C5-Testat-Pflicht im Gesundheitswesen: Worauf müssen Arztpraxen und Kliniken bei Cloud-Anbietern achten?

C5-Testat im Gesundheitswesen: Worauf es wirklich ankommt. Erfahren Sie, welche Anforderungen Cloud-Anbieter erfüllen müssen und wie Sie Compliance- sowie Haftungsrisiken vermeiden.

Portrait von Violetta Steinbrecher
Violetta Steinbrecher
Grüne Raute icon
Letztes Update:
July 8, 2026
Grüne Raute icon
Lesezeit:
ca. 10 Minuten
Ärzt:in am Laptop

Kurz zusammengefasst

In diesem Blogartikel erfahren Sie, worauf Arztpraxen und Kliniken bei der Auswahl von Cloud-Anbietern achten sollten. Wir erklären die Unterschiede zwischen der C5-Testierung von Rechenzentren und Software, zeigen wichtige Compliance-Anforderungen auf und erläutern, wie sich Datenschutz- und Haftungsrisiken reduzieren lassen.

Wer im Gesundheitswesen digitale Prozesse einführt, Cloud-Lösungen implementiert oder Künstliche Intelligenz nutzt, steht vor großen Herausforderungen bei der IT-Sicherheit. Die Digitalisierung entlastet zwar den Alltag, doch der Schutz sensibler Patient:innendaten hat oberste Priorität. Um diesen zu gewährleisten, rückt die C5-Testat-Pflicht im Gesundheitswesen immer stärker in den Fokus. Grund dafür ist das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (GDNG), das in §393 SGB V strenge Sicherheitsvorgaben für die Cloud-Nutzung in der Medizin verankert. 

Was ist die C5-Testierung im Gesundheitswesen überhaupt?

Bei der Umsetzung dieser gesetzlichen Vorgaben orientierten sich medizinische Einrichtungen unweigerlich an den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Cloud Computing Compliance Criteria Catalogue (C5) gilt hierbei als der strengste deutsche Kriterienkatalog für Informationssicherheit.

Der Standard wurde entwickelt, um die Informationssicherheit von Cloud-Diensten transparent und messbar zu machen. Das C5-Testat des Gesundheitswesens umfasst über 120 Kriterien in 17 verschiedenen Kriterien Bereichen, darunter das Identitäts- und Zugriffsmanagement, die Business Continuity, die Vorfallsbehandlung (Incident Management) und die Datensicherheit. 

Rechenzentrum vs. Software: Hier liegt der Unterschied

Bei der Marktrecherche stoßen IT-Verantwortliche, Praxisinhaber:innen und Klinikgeschäftsführer:innen häufig auf die Formulierung: „Unsere Anwendung läuft in einem C5-testierten Rechenzentrum.“

Aus regulatorischer und datenschutzrechtlicher Sicht greift diese Aussage zu kurz. Ein C5-Testat für die physische Infrastruktur (das Rechenzentrum) ist nicht gleichzusetzen mit einem C5-Testat für die Software-Anwendung selbst. Die Zertifizierung der Hardware vererbt sich nicht automatisch auf die darauf betriebene Software. Wird diese Lücke übersehen, verbleibt das Haftungsrisiko bei der Betreiber:in, da die bloße Server-Zertifizierung die gesetzliche C5-Testat-Pflicht für die genutzte Software nicht erfüllt.

Für die IT-Compliance wird daher zwischen zwei Ebenen unterschieden:

  • Die Infrastruktur (das Rechenzentrum): Verweist ein Anbieter lediglich auf das Testat seines Hosting-Partners (wie AWS, Microsoft Azure oder die Open Telekom Cloud), betrifft dieses Testat ausschließlich die physische und umgebungsbezogene Sicherheit. Es dokumentiert den Schutz vor Brand, Stromausfall oder Zutritt unbefugter Personen.
  • Die Applikation (die Software): Die eigentliche Software-Ebene bleibt dabei ungeprüft. Ein sicheres Gebäude schützt Daten nicht vor Programmierfehlern oder Hackern. Für eine C5-Testierung im Gesundheitswesen ist die Prüfung der Software-Ebene daher unerlässlich. Nur ein herstellereigenes Testat zertifiziert die Programmierung, die Datenströme der KI und die internen Prozesse des Software-Herstellers.

Kriterien für die IT-Compliance: Die 3-Punkte-Checkliste für das C5-Testat im Gesundheitswesen

Gemäß der DSGVO und den berufsrechtlichen Vorgaben tragen Praxisleitungen und Klinikvorstände die datenschutzrechtliche Verantwortung für die Auswahl ihrer Auftragsverarbeiter. Die folgende Checkliste dient als Leitfaden zur Überprüfung potenzieller Cloud-Anbieter:

1. Prüfbereich des Testats definieren: Infrastruktur vs. Applikation

  • Das Rechenzentrum-C5-Testat (Physische & logische Sciherheit der Cloud-Plattform): Es dokumentiert den Schutz der Hardware vor physischen Einwirkungen wie Brand, Stromausfall, Zutritt unbefugter Personen oder Netzwerkausfällen. Außerdem dokumentiert es auch die Mandantentrennung, Verschlüsselungsmechanismen der Storage-Infrastruktur und das Plattform-Identity-Management.
  • Das herstellereigene C5-Testat (Software- und Prozessebene): Es wird die logische Sicherheit der Anwendung geprüft. Hierbei werden kritische Fragen auditiert: Wie ist das Berechtigungsmanagement geregelt? Wer hat Zugriff auf die Patient:innendaten und Gesprächstranskripte? Wie sieht der Software-Entwicklungszyklus (Secure Coding) aus und wie wird mit potenziellen Sicherheitslücken (Vulnerabilities) umgegangen?

Prüfhinweis: Fordern Sie vom Anbieter gezielt das C5-Prüfungsurteil (IDW PS 860 oder ISAE 3000) für die spezifische Software-Anwendung an. Liegt nur das Testat des Hosting-Partners vor, sind die softwareseitigen Kontrollen des BSI nicht abgedeckt. Hier greift für medizinische Einrichtungen die C5-Testat-Pflicht.

2. Datenhoheit und Jurisdiktion (US Cloud Act)

Viele Software-Hersteller nutzen europäische Server-Standorte von US-amerikanischen Cloud-Anbietern (sogenannten Hyperscalern). Unabhängig vom physischen Standort des Servers in Deutschland unterliegen diese US-Mutterkonzerne dem Clarifying Lawful Overseas Use of Data Act (US Cloud Act). Dieser verpflichtet US-Unternehmen, US-Behörden auf richterliche Anordnung hin Zugriff auf Daten zu gewähren, selbst wenn diese außerhalb der USA gespeichert sind.

Prüfhinweis: Ein herstellereigenes C5-Testat des Software-Anbieters löst diesen Jurisdiktionskonflikt nicht. Der C5-Standard (Kriterium BC-05) fordert vom Anbieter lediglich Transparenz darüber, wie er mit staatlichen Ermittlungsanfragen umgeht – er schließt den Zugriff durch den US Cloud Act jedoch nicht aus.

Wenn Sie im Gesundheitswesen absolute Datensouveränität benötigen, müssen Sie im Rahmen Ihres Risikomanagements prüfen:

  1. Ob der Anbieter eine echte europäische Cloud-Infrastruktur nutzt, die keinerlei US-Jurisdiktion unterliegt (z. B. Open Telekom Cloud, Schwarz IT / STACKIT), oder

  2. Ob eine wirksame Ende-zu-Ende-Verschlüsselung (Confidential Computing) eingesetzt wird, bei der der Schlüssel ausschließlich im Besitz Ihrer Einrichtung bzw. des deutschen Herstellers bleibt, sodass der US-Infrastrukturbetreiber nur unlesbaren Datensalat herausgeben könnte.

3. Auditierung und Dokumentationspflicht gegenüber Landesdatenschutzbehörden

Bei einer externen Datenschutzprüfung oder einem internen Audit durch den Datenschutzbeauftragten (DSB) der Klinik reicht der Verweis auf das Rechenzentrum des Dienstleisters nicht aus. Die Nachweispflicht erstreckt sich auf die gesamte Datenverarbeitungskette.

Prüfhinweis: Anbieter mit einem eigenen, herstellerspezifischen BSI-C5-Testat liefern die hierfür notwendige Dokumentation standardmäßig mit. Dies reduziert den Argumentations- und Prüfaufwand bei Datenschutz-Audits massiv, da die technischen und organisatorischen Maßnahmen (TOMs) bereits unabhängig testiert sind.

Achtung: Das Testat erleichtert den Nachweis der IT-Sicherheit erheblich, ersetzt jedoch nicht die Pflicht der Klinik, für den Einsatz der Anwendung eine eigene Datenschutz-Folgenabschätzung (DSFA) zu dokumentieren.

Haftung und Risiken: Was passiert bei Verstößen gegen die C5-Testat-Pflicht?

Eine fehlende oder unvollständige C5-Testierung im Gesundheitswesen kann für die Verantwortlichen Konsequenzen haben. Da medizinische Patient:innendaten unter den besonderen Schutz der DSGVO fallen, herrscht bei den Aufsichtsbehörden eine strikte Null-Toleranz-Politik gegenüber Sicherheitsmängeln. Wenn Praxisleitungen oder Klinikgeschäftsführer:innen ihre IT-Dienstleister nicht sorgfältig prüfen, gilt dies im Ernstfall als Verletzung der datenschutzrechtlichen Sorgfaltspflicht. Die Landesdatenschutzbehörden können in solchen Fällen empfindliche Bußgelder verhängen.

Zudem greift bei mangelhafter IT-Compliance das Prinzip der Organisationshaftung. Kommt es zu einem Datenleck durch eine ungeprüfte Software, haften Praxisinhaber:innen und Klinikvorstände unter Umständen persönlich für das Organisationsverschulden. Ein nachweisbares C5-Testat ist im Gesundheitswesen daher weit mehr als nur ein technisches Dokument. Sie dient der Führungsebene als rechtlicher Schutzschirm, um das eigene Haftungsrisiko bei einer externen Prüfung oder einem Hackerangriff effektiv zu minimieren.

Kriterienkonforme  Software-Sicherheit: Wie moderne Cloud-Anwendungen aufgebaut sein müssen

Um den hohen Anforderungen des Gesundheitswesens gerecht zu werden, müssen Cloud-Anwendungen eine Auditierung direkt auf Applikationsebene vorweisen. Ein unternehmenseigenes C5 Testat (Typ 1) wie das von VITAS belegt diese softwareseitige Prüfung. In Kombination mit einer Zertifizierung nach ISO 27001 basiert ein solcher Aufbau auf drei zentralen Säulen:

  • Geprüfte Software-Prozesse: Über 120 Kriterien des BSI müssen softwareseitig greifen. Das betrifft das Berechtigungskonzept der Entwickler bis hin zu den Notfall- und Incident-Response-Plänen.
  • Infrastruktur ohne ausländische Drittanbieter: Das Hosting und die Datenverarbeitung erfolgen in der Kernfunktionalität auf deutschen Servern. Bei den Standardfunktionen des KI-Telefonassistenten und des Webseiten-Chatbots werden keine US-amerikanischen Drittanbieter eingebunden.
  • Hybride Steuerungslogik: Die Kombination aus Natural Language Understanding (NLU) und fest definierten, regelbasierten Prozessen stellt sicher, dass die KI im Dialog mit Patient:innen keine unkontrollierten Antworten generiert, sondern Daten strukturiert erfasst.

Medizinische Einrichtungen, die ihre Erreichbarkeit digital modernisieren und administrative Prozesse entlasten möchten, erhalten mit zertifizierten/testierten Lösungen eine technologische Basis, die Informationssicherheit und Datenschutz im Rahmen der C5-Testat-Pflicht nachweisbar auf Software-Ebene abbildet.

Erfahren Sie mehr über unsere zertifizierten Sicherheitsstandards oder testen Sie den VITAS KI-Telefonassistenten 30 Tage kostenlos auf www.telefonassistent.de.

Quelle 1
Quelle 2

In diesem Artikel

Haben Sie Fragen an uns?
Melden Sie sich gerne

Zur Kontaktseite ->

Über die Autorin

Portrait von Violetta Steinbrecher
Violetta Steinbrecher
Marketing Assistant

Violetta Steinbrecher studiert Betriebswirtschaftslehre mit den Schwerpunkten Marktforschung & Kommunikation und unterstützt das Team von VITAS seit September 2024 als Werkstudentin im Bereich Marketing.

Gemeinsam mit Amélie Roth arbeitet sie daran, innovative KI-Lösungen im Gesundheitswesen bekannter zu machen und die digitale Praxis-Kommunikation aktiv mitzugestalten. Dabei bringt sie ihre Leidenschaft für modernes Marketing ein, um die Vorteile der Plattform für Praxen und Patient:innen verständlich zu kommunizieren.

Mehr Artikel der Autorin ->
30 Tage unverbindlich testen
Grüne Raute icon
Automatische Kündigung
Grüne Raute icon
Keine versteckten Kosten

Mit einem Klick Ihren Kundenservice automatisieren

Jetzt kostenlos testen

Keine Zahlungsdaten erforderlich