C5-Testat im Gesundheitswesen: Worauf es wirklich ankommt. Erfahren Sie, welche Anforderungen Cloud-Anbieter erfüllen müssen und wie Sie Compliance- sowie Haftungsrisiken vermeiden.

In diesem Blogartikel erfahren Sie, worauf Arztpraxen und Kliniken bei der Auswahl von Cloud-Anbietern achten sollten. Wir erklären die Unterschiede zwischen der C5-Testierung von Rechenzentren und Software, zeigen wichtige Compliance-Anforderungen auf und erläutern, wie sich Datenschutz- und Haftungsrisiken reduzieren lassen.
Wer im Gesundheitswesen digitale Prozesse einführt, Cloud-Lösungen implementiert oder Künstliche Intelligenz nutzt, steht vor großen Herausforderungen bei der IT-Sicherheit. Die Digitalisierung entlastet zwar den Alltag, doch der Schutz sensibler Patient:innendaten hat oberste Priorität. Um diesen zu gewährleisten, rückt die C5-Testat-Pflicht im Gesundheitswesen immer stärker in den Fokus. Grund dafür ist das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (GDNG), das in §393 SGB V strenge Sicherheitsvorgaben für die Cloud-Nutzung in der Medizin verankert.
Bei der Umsetzung dieser gesetzlichen Vorgaben orientierten sich medizinische Einrichtungen unweigerlich an den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Cloud Computing Compliance Criteria Catalogue (C5) gilt hierbei als der strengste deutsche Kriterienkatalog für Informationssicherheit.
Der Standard wurde entwickelt, um die Informationssicherheit von Cloud-Diensten transparent und messbar zu machen. Das C5-Testat des Gesundheitswesens umfasst über 120 Kriterien in 17 verschiedenen Kriterien Bereichen, darunter das Identitäts- und Zugriffsmanagement, die Business Continuity, die Vorfallsbehandlung (Incident Management) und die Datensicherheit.
Bei der Marktrecherche stoßen IT-Verantwortliche, Praxisinhaber:innen und Klinikgeschäftsführer:innen häufig auf die Formulierung: „Unsere Anwendung läuft in einem C5-testierten Rechenzentrum.“
Aus regulatorischer und datenschutzrechtlicher Sicht greift diese Aussage zu kurz. Ein C5-Testat für die physische Infrastruktur (das Rechenzentrum) ist nicht gleichzusetzen mit einem C5-Testat für die Software-Anwendung selbst. Die Zertifizierung der Hardware vererbt sich nicht automatisch auf die darauf betriebene Software. Wird diese Lücke übersehen, verbleibt das Haftungsrisiko bei der Betreiber:in, da die bloße Server-Zertifizierung die gesetzliche C5-Testat-Pflicht für die genutzte Software nicht erfüllt.
Für die IT-Compliance wird daher zwischen zwei Ebenen unterschieden:
Gemäß der DSGVO und den berufsrechtlichen Vorgaben tragen Praxisleitungen und Klinikvorstände die datenschutzrechtliche Verantwortung für die Auswahl ihrer Auftragsverarbeiter. Die folgende Checkliste dient als Leitfaden zur Überprüfung potenzieller Cloud-Anbieter:
Prüfhinweis: Fordern Sie vom Anbieter gezielt das C5-Prüfungsurteil (IDW PS 860 oder ISAE 3000) für die spezifische Software-Anwendung an. Liegt nur das Testat des Hosting-Partners vor, sind die softwareseitigen Kontrollen des BSI nicht abgedeckt. Hier greift für medizinische Einrichtungen die C5-Testat-Pflicht.
Viele Software-Hersteller nutzen europäische Server-Standorte von US-amerikanischen Cloud-Anbietern (sogenannten Hyperscalern). Unabhängig vom physischen Standort des Servers in Deutschland unterliegen diese US-Mutterkonzerne dem Clarifying Lawful Overseas Use of Data Act (US Cloud Act). Dieser verpflichtet US-Unternehmen, US-Behörden auf richterliche Anordnung hin Zugriff auf Daten zu gewähren, selbst wenn diese außerhalb der USA gespeichert sind.
Prüfhinweis: Ein herstellereigenes C5-Testat des Software-Anbieters löst diesen Jurisdiktionskonflikt nicht. Der C5-Standard (Kriterium BC-05) fordert vom Anbieter lediglich Transparenz darüber, wie er mit staatlichen Ermittlungsanfragen umgeht – er schließt den Zugriff durch den US Cloud Act jedoch nicht aus.
Wenn Sie im Gesundheitswesen absolute Datensouveränität benötigen, müssen Sie im Rahmen Ihres Risikomanagements prüfen:
Bei einer externen Datenschutzprüfung oder einem internen Audit durch den Datenschutzbeauftragten (DSB) der Klinik reicht der Verweis auf das Rechenzentrum des Dienstleisters nicht aus. Die Nachweispflicht erstreckt sich auf die gesamte Datenverarbeitungskette.
Prüfhinweis: Anbieter mit einem eigenen, herstellerspezifischen BSI-C5-Testat liefern die hierfür notwendige Dokumentation standardmäßig mit. Dies reduziert den Argumentations- und Prüfaufwand bei Datenschutz-Audits massiv, da die technischen und organisatorischen Maßnahmen (TOMs) bereits unabhängig testiert sind.
Achtung: Das Testat erleichtert den Nachweis der IT-Sicherheit erheblich, ersetzt jedoch nicht die Pflicht der Klinik, für den Einsatz der Anwendung eine eigene Datenschutz-Folgenabschätzung (DSFA) zu dokumentieren.
Eine fehlende oder unvollständige C5-Testierung im Gesundheitswesen kann für die Verantwortlichen Konsequenzen haben. Da medizinische Patient:innendaten unter den besonderen Schutz der DSGVO fallen, herrscht bei den Aufsichtsbehörden eine strikte Null-Toleranz-Politik gegenüber Sicherheitsmängeln. Wenn Praxisleitungen oder Klinikgeschäftsführer:innen ihre IT-Dienstleister nicht sorgfältig prüfen, gilt dies im Ernstfall als Verletzung der datenschutzrechtlichen Sorgfaltspflicht. Die Landesdatenschutzbehörden können in solchen Fällen empfindliche Bußgelder verhängen.
Zudem greift bei mangelhafter IT-Compliance das Prinzip der Organisationshaftung. Kommt es zu einem Datenleck durch eine ungeprüfte Software, haften Praxisinhaber:innen und Klinikvorstände unter Umständen persönlich für das Organisationsverschulden. Ein nachweisbares C5-Testat ist im Gesundheitswesen daher weit mehr als nur ein technisches Dokument. Sie dient der Führungsebene als rechtlicher Schutzschirm, um das eigene Haftungsrisiko bei einer externen Prüfung oder einem Hackerangriff effektiv zu minimieren.
Um den hohen Anforderungen des Gesundheitswesens gerecht zu werden, müssen Cloud-Anwendungen eine Auditierung direkt auf Applikationsebene vorweisen. Ein unternehmenseigenes C5 Testat (Typ 1) wie das von VITAS belegt diese softwareseitige Prüfung. In Kombination mit einer Zertifizierung nach ISO 27001 basiert ein solcher Aufbau auf drei zentralen Säulen:
Medizinische Einrichtungen, die ihre Erreichbarkeit digital modernisieren und administrative Prozesse entlasten möchten, erhalten mit zertifizierten/testierten Lösungen eine technologische Basis, die Informationssicherheit und Datenschutz im Rahmen der C5-Testat-Pflicht nachweisbar auf Software-Ebene abbildet.
Erfahren Sie mehr über unsere zertifizierten Sicherheitsstandards oder testen Sie den VITAS KI-Telefonassistenten 30 Tage kostenlos auf www.telefonassistent.de.
