Gesundheitseinrichtungen setzen zunehmend Cloud-basierte IT-Anwendungen ein. Um dieser Entwicklung einen sicheren Rahmen zu geben, hat das Bundesministerium für Gesundheit (BMG) in 2024 das „Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens“ erlassen. Das kurz „Digital-Gesetz“ genannte Gesetz erlaubt Gesundheitseinrichtungen, sensible Patientendaten mit Cloud-Services zu verarbeiten, sofern die Anbieter für diese einen Prüfbericht gemäß des etablierten „Kriterienkatalog Cloud Computing“ (kurz „C5“) erlangt haben.
Das Digital-Gesetz, genauer §393 Sozialgesetzbuch (SGB) V, erfasst vielfältige, oft als Software as a Service (SaaS) bereitgestellte Dienste. Hierunter können Dienste fallen, die beispielsweise Chatbots anbieten, gesprochene Sprache in Texte umwandeln (Speech-to-Text), beim Übertragen sowie Auswerten von Sensordaten und Bildern (MRT, Röntgen etc.) unterstützen oder telemedizinische Leistungen ermöglichen. Auch können Applikationen für das Abrechnen von Leistungen oder umfangreiche Praxis- und Krankenhausinformationssysteme erfasst sein, wenn sie als Cloud-Dienste bereitgestellt werden.
Das Wichtigste in 30 Sekunden
- Gesundheitseinrichtungen dürfen Cloud-Dienste zum Verarbeiten von Patientendaten nutzen, sofern für diese Dienste ein BSI C5-Bericht Typ 2 vorliegt.
- Der C5 ist ein vom Bundesamt für Sicherheit in der Informationstechnik („BSI“) herausgegebener Katalog, der Sicherheitskriterien für den Betrieb von Cloud-Diensten definiert.
- Die BSI C5-Prüfung findet beim Anbieter des Cloud-Dienstes statt – dieser muss die BSI C5-Kriterien mit geeigneten Sicherheitsmaßnahmen (Kontrollen) erfüllen.
- Das Fehlen eines BSI C5-Berichts kann dazu führen, dass Anbieter Cloud-basierter IT-Services nicht mehr an Ausschreibungen teilnehmen können.
- Anbieter von Cloud-Diensten sollten sich mit BSI C5-Konformität befassen, wenn sie Gesundheitseinrichtungen als Kunden haben:
- Krankenkassen
- Sozialversicherungsträger
- Ämter & Behörden für Sozialangelegenheiten
- Leistungserbringer wie Praxen, Versorgungszentren oder Krankenhäuser
Ihr Experte für Fragen
Markus Vehlow
Partner | Cloud Provider Risk, Regulatory & Compliance Assurance bei PwC Deutschland
E-Mail
Die Übergangsregelung „C5-Gleichwertigkeitsverordnung“
In 2025 hat das BMG die C5-Gleichwertigkeitsverordnung erlassen. Mit diesem Übergangsmechanismus ist es Gesundheitseinrichtungen erlaubt, Patientendaten mit einem Cloud-Dienst zu verarbeiten, auch wenn für diesen noch kein BSI C5-Prüfbericht Typ 2 verfügbar ist.
Voraussetzung dafür ist, dass der Anbieter des Cloud-Dienstes:
- ein ISO 27001 Zertifikat oder ein ISO 27001 Zertifikat auf der Basis von IT-Grundschutz oder ein Testat/Zertifikat für die Cloud Controls Matrix Version 4.0 erlangt hat sowie
- etwaige Lücken zwischen bereits bestehenden Sicherheitsmaßnahmen und den BSI C5 Kriterien ermittelt hat (etwa mit einem von PwC durchgeführten Gap Assessment) und
- einen Maßnahmen- und Meilensteinplan entwickelt hat, mit dem er ab einem selbst gewählten Stichtag innerhalb von 12 Monaten BSI C5 Konformität herstellt und innerhalb weiterer 12 Monate einen BSI C5 Bericht Typ 2 erlangt.
Seit dem 1. Juli 2025 sieht das Digital-Gesetz vor, dass seitens des Cloud-Anbieters ein BSI C5 Prüfbericht Typ 2 vorliegen muss: Dies bedeutet, dass in der Prüfung geprüft wird, inwieweit die vom Cloud-Anbieter eingerichteten Kontrollen über einen bestimmten Zeitraum (meist zwischen sechs und zwölf Monate) sowohl angemessen ausgestaltet als auch tatsächlich wirksam waren.
„Aufgrund unserer umfangreichen Erfahrung mit Prüfungs- und Beratungsprojekten für Cloud-Anbieter unterschiedlicher Größe kennen wir die Herausforderungen, die BSI C5 Konformität für Cloud-Anbieter bedeuten kann.“
Der Weg zur C5-Konformität: Ein strategischer Fahrplan
Standortbestimmung und Planung
Zu Beginn ist die Frage: Inwiefern ist die Organisation auf eine BSI C5-Prüfung vorbereitet? Mit einem Gap Assessment lässt sich ermitteln, inwieweit bestehende technische und organisatorische Maßnahmen die anwendbaren C5-Kriterien bereits erfüllen. Ziel ist es, sichtbar zu machen, hinsichtlich welcher Kriterien gegebenenfalls Handlungsbedarf besteht, einen Aufsatzpunkt für das Definieren von Maßnahmen zu schaffen und einen Zeitplan für die Vorbereitung und die Prüfung zu entwickeln.
Wichtig hierbei: Das BSI wird demnächst eine neue C5-Version veröffentlichen und Wettbewerber streben gegebenenfalls auch einen BSI C5-Prüfbericht an.
Durchführen der BSI C5-Prüfung
Sobald ein Cloud-Anbieter seine Vorbereitungen abgeschlossen hat, kann er die Prüfung beginnen. Als Wirtschaftsprüfungsgesellschaft können wir Prüfungen gemäß BSI C5 (Typ 1 und Typ 2) durchführen. Hierzu stimmen wir den Prüfungsumfang (insbesondere die zu inkludierenden Cloud-Dienste) sowie den zeitlichen Ablauf eng ab und entwickeln einen passgenauen Prüfplan, um einen reibungslosen Ablauf der Prüfung zu ermöglichen.
Implementieren erforderlicher Kontrollen
Sofern vor einer Prüfung noch Lücken zu schließen sind, gilt es für Cloud-Anbieter, sich gezielt vorzubereiten. Sofern PwC nicht mit der BSI C5-Prüfung beauftragt ist, können wir mit individuell abgestimmten Tätigkeiten unterstützen. Diese können etwa das Entwickeln, Abstimmen und Implementieren von Kontrollen sowie das Integrieren dieser in vorhandene, umfangreichere Kontroll- oder Informationssicherheitsmanagementsysteme umfassen.
Das Navigieren dieses Prozesses erfordert tiefgehendes Fachwissen hinsichtlich der technischen Kriterien und formalen Rahmenbedingungen. Ein erfahrener Partner kann den Weg zur erfolgreichen BSI C5-Prüfung entscheidend beschleunigen und absichern.
Mit unserem bewährten Vorgehen haben wir in den letzten Jahren bereits zahlreiche Cloud-Anbieter mit Prüfungs- und Beratungsprojekten hinsichtlich BSI C5 erfolgreich begleitet.
Contact us
Partner, Cloud Provider Risk, Regulatory & Compliance Assurance, PwC Germany
Tel.: +49 160 7139416
