Seit dem 1. Juli 2025 muss für Cloud-Dienste (bspw. „Software as a Service“ (SaaS)), die Sozial- oder Gesundheitsdaten im deutschen Gesundheitswesen verarbeiten, ein C5-Typ2-Testat vorliegen. Bis zum 30.06.2025 genügte ein C5-Typ1-Testat. Über das Thema C5-Testat berichteten wir bereits.
Wer ist betroffen?
Im Gesundheitswesen sind die Leistungserbringer im Sinne des Vierten Kapitels des Fünften Buches Sozialgesetzbuch (§ 69 bis § 140h SGB V) betroffen. Hierzu gehören
- Vertragsärzte (einschließlich Zahnärzte und Psychotherapeuten) – §§ 77 ff. SGB V
- Krankenhäuser – §§ 107 ff. SGB V
- Heilmittelerbringer (z. B. Physiotherapeuten, Ergotherapeuten) – §§ 124 ff. SGB V
- Hilfsmittelerbringer (z. B. Anbieter medizinischer Hilfsmittel wie Rollstühle und Prothesen) – §§ 126 ff. SGB V
- Apotheken und pharmazeutische Unternehmer – §§ 129 ff. SGB V
- sonstige Leistungserbringer (z. B. Rettungsdienste und Einrichtungen der häuslichen Krankenpflege) – §§ 132 ff. SGB V
Was ist der Hauptanwendungsfall?
Hauptanwendungsfall wird eine SaaS sein. Bei diesem Cloud-Dienst werden komplette Software-Anwendungen über das Internet bereitgestellt. Hierzu gehören bspw. Online-Terminvereinbarungs-Anwendungen. Die Software muss nicht installiert oder mit einem Patch- und Updatemanagement verwaltet werden. Diese Aufgaben übernimmt der Cloud-Dienst-Anbieter.
Das C5-Typ1-Testat (§ 393 Abs. 4 Satz 1 SGB V) umfasste eine Angemessenheitsprüfung der implementierten Sicherheitsmaßnahmen. Das C5-Typ2-Testat (§ 393 Abs. 4 Satz 2 SGB V) verlangt zusätzlich die Prüfung deren wirksamer Umsetzung.
Die C5-Testierung basiert auf dem „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Hierdurch soll die Sicherheit und Transparenz bei der Nutzung von Cloud-Diensten, insbesondere, wenn sensible Daten wie Gesundheits- oder Sozialdaten betroffen sind, verbessert werden. Weitere Informationen zum C5-Konzept finden Sie auch hier auf der Website des BSI.
Falls der Hersteller für seine SaaS die Cloud-Dienstleistung eines anderen Unternehmens nutzt, so zählt der andere Cloud-Dienste-Anbieter als Unterauftragnehmer des Herstellers. Dann muss der Hersteller sein C5-Testat vorlegen und ggf. auch das Testat des Cloud-Dienste-Anbieters. Hintergrund ist, dass § 393 SGB V nur darauf abstellt, ob Gesundheitsdaten mittels Cloud-Dienst verarbeitet werden, nicht aber darauf, durch wen die Verarbeitung konkret erfolgt. Zum Teil wird aber auch in der Praxis die Auffassung vertreten, dass es ausreicht, wenn der Hersteller auf das C5-Testat des Cloud-Dienste-Anbieters verweist.
Kein C5-Typ2-Testat – was tun?
Liegt (noch) kein C5-Typ2-Testat vor, hilft die „Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen“ (C5GleichwV). Danach genügt vorerst eine Testierung/Zertifizierung nach
- ISO/IEC 27001 (in der jeweils gültigen Fassung)
- ISO 27001 auf Basis des IT-Grundschutzes (BSI)
- Cloud Controls Matrix (CCM) Version 4.0 (in der jeweils gültigen Fassung)
Und zusätzlich:
- Eine Dokumentation, aus der hervorgeht, welche C5-Anforderungen durch die bestehende Zertifizierung nicht abgedeckt sind.
- Eine Dokumentation der technischen und organisatorischen Maßnahmen, die getroffen wurden, um die bestehenden Lücken zu schließen, inkl. Meilensteinplanung zur Schließung der Lücken innerhalb der nächsten 12 Monate.
- Ein Nachweis, wie innerhalb von 18 Monaten ein C5-Typ1-Testat bzw. innerhalb von 24 Monaten ein C5-Typ2-Testat erreicht werden soll.
Die vollständige Umsetzung muss spätestens zum 01.07.2027 erfolgt sein!
Verfügt der Hersteller weder über ein C5-Typ2-Testat noch über gleichwertige Sicherheitsnachweise, darf die SaaS nicht mehr angeboten bzw. genutzt werden. Die Datenschutzbeauftragten von Gesundheitseinrichtungen sollten bei den Herstellern/Cloud-Dienstleistern, zu denen eine Geschäftsbeziehung besteht, das Vorliegen des C5-Typ2-Testat bzw. der gleichwertige Sicherheitsnachweise abfragen und dokumentieren.
24. Juli 2025 @ 15:46
Wie Sie im Text erwähnen:
„Zum Teil wird aber auch in der Praxis die Auffassung vertreten, dass es ausreicht, wenn der Hersteller auf das C5-Testat des Cloud-Dienste-Anbieters verweist.“
Spricht etwas gegen diese Auffassung bzw. gibt es hier eine Klarstellung ob die Auffassung falsch ist?
24. Juli 2025 @ 8:24
2027? das stimmt nicht. Hat das hier eine KI gemacht? Die Übergangsregelung mag definiert nicht bis wann. Aber ab 07.25 ist Typ verplfichtend. Und damit ist der Übergang nicht mehr gültig.
Also: Übergang gilt nicht mehr. Typ2 MUSS sein, sonst kann es teuer werden.
24. Juli 2025 @ 13:07
Lieber Leser, vielen Dank für Ihren Kommentar.
Die Formulierung, dass eine vollständige Umsetzung pauschal zum 01.07.2025 erfolgen soll, ist so nicht (mehr) korrekt.
In der früheren Fassung der C5GleichwV war tatsächlich in § 2 Abs. 3 eine Übergangsregelung bis Juli 2027 enthalten. Dieser Absatz ist jedoch in der aktuellen Verordnung nicht mehr vorhanden. (vgl. https://www.gesetze-im-internet.de/c5gleichwv/BJNR05B0A0025.html)
Stattdessen gilt nun Folgendes:
Wenn beim Cloud-Dienstleister/Hersteller bisher nur ein Typ1-Testat oder ein gleichwertiges Zertifikat vorliegt, sollte nun umgehend ein Maßnahmenplan (nach § 1 Abs. 2 C5GleichwV) erstellt werden, um diesen zu dokumentieren und die Umsetzung samt Auditierung vertraglich einzuleiten. Nur so können die Dienstleister/Hersteller auch über den 01.07.2025 hinaus ihre Cloud-Lösungen rechtskonform weiter betreiben.
Das bedeutet: Der Übergang ist weiterhin möglich, aber nicht pauschal bis Juli 2027, sondern individuell abhängig vom Zeitpunkt der Maßnahmenplanung.
Wenn der Maßnahmenplan also jetzt (Juli 2025) erstellt wird, ergibt sich daraus ein „spätester“ Zeitpunkt für das Typ2-Testat im Juli 2027.
Viele Grüße
Ihre Blogredaktion
14. September 2025 @ 12:51
Das stimmt nicht. C5 genügt nicht für den Unterauftragnehmer allein.
16. September 2025 @ 13:46
Vielen Dank für Ihren Kommentar.
Überwiegend wird die Auffassung vertreten, dass bei der Einbindung von Unterauftragnehmern, die unmittelbar in eine SaaS-Leistung eingebunden sind, sowohl der Hauptdienstleister als auch der Unterauftragnehmer ein C5-Typ2-Testat vorweisen müssen. Dies haben wir auch im Beitrag so dargestellt.
Gleichwohl gibt es Stimmen – insbesondere auf Seiten der Hersteller –, die meinen, dass das Testat des Unterauftragnehmers ausreiche. Diese Sichtweise ist jedoch sehr umstritten. Nachvollziehbar erscheint sie allenfalls in den Fällen, in denen der Hersteller faktisch die gesamte Infrastruktur des Unterauftragnehmers nutzt. Dem ist allerdings entgegenzuhalten, dass selbst bei einer vollständigen Auslagerung stets bestimmte Verantwortlichkeiten beim Hersteller verbleiben, etwa die Umsetzung wirksamer Zugriffskontrollen.
Im Ergebnis wird man daher – trotz einiger gegenteiliger Stimmen – der restriktiveren Auffassung folgen müssen: Ein eigenes C5-Typ2-Testat des Herstellers ist grundsätzlich erforderlich.
Viele Grüße
Ihre Blogredaktion
16. September 2025 @ 13:46
Vielen Dank für Ihren Kommentar.
Überwiegend wird die Auffassung vertreten, dass bei der Einbindung von Unterauftragnehmern, die unmittelbar in eine SaaS-Leistung eingebunden sind, sowohl der Hauptdienstleister als auch der Unterauftragnehmer ein C5-Typ2-Testat vorweisen müssen. Dies haben wir auch im Beitrag so dargestellt.
Gleichwohl gibt es Stimmen – insbesondere auf Seiten der Hersteller –, die meinen, dass das Testat des Unterauftragnehmers ausreiche. Diese Sichtweise ist jedoch sehr umstritten. Nachvollziehbar erscheint sie allenfalls in den Fällen, in denen der Hersteller faktisch die gesamte Infrastruktur des Unterauftragnehmers nutzt. Dem ist allerdings entgegenzuhalten, dass selbst bei einer vollständigen Auslagerung stets bestimmte Verantwortlichkeiten beim Hersteller verbleiben, etwa die Umsetzung wirksamer Zugriffskontrollen.
Im Ergebnis wird man daher – trotz einiger gegenteiliger Stimmen – der restriktiveren Auffassung folgen müssen: Ein eigenes C5-Typ2-Testat des Herstellers ist grundsätzlich erforderlich.
Viele Grüße
Ihre Blogredaktion