Datenschutz und Sicherheit

Wir schützen Patient:innendaten mit klaren technischen und organisatorischen Maßnahmen, transparenten Prozessen und nachvollziehbarer Dokumentation.

Computerbildschirm zeigt die Dokumentation in der Software Elefant®, während eine Person auf einer Tastatur tippt.
Was unsere Sicherheitsarchitektur prägt

Unsere Werte

HASOMED begleitet Praxen seit über 30 Jahren mit Software, die auf Vertrauen basiert. Diese Seite zeigt, wie wir unsere Sicherheitsarchitektur denken und umsetzen und welche Prinzipien uns dabei leiten.

Sicherheit ist integraler Bestandteil jeder Funktion

Datenschutz, Verfügbarkeit und Informationssicherheit fließen von Anfang an in alle Design- und Entwicklungsprozesse ein.

Cloud braucht Vertrauen und verdient Transparenz

Wir zeigen offen, wie unsere Systeme funktionieren, und legen die wichtigsten Richtlinien und Verträge öffentlich zugänglich ab.

Sensible Daten erfordern besondere Schutzmaßnahmen

Gesundheitsdaten im psychotherapeutischen Kontext erfordern ein besonders hohes Schutzniveau. Deshalb behandeln wir Datenschutz und Informationssicherheit nicht als Nebenthema, sondern als grundlegende Anforderung an Produkt, Prozesse und Betrieb.

Unser Security Whitepaper

Unser Security Whitepaper fasst die zentralen Informationen zu Infrastruktur, Verschlüsselung und Verantwortlichkeiten kompakt für Sie zusammen.

Unsere Schutzmaßnahmen

Wie wir Ihre Daten schützen

Unsere Sicherheitsmaßnahmen folgen einem klaren Prinzip: sensible Praxisdaten durch technische und organisatorische Schutzmaßnahmen wirksam abzusichern. Dabei unterscheiden wir zwischen lokal installierten Komponenten in der Praxis und zentral betriebenen Cloud-Diensten. Beide Bereiche sind Teil einer gemeinsamen Sicherheitsarchitektur mit klar geregelten Verantwortlichkeiten.

ISO 27001-zertifiziertes Sicherheitsmanagement

Unser Informationssicherheitsmanagementsystem (ISMS) ist nach ISO/IEC 27001 zertifiziert und definiert verbindliche Prozesse, Rollen und Kontrollmechanismen für sicherheitsrelevante Tätigkeiten

C5-Testat nach BSI-Kriterien

Unsere cloudbasierten Komponenten werden nach dem C5-Anforderungskatalog des BSI geprüft. Das schafft eine belastbare Grundlage für die Verarbeitung von Gesundheitsdaten im Einklang mit den Anforderungen des § 393 SGB.

Verschlüsselung auf aktuellem Stand der Technik

Daten werden bei Speicherung und Übertragung verschlüsselt. Unsere Verschlüsselungsmechanismen folgen aktuellen Sicherheitsstandards und werden fachlich unabhängig geprüft.

Transparente Sicherheitsdokumente und Prozesse

Wir dokumentieren unsere Sicherheitsmaßnahmen nachvollziehbar, von Verschlüsselung und Zugriffskontrollen bis hin zu klar geregelten Verantwortlichkeiten im Unternehmen. Relevante Unterlagen stellen wir Ihnen transparent zur Verfügung.

Unsere Sicherheits-Partner

Verantwortung für sensible Daten braucht Expertise. Deshalb arbeiten wir im Bereich Datenschutz und Informationssicherheit mit erfahrenen externen Partnern zusammen.

CISOIQ GmbH

CISOIQ berät uns in allen Fragen der Cybersicherheit. Ihre Aufgaben umfassen Risikoanalysen, technische Infrastruktur-Reviews, fachliche Begleitung von Sicherheitsarchitekturen sowie die Durchführung und Koordination interner Reviews. CISOIQ unterstützt uns bei der Vorbereitung und Begleitung externer Zertifizierungen, etwa ISO/IEC 27001 und dem BSI C5-Anforderungskatalog.

Zur Website
Logo der Marke BEHTA mit blauem T-Symbol und roten Linien.

Behta Management GmbH

Spezialisiert auf Datenschutz in sensiblen Branchen wie Gesundheit. Behta unterstützt uns als externe Datenschutzberater:innen – von der Analyse technisch- organisatorischer Maßnahmen bis zur Umsetzung konkreter Prozesse im Unternehmen.

Zur Website

Häufig gestellte Fragen

Antworten auf zentrale Fragen zu Datenschutz, Informationssicherheit und dem Umgang mit sensiblen Patient:innendaten.

Wie schützt HASOMED meine Patient:innendaten?

Wir schützen Patient:innendaten durch technische und organisatorische Maßnahmen: Verschlüsselung, rollenbasierte Zugriffskontrollen, klare Verantwortlichkeiten und regelmäßige Audits. Unsere Cloud-Komponenten sind nach dem C5-Anforderungskatalog des BSI geprüft. Unsere Prozesse sind nach ISO/IEC 27001 zertifiziert. Mehr Informationen finden Sie in unserem Security Whitepaper.

Wo werden meine Daten gespeichert?

Elefant verarbeitet Daten in lokal installierten Praxiskomponenten und in zentral betriebenen Cloud-Komponenten. Sensible Daten in der Cloud werden ausschließlich in der AWS-Region Frankfurt, Deutschland, verarbeitet und gespeichert. Kund:innen informieren wir transparent über die eingesetzten Komponenten und die jeweils genutzten Standorte.

Ist Elefant DSGVO-konform?

Ja. Elefant ist so aufgebaut, dass die Verarbeitung sensibler Gesundheitsdaten durch Rollen- und Rechtekonzepte, dokumentierte Prozesse, Auftragsverarbeitungsverträge und nachprüfbare Sicherheitsmaßnahmen unterstützt wird. Nachweise stellen wir in Form von AV-Verträgen, Whitepaper und Zertifikaten bereit.

Wie sieht es mit Subunternehmern aus?

Externe Dienstleister werden nur vertraglich gebunden eingesetzt und regelmäßig geprüft. Eine aktuelle Übersicht der eingesetzten Unterauftragnehmer stellen wir Kund:innen zur Verfügung. Wir informieren Kund:innen, wenn sich die Art der Verarbeitung ändert oder neue Unterauftragnehmer eingebunden werden.

Was ist, wenn ich Elefant lokal installiert habe?

Bei lokaler Installation verbleiben bestimmte Verantwortlichkeiten in der Praxis, etwa für lokale Infrastruktur, Endgeräte und organisatorische Maßnahmen. Gleichzeitig gelten auch dort die Sicherheitsmechanismen von Elefant. Unterschiede zwischen lokaler Verantwortung und Cloud-Sicherheit dokumentieren wir klar.

Gibt es ein Sicherheitskonzept, das ich weitergeben kann?

Ja. Sie können den Link zu dieser Trust & Security Seite, unser Security Whitepaper, den AV-Vertrag sowie auf Wunsch weitere Prüf- und Compliance-Statements an Ihre Berater:innen weitergeben. Diese Unterlagen fassen technische Maßnahmen, Verantwortlichkeiten und Prüfungen zusammen.

Was passiert, wenn es zu einem Sicherheitsvorfall kommt?

Sicherheitsvorfälle werden nach definierten Prozessen behandelt, dokumentiert und vertraglich sowie rechtlich erforderlich kommuniziert. Meldepflichtige Vorfälle werden an die zuständigen Stellen gemeldet. Betroffene Kund:innen werden entsprechend informiert.

Behalte ich die Kontrolle über meine Daten?

Ja. Die Praxis bleibt datenschutzrechtlich verantwortlich für die Verarbeitung im Behandlungskontext. HASOMED verarbeitet Daten nur im vereinbarten Rahmen und auf Grundlage dokumentierter Rollen, Verträge und Prozesse.

Muss ich aufgrund der Cloud-Verarbeitung in Elefant meine Prozesse gegenüber Patient:innen ändern?

Kurz: Nein.

Für die Verarbeitung von Behandlungsdaten ist in der Regel keine gesonderte Einwilligung der Patient:innen erforderlich. Die Praxis muss Patient:innen jedoch transparent informieren. Konkret heißt das: in den Datenschutzhinweisen angeben, dass Elefant genutzt wird und welche Kategorien von Empfängern beteiligt sind. Die erforderlichen Auftragsverarbeitungsverträge sind vorzuhalten. Solange dies erfolgt, sind meist keine weiteren Prozessänderungen gegenüber Patient:innen notwendig.

Kann AWS meine Daten einsehen?

Technisch ist ein lesbarer Zugriff durch AWS ausgeschlossen. HASOMED betreibt ein Kryptographiekonzept und Schlüsselmanagement, bei dem kryptographische Schlüssel außerhalb der AWS-Infrastruktur verwaltet werden. Im Rahmen der Verschlüsselungs- und Entschlüsselungsvorgänge,  sowie der  Schlüsselverwaltung, arbeiten wir mit T-Systems, sodass AWS selbst keine Möglichkeit hat, gespeicherte Daten in lesbarer Form zu entschlüsseln. Diese Architektur verhindert, dass der Cloudanbieter Klartext-Zugriff erhält.

Was ist mit einem möglichen Zugriff durch US-Behörden?

Unverschlüsselter Zugriff durch Dritte, einschließlich Behörden, wird durch unser Architektur- und Schlüsselmanagement technisch verhindert. Da die Schlüssel außerhalb von AWS und unter deutscher Kontrolle gehalten werden, sind die Daten im Cloud-Speicher nicht in lesbarer Form verfügbar. Zusätzlich speichern wir Daten ausschließlich in der AWS-Region Frankfurt, es erfolgt keine automatische Übertragung in Drittstaaten. Diese Maßnahmen reduzieren das Risiko eines behördlichen Zugriffs auf lesbare Daten erheblich.

Erfüllt Elefant die Anforderungen aus dem Digitalgesetz (§ 393 SGB) und der KBV-Richtlinie?

Ja. Das Digitalgesetz erlaubt die Verarbeitung von Gesundheits- und Sozialdaten unter Einbezug von Cloud-Dienstleistern, wenn hohe Sicherheitsstandards wie das C5-Testat eingehalten werden. Unsere Cloud-Architektur ist am BSI C5-Kriterienkatalog ausgerichtet. Elefant ist zudem konzipiert, um die Vorgaben der KBV IT-Sicherheitsrichtlinie zu erfüllen.

Was bedeutet das C5-Testat konkret für mich als Praxis?

Ein C5-Testat dokumentiert, dass die eingesetzte Cloud-Umgebung definierte Sicherheitsanforderungen erfüllt. Eine erfolgreiche C5-Prüfung unserer Cloud-Komponenten erleichtert Praxen die Nachweisführung, dass eingesetzte Dienste in einem regulierten Gesundheitskontext angemessen abgesichert sind.

Ressourcen & Unterlagen

Alle wichtigen Unterlagen rund um Datenschutz und Informationssicherheit, für Ihre Prüfung, Ihre Unterlagen oder Ihre interne Weitergabe.

AV-Vertrag

Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO

Mehr erfahren
Liste der Unterauftragnehmer

Unsere aktuell eingesetzten Unterauftragnehmer werden regelmäßig aktualisiert.

Mehr erfahren
KBV IT-Sicherheitsrichtlinie

Relevante Vorgaben für Praxissoftware-Anbieter – herausgegeben von der Kassenärztlichen Bundesvereinigung (KBV).

Zur Website
Security Whitepaper

Darstellung von Architektur, Verschlüsselung & Bedrohungsmodell

Mehr erfahren
C5-Testat

Den Nachweis zur Prüfung unserer Cloud-Umgebung nach BSI C5 können Sie direkt bei uns anfordern.

Schreiben Sie uns an