C5 Testat – Auf einen Blick

• Was ist das C5-Testat? Das C5-Testat ist ein vom BSI entwickelter Sicherheitsnachweis, der bestätigt, dass Cloud-Dienste definierte Mindeststandards für Informationssicherheit erfüllen und sich damit für die Verarbeitung sensibler Gesundheits- und Sozialdaten eignen.
• Warum ist das C5-Testat gesetzlich relevant? Durch § 393 SGB V ist ein C5-Testat verpflichtend geworden. Gesundheitsdaten dürfen in der Cloud nur verarbeitet werden, wenn ein aktuelles und gültiges Testat vorliegt, das die Erfüllung aller technischen und organisatorischen Anforderungen nachweist.
• Wer benötigt ein C5-Testat? Ein C5-Testat benötigen alle Anbieter und Betreiber, die Cloud-Dienste für Sozial- oder Gesundheitsdaten bereitstellen oder nutzen.
• Was unterscheidet C5 Typ 1 und Typ 2? C5 Typ 1 bestätigt, dass Sicherheitsmaßnahmen zum Prüfzeitpunkt implementiert sind, während Typ 2 zusätzlich ihre Wirksamkeit über einen längeren Zeitraum nachweist und seit Juli 2025 der verpflichtende Standard im Gesundheitswesen ist.
• Welche Vorteile bietet das C5-Testat Leistungserbringern? Das C5-Testat bietet Leistungserbringern geprüfte Sicherheit, klare Compliance-Nachweise und transparente Prüfberichte – und schafft damit eine verlässliche Grundlage für TI-fähige, moderne und rechtskonforme Cloud-Lösungen.

Definition: Was ist das C5-Testat? (Cloud Computing Compliance Criteria Catalogue)

Das C5-Testat ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Prüfstandard, der die Sicherheit, Transparenz und Zuverlässigkeit von Cloud-Diensten nach klar definierten deutschen Anforderungen bestätigt. Grundlage ist der C5-Kriterienkatalog, der 17 Themengebiete und insgesamt 125 Prüfkriterien umfasst – von technischen Schutzmaßnahmen bis zu organisatorischen Sicherheitsprozessen.

Ein unabhängiger Wirtschaftsprüfer bescheinigt nach erfolgreicher Prüfung, dass ein Anbieter die Anforderungen erfüllt. Für Krankenhäuser, Arztpraxen und andere Organisationen des Gesundheitswesens wird das C5-Testat damit zu einem verlässlichen Qualitäts- und Sicherheitsnachweis.

IT-Grundschutz – gesetzliche C5-Anforderungen

Die gesetzlichen Anforderungen an das C5-Testat ergeben sich unmittelbar aus § 393 SGB V, der durch das Digital-Gesetz (DigiG) neu eingeführt wurde. Seit Juli 2024 ist damit klar geregelt, unter welchen Bedingungen Sozial- und Gesundheitsdaten in der Cloud verarbeitet werden dürfen – und welche Nachweise Cloud-Anbieter und Leistungserbringer erbringen müssen.

Im Kern verlangt der Gesetzgeber, dass Cloud-Dienste im Gesundheitswesen nur genutzt werden dürfen, wenn ein aktuelles C5-Testat vorliegt und bestimmte Sicherheitskriterien nachweislich erfüllt werden. Wesentliche gesetzliche Anforderungen sind:

• C5-Testat ist Pflicht: Für alle Leistungserbringer, Kranken- und Pflegekassen sowie deren Auftragsdatenverarbeiter gilt, dass Gesundheits- und Sozialdaten nur in einer Cloud verarbeitet werden dürfen, wenn ein gültiges C5-Testat vorliegt.
• Anforderungen nach dem Stand der Technik: Die eingesetzten Cloud-Systeme müssen über angemessene technische und organisatorische Maßnahmen verfügen.
• Pflichten für Kunden (Leistungserbringer): Nicht nur der Cloud-Anbieter, sondern auch die Einrichtung selbst muss die im Prüfbericht genannten, kundenbezogenen C5-Kriterien umsetzen.
• Beschränkung des Speicherorts: Daten dürfen ausschließlich in der EU oder in Staaten gespeichert werden, für die ein Angemessenheitsbeschluss der EU nach Art. 45 DSGVO besteht.
  Diese Speicherort-Anforderung ist nur im Gesetz, nicht im C5-Katalog selbst verankert.
• C5 Typ 1 war nur bis Juni 2025 gültig: Laut § 393 Abs. 4 SGB V wird seit 01.07.2025 grundsätzlich ein C5-Typ-2-Testat gefordert, das zusätzlich die Wirksamkeit der Sicherheitsmaßnahmen im laufenden Betrieb nachweist.

Damit definiert der Gesetzgeber nicht nur einen freiwilligen Standard, sondern macht das C5-Testat zu einer verbindlichen Voraussetzung für moderne Cloud-Lösungen im Gesundheitswesen und schafft damit eine klare Grundlage für sichere digitale Infrastrukturen, auch im Hinblick auf die TI-Weiterentwicklung.

Warum das C5-Testat wichtig ist

Mit der zunehmenden Digitalisierung steigt das Risiko von Sicherheitsvorfällen, insbesondere dort, wo sensible Sozial- und Gesundheitsdaten verarbeitet werden. Genau hier setzt das C5-Testat an: Es schafft Transparenz, Vertrauen und eine verlässliche Grundlage für die Auswahl sicherer Cloud-Anbieter.

Das C5-Testat ist wichtig, weil es…

• ...Sicherheitslücken reduziert: Mit Homeoffice, Hybrid Work und steigender Cloud-Nutzung wächst die Angriffsfläche für Cyberkriminelle. Das C5-Testat stellt sicher, dass Cloud-Anbieter nachweislich robuste Sicherheitsmechanismen einsetzen.
• ...Komplexität beherrschbar macht: Die Vielzahl an Cloud-Lösungen erschwert Einrichtungen die Bewertung der tatsächlichen Sicherheitsstandards. Durch den standardisierten Kriterienkatalog des BSI erhalten Leistungserbringer ein klares, vergleichbares Prüfmaß.
• ...gesetzliche Anforderungen erfüllt: Seit Inkrafttreten von § 393 SGB V dürfen Sozial- und Gesundheitsdaten nur noch in Clouds verarbeitet werden, wenn ein aktuelles C5-Testat vorliegt.
• ...kontinuierliche Sicherheit belegt – nicht nur Momentaufnahmen: Während C5 Typ 1 nur bestätigt, dass die Sicherheitsmaßnahmen zu einem bestimmten Stichtag vorhanden sind, weist C5 Typ 2 nach, dass diese Maßnahmen über den gesamten Prüfzeitraum wirksam angewendet wurden. Damit ist Typ 2 der maßgebliche Standard für alle künftigen Gesundheitsanwendungen.
• ...eine Voraussetzung für moderne TI- und Cloud-Lösungen schafft: Mit der Weiterentwicklung der Telematikinfrastruktur und dem wachsenden Einsatz cloudbasierter Dienste wie dem TI-Gateway ist das C5-Testat die Grundlage, um sensitive Gesundheitsdaten sicher und gesetzeskonform zu verarbeiten.

BSI-C5-Testat – Kriterienkatalog

Der C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert die zentralen Mindestanforderungen für ein sicheres, transparentes und nachvollziehbares Cloud Computing. Er richtet sich in erster Linie an professionelle Cloud-Anbieter, Wirtschaftsprüfer und Organisationen, die Cloud-Dienste sicher einsetzen möchten – darunter zunehmend auch Gesundheitseinrichtungen, die Sozial- und Gesundheitsdaten verarbeiten.

Um Cloud-Sicherheit vergleichbar zu machen, bündelt der Katalog alle relevanten Anforderungen in einem strukturierten Rahmen. Grundlage sind 17 Themengebiete mit insgesamt 125 Prüfkriterien, die sowohl technische als auch organisatorische Schutzmaßnahmen abdecken. Dazu gehören u.a.:

• Sicherheitsmanagement & Governance
• physische und logische Zugriffskontrolle
• Verschlüsselung & Schlüsselmanagement
• Netzwerksicherheit
• Incident-Response-Prozesse
• Monitoring & Protokollierung
• Rollen- und Berechtigungsmanagement
• Compliance & Datenschutz

Auswirkung des C5-Testats für Leistungserbringer im Gesundheitswesen

Die C5-Anforderungen wirken sich unmittelbar auf den Alltag von Gesundheitseinrichtungen aus – sowohl organisatorisch als auch technisch:

Rechtssicherheit bei der Cloud-Nutzung

Leistungserbringer dürfen Cloud-Dienste nur nutzen, wenn der Dienst ein aktuelles C5-Testat (Typ 2 seit 01.07.2025) besitzt. Ohne diesen Nachweis ist die Verarbeitung von Gesundheitsdaten in der Cloud unzulässig.

Verpflichtung zur Umsetzung eigener C5-Anforderungen

Ein C5-Testat prüft nicht nur den Anbieter, auch die korrespondierenden Kundenkriterien müssen von der Einrichtung umgesetzt werden – z.B.:

• Zugriffs- und Berechtigungsmanagement
• Protokollierung
• Verschlüsselungs- und Schlüsselverwaltung
• Risikoanalyse und interne Sicherheitsregeln

Damit entsteht eine neue Verantwortungsebene für IT, Datenschutz und Management.

Cloud-Anbieter müssen sorgfältiger gewählt werden

Leistungserbringer sind verpflichtet, darauf zu achten, dass:

• der Cloud-Anbieter in der EU oder einem Staat mit Angemessenheitsbeschluss arbeitet
• das C5-Testat aktuell ist (Typ 2)
• die verwendeten Dienste tatsächlich vom Testat abgedeckt sind

Was Leistungserbringer konkret gewinnen

Auch wenn der Aufwand steigt, profitieren alle Leistungserbringergruppen langfristig von klaren Standards:

• Höhere Datensicherheit durch geprüfte Cloud-Systeme
• Transparenz über Sicherheitsmaßnahmen, Rollen und Verantwortlichkeiten
• Compliance-Sicherheit für alle Cloud-Einsätze
• Orientierung bei der Anbieterauswahl durch einheitliche Prüfberichte
• Stärkere Absicherung gegen Cyberangriffe – gerade im Gesundheitswesen essenziell

Anforderungen an Betreiber – C5 Typ 1 & C5 Typ 2

Für Betreiber von IT-Systemen im Gesundheitswesen gelten seit § 393 SGB V klare Vorgaben: Wer Gesundheits- oder Sozialdaten in der Cloud verarbeitet, benötigt zwingend ein gültiges C5-Testat.

Damit wird erstmals rechtlich verbindlich festgelegt, welche Sicherheitsnachweise Cloud-Dienste erfüllen müssen und welche Verantwortung auf Betreiberseite entsteht. Laut Gesetzestext müssen Betreiber dann ein aktuelles C5-Testat verlangen bzw. vorlegen, wenn sie:

• medizinische Informationssysteme (z.B. PVS, KIS) in der Cloud betreiben,
• Gesundheitsdaten in Cloud-Speichern ablegen,
• oder Software-as-a-Service-Lösungen einsetzen, die Sozial- oder Gesundheitsdaten verarbeiten.

Damit betrifft die Regelung praktisch jede Einrichtung, die Cloud-Dienste für Dokumentation, Kommunikation, Archivierung, Telemedizin oder digitale Pflegeanwendungen nutzt.

C5 Typ 1 vs. C5 Typ 2 – worin liegt der Unterschied?

Bis zum 30. Juni 2025 genügte ein C5-Typ-1-Testat; ab dem 1. Juli 2025 ist jedoch verpflichtend ein C5-Typ-2-Testat erforderlich. Nachstehend die Unterschiede im Überblick:

C5 Typ 1 – Prüfpunktbezogen

• Prüft die Implementierung (Nachweis, dass die Anforderungen zum Prüfzeitpunkt umgesetzt sind).
• Gültig als Übergangsnachweis.
• Für viele Anbieter der erste Schritt in Richtung vollständiger Zertifizierung.

C5 Typ 2 – Wirksamkeitsnachweis über Zeitraum

• Prüft zusätzlich, ob die Maßnahmen durchgehend wirksam waren – meist über 6 bis 12 Monate.
• Erhöht die Aussagekraft erheblich, da nicht nur dokumentiert wird, was existiert, sondern auch, wie zuverlässig es im Alltag funktioniert.
• Ab Juli 2025 gesetzlicher Standard für alle Betreiber im Gesundheitswesen.

Was Betreiber konkret tun müssen

• Ein aktuelles C5-Testat ihres Cloud-Dienstleisters einfordern. Ohne dieses Testat ist Cloud-Verarbeitung von Gesundheitsdaten nicht zulässig.
• Prüfen, ob das Testat alle eingesetzten Dienste abdeckt. Manche Anbieter zertifizieren nur einzelne Module – das reicht gesetzlich nicht aus.
• Sicherstellen, dass eigene Kundenkriterien erfüllt werden. Denn § 393 verlangt, dass Betreiber die im Testat genannten „korrespondierenden Kriterien“ selbst umsetzen (z.B. Zugriffsverwaltung, Verschlüsselungsregeln, Risikomanagement).
• Cloud-Dienste in der EU oder in Staaten mit DSGVO-Angemessenheitsbeschluss auswählen.

Wichtig: Die Gesetzgebung verlangt nicht, dass auch die Zusatzkriterien des C5-Katalogs erfüllt werden – die Basiskriterien sind ausreichend.

Häufige Fragen und Antworten

Was ist das C5 Testat?

Das C5-Testat ist ein vom BSI entwickelter Sicherheitsnachweis, der bestätigt, dass ein Cloud-Dienst definierte Mindestanforderungen an Informationssicherheit erfüllt. Es schafft Transparenz darüber, wie ein Anbieter Daten schützt, und ist im Gesundheitswesen zwingend erforderlich, wenn Sozial- oder Gesundheitsdaten in der Cloud verarbeitet werden.

Wer braucht eine C5 Zertifizierung?

Ein C5-Testat benötigen alle Leistungserbringer, die Cloud-Dienste für die Verarbeitung von Sozial- oder Gesundheitsdaten nutzen – darunter Krankenhäuser, Pflegeeinrichtungen, Arztpraxen, Softwareanbieter, Medizinproduktehersteller sowie deren Auftragsdatenverarbeiter. Für Cloud-Anbieter selbst ist das Testat Voraussetzung, um überhaupt im Gesundheitswesen eingesetzt werden zu dürfen.

Wie erhält man das C5 Testat?

Ein C5-Testat wird durch eine unabhängige Prüfung (Audit) durch Wirtschaftsprüfer oder spezialisierte Prüfer vergeben. Der Anbieter muss dafür den C5-Standard des BSI nachweislich erfüllen.