1. Themen
  2. Cloud Computing
  3. C5-Testat in deutschen Krankenhäusern

C5-Testat in deutschen Krankenhäusern

Cloud

Veröffentlicht 25.07.2025 09:40, Kim Wehrs

Mit dem Inkrafttreten des Digitalgesetzes (DigiG) im Juli 2024 ist für alle Krankenhäuser in Deutschland, die Cloud-Dienste zur Verarbeitung von Patientendaten nutzen, ein C5-Testat (Cloud Computing Compliance Criteria Catalogue) verpflichtend. Die tatsächliche Anzahl der Krankenhäuser, die bereits ein eigenes C5-Testat besitzen, ist aktuell nicht öffentlich dokumentiert. Cloud-Dienstleister registrieren: Die C5-Zertifizierung hat die Auswahl von Cloud-Anbietern für Krankenhäuser in Deutschland grundlegend verändert. 

Dieses C5-Testat, entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), bestätigt, dass Cloud-Dienste strenge Anforderungen an Datenschutz, Informationssicherheit und technische Maßnahmen erfüllen. Die C5-Zertifizierung ist damit ein zentraler Nachweis für Cybersecurity und Compliance im Gesundheitswesen.

Ein C5-Testat bescheinigt, dass der Cloud-Anbieter – und damit indirekt das Krankenhaus als Betreiber – die über 120 Sicherheitsanforderungen des BSI konsequent umsetzt. Dazu zählen unter anderem die Organisation der Informationssicherheit, Verschlüsselung, physische Sicherheit und der Umgang mit Sicherheitsvorfällen. Krankenhäuser müssen spätestens seit Juli 2024 sicherstellen, dass entweder sie selbst oder ihr Cloud-Anbieter ein aktuelles C5-Testat vorweisen können. Besonders für sogenannte KRITIS-Häuser (kritische Infrastrukturen) ist die Einhaltung dieser Vorgaben essenziell, um bei Audits und Prüfungen bestehen zu können.

Die tatsächliche Anzahl der Krankenhäuser, die bereits ein eigenes C5-Testat besitzen, ist aktuell nicht öffentlich dokumentiert. In der Praxis genügt es jedoch, wenn der genutzte Cloud-Dienstleister das Testat nachweist. Viele Krankenhäuser setzen daher auf zertifizierte Anbieter wie Telepaxx oder CompuGroup Medical, die explizit mit ihrem C5-Testat werben. Einzelne HealthTech-Unternehmen wie Recare haben für ihre Plattformen ebenfalls ein C5-Testat erhalten, sind aber Ausnahmen.

Insgesamt lässt sich festhalten: Die Mehrheit der Krankenhäuser in Deutschland sichert Cybersecurity und Compliance durch die Nutzung C5-zertifizierter Cloud-Dienste. Ein eigenes C5-Testat besitzen bislang nur wenige Einrichtungen, da die Gesetzgebung primär auf die Zertifizierung der Cloud-Anbieter abzielt. Die Umstellung auf sichere, regelkonforme Cloud-Infrastrukturen ist jedoch  branchenweit im Gang und wird offensichtlich durch die gesetzlichen Vorgaben weiter beschleunigt.

Krankenhäuser in Deutschland müssen ab Juli 2025 sicherstellen, dass alle eingesetzten Cloud-Dienste ein aktuelles C5-Typ-2-Testat besitzen. Sie sind verpflichtet, dies im Rahmen von Audits und Prüfungen nachzuweisen, insbesondere bei KRITIS-Prüfungen. Die C5-Testat-Pflicht betrifft sowohl die Krankenhäuser als Nutzer als auch die Cloud-Anbieter als Dienstleister, wobei die eigentliche Testierung in der Regel beim Cloud-Anbieter liegt. 

C5-Zertifizierung und Auswahl von Cloud-Anbietern für Krankenhäuser

Die Einführung der C5-Zertifizierung (Cloud Computing Compliance Criteria Catalogue) hat die Auswahl von Cloud-Anbietern für Krankenhäuser in Deutschland grundlegend verändert. Mit Inkrafttreten des § 393 SGB V und der verpflichtenden C5-Testierung für Cloud-Dienste im Gesundheitswesen ist die C5-Zertifizierung zu einem zentralen Entscheidungskriterium geworden. 

  • Rechtliche Verpflichtung: Krankenhäuser dürfen Cloud-Dienste zur Verarbeitung von Patientendaten nur dann nutzen, wenn der Anbieter ein gültiges C5-Testat (ab Juli 2025: Typ 2) vorweisen kann. Dies ist gesetzlich vorgeschrieben und wird bei Audits und Prüfungen kontrolliert.
  • Nachweis der IT-Sicherheit: Die C5-Zertifizierung bestätigt, dass der Cloud-Anbieter strenge Anforderungen an Datenschutz, Informationssicherheit, Verschlüsselung, Identitätsmanagement und Notfallmanagement erfüllt. Krankenhäuser können so sicherstellen, dass sensible Gesundheitsdaten bestmöglich geschützt sind.
  • Transparenz und Vertrauen: Das C5-Testat schafft Transparenz über die getroffenen Schutzmaßnahmen und stärkt das Vertrauen von Patienten, Datenschutzbeauftragten und Geschäftsführungen in die Sicherheit der Cloud-Lösung.
  • Reduziertes Haftungsrisiko: Durch die Wahl eines C5-zertifizierten Anbieters minimieren Krankenhäuser ihr eigenes Haftungsrisiko bei Datenschutzverstößen oder Sicherheitsvorfällen, da sie nachweisen können, anerkannte Standards eingehalten zu haben.
  • Marktzugang und Zukunftssicherheit: Viele Softwarelösungen und HealthTech-Anwendungen setzen heute die Nutzung eines C5-zertifizierten Cloud-Partners voraus. Anbieter ohne C5-Testat werden vom Markt zunehmend ausgeschlossen oder sind für Krankenhäuser nicht mehr wählbar.


C5-Testat für den Anbieter-Zugang zum Markt

Die C5-Zertifizierung ist das entscheidende Auswahlkriterium für Cloud-Anbieter im deutschen Gesundheitswesen. Krankenhäuser sind verpflichtet, ausschließlich C5-zertifizierte Anbieter zu wählen, um rechtlichen Vorgaben, Sicherheitsanforderungen und dem eigenen Risikomanagement gerecht zu werden. Anbieter ohne C5-Testat sind faktisch vom Markt ausgeschlossen. Die Zertifizierung sorgt für Transparenz, stärkt das Vertrauen und minimiert Risiken für Krankenhäuser, Patienten und Dienstleister gleichermaßen.

Autor: Wolf-Dietrich Lorenz
Foto: Adobe Stock / Brian

 


Lesen Sie mehr zum Thema "Cloud Computing"

SAP, Delos: unabhängige Cloud für das Gesundheitswesen
Cloud Computing
Cloud

SAP, Delos: unabhängige Cloud für das Gesundheitswesen

Wachsende Datenmengen ohne Daten-Silos
Cloud Computing
Archiv

Wachsende Datenmengen ohne Daten-Silos

Cloud Computing im Fokus: Neues BSI-Magazin erschienen
Cloud Computing
Magazin

Cloud Computing im Fokus: Neues BSI-Magazin erschienen

Universitätsklinikum Freiburg setzt auf Telekom und Google Cloud
Cloud Computing
Cloud

Universitätsklinikum Freiburg setzt auf Telekom und Google Cloud

Souveränität für Anwenderunternehmen in Cloud-Infrastrukturen
Cloud Computing
Cloud

Souveränität für Anwenderunternehmen in Cloud-Infrastrukturen

Datenräume zum souveränen und sicheren Austausch von Daten
Cloud Computing
Cloud

Datenräume zum souveränen und sicheren Austausch von Daten

Lesen Sie hier die neuesten Beiträge

Digitale Identitäten im Klinikalltag
IT-Sicherheit & Kritis
Ident

Digitale Identitäten im Klinikalltag

Interoperabilität von Medizingeräten: Chancen im Technologiemanagement
IT-Management
Interop

Interoperabilität von Medizingeräten: Chancen im Technologiemanagement

Zero Trust als Sicherheitsstandard für die TI 2.0 – Zuschlag erteilt
IT-Management
TI

Zero Trust als Sicherheitsstandard für die TI 2.0 – Zuschlag erteilt

Diese Webseite verwendet Cookies.   Mehr Info.      oder