Datenschutz und Sicherheit

Wir schützen Patient:innendaten mit klaren technischen und organisatorischen Maßnahmen, transparenten Prozessen und nachvollziehbarer Dokumentation.

Computerbildschirm zeigt die Dokumentation in der Software Elefant®, während eine Person auf einer Tastatur tippt.
Was unsere Sicherheitsarchitektur prägt

Unsere Werte

HASOMED begleitet Praxen seit über 30 Jahren – mit Software, die auf Vertrauen basiert. Diese Seite zeigt, wie wir unsere Sicherheitsarchitektur denken und umsetzen – und welche Prinzipien uns dabei leiten:

Sicherheit ist integraler Bestandteil jeder Funktion

Datenschutz, Verfügbarkeit und Informationssicherheit fließen in alle Design- und Entwicklungsprozesse ein – von Anfang an.

Cloud braucht Vertrauen – und verdient Transparenz

Wir zeigen offen, wie unsere Systeme funktionieren, und legen die wichtigsten Richtlinien und Verträge öffentlich zugänglich ab.

Psychotherapie braucht besondere Sorgfalt

Wir zeigen offen, wie unsere Systeme funktionieren, und legen die wichtigsten Richtlinien und Verträge öffentlich zugänglich ab.

Unser Security Whitepaper

Unser Security Whitepaper fasst die zentralen Informationen zu Infrastruktur, Verschlüsselung und Verantwortlichkeiten kompakt für Sie zusammen.

Unsere Schutzmaßnahmen

Wie wir Ihre Daten schützen

Unsere Sicherheitsmaßnahmen folgen einem klaren Prinzip: sensible Praxisdaten durch technische und organisatorische Schutzmaßnahmen wirksam abzusichern. Dabei unterscheiden wir zwischen lokal installierten Komponenten in der Praxis und zentral betriebenen Cloud-Diensten. Beide Bereiche sind Teil einer gemeinsamen Sicherheitsarchitektur mit klar geregelten Verantwortlichkeiten.

ISO 27001-zertifiziertes Sicherheitsmanagement

KV-Abrechnung mit integriertem Prüfmodul, Privat- und BG-Rechnungen ganz einfach erstellen – sicher, schnell und vollständig.

C5-Testat nach BSI-Kriterien

Unsere Cloud-Umgebung wurde erfolgreich nach dem Anforderungskatalog C5 (Cloud Computing Compliance Controls Catalogue) des BSI geprüft.

Verschlüsselung auf aktuellem Stand der Technik

Unsere Verschlüsselungskonzepte (Speicherung & Übertragung) entsprechen dem höchsten Stand der Technik. Sie wurden von unabhängigen Expert:innen geprüft.

Transparente Sicherheitsdokumente und Prozesse

Unsere Prozesse dokumentieren nachvollziehbar, wie wir Sicherheit leben – von Verschlüsselung und Zugriffskontrolle bis hin zu klar geregelten Verantwortlichkeiten in unserem Unternehmen. Alle relevanten Dokumente stellen wir Ihnen zur Verfügung.

Unsere Partner für
Informationssicherheit

Verantwortung für sensible Daten braucht Expertise. Deshalb arbeiten wir im Bereich Datenschutz und Informationssicherheit mit erfahrenen externen Partnern zusammen.

CISOIQ GmbH

CISOIQ berät uns in allen Fragen der Cybersicherheit. Ihre Aufgaben umfassen Risikoanalysen, technische Infrastruktur-Reviews, fachliche Begleitung von Sicherheitsarchitekturen sowie die Durchführung und Koordination interner Reviews. CISOIQ unterstützt uns bei der Vorbereitung und Begleitung externer Zertifizierungen, etwa ISO/IEC 27001 und dem BSI C5-Anforderungskatalog.

Zur Website
Logo der Marke BEHTA mit blauem T-Symbol und roten Linien.

Behta Management GmbH

Spezialisiert auf Datenschutz in sensiblen Branchen wie Gesundheit. Behta unterstützt uns als externe Datenschutzberater:innen – von der Analyse technisch- organisatorischer Maßnahmen bis zur Umsetzung konkreter Prozesse im Unternehmen.

Zur Website

Häufig gestellte Fragen

Sicherheitsrelevante Fragen und Antworten.

Wie schützt HASOMED meine Patient:innendaten?

Wir schützen Patient:innendaten durch technische und organisatorische Maßnahmen: Verschlüsselung, rollenbasierte Zugriffskontrollen, klare Verantwortlichkeiten und regelmäßige Audits. Unsere Cloud-Komponenten sind nach dem C5-Anforderungskatalog des BSI geprüft. Unsere Prozesse sind nach ISO/IEC 27001 zertifiziert. Mehr Informationen finden Sie in unserem Security Whitepaper.

Wo werden meine Daten gespeichert?

Elefant verarbeitet Daten in lokal installierten Praxiskomponenten und in zentral betriebenen Cloud-Komponenten. Sensible Daten in der Cloud werden ausschließlich in der AWS-Region Frankfurt, Deutschland, verarbeitet und gespeichert. Kund:innen informieren wir transparent über die eingesetzten Komponenten und die jeweils genutzten Standorte.

Ist Elefant DSGVO-konform?

Ja. Elefant ist so aufgebaut, dass die Verarbeitung sensibler Gesundheitsdaten durch Rollen- und Rechtekonzepte, dokumentierte Prozesse, Auftragsverarbeitungsverträge und nachprüfbare Sicherheitsmaßnahmen unterstützt wird. Nachweise stellen wir in Form von AV-Verträgen, Whitepaper und Zertifikaten bereit.

Wie sieht es mit Subunternehmern aus?

Externe Dienstleister werden nur vertraglich gebunden eingesetzt und regelmäßig geprüft. Eine aktuelle Übersicht der eingesetzten Unterauftragnehmer stellen wir Kund:innen zur Verfügung. Wir informieren Kund:innen, wenn sich die Art der Verarbeitung ändert oder neue Unterauftragnehmer eingebunden werden.

Was ist, wenn ich Elefant lokal installiert habe?

Bei lokaler Installation verbleiben bestimmte Verantwortlichkeiten in der Praxis, etwa für lokale Infrastruktur, Endgeräte und organisatorische Maßnahmen. Gleichzeitig gelten auch dort die Sicherheitsmechanismen von Elefant. Unterschiede zwischen lokaler Verantwortung und Cloud-Sicherheit dokumentieren wir klar.

Gibt es ein Sicherheitskonzept, das ich weitergeben kann?

Ja. Sie können den Link zu dieser Trust & Security Seite, unser Security Whitepaper, den AV-Vertrag sowie auf Wunsch weitere Prüf- und Compliance-Statements an Ihre Berater:innen weitergeben. Diese Unterlagen fassen technische Maßnahmen, Verantwortlichkeiten und Prüfungen zusammen.

Was passiert, wenn es zu einem Sicherheitsvorfall kommt?

Sicherheitsvorfälle werden nach definierten Prozessen behandelt, dokumentiert und vertraglich sowie rechtlich erforderlich kommuniziert. Meldepflichtige Vorfälle werden an die zuständigen Stellen gemeldet. Betroffene Kund:innen werden entsprechend informiert.

Behalte ich die Kontrolle über meine Daten?

Ja. Die Praxis bleibt datenschutzrechtlich verantwortlich für die Verarbeitung im Behandlungskontext. HASOMED verarbeitet Daten nur im vereinbarten Rahmen und auf Grundlage dokumentierter Rollen, Verträge und Prozesse.

Muss ich aufgrund der Cloud-Verarbeitung in Elefant meine Prozesse gegenüber Patient:innen ändern?

Kurz: Nein.

Für die Verarbeitung von Behandlungsdaten ist in der Regel keine gesonderte Einwilligung der Patient:innen erforderlich. Die Praxis muss Patient:innen jedoch transparent informieren. Konkret heißt das: in den Datenschutzhinweisen angeben, dass Elefant genutzt wird und welche Kategorien von Empfängern beteiligt sind. Die erforderlichen Auftragsverarbeitungsverträge sind vorzuhalten. Solange dies erfolgt, sind meist keine weiteren Prozessänderungen gegenüber Patient:innen notwendig.

Kann AWS meine Daten einsehen?

Technisch ist ein lesbarer Zugriff durch AWS ausgeschlossen. HASOMED betreibt ein Kryptographiekonzept und Schlüsselmanagement, bei dem kryptographische Schlüssel außerhalb der AWS-Infrastruktur verwaltet werden. Im Rahmen der Verschlüsselungs- und Entschlüsselungsvorgänge,  sowie der  Schlüsselverwaltung, arbeiten wir mit T-Systems, sodass AWS selbst keine Möglichkeit hat, gespeicherte Daten in lesbarer Form zu entschlüsseln. Diese Architektur verhindert, dass der Cloudanbieter Klartext-Zugriff erhält.

Was ist mit einem möglichen Zugriff durch US-Behörden?

Unverschlüsselter Zugriff durch Dritte, einschließlich Behörden, wird durch unser Architektur- und Schlüsselmanagement technisch verhindert. Da die Schlüssel außerhalb von AWS und unter deutscher Kontrolle gehalten werden, sind die Daten im Cloud-Speicher nicht in lesbarer Form verfügbar. Zusätzlich speichern wir Daten ausschließlich in der AWS-Region Frankfurt, es erfolgt keine automatische Übertragung in Drittstaaten. Diese Maßnahmen reduzieren das Risiko eines behördlichen Zugriffs auf lesbare Daten erheblich.

Erfüllt Elefant die Anforderungen aus dem Digitalgesetz (§ 393 SGB) und der KBV-Richtlinie?

Ja. Das Digitalgesetz erlaubt die Verarbeitung von Gesundheits- und Sozialdaten unter Einbezug von Cloud-Dienstleistern, wenn hohe Sicherheitsstandards wie das C5-Testat eingehalten werden. Unsere Cloud-Architektur ist am BSI C5-Kriterienkatalog ausgerichtet. Elefant ist zudem konzipiert, um die Vorgaben der KBV IT-Sicherheitsrichtlinie zu erfüllen.

Was bedeutet das C5-Testat konkret für mich als Praxis?

Ein C5-Testat dokumentiert, dass die eingesetzte Cloud-Umgebung definierte Sicherheitsanforderungen erfüllt. Eine erfolgreiche C5-Prüfung unserer Cloud-Komponenten erleichtert Praxen die Nachweisführung, dass eingesetzte Dienste in einem regulierten Gesundheitskontext angemessen abgesichert sind.

Ressourcen & Dokumente

Alle wichtigen Unterlagen rund um Datenschutz und Informationssicherheit, für Ihre Prüfung, Ihre Unterlagen oder Ihre interne Weitergabe.

AV-Vertrag

Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO

Herunterladen
Liste der Unterauftragnehmer

Unsere aktuell eingesetzten Dienstleister – DSGVO-konform dokumentiert und regelmäßig aktualisiert.

Mehr erfahren
KBV IT-Sicherheitsrichtlinie

Relevante Vorgaben für Praxissoftware-Anbieter – herausgegeben von der Kassenärztlichen Bundesvereinigung (KBV).

Zur Webseite
Security Whitepaper

Kompaktüberblick über Architektur, Verschlüsselung & Bedrohungsmodell

Herunterladen
C5-Testat

Den Nachweis zur Prüfung unserer Cloud-Umgebung nach BSI C5 können Sie direkt bei uns anfordern.

Schreiben Sie uns an