Blackfort Technology
Compliance · Fachbeitrag20. Juni 2026·Christian Gebhardt

§ 393 SGB V: Warum ein C5-Testat des Cloud-Anbieters bei Praxissoftware oft nicht reicht

Seit dem 1. Juli 2025 ist nach § 393 SGB V ein aktuelles C5-Typ-2-Testat Pflicht, wenn Cloud-Software Gesundheits- oder Sozialdaten für Leistungserbringer nach dem SGB V verarbeitet. Viele Praxen lesen „C5-zertifiziertes Rechenzentrum“ auf einer Anbieter-Website und halten das Thema für erledigt – dabei beantwortet das eine ganz andere Frage als die, die das Gesetz tatsächlich stellt.

Blackfort auf LinkedIn folgen

Sicherheitsvorfälle, technische Analysen und Einblicke aus der Praxis — direkt in Ihrem LinkedIn-Feed.

Jetzt folgen →
Aktenordner und Laptop mit Cloud-Symbol in einer Arztpraxis, Symbolbild für C5-Testat-Pflicht nach §393 SGB V

Die Rechtslage seit dem 1. Juli 2025

Mit § 393 SGB V gibt es erstmals eine klare gesetzliche Grundlage für den Einsatz von Cloud-Diensten bei der Verarbeitung von Sozial- und Gesundheitsdaten. Betroffen sind Leistungserbringer nach dem SGB V – unter anderem Ärzte, Zahnärzte, Psychotherapeuten, Krankenhäuser und Apotheken – sowie Kranken- und Pflegekassen und deren jeweilige Auftragsverarbeiter. Wer als Cloud-Anbieter für diese Gruppe Sozial- oder Gesundheitsdaten verarbeitet, muss ein aktuelles C5-Testat vorweisen können.

Bis zum 30. Juni 2025 galt ein C5-Typ-1-Testat noch als ausreichend. Seit dem 1. Juli 2025 ist ein C5-Typ-2-Testat erforderlich – der Nachweis, dass die Sicherheitsmaßnahmen nicht nur an einem Stichtag eingerichtet waren, sondern über einen längeren Prüfzeitraum tatsächlich wirksam funktioniert haben.

Was ist das C5-Testat überhaupt?

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein vom BSI entwickelter Kriterienkatalog mit 125 Prüfkriterien aus 17 Themengebieten – von technischen Schutzmaßnahmen über physische Sicherheit bis zu organisatorischen Prozessen. Ein C5-Testat wird von einer unabhängigen Wirtschaftsprüfungsgesellschaft ausgestellt und bestätigt, dass ein Cloud-Dienst diese Mindeststandards erfüllt.

Die Verwechslungsfalle: Infrastruktur-Testat statt Service-Testat

Bei unserer Marktsichtung von Cloud-Software für Praxen ist uns ein wiederkehrendes Muster aufgefallen: Anbieter werben mit Formulierungen wie „unsere Daten liegen auf C5-zertifizierten Cloud-Services“ oder „gespeichert in zertifizierten deutschen Rechenzentren“. Das klingt beruhigend – beantwortet aber nicht die Frage, die § 393 SGB V tatsächlich stellt.

Ein C5-Testat kann sich auf zwei völlig unterschiedliche Dinge beziehen: die Infrastruktur (das Rechenzentrum oder der Hyperscaler, auf dem eine Software läuft) oder den Service selbst (die konkrete Anwendung, die Ihre Patienten- oder Mandantendaten verarbeitet, speichert und auswertet). § 393 SGB V verlangt das Testat der datenverarbeitenden Stelle – nicht das Testat ihres Hosting-Providers.

Warum das ein Unterschied mit Substanz ist

Ein Hyperscaler oder Rechenzentrumsbetreiber kann ein lupenreines C5-Typ-2-Testat haben – und die Software, die darauf läuft, kann trotzdem ungeprüft sein. Sicherheitslücken, fehlerhafte Zugriffskontrollen oder unsaubere Mandantentrennung auf Anwendungsebene werden durch ein Infrastruktur-Testat nicht erfasst. Genau diese Ebene soll § 393 SGB V abdecken.

Mehr zur generellen C5-Systematik und ihrer Erweiterung um Souveränitätskriterien finden Sie in unserem Beitrag zu BSI C3A und dem C5-Standard.

Checkliste: Was Sie Ihren Software-Anbieter konkret fragen sollten

  1. 1Liegt ein C5-Typ-2-Testat für unseren Service vor – nicht nur für die Infrastruktur darunter?
  2. 2Wer hat das Testat ausgestellt, und für welchen Prüfzeitraum gilt es?
  3. 3Können wir das Testat zur Prüfung einsehen oder uns dessen Vorlage vertraglich zusichern lassen?
  4. 4Was passiert, wenn das Testat abläuft, bevor ein neues vorliegt – gibt es eine Übergangsregelung?

Eine ausweichende oder unklare Antwort auf die erste Frage ist selbst schon eine Antwort.

Die Alternative, die die Testat-Frage gar nicht erst aufwirft

Es gibt einen Weg, der Testat-Diskussion komplett zu umgehen: KI- und Praxissoftware, die lokal in der eigenen Praxis läuft, verarbeitet Daten gar nicht erst bei einem fremden Cloud-Anbieter. Es gibt keinen externen Service, dessen C5-Testat man prüfen müsste – weil es keinen externen Service gibt.

Für kleine Praxen ist das heute auch ohne eigenes Rechenzentrum oder IT-Abteilung umsetzbar: ein einzelnes Gerät, normaler Büro-Stromanschluss, kein Serverraum. Wir richten genau das ein – siehe Lokale KI für Praxen & Kanzleien. Für Kanzleien gilt eine andere, eigenständige Rechtsgrundlage (Mandantengeheimnis nach §203 StGB statt § 393 SGB V) – das Prinzip lokaler statt cloudbasierter Verarbeitung trägt aber gleichermaßen.

Fazit

§ 393 SGB V hat aus einer früher freiwilligen Best Practice eine konkrete gesetzliche Anforderung gemacht – mit einer Pointe, die in der Werbesprache vieler Anbieter untergeht: Es zählt das Testat der Anwendung, nicht das Testat des Rechenzentrums darunter. Wer das beim nächsten Blick auf die Datenschutz-Seite eines Software-Anbieters im Kopf hat, stellt die richtige Frage – und wer die Frage lieber gar nicht erst stellen will, für den ist lokale statt Cloud-basierter Software oft der pragmatischere Weg.

Häufige Fragen zu § 393 SGB V und C5-Testat

Was verlangt § 393 SGB V genau?

Seit dem 1. Juli 2025 ist nach § 393 SGB V ein aktuelles C5-Typ-2-Testat Pflicht, wenn Cloud-Computing zur Verarbeitung von Sozial- oder Gesundheitsdaten für Leistungserbringer nach dem SGB V eingesetzt wird – etwa Ärzte, Zahnärzte, Psychotherapeuten, Krankenhäuser, Apotheken sowie Kranken- und Pflegekassen und deren Auftragsverarbeiter. Entscheidend ist: Das Testat muss die datenverarbeitende Stelle selbst betreffen, nicht nur die darunterliegende Infrastruktur.

Reicht es, wenn der Software-Anbieter mit einem C5-zertifizierten Rechenzentrum wirbt?

Nach unserer Einschätzung nicht ohne Weiteres. Ein C5-Testat des Hosting-Providers (Rechenzentrum, Hyperscaler) bestätigt die Sicherheit der Infrastruktur – es sagt nichts darüber aus, ob die Anwendung, die Ihre Daten tatsächlich verarbeitet, selbst geprüft wurde. § 393 SGB V zielt ausdrücklich auf die datenverarbeitende Stelle. Im Zweifel: beim Anbieter konkret nachfragen, wessen Testat vorliegt.

Gilt § 393 SGB V auch für rein privat abrechnende Praxen?

Das ist im Einzelfall zu prüfen und keine Frage, die sich pauschal beantworten lässt – die Norm adressiert Leistungserbringer nach dem SGB V. Dieser Artikel ersetzt keine Rechtsberatung; bei Unsicherheit empfiehlt sich eine individuelle rechtliche Einschätzung.

Was ist der Unterschied zwischen C5 Typ 1 und Typ 2?

Ein Typ-1-Testat bestätigt, dass Sicherheitsmaßnahmen zu einem bestimmten Stichtag eingerichtet sind. Ein Typ-2-Testat weist zusätzlich nach, dass diese Maßnahmen über einen längeren Prüfzeitraum tatsächlich wirksam funktioniert haben. Seit 1. Juli 2025 ist im Anwendungsbereich des § 393 SGB V ein aktuelles Typ-2-Testat erforderlich, ein abgelaufenes Typ-1-Testat reicht nicht mehr aus.

Hinweis

Dieser Artikel basiert auf § 393 SGB V (eingeführt im Rahmen der Digitalisierungsgesetzgebung im Gesundheitswesen, in Kraft seit 1. Juli 2025) sowie öffentlich zugänglichen Einordnungen von Branchenverbänden und Wirtschaftskanzleien zu C5-Testat und § 393 SGB V, Stand der Recherche 20. Juni 2026. Aussagen zu Marktbeobachtungen basieren auf öffentlich zugänglichen Werbeaussagen von Anbietern zum Zeitpunkt der Recherche, ohne Nennung konkreter Produkte oder Unternehmen. Dieser Beitrag ist keine Rechtsberatung und ersetzt keine individuelle rechtliche Prüfung, insbesondere zur Anwendbarkeit auf den jeweiligen Einzelfall; regulatorische Fristen und Anforderungen können sich ändern.

Kontakt aufnehmen

Lokale KI für Praxen & Kanzleien – ohne Cloud-Testat-Frage

Wir richten Ihnen einen KI-Assistenten ein, der komplett in Ihrer Praxis oder Kanzlei läuft – kein externer Cloud-Anbieter, dessen C5-Testat Sie prüfen müssten.

Beratungsgespräch anfragenLokale KI für Praxen & Kanzleien im Überblick