Manche Anbieter präsentieren ihre Cloud-Zertifikate wie Gütesiegel. Doch was steckt wirklich dahinter – und wann ist ein Zertifikat schlicht unnötig?
C5 schützt Sie vor fremder Infrastruktur – nicht vor fremder Infrastruktur selbst
Das BSI C5-Testat ist kein Qualitätsmerkmal für sich. Es ist eine Compliance-Anforderung für Cloud-Dienste – also für Software, die Daten auf Servern Dritter verarbeitet. Das steht so auch in § 393 SGB V: Wer als Leistungserbringer Gesundheitsdaten über einen Cloud-Dienst verarbeitet, muss sicherstellen, dass dieser Dienst ein gültiges C5 Typ 2-Testat vorweist.
Das Schlüsselwort ist Cloud-Dienst. Und genau hier unterscheidet sich neoscript grundlegend von anderen Anbietern: Bei neoscript läuft die Verarbeitung Ihrer Patientendaten nicht in der Cloud eines Drittanbieters.
Die Hardware gehört uns. Die Software gehört. Ihre Daten verlassen nie eine Infrastruktur, über die wir keine vollständige Kontrolle haben.
Das C5-Zertifikat wäre für uns das, was ein Rauchmelder für ein Haus ohne Strom ist: für den vorliegenden Fall schlicht nicht relevant.
Was viele Anbieter Ihnen nicht sagen
Ein C5-Testat klingt nach maximaler Sicherheit. Doch es gibt eine Lücke, über die in der Branche wenig gesprochen wird: Das Testat bezieht sich auf den zertifizierten Anbieter – nicht zwingend auf alle Infrastrukturschichten, die er nutzt.
Viele Software-Anbieter im Gesundheitsbereich betreiben ihre Dienste auf Infrastruktur von Microsoft Azure, Amazon AWS oder Google Cloud. Sprachaufnahmen aus Ihrer Therapiesitzung werden dort verarbeitet – auch wenn sie anschließend gelöscht werden. Auch temporäre Verarbeitung ist Verarbeitung. Die Daten fließen durch Systeme, auf die der Softwareanbieter selbst keinen vollständigen Einblick hat.
Das ist rechtlich compliant – wenn das C5-Testat vorliegt. Aber es ist keine echte Datenhoheit. Es ist rechtliche Verbindlichkeit ohne faktische Kontrolle.
Für Psychotherapeut:innen ist das kein akademisches Problem. Therapiegespräche gehören zu den sensibelsten Daten, die es gibt. Die Frage „Wer hat technisch Zugriff auf diese Aufnahme?“ ist nicht mit einem Zertifikat beantwortet (siehe US Cloud-Act)
Echte Datensouveränität: Was das bedeutet
Bei neoscript – ob als Software-Lösung oder als neobox für Ihre Praxis – gilt ein einfaches Prinzip: Die Hardware gehört uns, nicht einem Hyperscaler. Das bedeutet:
- Sprachaufnahmen werden lokal verarbeitet – nicht auf Azure, AWS oder Google-Servern
- Kein Drittanbieter hat technischen Zugang zu Ihren Patientendaten
- Keine Abhängigkeit von den Datenschutzpraktiken amerikanischer Cloud-Konzerne
- Volle Transparenz, welche Infrastruktur genutzt wird – weil es unsere ist
Das ist der Unterschied zwischen einem Zertifikat, das bescheinigt, dass ein Dritter vertrauenswürdig mit Ihren Daten umgeht – und einer Architektur, in der eine solche Vereinbarung gar nicht erst nötig ist.
Fragen, die Sie jedem Anbieter stellen sollten
Ob C5-zertifiziert oder nicht: Stellen Sie die richtigen Fragen, bevor Sie eine KI-Lösung in Ihrer Praxis einsetzen:
1. Auf welcher Infrastruktur werden Sprachaufnahmen verarbeitet? Konkret: Werden Audiodateien oder Transkriptionen an Microsoft, Amazon, Google oder andere Dritte übertragen – auch temporär?
2. Wer hat technischen Zugang zu den Servern, auf denen meine Daten liegen? Ein Zertifikat beschreibt Sicherheitsprozesse. Es beschreibt nicht, wer technisch Zugang haben könnte.
3. Werden Daten für Modelltraining verwendet? Auch wenn eine Lösung „DSGVO-konform“ ist, können Nutzungsbedingungen eine Verwendung von Daten zu Trainingszwecken erlauben.
4. Wo stehen die Server physisch? Rechenzentren in der EU und unter deutschem Recht sind nicht dasselbe wie ein US-Unternehmen mit EU-Servern.
Fazit
Das BSI C5-Zertifikat ist ein sinnvolles Instrument – für Cloud-Dienste, die auf fremder Infrastruktur laufen. Es schafft Transparenz und Verbindlichkeit dort, wo Daten die eigene Kontrolle verlassen.
Aber es schafft keine echte Datenhoheit. Es dokumentiert, dass ein Dritter sorgfältig mit Ihren Daten umgeht. Es garantiert nicht, dass kein Dritter Ihre Daten verarbeitet.
neoscript und neobox brauchen kein C5-Zertifikat – weil sie keine Infrastruktur Dritter nutzen. Ihre Sprachaufnahmen werden nie bei Azure oder AWS verarbeitet. Punkt.
Wenn Sie als Psychotherapeut:in echte Datenhoheit wollen und nicht nur rechtliche Absicherung, dann ist der entscheidende Unterschied nicht das Zertifikat. Es ist die Frage, wem die Hardware gehört.
Haben Sie Fragen zu unserer Infrastruktur oder möchten neoscript in Ihrer Praxis testen? Sprechen Sie uns an.
