Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 7. April 2026 den neuen Cloud Computing Compliance Criteria Catalogue (C5:2026) veröffentlicht, der die Vorgängerversion aus dem Jahr 2020 ersetzt. Für Cloud-Anbieter und Nutzer im Gesundheitswesen hat dies weitreichende rechtliche Konsequenzen, insbesondere im Zusammenspiel mit § 393 SGB V und dem seit Dezember 2025 geltenden NIS2-Umsetzungsgesetz. Wir erläutern, welche rechtlichen Anforderungen Leistungserbringer und Cloud-Anbieter jetzt beachten müssen.
Cloud-Computing erlaubt
Mit dem neuen § 393 SGB V schafft der Gesetzgeber erstmals eine klare Rechtsgrundlage für den Einsatz von Cloud-Diensten zur Verarbeitung von Gesundheits- und Sozialdaten. Die Vorschrift geht auf das erst im März 2024 verkündete Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens („Digital-Gesetz“, DigiG) zurück und trat mit Wirkung zum 1. Juli 2024 in seiner neuen Fassung in Kraft.
Die neue gesetzliche Regelung stellt einen Erlaubnistatbestand dar: Leistungserbringer im Gesundheitswesen sowie gesetzliche Kranken- und Pflegekassen dürfen Cloud-Computing-Dienste einsetzen, wenn bestimmte Cybersicherheitsanforderungen eingehalten werden. Zugleich ist die Norm als Verbotsregelung mit Erlaubnisvorbehalt zu lesen: Sind die Voraussetzungen der Absätze 2 bis 4 nicht erfüllt, ist die Verarbeitung rechtswidrig.
Branchenneutrale Cloud‑Dienste können von Regelung betroffen sein
Leistungserbringer im Sinne des Vierten Kapitels, Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten auch im Wege des Cloud-Computing-Dienstes verarbeiten, sofern die Voraussetzungen der Absätze 2 bis 4 erfüllt sind. Vom Anwendungsbereich des § 393 SGB V erfasst sind: Leistungserbringer nach dem Vierten Kapitel SGB V, z. B. Vertragsärzt:innen, Psychotherapeut:innen, Apotheken, Krankenhäuser, Hebammen.
Überraschend mag für einige sein, dass auch Anbieter unter die Regelung fallen, die „branchenneutrale“ Cloud-Lösungen anbieten, soweit Leistungserbringer im Sinne des Sozialgesetzbuches zu den Kunden gehören. Das können beispielsweise gewöhnliche Office-Anwendungen, ERP-Lösungen und Hinweisgebersystem-Portale sein. Cloud-Anbieter, die bislang nicht im Fokus der Gesundheitsregulierung standen, sollten ihren Kundenstamm daher sorgfältig analysieren.
Die vier Säulen der rechtlichen Anforderungen an Cloud-Dienste
§ 393 SGB V stellt mehrere kumulative Anforderungen auf, die gleichzeitig erfüllt sein müssen. Im Folgenden werden diese Anforderungen systematisch dargestellt.
1. Territoriale Beschränkung und Niederlassungspflicht (§ 393 Abs. 2 SGB V)
Die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes darf nur im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der DSGVO vorliegt, in einem Drittstaat erfolgen, und sofern die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt.
Hier sind zwei Aspekte besonders praxisrelevant:
- Drittlandtransfer: Vorsicht ist geboten bei Cloud-Anbietern, die die Cloud-Computing-Dienste in einem Drittland durchführen. Das ist nur zulässig, wenn für das Drittland ein Angemessenheitsbeschluss existiert. Das gilt aktuell für die USA, aber beispielsweise nicht für China oder Indien. Daran würden auch keine Standardvertragsklauseln oder ein Transfer Impact Assessment (TIA) etwas ändern. Diese Einschränkung ist strenger als die allgemeinen Regelungen der DSGVO, die unter bestimmten Voraussetzungen auch Drittlandtransfers auf Basis von Standardvertragsklauseln ermöglicht.
- Niederlassungspflicht: Das Erfordernis der inländischen Niederlassung gilt, wie sich eindeutig aus dem Wortlaut ergibt, in allen genannten Fällen, also auch dann, wenn die Datenverarbeitung innerhalb der EU oder gar im Inland stattfindet. Dies überrascht insofern, als der europäische Gesetzgeber von einem harmonisierten Datenschutzniveau in der EU ausgeht.
Cloud-Anbieter müssen sich darauf einstellen, dass (potentielle) Vertragspartner (z. B. Krankenhausträger) Auskunft darüber verlangen, ob eine Niederlassung im Inland besteht. Ohne deutsche Niederlassung besteht die Gefahr, dass Verträge gekündigt oder nicht abgeschlossen werden. Es ist daher zu erwägen, eine Niederlassung in Deutschland zu begründen.
2. Technische und organisatorische Maßnahmen (§ 393 Abs. 3 Nr. 1 SGB V)
Eine Verarbeitung nach Absatz 1 ist nur zulässig, wenn zusätzlich zu den Anforderungen des Absatzes 2 nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen worden sind.
Welche Maßnahmen als „angemessen“ gelten, richtet sich nach dem betroffenen Leistungserbringer:
- Für die vertragsärztliche und vertragszahnärztliche Versorgung gelten die Anforderungen gemäß § 390 SGB V. Für Krankenhäuser gelten die Vorgaben des § 391 SGB V. Krankenkassen müssen dem Branchenspezifischen Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV) entsprechen.
- In allen anderen Fällen gelten technische und organisatorische Maßnahmen als angemessen, wenn sie gleichwertig zu den Anforderungen nach § 391 sind. Der Angemessenheitsmaßstab gilt nicht, soweit Verarbeiter nach Absatz 1 ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.
3. C5-Nachweispflicht (§ 393 Abs. 3 Nr. 2 SGB V)
Ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik muss vorliegen. Dabei ist zu beachten, dass nicht die datenverarbeitende Stelle, sondern das Cloud-System und die Cloud-Technik zertifiziert werden.
4. Umsetzung der korrespondierenden Kundenkriterien (§ 393 Abs. 3 Nr. 3 SGB V)
Neben dem Nachweis des Cloud-Anbieters müssen auch die Nutzer (d.h. Leistungserbringer und Kassen) aktiv werden: Die im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden müssen umgesetzt sein. Das bedeutet: Die bloße Vorlage eines gültigen Nachweises durch den Cloud-Anbieter reicht nicht aus. Auch der Kunde muss die für ihn geltenden Sicherheitsvorgaben aus dem Prüfbericht erfüllen.
C5:2026: Mehr Kriterien und neue Anforderungen für moderne Cloud‑Architekturen
Inhaltlich baut der C5:2026 auf dem Fundament des C5:2020 auf. Viele der bewährten Kriterien bleiben in der neuen Version des C5 erhalten und werden durch neue Kriterien ergänzt, um den vielfältigen Entwicklungen der letzten sechs Jahre gerecht zu werden.
Ein erster wesentlicher Unterschied zur Vorversion liegt im Umfang. Während der C5:2020 aus 121 Kriterien bestand, umfasst der C5:2026 nun 168 Kriterien in 17 Themengebieten.
Drei Themenbereiche werden im BSI C5:2026 erstmals dezidiert aufgegriffen. Container-Management erhält wesentlich genauere Vorgaben als in der Vorgängerversion und reagiert damit auf eine Technologie, die in modernen Cloud-Architekturen längst Standard ist. Confidential Computing wird als eigenständiger Themenbereich verankert. Zudem enthält Kapitel 5.8 umfangreiche Vorgaben zur wirksamen Verschlüsselung, darunter den Einsatz von Hybridverfahren, mit denen absehbar zu schwache Algorithmen gehärtet werden sollen.
NIS‑2 erhöht Compliance‑, Haftungs‑ und Sanktionsrisiken für Cloud‑Anbieter im Gesundheitswesen
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Deutschland in Kraft. Es gibt keine Übergangsfristen für die Umsetzung der Sicherheitsmaßnahmen. Es verpflichtet Unternehmen und Behörden zu einem strukturierten Risikomanagement nach zehn definierten Maßnahmenbereichen, zu schnellen Meldepflichten bei Sicherheitsvorfällen und zur persönlichen Verantwortung der Geschäftsleitung. Diese Verantwortung ist nicht delegierbar und führt zu persönlicher Haftung der Vorstandsmitglieder und Geschäftsführer.
Cloud-Dienstleister im Gesundheitswesen stehen damit vor einer doppelten regulatorischen Herausforderung:
- § 393 SGB V verlangt den C5-Nachweis und die Einhaltung territorialer Beschränkungen.
- Das NIS2UmsuCG fordert darüber hinaus Registrierungspflichten, Meldepflichten und ein umfassendes Risikomanagement.
Für wesentliche Einrichtungen drohen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis 7 Mio. Euro oder 1,4 %. Geschäftsführer haften persönlich.
Übergangsfristen für den C5:2026
Ab dem 1. Juni 2027 müssen alle Prüfungen nach dem neuen C5:2026 erfolgen. Prüfungen, deren Berichtszeitraum vor dem 28. Februar 2027 endet, können noch vollständig nach C5:2020 durchgeführt werden. Software-Anbieter, die aktuell über ein C5:2020-Testat verfügen, müssen daher zeitnah eine GAP-Analyse durchführen und die Migration planen.
Strukturierte rechtliche Prüfung: Checkliste für Leistungserbringer
Angesichts der Vielzahl an regulatorischen Anforderungen empfehlen wir Leistungserbringern folgende 7-Punkte-Checkliste:
- Anwendbarkeit prüfen
Leistungserbringer und deren Auftragsdatenverarbeiter sollten prüfen, ob sie unter die neue Regelung aus § 393 SGB V fallen. Liegt ein Cloud-Computing-Dienst vor? Werden Sozial- oder Gesundheitsdaten verarbeitet?
- Verarbeitungsorte überprüfen
Die Verarbeitung von Sozial- und Gesundheitsdaten durch Cloud-Computing-Dienste ist territorial beschränkt. Sie darf nur erfolgen: im Inland, in der Europäischen Union, im EWR, in der Schweiz oder in einem Staat, für den ein Angemessenheitsbeschluss nach der DSGVO vorliegt (vgl. § 393 Abs. 2 SGB V). Insbesondere für Cloud-Computing-Dienste, bei denen ein Datentransfer in die USA stattfindet, ist zu prüfen, ob der Importeur in den USA nach dem EU-U.S. Data Privacy Framework zertifiziert ist.
- Niederlassung der datenverarbeitenden Stelle verifizieren.
Die datenverarbeitende Stelle muss nach dem ausdrücklichen Wortlaut des Gesetzes eine Niederlassung in Deutschland haben. Nach einer Entscheidung des EuGH (EuGH 1.10.2015, C-230/14) ist jedoch grundsätzlich ein flexibles Verständnis des Niederlassungsbegriffs anzuwenden. Um festzustellen, ob eine datenverarbeitende Stelle über eine Niederlassung im Inland verfügt, ist sowohl der Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten zu betrachten. Dies ist im Einzelfall durch die Auftraggeber zu prüfen und zu bewerten.
- Compliance-Bewertung des Cloud-Anbieters durchführen
Leistungserbringer werden Cloud-Computing-Dienste zunächst umfassend dahingehend bewerten müssen, ob diese die Anforderungen des § 393 SGB V erfüllen. Die Verträge mit Cloud-Computing-Diensteanbietern müssen sowohl Art. 28 DSGVO als auch § 393 SGB V genügen. Dazu gehören auch die regelmäßige Überprüfung und Aktualisierung der Verträge sowie ggf. auch die Durchführung von Audits beim Anbieter.
- Korrespondierende Kundenkriterien umsetzen
Die bloße Beauftragung eines zertifizierten Cloud-Anbieters reicht nicht. Leistungserbringer müssen selbst die im Prüfbericht genannten Kundenmaßnahmen implementieren.
- NIS-2-Betroffenheit prüfen
Die NIS-2-Richtlinie erfasst Unternehmen in 18 kritischen Sektoren, darunter Gesundheitswesen, digitale Infrastruktur und IT-Dienste. Die Schwellenwerte liegen bei 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz. Damit sind in Deutschland über 30.000 Unternehmen betroffen, viele davon zum ersten Mal.
- Mitarbeitersensibilisierung nicht vergessen
Zuletzt müssen auch die Mitarbeiter für die Risiken des Einsatzes von Cloud-Computing-Diensten sensibilisiert und auf die Anforderungen des Datenschutzes sowie die Bedeutung deren Einhaltung geschult werden.
Folgen bei Verstößen gegen Cloud-Anforderungen
Die Konsequenzen bei Nichteinhaltung der Anforderungen des § 393 SGB V sind erheblich. Ist die Cloud-Nutzung mangels Erfüllung der gesetzlichen Voraussetzungen rechtswidrig, drohen nicht nur empfindliche Bußgelder, sondern auch der Verlust der Kunden, die die gesetzlichen Pflichten einhalten müssen.
Ganzheitliche Beratung mit WINHELLER
WINHELLER unterstützt Software-Anbieter (insbesondere SaaS und MedTech) und Leistungserbringer bei der Einhaltung der rechtlichen Anforderungen und Ausgestaltung der internen Prozesse und Systeme und entwickeln maßgeschneiderte Compliance-Konzepte.
Wir verfügen über Expertise im Aufsichtsrecht und über das notwendige technische Verständnis. Diese Kombination aus juristischer Präzision und technischem Verständnis ist gerade bei der Prüfung der C5- und NIS-2-Anforderungen entscheidend.
