Die Digitalisierung im Gesundheitswesen schreitet immer schneller voran – und mit ihr steigen die Anforderungen an den Datenschutz und die IT-Sicherheit. Ein wichtiger Bestandteil dieser Entwicklung ist der C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Seit Juli 2025 ist der C5-Nachweis für Cloud-Dienstleister im Gesundheitsbereich verbindlich. Was bedeutet das für Sie als Cloud-Anbieter? Und wie können Sie sich darauf vorbereiten? In diesem Blogartikel erklären wir die wichtigsten Punkte.

Inwiefern sind Cloud-Dienstleister im Gesundheitswesen betroffen?
Cloud-Dienste sind im Gesundheitswesen längst keine Zukunftsmusik mehr, sondern fester Bestandteil des digitalen Alltags. Sei es bei der Verwaltung von Patientenakten, der Terminplanung oder der Abrechnung – überall kommen Cloud-Dienste zum Einsatz. Doch wenn ein Cloud-Dienstleister personenbezogene Daten verarbeitet, etwa für gesetzliche Krankenkassen oder Pflegekassen, gilt er als „datenverarbeitende Stelle“ im Sinne des Sozialgesetzbuches (SGB V).

Seit dem 1. Juli 2024 wird für den Einsatz solcher Cloud-Dienste ein Sicherheitsnachweis gefordert, und zwar nach den Vorgaben des C5-Katalogs des BSI. Das bedeutet, Cloud-Dienstleister müssen nachweisen, dass ihre Sicherheitsstandards ausreichend sind, um die sensiblen Gesundheitsdaten zu schützen.

Was ist der C5-Kriterienkatalog des BSI?
Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein Prüfstandard, den das BSI für Cloud-Dienste herausgegeben hat. Ziel des C5 ist es, Mindestanforderungen an die Informationssicherheit in der Cloud zu definieren – unabhängig vom spezifischen Einsatzzweck der Cloud-Dienste.

Der C5-Katalog umfasst 17 Anforderungskategorien, die in zwei Bereiche unterteilt sind - Basiskriterien (verpflichtend) und Zusatzkriterien (optional). Um die Einhaltung dieser Kriterien zu belegen, muss ein unabhängiger Auditor einen Prüfbericht erstellen.

Man unterscheidet zwischen zwei Arten von Prüfberichten:

Typ-1-Testat: Nachweis zum Stichtag

oder

Typ-2-Testat: Nachweis über einen längeren Zeitraum, der zeigt, dass Sicherheitsmaßnahmen dauerhaft wirksam umgesetzt wurden.

Die Fristen im Überblick
Es gibt klare Fristen, bis wann Cloud-Dienstleister ihre Sicherheitsnachweise erbringen müssen:

  • Bis 30.06.2025: Ein C5-Typ-1-Testat reichte aus
  • Seit 01.07.2025: Nur noch C5-Typ-2-Testate sind zulässig
  • Bis 31.12.2025: Alternativstandards (z. B. ISO 27001) sind zulässig – allerdings nur mit einem detaillierten Maßnahmenplan.
  • Bis 30.06.2026: Das C5-Typ-2-Testat ist endgültig verpflichtend.

Alternative Standards – was ist zu beachten? Cloud-Dienstleister können auch alternative Zertifizierungen als Nachweis eines gleichwertigen Sicherheitsniveaus einreichen, z. B. ISO/IEC 27001 oder  Cloud Controls Matrix (CCM) v4.0. Allerdings gibt es eine wichtige Einschränkung: Diese Standards werden nur akzeptiert, wenn zusätzlich ein Maßnahmenplan vorliegt.
Dieser Plan muss:

  • Alle nicht abgedeckten C5-Basiskriterien benennen.
  • Geplante technische und organisatorische Maßnahmen dokumentieren.
  • Eine Meilensteinplanung für die Umsetzung enthalten (maximal 12 Monate).
  • Die Erlangung eines C5-Testats innerhalb von 18 Monaten für Typ-1 und 24 Monaten für Typ-2 sicherstellen.
  • Der Plan muss jederzeit auf Anfrage bei Krankenkassen, KVen oder Aufsichtsbehörden vorgelegt werden können.

Warum sind Typ-2-Testate so wichtig?
Ein C5-Typ-1-Testat bescheinigt nur, dass zum Prüfzeitpunkt alle Sicherheitsmaßnahmen vorhanden und korrekt umgesetzt wurden. Ein C5-Typ-2-Testat hingegen zeigt, dass diese Sicherheitsmaßnahmen über einen längeren Zeitraum hinweg wirksam umgesetzt wurden. Gerade im Gesundheitswesen, wo es um sehr sensible Daten geht, ist diese Langfristigkeit entscheidend. Seit Juli 2025 wird daher nur noch das Typ-2-Testat akzeptiert, außer während der Übergangsregelungen bis Ende 2025.

Was sollten Cloud-Dienstleister jetzt tun?
Die Anforderungen sind klar – aber wie können Cloud-Dienstleister diese umsetzen? Hier ist ein sechs Schritte umfassender Fahrplan, der Ihnen bei der Vorbereitung hilft:

IST-Analyse: Welche Zertifizierungen haben Sie bereits? Welche technischen und organisatorischen Maßnahmen (TOMs) sind schon umgesetzt?

Gap-Assessment: Vergleichen Sie die bestehenden Standards mit den C5-Basiskriterien. Wo gibt es Lücken?
Maßnahmenplanung: Erstellen Sie einen Plan, wie die Lücken geschlossen werden können. Achten Sie auf Zeitachsen, Verantwortlichkeiten und Prioritäten.

Umsetzung: Setzen Sie die notwendigen Anpassungen um, z. B. durch die Einführung neuer Prozesse, Richtlinien oder Kontrollmechanismen.

Auditvorbereitung: Stellen Sie alle Nachweisdokumente zusammen und wählen Sie einen geeigneten Auditor aus.

Testat & Nachweispflicht: Lassen Sie die Prüfung durchführen und stellen Sie sicher, dass alle Nachweise für Partner und Behörden jederzeit bereitliegen.

C5-Testat vs. Zertifikat: Was ist der Unterschied?
Ein Testat wird durch einen unabhängigen Auditor erstellt und basiert auf einem Prüfbericht. Es ist kein offizielles Zertifikat einer akkreditierten Zertifizierungsstelle, sondern eine Bestätigung, dass die C5-Vorgaben eingehalten wurden.

Ein Zertifikat (z. B. ISO 27001) hingegen wird von einer akkreditierten Stelle ausgestellt. Es wird im Kontext des § 393 SGB V jedoch nur als „gleichwertiger Nachweis“ anerkannt – und auch nur, wenn der dazugehörige Maßnahmenplan vorliegt.

Fazit: Jetzt handeln!
Die Anforderungen an Cloud-Dienstleister im Gesundheitswesen steigen und wurden im Juli 2025 verbindlich. Wer sich zeitnah mit dem C5-Nachweis beschäftigt, schafft nicht nur Vertrauen bei Partnern und Kunden, sondern minimiert auch Compliance-Risiken und stärkt seine Position als sicherheitsorientierter Dienstleister.

Ihr nächster Schritt: Starten Sie jetzt mit der Vorbereitung, um auch in Zukunft weiterhin erfolgreich mit gesetzlichen Krankenkassen und anderen Leistungsträgern zusammenzuarbeiten.

Benötigen Sie Unterstützung bei der C5-Vorbereitung?
Wir unterstützen Sie bei der Gap-Analyse, der Maßnahmenplanung und der Prüfungsvorbereitung. Kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch.