Wer ist die datenverarbeitende Stelle nach § 393 SGB V und braucht ein C5-Testat?

Inhalt

§ 393 SGB V verpflichtet Leistungserbringer und Krankenkassen, Sozial- und Gesundheitsdaten in der Cloud nur bei Vorliegen eines aktuellen C5-Testats zu verarbeiten. Doch wer ist überhaupt die datenverarbeitende Stelle im Sinne des Gesetzes? SaaS-Anbieter, Hyperscaler, Subdienstleister – oder alle gemeinsam?

Wir erläutern die Rechtslage, klären typische Missverständnisse in komplexen Cloud-Architekturen auf und zeigen, welche Nachweispflichten in der Praxis tatsächlich bestehen.

Was regelt § 393 SGB V – und für wen gilt er?

Mit dem Digitalgesetz (DigiG) vom 26. März 2024 hat der Gesetzgeber § 393 in das Fünfte Buch des Sozialgesetzbuch (SGB V) eingefügt. Die Vorschrift erlaubt Leistungserbringern im Sinne des Vierten Kapitels des SGB V – also etwa Krankenhäusern, Medizinischen Versorgungszentren (MVZ) und Arztpraxen – sowie Kranken- und Pflegekassen und ihren jeweiligen Auftragsverarbeitern, Sozial- und Gesundheitsdaten im Wege des Cloud-Computings zu verarbeiten.

Voraussetzung ist, dass drei Bedingungen kumulativ erfüllt sind:

  • Die Datenverarbeitung muss im Inland, in einem Mitgliedstaat der EU oder des EWR oder in einem Land mit Angemessenheitsbeschluss stattfinden (§ 393 Abs. 3 Nr. 1 SGB V);
  • es muss ein aktuelles C5-Testat der datenverarbeitenden Stelle vorliegen (§ 393 Abs. 3 Nr. 2 SGB V);
  • die im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden müssen umgesetzt sein (§ 393 Abs. 3 Nr. 3 SGB V).

Wer ist datenverarbeitende Stelle im Sinne von § 393 Abs. 3 Nr. 2 SGB V?

Datenverarbeitende Stelle im Sinne des § 393 Abs. 3 Nr. 2 SGB V ist der Cloud-Anbieter, der die Daten technisch verarbeitet. In einfachen Konstellationen ist das eindeutig: Ein SaaS-Anbieter betreibt seinen Dienst selbst und benötigt ein C5-Testat. Die Frage wird komplizierter, sobald mehrere Anbieter aufeinander aufbauen. Welcher Anbieter in einer solchen Kette die Testatpflicht des § 393 Abs. 3 Nr. 2 SGB V erfüllen muss, ist gesetzlich nicht ausdrücklich geregelt.

Zuständig für die verbindliche Auslegung des § 393 SGB V ist das Bundesgesundheitsministerium (BMG), nicht das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das BSI wies auf entsprechende Anfragen ausdrücklich darauf hin, dass es keine Aussagen zur Rechtsauslegung des § 393 SGB V trifft. Auch wer allein auf die BSI-FAQ zum C5 schaut, erhält daher keine verbindliche Antwort auf die Frage, wen die C5-Testatpflicht trifft.

Das BMG trifft in seinen FAQ zum DigiG eine praxisrelevante Aussage: Gemäß § 393 Abs. 3 Nr. 2 SGB V müsse ein aktuelles C5-Testat „für diejenigen Cloud-Systeme (Software) und die zugrundeliegende Technik (Hardware)“ vorliegen, „die zur Erbringung von Cloud-Computing-Diensten eingesetzt werden“. Das BMG macht dabei keine Einschränkung dahingehend, dass das C5-Testat nicht notwendig sei, wenn ein Subunternehmer über ein eigenes Testat verfügt.

In der Praxis führt diese Formulierung dazu, dass der unmittelbar Cloud-betreibende Auftragsverarbeiter – also etwa ein SaaS-Anbieter – ein C5-Testat vorweisen muss, auch wenn er seinerseits einen bereits testierten Hyperscaler einsetzt.

Was umfasst der Scope einer C5-Prüfung – und wo endet er?

Eine C5-Prüfung bezieht sich immer auf einen konkret definierten Cloud-Dienst, nicht auf Software oder Infrastruktur, die selbst kein Cloud-Dienst ist. Alles, was zur Erbringung dieses Cloud-Dienstes beiträgt – also darunterliegende Cloud-Schichten, betriebene Hardware, das Rechenzentrum – wird bei der Prüfung mitbetrachtet, soweit die C5-Kriterien darauf zutreffen. Umgekehrt gilt: Was technisch vollständig von dem geprüften Cloud-Dienst entkoppelt ist, ist nicht Teil des Scopes.

Mehrere Cloud-Dienste können parallel C5-testiert werden. Weiterhin können parallel zur C5-Prüfung andere Testate oder Zertifizierungen durchgeführt werden, um doppelte Prüfaufwände zu vermeiden. Der C5-Kriterienkatalog schließt außerdem nicht aus, Ergebnisse anderer Prüfungen als Evidenz zu nutzen. Die finale Entscheidung, welche anderen Ergebnisse als ausreichend gelten, obliegt jedoch dem jeweiligen Prüfer.

Warum reicht das C5-Testat des Hyperscalers nicht aus?

Ein Hyperscaler wie AWS, Microsoft Azure oder Google Cloud verfügt in der Regel über ein C5-Typ-2-Testat – und zwar für seine eigene Infrastruktur. Was dieses Testat abdeckt, richtet sich nach dem sogenannten Shared-Responsibility-Modell. Darin ist der Hyperscaler verantwortlich für die Sicherheit der physischen Infrastruktur, des Rechenzentrums, der Netzwerkkomponenten und der Hypervisor-Schicht. Für alles, was darüber liegt – also Betriebssystem, Middleware, Applikation und Datenhaltung – trägt der SaaS-Anbieter die Verantwortung.

Das C5-Testat des Hyperscalers sagt damit nichts über die Sicherheit des SaaS-Produkts aus, das auf dieser Infrastruktur läuft. § 393 Abs. 3 Nr. 2 SGB V verlangt aber ein Testat „für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik“. Dieser Cloud-Computing-Dienst ist im Verhältnis zum Leistungserbringer derjenige des SaaS-Anbieters – nicht derjenige des Hyperscalers.

Zusätzlich verlangt § 393 Abs. 3 Nr. 3 SGB V, dass die im Prüfbericht des Testats enthaltenen Kundenkriterien umgesetzt werden müssen. Kunde des Hyperscalers ist in diesem Fall der SaaS-Anbieter. Selbst wenn der SaaS-Anbieter das Testat des Hyperscalers vorlegt, muss er also zusätzlich nachweisen, dass er die kundenspezifischen Anforderungen aus dem Prüfbericht tatsächlich umgesetzt hat.

Können Subdienstleister-Testate angerechnet werden?

Subdienstleister – die in diesem Kontext auch Hyperscaler sein können – können in der C5-Prüfung mitbetrachtet werden, soweit sie zur Erbringung des Cloud-Dienstes beitragen. Verfügt ein darunterliegender Cloud-Dienst bereits über ein vorliegendes und aktuelles C5-Testat, vereinfacht dies die Prüfung erheblich: Die Ergebnisse können berücksichtigt werden, so dass bei der Prüfung des SaaS-Dienstes theoretisch nur noch alles oberhalb dieser Schicht zusätzlich nachgewiesen werden muss.

Wichtig ist, dass es im Ermessen des Prüfers liegt, welche Nachweise als hinreichend akzeptiert werden. Gibt es schwerwiegende Abweichungen von C5-Kriterien im Testat des darunterliegenden Anbieters, können diese auch zu Problemen in der Testierung des SaaS-Dienstes führen. Zudem kann der Prüfer andere Zertifizierungen als Evidenz ablehnen, wenn diese nach einem schwächeren Prüfschema als dem C5-Testat oder zu einem weit zurückliegenden Zeitpunkt erstellt wurden.

Was bedeutet das für komplexe Cloud-Architekturen im Gesundheitswesen?

In der Gesundheits-IT sind mehrstufige Cloud-Architekturen die Regel: Ein Leistungserbringer nutzt einen SaaS-Anbieter, der seinerseits Infrastruktur bei einem Hyperscaler betreibt und für bestimmte Funktionen zusätzliche Subdienstleister einbindet – etwa für Backup, Monitoring oder KI-Dienste.

Nach dem Gesetzeswortlaut kommt es darauf an, wer den Cloud-Computing-Dienst gegenüber dem Leistungserbringer erbringt. Das ist in der Regel der SaaS-Anbieter, der gegenüber dem Leistungserbringer z.B. auch als Auftragsverarbeiter nach Art. 28 der Datenschutz-Grundverordnung (DSGVO) auftreten kann. Die von ihm eingesetzten Subdienstleister sind ihrerseits Unterauftragsverarbeiter – und deren Einbindung muss vertraglich geregelt und kontrolliert werden.

Welche Nachweise müssen in der Praxis dokumentiert werden?

Durch Leistungserbringer und SaaS-Anbieter müssen insgesamt zahlreiche Nachweise erbracht werden:

  • C5-Testat des SaaS-Anbieters: Der SaaS-Anbieter benötigt nach derzeitiger Auslegungspraxis ein eigenes C5-Testat für seine Cloud-Systeme und die eingesetzte Technik.
  • Umsetzung der Kundenkriterien: Der Leistungserbringer muss nachweisen, dass er die im Prüfbericht enthaltenen Kundenkriterien (§ 393 Abs. 3 Nr. 3 SGB V) umgesetzt hat. Das erfordert eine aktive Auseinandersetzung mit dem Prüfbericht des SaaS-Anbieters.
  • Auftragsverarbeitungsvertrag (AVV): Zwischen Leistungserbringer und SaaS-Anbieter muss ein AVV nach Art. 28 DSGVO bestehen. Dieser muss auch die C5-Testierungspflicht und die Pflicht zur Einbindung geeigneter Subdienstleister adressieren.
  • Dokumentation der Subdienstleister: Der SaaS-Anbieter muss sicherstellen, dass seine Subdienstleister – insbesondere der Hyperscaler – die für ihre Schicht relevanten Anforderungen erfüllen und dies nachweisen können.

Ausblick: Was ändert sich mit dem C5:2026?

Mit dem C5:2026 hat das BSI eine umfangreiche Überarbeitung vorgenommen, darunter eine Neustrukturierung der Basis- und Zusatzkriterien in Unterkriterien. Die grundsätzliche Vorgehensweise der Prüfung sowie die Struktur des Prüfberichts bleiben jedoch unverändert.

Informationen zu den Änderungen, Übergangszeiträumen und den aktualisierten FAQ finden sich auf der Website des BSI.

Für die Frage der C5-Testatpflicht nach § 393 SGB V ergeben sich durch den C5:2026 jedoch keine grundsätzlichen Änderungen – die Scope-Logik und die Verwertbarkeit von Subdienstleister-Testaten bleiben bestehen.

Ist die Rechtslage zur datenverarbeitenden Stelle endgültig geklärt?

Nein. Die Frage, ob die datenverarbeitende Stelle nur den Verantwortlichen oder auch Auftragsverarbeiter umfasst, ist juristisch nicht abschließend geklärt. Im Schrifttum und in der Beratungspraxis werden unterschiedliche Positionen vertreten, eine verbindliche Entscheidung des BMG oder der Gerichte steht noch aus.

Die erhoffte Klarheit durch eine C5-Gleichwertigkeitsverordnung ist bislang ausgeblieben. Die Verordnung regelt zwar, in welchen Konstellationen ein C5-Testat durch andere Zertifizierungen vorübergehend ersetzt werden kann – die Frage, ob ein Subunternehmer überhaupt ein eigenes Testat benötigt, wenn ein Dritter über eines verfügt, ist dort aber gerade nicht geregelt.

In dieser Unsicherheit empfiehlt sich die risikominimierende Auslegung. Wer Sozial- und Gesundheitsdaten mittels Cloud-Computing nach § 393 SGB V verarbeitet oder als SaaS-Anbieter solche Daten im Auftrag verarbeitet, sollte davon ausgehen, dass ein eigenes C5-Testat erforderlich ist.

Fazit: Im Zweifel selbst testieren

Das Testat des Hyperscalers deckt nur dessen eigene Infrastrukturschicht ab. Für den Cloud-Computing-Dienst, den ein SaaS-Anbieter gegenüber einem Leistungserbringer erbringt, ist ein eigenes C5-Testat erforderlich. Subdienstleister-Testate können den Prüfaufwand reduzieren, ersetzen jedoch nicht das Testat des Anbieters, der gegenüber dem Leistungserbringer unmittelbar auftritt.

SaaS-Anbieter, die Gesundheits- oder Sozialdaten verarbeiten, sollten die C5-Testierung nicht als äußere Pflicht betrachten, sondern als Wettbewerbsvorteil. Ein vorliegendes Testat ermöglicht es Leistungserbringern, den gesetzlichen Anforderungen des § 393 SGB V zu genügen und vereinfacht die Vertragsdokumentation erheblich.

Leistungserbringer und Krankenkassen sollten ihrerseits in jedem (AV-)Vertrag ausdrücklich regeln, dass der SaaS-Anbieter ein aktuelles C5-Testat vorzulegen und aufrechtzuerhalten hat – und dass Änderungen in der Kette der Subdienstleister angezeigt werden müssen.

Weiterlesen

Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Anmeldeschluss: 30. Sept. 2025!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zu NIS2. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.