In diesem Artikel informieren wir Sie über

• die gesetzlichen Neuerungen zur Cloud-Nutzung im Gesundheitswesen.
• den C5-Standard als Maßstab für Informationssicherheit.
• die verschiedenen Arten von Prüfungen und Fristen.
• konkrete Handlungsempfehlungen für betroffene Organisationen.

Cloud-Computing ist in den vergangenen Jahren zu einem zentralen Bestandteil moderner IT-Infrastrukturen geworden. Immer mehr Unternehmen verlagern ihre Anwendungen und Systeme in öffentliche, private oder hybride Cloud-Umgebungen. Im Gesundheitswesen sind diese Potenziale jedoch bislang nur eingeschränkt nutzbar gewesen, insbesondere wegen der hohen Sensibilität der verarbeiteten Daten.

§ 393 SGB V schafft nun erstmals eine eindeutige gesetzliche Grundlage für den rechtskonformen Einsatz von Cloud-Diensten bei der Verarbeitung von Sozial- und Gesundheitsdaten. Dabei wird gleichzeitig ein hoher Sicherheitsstandard verpflichtend: Die Nutzung cloudbasierter Systeme ist nur dann zulässig, wenn ein aktuelles Testat nach dem C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) vorliegt.

Der zentrale Inhalt der Neuregelung ist: Wer Cloud-Dienste zur Verarbeitung sensibler Daten einsetzt, muss nachweisen, dass diese dem Stand der Technik im Bereich Informationssicherheit entsprechen. Eine wirtschaftlich angespannte Lage oder fehlende Kapazitäten sind keine Entschuldigung mehr für unzureichenden Datenschutz.

Der Gesetzgeber verweist erstmals ausdrücklich auf den BSI C5-Standard als verpflichtendes Sicherheitsniveau. Damit geht die Verantwortung für sichere Cloud-Infrastrukturen eindeutig auf die datenverarbeitende Stelle über – unabhängig davon, ob ein externer IT-Dienstleister eingebunden ist.

Mit Einführung des § 393 SGB V wird erstmals ein expliziter gesetzlicher Erlaubnistatbestand für die Nutzung von Cloud-Computing bei der Verarbeitung von Sozial- und Gesundheitsdaten auf Bundesebene geschaffen.

Der Cloud Computing Compliance Criteria Catalogue (C5) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und umfasst eine Reihe von Kontrollen und Anforderungen, die Unternehmen erfüllen müssen, um Sicherheit, Datenschutz und Compliance in Cloud-Umgebungen zu gewährleisten. Unter anderem Richtlinien zu:

• Zugriffskontrolle
• Datenverschlüsselung
• Notfallmanagement
• Compliance-Monitoring

Mit dem neu eingeführten § 393 SGB V wird der C5-Standard des BSI nun verpflichtend vorgeschrieben – ein bedeutender Schritt in Richtung einheitlicher Sicherheitsstandards für Cloud-Anwendungen im Gesundheitswesen.

Die neue Regelung betrifft sämtliche Leistungserbringer nach dem SGB V – dazu gehören unter anderem:

• niedergelassene Ärzte
• Krankenhäuser
• Apotheken
• Hersteller digitaler Gesundheitsanwendungen (DiGA)
• Kranken- und Pflegekassen

Besonders wichtig: Das C5-Testat muss durch die datenverarbeitende Stelle selbst vorgelegt werden – es genügt nicht, sich lediglich auf die Zertifizierung des Hosting-Dienstleisters zu berufen. Für Betreiber cloudbasierter Anwendungen bedeutet das: Die Verantwortung für den Nachweis liegt bei Ihnen.

Die C5-Testierung erfolgt in zwei Stufen:

Der neue § 393 SGB V ist zum 1. Juli 2024 in Kraft getreten. Bis zum 30. Juni 2025 genügte noch ein C5-Typ-1-Testat, das die Angemessenheit der Sicherheitsmaßnahmen zum Zeitpunkt der Prüfung dokumentiert.

Das Testat darf ausschließlich von unabhängigen Wirtschaftsprüfungsprüfern ausgestellt werden und ist jährlich zu erneuern.

Um den seit 1. Juli 2025 geltenden Richtlinien zu entsprechen, empfehlen wir folgende Schritte: