Prof. Dr. Christian Johner","date":"20. Februar 2023","format":false,"excerpt":"Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz, das Anforderungen an den Umgang mit gesch\u00fctzten Gesundheitsdaten stellt. Institutionen, die in den USA diese Daten erheben oder verarbeiten, sowie deren Unterauftraggeber m\u00fcssen den HIPAA befolgen, um Sanktionen zu vermeiden. Besonders f\u00fcr europ\u00e4ische Firmen ist der HIPAA ein\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png?resize=350%2C200&ssl=1","width":350,"height":200},"classes":[]},{"id":5366926,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/medizinprodukte-tuerkei\/","url_meta":{"origin":5381174,"position":4},"title":"Medizinprodukte in der T\u00fcrkei: Regulatorische Anforderungen","author":"Katharina Keutgen","date":"15. November 2022","format":false,"excerpt":"Die\u00a0T\u00fcrkei\u00a0ist kein Mitgliedstaat der EU, hat aber ihre regulatorischen Anforderungen an Medizinproduktehersteller\u00a0den EU-Anforderungen angeglichen.\u00a0 Dieser Artikel beschreibt,\u00a0 welche\u00a0Vereinfachungen\u00a0sich dadurch f\u00fcr EU-Hersteller ergeben, die ihre Produkte in der T\u00fcrkei vermarkten wollen, und\u00a0 welche\u00a0zus\u00e4tzlichen Anforderungen\u00a0sie beachten m\u00fcssen. 1. Die T\u00fcrkei, ein interessanter Markt Durch die gro\u00dfe Bev\u00f6lkerungszahl, die noch \u00fcber der Deutschlands\u2026","rel":"","context":"In &quot;Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte&quot;","block_context":{"text":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","link":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/11\/medizinprodukte-regulierung-in-der-tuerkei-scaled.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/11\/medizinprodukte-regulierung-in-der-tuerkei-scaled.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/11\/medizinprodukte-regulierung-in-der-tuerkei-scaled.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/11\/medizinprodukte-regulierung-in-der-tuerkei-scaled.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/11\/medizinprodukte-regulierung-in-der-tuerkei-scaled.jpg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/11\/medizinprodukte-regulierung-in-der-tuerkei-scaled.jpg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":4179626,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/dvpmg\/","url_meta":{"origin":5381174,"position":5},"title":"DVPMG \u2013 Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz","author":"Claudia Schmitt","date":"27. Januar 2023","format":false,"excerpt":"Seit dem 09. Juni 2021 gilt das Gesetz zur digitalen Modernisierung von Versorgung und Pflege. Es tr\u00e4gt auch den Titel \u201eDigitale-Versorgung-und-Pflege-Modernisierungs-Gesetz\u201c, kurz DVPMG. Dieses Gesetz \u00e4ndert zahlreiche andere Gesetze und Verordnungen, z. B. das SGB V und die DiGAV. Dabei geht das DVPMG weit \u00fcber die Einf\u00fchrung von digitalen Pflegeanwendungen\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=1400%2C800&ssl=1 4x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/pavawf-mzT8","jetpack_sharing_enabled":true,"authors":[{"term_id":1213,"user_id":74,"is_guest":0,"slug":"christianrosenzweig","display_name":"Christian Rosenzweig","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/05\/Christian_Rosenzweig_300x300.png"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5381174","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/74"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=5381174"}],"version-history":[{"count":25,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5381174\/revisions"}],"predecessor-version":[{"id":5381279,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/5381174\/revisions\/5381279"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media\/5381177"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=5381174"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=5381174"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=5381174"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=5381174"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}