ISO 27001 und C5: Bodensatz, kein Architektur-Argument

Auf der Folie eines Klinik-Software-Vertriebs-Decks steht meistens dasselbe: ISO 27001, C5-Testat, Datenschutz nach DSGVO. Drei Logos in einer Reihe, drei Häkchen für die Beschaffungs-Liste, eine Geschäftsführung, die nach 30 Sekunden weiterblättert. Die Aussage stimmt — und sie beantwortet keine der Fragen, die in der Architektur unter den Logos eigentlich zu prüfen wären. Zwei Anbieter können beide das gleiche Zertifikat führen und in der Tiefe ein anderer Anbieter sein: andere Geltungsbereiche, andere Subprozessoren-Tiefe, andere Audit-Trail-Disziplin, andere Schlüssel-Hoheit, andere Datenfluss-Karte, andere KI-Management-Schicht. Zertifikate sind in dieser Beschaffungs-Realität der Bodensatz — die Eintritts-Bedingung, ohne die ein Anbieter im Klinik-Markt ohnehin nichts verloren hat. Sie sind nicht das Differenzierungsmerkmal.

Was ein Zertifikat ist — und was es nicht ist

Die Norm ISO/IEC 27001:2022 definiert ein Information Security Management System (ISMS) auf organisatorischer Ebene und führt im Annex A 93 Kontrollen in vier Themen — organisatorisch, personell, physisch, technologisch. Sie fordert für jedes ISMS einen erklärten Geltungsbereich und ein Statement of Applicability (SoA), das jede der 93 Kontrollen entweder als anwendbar oder als ausgeschlossen mit Begründung dokumentiert. Daneben tritt das C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI) — der Cloud Computing Compliance Criteria Catalogue, in der Fassung 2020 mit 17 Kontroll-Bereichen und circa 125 Kriterien. Eine unabhängige Wirtschaftsprüfer-Gesellschaft attestiert die Wirksamkeit der Cloud-Plattform-Kontrollen nach Prüfungsstandard 951 des Instituts der Wirtschaftsprüfer (IDW PS 951) beziehungsweise nach International Standard on Assurance Engagements 3000 (ISAE 3000), in einem Typ-1-Verfahren zum Stichtag oder in einem Typ-2-Verfahren über sechs bis zwölf Monate Beobachtungs-Zeitraum.

Beide Standards tragen je eine Aussage. Die ISO-27001-Aussage gilt einer Organisation und ihrem ISMS. Die C5-Aussage gilt einer Cloud-Plattform und ihrer technischen Sicherheits-Wirksamkeit. Beide beziehen sich auf einen erklärten Geltungsbereich; beide werden über einen Audit-Zyklus erneuert. Was beide nicht aussagen: ob die konkrete Klinik-KI-Anwendung, die auf der zertifizierten Plattform betrieben wird, gegen Angriffsvektoren der Anwendungs-Schicht gehärtet ist; ob die Subprozessoren der Anwendung — Modell-Anbieter, Embedding-Dienste, Beobachtungs-Dienstleister — selbst kontrollierbar sind; ob die Audit-Spuren auf Aussage-Ebene rekonstruierbar bleiben, wenn ein klinisches Verfahren später beanstandet wird. Diese Fragen sind Architektur-Fragen. Sie liegen unterhalb der Zertifikats-Schicht, und sie entscheiden, ob die Zertifikats-Schicht in der Klinik-Praxis trägt.

Sechs Architektur-Fragen unter dem Zertifikat

Die erste Frage gilt dem Geltungsbereich. Ein ISO-27001-Zertifikat ist ohne Scope-Statement und ohne Statement of Applicability nicht aussagefähig. Welche Standorte sind eingeschlossen, welche Tochtergesellschaften, welche Pipelines, welche Modell-Trainings-Umgebungen, welche Lieferanten-Beziehungen? Welche der 93 Annex-A-Kontrollen sind ausgeschlossen — und mit welcher Begründung? Eine Beschaffung, die das Zertifikat vorlegt, aber das SoA nicht einsieht, weiß, dass irgendwo ein ISMS tragfähig auditiert wurde. Sie weiß nicht, ob es das ISMS ist, das die Klinik-Daten der Verarbeitung unterzieht, oder das ISMS der Verwaltungs-Tochter im Nebengebäude. Sie weiß auch nicht, seit wann der aktuelle Geltungsbereich gilt — der Audit-Zyklus arbeitet in einem dreijährigen Rhythmus mit jährlichen Surveillance-Audits, das Zertifikats-Datum trägt nicht automatisch über den Re-Zertifizierungs-Zeitpunkt hinaus.

Die zweite Frage betrifft Subprozessoren-Tiefe und Subprozessor-Pinning. Eine Klinik-KI-Anwendung greift in der Regel auf weitere Dienste zurück: einen Modell-Schnittstellen-Anbieter, einen Embedding-Provider, einen Beobachtungs-Dienst für Logs und Telemetrie, gelegentlich einen Authentifizierungs-Dienst. Jeder dieser Dienste ist ein Auftragsverarbeiter; jeder hat ein eigenes ISMS oder hat keines. Die Annex-A-Kontroll-Familie A.5.19 bis A.5.23 fordert vom Anbieter eine gepflegte Lieferanten-Beziehung — sie fordert nicht, dass jedes Glied der Kette selbst ISO-27001-zertifiziert ist. Eine Pinning-Klausel im Vertrag verlangt vom Anbieter, die Subprozessor-Liste vor Ort zu aktualisieren und die Klinik vor Hinzufügungen zu informieren. Ohne diese Klausel kann der Datenfluss morgen anders verlaufen als heute, ohne dass das Zertifikat das anzeigt.

Die dritte Frage führt zur Audit-Trail-Immutabilität auf Aussage-Ebene. Eine Klinik, die später eine Beanstandung zu einer KI-generierten Aufnahme oder einem KI-generierten Entlassungs-Bericht rekonstruieren muss, braucht Audit-Trails, die der Anbieter nicht nachträglich verändern kann — Append-only-Strukturen mit kryptografischer Verkettung. Diese Eigenschaft ist im C5-Kriterienkatalog gefordert; sie ist im ISO-27001-SoA durchsetzbar; sie ist in der konkreten Anwendungs-Architektur jedoch unterschiedlich tief implementiert. Eine Beschaffung, die das im Lastenheft prüft, fragt nach der konkreten Architektur-Eigenschaft — nicht nach dem Hinweis im Zertifikat. Die vierte Frage gilt der Schlüssel- und Identitäts-Hoheit. Wer hält die Verschlüsselungs-Schlüssel? Welche Konfigurations-Optionen für Bring-Your-Own-Key bietet der Anbieter? Welche administrativen Zugriffe haben Anbieter-Personal in welcher Region, und welche Sub-Beauftragungen sind vertraglich ausgeschlossen?

Die fünfte Frage führt zur Datenfluss-Karte zwischen Anwendung und Modell. Welche klinischen Daten verlassen die Klinik-Mandant-Schicht in welcher Form, an welche Inferenz-Endpunkte, in welche Speicher-Zonen für Tracing und Telemetrie, mit welcher Lösch-Frist? Eine Datenfluss-Karte je Software-Funktion ist ein Architektur-Artefakt, kein Zertifikats-Anhang. Sie zeigt, wo eine Anwendung den Audit-Bereich des Anbieters verlässt — und wo nicht. Die sechste Frage gilt der KI-Management-Schicht. Mit ISO/IEC 42001:2023 ist 2023 ein eigener Management-System-Standard für Künstliche-Intelligenz-Systeme dazugekommen — Modell-Provenienz, Trainings-Daten-Herkunft, Bias-Management, Modell-Drift-Monitoring. Ein Anbieter mit ISO 27001 ohne ISO 42001 lässt die KI-Management-Schicht außerhalb des organisatorischen Systems. Das ist keine Disqualifikation; es ist eine Information über den Audit-Stand zum Beschaffungs-Zeitpunkt — und ein zweiter Eintrag in der Architektur-Spalte der Lastenheft-Tabelle.

Datenresidenz, juristische Bezugsgrößen und die Architektur-Frage

Die Architektur-Frage ersetzt die juristische Bezugsgröße nicht. Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) verpflichtet in den USA ansässige Cloud-Anbieter zur Daten-Herausgabe an US-Behörden auf richterlichen Beschluss — unabhängig vom Speicher-Ort, unabhängig davon, ob die Klinik die Schlüssel selbst hält. FISA Section 702 erweitert diese Reichweite für nachrichtendienstliche Zwecke. Das EuGH-Urteil Schrems II (C-311/18, 2020) hat die transatlantische Datenübertragung neu beurteilt; das nachfolgende EU-US Data Privacy Framework bleibt rechtlich umstritten. Diese Lage gilt unabhängig von der Architektur-Disziplin. Sie ist eine eigene Bezugsgröße neben den Sicherheits-Kontrollen des Anbieters und wird durch Bring-Your-Own-Key oder durch eine architektur-saubere Cloud-Konfiguration nicht aufgehoben. Die Architektur-Sicht steht neben der Standort- und Rechtsraum-Wahl, nicht an deren Stelle — wer sie als Ersatz für die juristische Beurteilung präsentiert, übernimmt eine Aussage, die die Architektur nicht trifft.

Diese Trennung lässt sich operativ aussprechen — und in einem früheren Stück zur Datensouveränität in der Klinik-IT haben wir sie als Architektur-Frage gegen die reine Standort-Frage geführt. Hier reicht die Knapp-Form: Die Standort- und Rechtsraum-Wahl trägt eine juristische Aussage; die Zertifikats-Schicht trägt eine organisatorische und plattformseitige Aussage; die Architektur-Schicht trägt die Aussage über die konkrete Anwendung. Die European Union Agency for Cybersecurity (ENISA) empfiehlt für den Gesundheitssektor mehrschichtige Kontroll-Architekturen jenseits einzelner Zertifikate; die gematik hat den Vertragsrahmen für Cloud-Nutzung im Gesundheitswesen entlang derselben Kontroll-Familien strukturiert. Beide beschreiben das gleiche Bild: Drei Schichten, drei Aussagen, drei prüfbare Spalten — keine löst die andere ab.

Ein ISO-27001-Zertifikat und ein C5-Testat sind Eintritts-Bedingungen für den Klinik-Markt. Sie zeigen, dass ein Anbieter die organisatorische und plattformseitige Mindestanforderung erreicht. Sie zeigen nicht, was die Anwendung darüber tut. Wer als Klinik-IT die Tragfähigkeit eines Anbieters prüfen will, liest das Zertifikat als das, was es ist: den Bodensatz. Die Architektur darüber liest die Klinik-IT in den sechs Eigenschaften, die jenseits der Zertifikats-Schicht stehen — sie sind die Stelle, an der sich zwei zertifizierte Anbieter substantiell unterscheiden.