Cloud-Nutzung im Gesundheitswesen: § 393 SGB V und C5-Testat

§ 393 SGB V: Rechtsrahmen für Cloud-Dienste im Gesundheitswesen

Hintergrund und Zielsetzung

§ 393 SGB V wurde mit dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) eingeführt, das weitreichende Neuerungen im Bereich Datenschutz und Datensicherheit beinhaltet. Die Vorschrift selbst definiert keine neuen Datenschutzpflichten – DSGVO, SGB X und BDSG bleiben weiterhin uneingeschränkt anwendbar.

Vielmehr geht es um zusätzliche IT-Sicherheitsanforderungen beim Einsatz von Cloud-Computing-Diensten für Gesundheits- und Sozialdaten. Ziel ist es, Rechtsklarheit zu schaffen und die Nutzung moderner IT-Infrastrukturen zu fördern.

Persönlicher und sachlicher Anwendungsbereich

Vom Anwendungsbereich des § 393 SGB V erfasst sind:

• Leistungserbringer nach dem Vierten Kapitel SGB V, z. B. Vertragsärzt:innen, Psychotherapeut:innen, Apotheken, Krankenhäuser, Hebammen
• Krankenkassen und Pflegekassen
• Auftragsdatenverarbeiter dieser Stellen

Betroffen sind Gesundheitsdaten gem. Art. 4 Nr. 15 DSGVO und Sozialdaten gem. § 67 Abs. 2 SGB X. Diese Daten dürfen unter bestimmten Voraussetzungen auch über Cloud-Dienste verarbeitet werden.

Zulässigkeitsvoraussetzungen für die Cloud-Nutzung

Die Verarbeitung ist nur dann zulässig, wenn:

• der Speicherort im Inland, im EU-/EWR-Raum oder einem Staat mit Angemessenheitsbeschluss liegt,
• der Anbieter eine Niederlassung im Inland hat,
• angemessene technische und organisatorische Maßnahmen (TOM) nach dem Stand der Technik vorliegen,
• ein aktuelles C5-Testat für den eingesetzten Cloud-Dienst besteht und  
• die im C5-Prüfbericht enthaltenen kundenseitigen Anforderungen umgesetzt wurden

Cloud-Computing im gesetzlichen Sinne

Legaldefinition nach § 384 Nr. 5 SGB V

Cloud-Computing-Dienste sind gemäß § 384 Nr. 5 SGB V digitale Dienste, die:

• auf Abruf verfügbar sind,
• Fernzugriff auf skalierbare und elastische Rechenressourcen bieten,
• und diese Ressourcen standortübergreifend bereitstellen.

Die Definition lehnt sich an Art. 4 Nr. 30 der NIS-2-Richtlinie an und umfasst acht Merkmale, darunter Skalierbarkeit, geteilte Nutzung und Elastizität.

Abgrenzung und Auslegung

Zusätzlich existieren abweichende technische Definitionen, z. B. durch das BSI (basierend auf ISO/IEC 22123-2). Es herrscht daher eine gewisse Unsicherheit hinsichtlich der konkreten Anforderungen – eine Einzelfallprüfung ist stets erforderlich.

Das C5-Testat: Sicherheitsnachweis für Cloud-Dienste

Was ist das C5-Testat?

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ziel ist die Etablierung eines Mindeststandards für die Informationssicherheit bei Cloud-Diensten.

Unterschieden wird zwischen zwei Testatsformen:

• C5-Typ1: Bescheinigt die Eignung der Kontrollen zum Prüfzeitpunkt (gültig zulässig bis 30.06.2025)  
• C5-Typ2: Umfasst zusätzlich die Wirksamkeit der Maßnahmen über einen Prüfungszeitraum hinweg (ab 01.07.2025 verpflichtend)  

Vorteile und Verantwortung

Kundenseitig bietet das Testat Transparenz über das Sicherheitsniveau, verpflichtet aber auch zur eigenständigen Bewertung und Umsetzung der kundenspezifischen Maßnahmen. Das BSI selbst ist nicht in den Prüfprozess eingebunden.

Der Prüfprozess: Wie kommt man zum C5-Testat?

Ablauf der Prüfung

Die Prüfung erfolgt ausschließlich durch Wirtschaftsprüfer und basiert auf dem internationalen Prüfstandard ISAE 3000. Der Ablauf umfasst:

1. Readiness Assessment  
2. Audit (Kontrolltests, Nachweise)  
3. Berichterstellung  

Nur konkrete Cloud-Dienste und definierte Regionen werden geprüft, nicht die gesamte Cloud-Plattform

Prüfkriterien

Der Kriterienkatalog enthält 121 Anforderungen, aufgeteilt in 17 Themengebiete wie:

• Organisation der Informationssicherheit
• Kryptografie
• Compliance
• Notfallmanagement
• Produktsicherheit

Die Prüfung erfolgt organisatorisch, technisch und prozessorientiert.

Inhalte des Prüfberichts

Ein vollständiger C5-Bericht enthält:

• Prüfungsurteil des Auditors
• Erklärung der gesetzlichen Vertreter zur Angemessenheit und ggf. Wirksamkeit
• Systembeschreibung des Anbieters
• Darstellung der Prüfhandlungen
• Optional: Stellungnahmen des Anbieters zu Mängeln

Die C5-Gleichwertigkeitsverordnung: Zwischenlösung bei Engpässen

Regelungsanlass

Die C5-Gleichwertigkeitsverordnung (C5-GleichwV) wurde rückwirkend zum 1. Juli 2024 eingeführt. Grund war der Mangel an verfügbaren Wirtschaftsprüfern – insbesondere kleinere Anbieter waren benachteiligt.

Zugelassene Alternativstandards

Als gleichwertige Sicherheitsnachweise gelten:

• ISO/IEC 27001  
• BSI IT-Grundschutz  
• Cloud Controls Matrix v4.0  

Diese Zertifikate können übergangsweise ein C5-Testat ersetzen, sofern ein ergänzender Maßnahmenplan erstellt wird.

Ergänzende Anforderungen

Dieser Maßnahmenplan muss u. a. enthalten:

• Dokumentation der nicht abgedeckten C5-Kriterien
• Maßnahmen zur Schließung der Lücken
• Frist: Umsetzung innerhalb von 12 Monaten
• Ziel: Erwerb eines C5-Typ1-Testats innerhalb von 18 Monaten und eines C5-Typ2-Testats innerhalb von 24 Monaten

Fazit und Ausblick

Mit § 393 SGB V und dem C5-Testat hat der Gesetzgeber eine klare Grundlage für die Cloudnutzung im Gesundheitswesen geschaffen. Das schafft Rechtssicherheit – aber auch neue Pflichten. Unternehmen sollten frühzeitig prüfen:

• Ob der gewählte Cloud-Dienst die Voraussetzungen erfüllt,
• ob ein gültiges Testat (oder gleichwertiger Nachweis) vorliegt,
• und welche kundenseitigen Maßnahmen umzusetzen sind.

Insbesondere mit Blick auf die Fristen zum C5-Typ2-Testat ab Juli 2025 ist Handlungsbedarf gegeben. Wer jetzt handelt, profitiert von einem Sicherheitsvorsprung – und positioniert sich als vertrauenswürdiger Anbieter in einem sensiblen Markt.