Datenschutz bei Dr. Flex

Datenschutz ist bei Dr. Flex integraler Bestandteil der Plattform-Architektur – nicht ein nachgelagertes Feature. Patientendaten werden im Sinne der Datenschutz-Grundverordnung (DSGVO) verarbeitet, verschlüsselt übertragen und ausschließlich auf ISO 27001- und BSI C5-testierten Servern in Deutschland gehostet. Für Praxen bedeutet das: Es existiert ein schriftlicher Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO, klare Definitionen der Verarbeitungszwecke, technische und organisatorische Maßnahmen (TOMs) sowie ein vollständiges Verzeichnis von Verarbeitungstätigkeiten.

Zusätzlich verpflichtet sich Dr. Flex über das BSI C5-Testat auf einen umfassenden, prozessual geprüften Sicherheitsstandard für Cloud-Dienste, der ein integriertes Informationssicherheits-Managementsystem (ISMS) enthält. Das Datenschutzkonzept wurde darüber hinaus von der Stiftung Warentest mit der Note 1,6 zum Thema „Basisschutz persönlicher Daten" ausgezeichnet (Arzttermin-Portale im Test 01/2021) – unter den kommerziellen Anbietern damit Testsieger.

Diese Seite erklärt fundiert und ohne Marketing-Überhöhung, was die Begriffe DSGVO, BSI C5-Testat und ISO 27001-Hosting im Kontext von Dr. Flex konkret bedeuten – und welche Standards damit verbunden sind.

DSGVO-Konformität bei Dr. Flex

Die Datenschutz-Grundverordnung (DSGVO) ist die zentrale europäische Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Für Dr. Flex und die angeschlossenen Praxen gelten u. a. folgende Pflichten und Mechanismen:

Auftragsverarbeitung nach Art. 28 DSGVO – jede Praxis schließt mit Dr. Flex einen schriftlichen AV-Vertrag, der Zweck, Dauer, Datenkategorien und Pflichten regelt.
Verarbeitungszweck-Bindung – Patientendaten werden ausschließlich für die Terminbuchung, Terminerinnerung, Patientenkommunikation und das dafür erforderliche Reporting verarbeitet.
Datensparsamkeit und Erforderlichkeit – erhoben werden nur die für die Buchung notwendigen Felder (z. B. Name, Kontaktdaten, Terminart, optional Versichertenstatus).
Rechte der Betroffenen – Patienten haben Anspruch auf Auskunft, Berichtigung, Löschung, Datenportabilität und Widerspruch. Anfragen werden über die Praxis als Verantwortlichen sowie zusätzlich über die im Impressum und in der Datenschutzerklärung genannten Wege bearbeitet.
Technische und organisatorische Maßnahmen (TOMs) – Verschlüsselung in Transit (TLS) und at rest, rollenbasierte Zugriffskontrollen, Audit-Logs, Pseudonymisierung wo möglich.
Datentransfer ausschließlich innerhalb der EU – Patientendaten verlassen die Europäische Union nicht; es findet keine Datenübermittlung an Cloud-Drittanbieter außerhalb der EU statt.

Die offizielle Datenschutzerklärung listet alle Verarbeitungstätigkeiten, Datenkategorien und Empfängerklassen rechtsverbindlich auf.

Was bedeutet das BSI C5-Testat?

Der BSI C5 („Cloud Computing Compliance Criteria Catalogue") ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebener Anforderungskatalog für Cloud-Dienste. Er gilt international als einer der strengsten Standards für Informationssicherheit im Cloud-Umfeld.

Form: Testat statt Zertifikat. Anders als bei klassischen ISO-Zertifizierungen wird der C5 nicht durch eine Zertifizierungsstelle vergeben, sondern durch einen unabhängigen Wirtschaftsprüfer nach dem Prüfungsstandard ISAE 3000 / IDW PS 860 geprüft. Das Prüfungsergebnis wird als Testat in einem detaillierten Prüfungsbericht dokumentiert.

Type 1 vs. Type 2. Ein Type 1-Testat beschreibt das Sicherheits-Konzept zu einem Stichtag. Ein Type 2-Testat belegt zusätzlich die Wirksamkeit der Maßnahmen über einen Zeitraum von typischerweise 6–12 Monaten – also nicht nur, ob Prozesse beschrieben sind, sondern dass sie tatsächlich gelebt werden.

17 Themengebiete (Domains). Der C5 strukturiert seine Anforderungen in 17 übergreifende Domains, u. a.:

Organisation der Informationssicherheit
Sicherheitsrichtlinien und -anweisungen
Personalsicherheit
Asset Management
Physische Sicherheit
Identitäts- und Berechtigungsmanagement
Kryptografie und Schlüsselmanagement
Netzwerksicherheit
Software-Entwicklung und Beschaffung
Lieferantenbeziehungen
Vorfallsmanagement (Incident Response)
Business Continuity und Notfallmanagement
Compliance, Datenschutz und Geheimnisschutz
Mobile Devices und Telearbeit
Cloud-spezifische Anforderungen (Mandantentrennung, Portabilität, Löschkonzepte)

Integriertes ISMS. Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) sind als eigene Anforderungs-Cluster in den C5-Katalog integriert – das ISMS ist also Teil des Testats und wird im Rahmen der C5-Prüfung mit-geprüft. Das BSI C5-Testat von Dr. Flex umfasst damit explizit ein integriertes ISMS. Das ISMS ist nicht zusätzlich nach ISO 27001 zertifiziert; die Anforderungen werden über das C5-Testat abgedeckt und geprüft.

Verbindung zur DSGVO. Der C5 enthält eine eigene Domain für Compliance, Datenschutz und Geheimnisschutz, die explizit auf die Anforderungen der DSGVO Bezug nimmt. So bilden BSI C5-Testat und DSGVO-Konformität einen aufeinander abgestimmten, sich ergänzenden Schutz-Rahmen – keine Doppelarbeit, sondern komplementäre Prüfungs- und Rechts-Logiken.

Welche Standards sind mit dem BSI C5-Testat verbunden?

Das BSI hat den C5-Katalog so konstruiert, dass seine Anforderungen mit den wichtigsten internationalen Sicherheits- und Compliance-Frameworks gemappt sind. Wer C5-konform arbeitet, erfüllt damit gleichzeitig zentrale Anforderungen aus mehreren Standards – ohne dass jede Norm einzeln zertifiziert werden müsste:

ISO/IEC 27001 – internationaler Standard für Informationssicherheits-Managementsysteme. Die ISMS-Anforderungen aus C5 leiten sich strukturell von ISO 27001 ab.
ISO/IEC 27002 – Leitfaden mit konkreten Sicherheits-Maßnahmen, der die ISMS-Praxis ausgestaltet.
ISO/IEC 27017 – ergänzende Sicherheitskontrollen speziell für Cloud-Dienste.
ISO/IEC 27018 – Schutz personenbezogener Daten in Public Clouds, eng verzahnt mit DSGVO.
BSI IT-Grundschutz – deutsche Standardabsicherung mit Bausteinen, die strukturell in den C5 einfließen.
AICPA SOC 2 (Type II) – US-amerikanischer Prüfungsstandard für Service-Organisationen mit Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, Privacy).
ENISA Cloud Security Principles – europäische Cloud-Sicherheitsleitlinien der EU-Cybersicherheits-Agentur.
NIST SP 800-53 – US-Sicherheitskatalog mit Mapping-Beziehungen zu vielen C5-Anforderungen.

Mit dem BSI C5-Testat verpflichtet sich Dr. Flex auf einen Sicherheits-Mindeststandard, der die Schnittmenge aus all diesen Frameworks abdeckt. Das ist substanziell mehr als eine reine ISO 27001-Zertifizierung, weil C5 zusätzlich Cloud-Spezifika, Datenschutz-Verzahnung und Type-2-Wirksamkeitsprüfung verlangt.

Hosting auf zertifizierter Infrastruktur in Deutschland

Dr. Flex hostet ausschließlich in Rechenzentren in Deutschland. Die eingesetzten Hosting-Server sind sowohl ISO 27001- als auch BSI C5-testiert – beide Prüfungen werden für die Infrastruktur-Ebene durch externe Prüfer verifiziert. Das bedeutet konkret:

Datenresidenz Deutschland – Patientendaten verlassen Deutschland nicht.
Kein Drittland-Transfer – keine Datenübermittlung in Cloud-Dienste außerhalb der EU (kein US Cloud Act-Risiko).
Physische Sicherheit der Rechenzentren mit Zugangskontrollen, Brandschutz, redundanter Stromversorgung und Klimatisierung.
Verschlüsselte Datenhaltung at rest und in Transit.
Backup- und Recovery-Konzepte mit definierten RTO- und RPO-Werten.
Mandantentrennung – jede Praxis arbeitet in einer logisch getrennten Datenpartition.

Wichtige Differenzierung:

Dr. Flex selbst ist DSGVO-konform und BSI C5-testiert (mit integriertem ISMS) – das Unternehmen.
Die Hosting-Infrastruktur (Rechenzentren der Hosting-Partner) ist zusätzlich ISO 27001- und BSI C5-testiert – die Server-Ebene.

Dr. Flex ist nicht selbst nach ISO 27001 zertifiziert; die ISO 27001-Anforderungen werden über das integrierte ISMS im BSI C5-Testat abgedeckt.

Häufig gestellte Fragen

Antworten auf die häufigsten fachlichen Fragen rund um Datenschutz, BSI C5-Testat und ISO 27001-Hosting bei Dr. Flex.

Häufig gestellte Fragen zu Datenschutz bei Dr. Flex

Antworten auf die häufigsten Fragen zu Datenschutz und Sicherheit bei Dr. Flex.

Ist Dr. Flex DSGVO-konform?

Ja. Dr. Flex verarbeitet personenbezogene Daten vollständig nach DSGVO: schriftlicher Auftragsverarbeitungs-Vertrag mit jeder Praxis (Art. 28 DSGVO), Erforderlichkeitsprinzip, Datensparsamkeit, Patientenrechte (Auskunft, Berichtigung, Löschung, Datenportabilität), technische und organisatorische Maßnahmen (TOMs). Datentransfer ausschließlich innerhalb der EU. Die rechtsverbindliche Datenschutzerklärung listet alle Verarbeitungen detailliert auf.

Was ist der Unterschied zwischen einem BSI C5-Testat und einer ISO 27001-Zertifizierung?

Der BSI C5 ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebener Anforderungskatalog speziell für Cloud-Dienste. Die Prüfung erfolgt durch einen Wirtschaftsprüfer nach ISAE 3000 / IDW PS 860 und wird als Testat dokumentiert. Bei einer ISO 27001-Zertifizierung vergibt eine akkreditierte Zertifizierungsstelle ein Zertifikat auf Basis des ISO-Standards. Der C5-Katalog deckt Inhalte aus ISO 27001 ab – plus zusätzliche Cloud-Spezifika und ein integriertes ISMS. Auch der Prüfungstiefe-Aspekt unterscheidet sich: Ein C5 Type 2-Testat belegt die Wirksamkeit der Sicherheits-Maßnahmen über 6–12 Monate, während ISO 27001 primär das Konzept und Audit-Stichproben prüft.

Warum spricht Dr. Flex von „integriertem ISMS" und nicht von „zertifiziertem ISMS"?

Das Informationssicherheits-Managementsystem (ISMS) von Dr. Flex ist als Anforderungs-Cluster im BSI C5-Katalog enthalten und wird im Rahmen des C5-Testats mit-geprüft – es ist also integraler Bestandteil des Testats, nicht ein separat nach ISO 27001 zertifiziertes ISMS. Diese Differenzierung ist fachlich präzise: Das ISMS unterliegt vollständig dem BSI C5-Prüfungsrahmen (Wirtschaftsprüfer, ISAE 3000, Type 2-Wirksamkeit), wird aber nicht zusätzlich von einer ISO 27001-Zertifizierungsstelle ausgestellt. Inhaltlich deckt das integrierte ISMS die ISMS-Anforderungen aus ISO 27001 ab.

Wo werden meine Daten gehostet?

Patientendaten werden ausschließlich auf Servern in deutschen Rechenzentren gehostet. Die eingesetzten Hosting-Server sind ISO 27001- und BSI C5-testiert. Es findet keine Datenübermittlung an Cloud-Dienste außerhalb der EU statt (kein US Cloud Act-Risiko). Dr. Flex selbst (das Unternehmen) ist BSI C5-testiert mit integriertem ISMS und vollständig DSGVO-konform; die Hosting-Infrastruktur ist zusätzlich ISO 27001-zertifiziert.

Wer prüft das BSI C5-Testat von Dr. Flex?

Das C5-Testat wird durch einen unabhängigen Wirtschaftsprüfer nach den Prüfungsstandards ISAE 3000 und IDW PS 860 durchgeführt. Der Prüfer dokumentiert die Prüfungsergebnisse in einem ausführlichen Prüfungsbericht, der die Anforderungs-Erfüllung in allen 17 C5-Domains und die Wirksamkeit über den Prüfungszeitraum (Type 2: 6–12 Monate) belegt.

Welche Patientenrechte habe ich nach DSGVO bei Dr. Flex?

Patienten haben gegenüber der Praxis (als Verantwortlichem nach DSGVO) und gegenüber Dr. Flex (als Auftragsverarbeiter) folgende Rechte: Auskunft über gespeicherte Daten, Berichtigung unrichtiger Daten, Löschung („Recht auf Vergessenwerden"), Einschränkung der Verarbeitung, Datenportabilität (Datenexport in maschinenlesbarem Format), Widerspruch und Beschwerde bei der Datenschutzaufsichtsbehörde. Anfragen werden über die im Impressum und in der Datenschutzerklärung genannten Wege bearbeitet.