Melden Sie sich zu unserem Newsletter an!

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Jetzt anmelden!

© kanawatTH, Canva

Ab sofort Pflicht: C5-Typ-2-Testat für Cloud-Anwendungen im Gesundheitswesen

Zuletzt aktualisiert am 11.11.2025

Ob in der Arztpraxis, im Krankenhaus oder bei der häuslichen Pflege – überall entstehen täglich hochsensible Sozial- und Gesundheitsdaten. Diese Daten bilden das Herzstück einer funktionierenden Versorgung, sind aber gleichzeitig ein attraktives Ziel für Cyberangriffe. Mit der zunehmenden Nutzung von Cloud-Diensten im Gesundheitswesen wächst deshalb auch der Druck, höchste Standards in puncto Datensicherheit einzuhalten.
 
Genau hier setzt seit dem 1. Juli 2025 die neue C5-Typ-2-Testat Pflicht an. Sie betrifft alle Leistungserbringer, die digitale Anwendungen in der Cloud einsetzen – von der Online-Terminvergabe über Pflegesoftware bis hin zu medizinischen Forschungsplattformen. Der Gesetzgeber verlangt nun, dass diese Dienste durch ein unabhängiges Testat nachweislich belegen, dass Sicherheitsmaßnahmen nicht nur existieren, sondern auch über längere Zeit wirksam sind.
 
Für viele Institutionen im Gesundheitswesen bedeutet das einen tiefen Eingriff in ihre bisherige Praxis: Verträge müssen angepasst, Nachweise eingefordert und Prozesse überprüft werden. Wer die Anforderungen ignoriert, riskiert Bußgelder.
 
Dieser Beitrag erklärt im Detail, was es mit der C5-Typ-2-Testat Pflicht auf sich hat, welche rechtlichen Grundlagen sie hat, wen sie betrifft und welche Schritte jetzt notwendig sind, um rechtssicher und zukunftsfähig aufgestellt zu sein. 

Rechtlicher Hintergrund der C5-Typ-2-Testat Pflicht

Die C5-Typ-2-Testat Pflicht ist rechtlich in § 393 Abs. 4 Sozialgesetzbuch (SGB V) verankert. Damit verpflichtet der Gesetzgeber alle Institutionen im Gesundheitswesen, die Sozial- und Gesundheitsdaten über Cloud-Dienste verarbeiten, ein entsprechendes Testat vorzulegen. Ergänzend beziehen sich die Regelungen auch auf die §§ 69 bis 140 SGB V, die die Leistungserbringer im Gesundheitswesen näher definieren.

 
Ziel ist es, durch verbindliche Nachweise zu gewährleisten, dass angemessene technische und organisatorische Maßnahmen (TOMs) umgesetzt sind. Diese Maßnahmen müssen dokumentiert, überprüfbar und nachhaltig wirksam sein, um den hohen Anforderungen an Datensicherheit und Compliance gerecht zu werden. 

Wer ist von der C5-Typ-2-Testat Pflicht betroffen?

Die C5-Typ-2-Testat Pflicht betrifft sämtliche Leistungserbringer im Gesundheitswesen, die Cloud-Dienste zur Verarbeitung von Sozial- und Gesundheitsdaten einsetzen. Dazu zählen unter anderem Krankenhäuser, Vertragsärzt:innen, Zahnärzt:innen, Psychotherapeut:innen, Apotheken, Rettungsdienste sowie Einrichtungen der häuslichen Krankenpflege. Auch Hilfsmittelerbringer wie Sanitätshäuser, die beispielsweise Rollstühle oder Prothesen bereitstellen, fallen unter diese Regelung.
 
Doch nicht nur die direkten Leistungserbringer sind betroffen: Auch Cloud-Dienstleister, Softwareanbieter und deren Unterauftragnehmer müssen ein gültiges C5-Typ-2-Testat vorlegen, wenn sie Teil der Datenverarbeitungskette sind. 

Eine Ärztin dokumentiert Patientendaten auf einem Tablet. Cloud-Dienste für solche digitalen Anwendungen fallen seit dem 1. Juli 2025 unter die C5-Typ-2-Testat Pflicht im Gesundheitswesen.

© Polina Tankilevitch, Pexels

Was ist ein C5-Typ-2-Testat?

Das C5-Typ-2-Testat basiert auf dem Cloud Computing Compliance Criteria Catalog (C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieser Kriterienkatalog definiert umfassende Anforderungen an die Sicherheit von Cloud-Diensten und ist ein zentraler Baustein für Datensicherheit und Compliance im Gesundheitswesen.

 
Während beim C5-Typ-1-Testat lediglich geprüft wird, ob die geforderten Kontrollen und Prozesse zu einem bestimmten Zeitpunkt existieren, geht das C5-Typ-2-Testat einen entscheidenden Schritt weiter: Es bewertet, ob diese Maßnahmen über einen Zeitraum von 6 bis 12 Monaten wirksam umgesetzt und gelebt werden. Dazu gehören u. a. die Einhaltung von Sicherheitsrichtlinien, Nachweise über Kontrollen sowie eine nachhaltige Dokumentation.

 
Für Leistungserbringer und Institutionen, die Sozial- und Gesundheitsdaten verarbeiten, bedeutet dies: Nur das C5-Typ-2-Testat liefert die notwendige Sicherheit, dass ihre Cloud-Dienste langfristig den gesetzlichen Anforderungen entsprechen und somit rechtlich nutzbar bleiben. 

Übergangsregelungen und Fristen

Für Cloud-Dienstleister, die bereits eine ISO 27001-Zertifizierung besitzen, sieht die sogenannte C5-Gleichwertigkeitsverordnung Übergangsregelungen vor. Diese Anbieter erhalten zusätzliche Zeit, um die Anforderungen der C5-Typ-2-Testat Pflicht vollständig umzusetzen. Allerdings müssen sie detailliert dokumentieren, welche Anforderungen des C5-Katalogs durch ihre ISO-Zertifizierung nicht abgedeckt sind und mit welchen eigenen Maßnahmen diese Lücken geschlossen werden.
 
Der Gesetzgeber hat klare Zeitpläne definiert:

  • Innerhalb von 12 Monaten müssen erkannte Sicherheitslücken geschlossen werden.
  • Innerhalb von 18 Monaten ist das C5-Typ-1-Testat nachzuweisen. 
  • Spätestens nach 24 Monaten muss das C5-Typ-2-Testat vorliegen.
 
Die vollständige Umsetzung dieser Übergangsmaßnahmen muss bis spätestens 1. Juli 2027 abgeschlossen sein. Danach dürfen nur noch Cloud-Dienste genutzt werden, die über ein gültiges C5-Typ-2-Testat verfügen. 

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Online-Formular wird hier erscheinen

Konsequenzen eines fehlenden C5-Typ-2-Testats

Werden die Anforderungen der C5-Typ-2-Testat Pflicht nicht erfüllt, hat das für Leistungserbringer und Cloud-Anbieter gravierende Folgen. Fehlt ein gültiges Testat oder ein anerkannter Übergangsplan, dürfen betroffene Cloud-Dienste im Gesundheitswesen weder angeboten noch genutzt werden.
 
Die weitere Nutzung solcher Anwendungen würde erhebliche Datenschutzverstöße darstellen und kann zu Bußgeldern führen. Darüber hinaus riskieren Institutionen, dass ihre gesamte IT-Infrastruktur als nicht compliant eingestuft wird – ein Problem, das nicht nur rechtliche, sondern auch organisatorische und finanzielle Risiken nach sich zieht. 

Was Institutionen und Leistungserbringer jetzt beachten müssen

Um die C5-Typ-2-Testat Pflicht rechtssicher umzusetzen, sollten Institutionen im Gesundheitswesen jetzt handeln. Für bereits eingesetzte Cloud-Dienste gilt: Anbieter müssen unverzüglich kontaktiert und entsprechende Nachweise zum C5-Typ-2-Testat eingefordert werden. Dabei ist zu prüfen, ob auch eingesetzte Unterauftragnehmer über gültige Testate verfügen. 


Bei neuen Cloud-Lösungen sollte das Thema von Anfang an in die Vertragsgestaltung einfließen. Neben dem obligatorischen Auftragsverarbeitungsvertrag (AV-Vertrag) und den dokumentierten technischen und organisatorischen Maßnahmen (TOMs) sind künftig auch die C5-Testate oder Übergangsdokumente einzufordern.


Alle Schritte von der Anforderung über die Prüfung bis zur Dokumentation müssen Teil des Datenschutz-Managementsystems sein. Da Testate zeitlich befristet gültig sind, ist zudem ein regelmäßiger Prüfzyklus einzuplanen, um die langfristige Compliance und Datensicherheit zu gewährleisten. 

C5-Kriterienkatalog des BSI: Stetige Anpassung für Cloud-Compliance

Die C5-Typ-2-Testat Pflicht ist kein einmaliges Projekt, sondern Teil einer langfristigen Strategie zur Stärkung der Datensicherheit im Gesundheitswesen. Der C5-Kriterienkatalog wird vom BSI kontinuierlich weiterentwickelt, um neue Bedrohungsszenarien, technologische Entwicklungen und innovative Ansätze – etwa den Einsatz von Künstlicher Intelligenz (KI) – frühzeitig abzudecken.


Leistungserbringer und Cloud-Anbieter sollten deshalb ihre Cloud-Compliance-Strategie regelmäßig überprüfen und anpassen. Wer frühzeitig in flexible und sichere Lösungen investiert, verschafft sich nicht nur rechtliche Sicherheit, sondern auch einen Wettbewerbsvorteil. 

Fazit

Die Einführung der C5-Typ-2-Testat Pflicht markiert einen entscheidenden Wendepunkt für das deutsche Gesundheitswesen. Institutionen und Leistungserbringer, die Sozial- und Gesundheitsdaten mithilfe von Cloud-Diensten verarbeiten, sind nun verpflichtet, höchste Standards der Datensicherheit und Compliance nachzuweisen. Während Übergangsregelungen für bereits ISO 27001-zertifizierte Anbieter gewisse Erleichterungen bieten, führt langfristig kein Weg am C5-Typ-2-Testat vorbei.

Für die Praxis bedeutet das: Bestehende Dienste müssen überprüft, neue Verträge angepasst und Nachweise konsequent eingefordert und dokumentiert werden. Wer diese Anforderungen ignoriert, riskiert nicht nur rechtliche Konsequenzen und Bußgelder, sondern auch das Vertrauen von Patient:innen und Partner.


Damit ist klar: Die C5-Typ-2-Testat Pflicht ist mehr als eine regulatorische Formalität – sie ist ein zentrales Instrument für die sichere und zukunftsfähige Digitalisierung im Gesundheitswesen. 

Quellen

Bundesamt für Sicherheit in der Informationstechnik (BSI): „Kriterienkatalog C5“, Bonn, https://www.bsi.bund.de/dok/7685384, letzter Zugriff 23.10.2025

Bundesamt für Sicherheit in der Informationstechnik (BSI): „FAQ C5“, Bonn, https://www.bsi.bund.de/dok/C5-FAQ, letzter Zugriff 23.10.2025

Bundesamt für Sicherheit in der Informationstechnik (BSI): „Einführung für Cloud-Anbieter
“, Bonn,  https://www.bsi.bund.de/dok/13448096, letzter Zugriff 23.10.2025 

dejure.org Rechtsinformationssysteme: „Fünftes Buch Sozialgesetzbuch - Gesetzliche Krankenversicherung“, Mannheim, https://dejure.org/gesetze/SGB_V/393.html, letzter Zugriff 23.10.2025

Securance-iAP (2025) : „BSI C5-Testierungspflicht ab 1. Juli 2025: Übergangslösungen für betroffene Unternehmen“, Berlin, https://audit-professionals.de/bsi-c5-testierung-2025-uebergangsloesung/, letzter Zugriff 23.10.2025
Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unseren Fachartikel zur datenschutzkonformen Umsetzung des Hinweisgeberschutzgesetzes.

Newsletter Anmeldung
Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies