- Datennutzung Cloud-Einsatz im Gesundheitswesen: BVMed informiert zum C5-Testat nach § 393 SGB V
Cloud-Lösungen können im Gesundheitswesen spürbare Mehrwerte schaffen, darauf hat die Bundesregierung in einer aktuellen Antwort auf eine Kleine AnfrageExterner Link. Öffnet im neuen Fenster/Tab. hingewiesen. Mit dem Paragrafen 393 SGB V („Cloud-Einsatz im Gesundheitswesen“) werden verbindliche Mindeststandards zur Cybersicherheit für die Nutzung von Cloud-Computing-Diensten im Gesundheitswesen eingeführt. Der Bundesverband Medizintechnologie (BVMed) informiert in einem ausführlichen Infoblatt darüber, wann MedTech-Unternehmen betroffen sind, was als Cloud-Computing-Dienst gilt und welche Pflichten zu beachten sind.
PressemeldungBerlin, 29.01.2026, 06/26
© BVMed
Bild herunterladen
„Der sichere Einsatz von Cloud-Lösungen bildet mittlerweile für viele digitale Anwendungen im Gesundheitswesen die Basis – zugleich steigen die Anforderungen an Sicherheit und Vertrauenswürdigkeit. Mit unserem Infoblatt informieren wir MedTech-Unternehmen über den aktuellen Stand und geben eine praxisnahe Orientierung“, so Natalie Gladkov, BVMed-Digitalexpertin und Dr. Katja Marx, BVMed-Rechtsexpertin. Der BVMed-Infoservice kann kostenfrei unter bvmed.de/c5-testat aufgerufen oder unter bvmed.de/c5-testat.pdf heruntergeladen werden.
Mehrwert durch Cloud Computing
Die Bundesregierung hat in der AntwortExterner Link. Öffnet im neuen Fenster/Tab. auf eine Kleine Anfrage der Grünen-Fraktion vom 21. Januar 2026 betont, dass cloudbasierte Systeme einen Mehrwert für Einrichtungen im Gesundheitswesen bieten können – etwa durch bedarfsgerechte IT-Ressourcen, verbesserten Datenaustausch und die Integration neuer Technologien. Zugleich verweist sie auf die besondere Sensibilität von Gesundheitsdaten und die Bedeutung klarer Sicherheitsvorgaben. Der neue Paragraf 393 SGB V schafft hierfür den Rahmen.
Die neue gesetzliche Regelung stellt einen Erlaubnistatbestand dar: Leistungserbringer im Gesundheitswesen sowie gesetzliche Kranken- und Pflegekassen dürfen Cloud-Computing-Dienste einsetzen, wenn bestimmte Cybersicherheitsanforderungen eingehalten werden.
Relevanz für die MedTech-Branche
© AdobeStock @WrightStudio
Für die MedTech-Branche relevant ist die Vorschrift insbesondere dann, wenn personenbezogene Gesundheitsdaten von Patient:innen über Cloud-Computing-Dienste verarbeitet werden – etwa bei digitalen Gesundheitsanwendungen (DiGA) oder cloudbasierten Plattform- und Softwarelösungen. „Als Faustformel kann man festhalten, dass ein Cloud-Computing-Dienst vorliegt, wenn Unternehmen bzw. Personen von einem Dritten eine Zugriffsmöglichkeit über Nutzerkonten auf Anwendungen und Daten per Fernzugriff erhalten“, fasst der BVMed in seinem Infoblatt zusammen.
Im Fokus des BVMed-Infoservices zum Cloud-Einsatz im Gesundheitswesen stehen die Pflichten, sobald die Norm anwendbar ist. Dazu gehören insbesondere:
- C5-Testat: Cloud-Dienste müssen ein aktuelles C5-Testat nachweisen.
- Verarbeitungsregionen: Gesundheitsdaten dürfen nur in bestimmten Ländern/Regionen verarbeitet werden.
- Niederlassung in Deutschland: Für die „datenverarbeitende Stelle“ ist eine Niederlassung im Inland erforderlich.
- Sicherheitsmaßnahmen: Es sind angemessene technische und organisatorische Maßnahmen umzusetzen.
Weitere Informationen könnten unter bvmed.de/c5-testat nachgelesen oder unter bvmed.de/c5-testat.pdf direkt als PDF heruntergeladen werden.
Der BVMed-Infoservice „C5-Testat / § 393 SGB V Cloud-Einsatz im Gesundheitswesen“ wurde in Zusammenarbeit mit CMS law tax future erarbeitet.
