Zum Inhalt

Cloud-Dienste

Cloud-Dienste in der Arztpraxis

Das Missverständnis: Es geht nicht um Herkunft, sondern um Zertifizierung

Ein verbreitetes Missverständnis lautet: „US-Cloud ist verboten, europäische Cloud ist erlaubt." Das ist so nicht richtig.

Seit dem 10. Juli 2023 ist der EU-US Data Privacy Framework in Kraft – ein Angemessenheitsbeschluss der EU-Kommission, der den Datentransfer in die USA auf eine rechtlich anerkannte Grundlage stellt. Das Schrems-II-Urteil von 2020, das diese Grundlage damals aufgehoben hatte, ist durch diesen neuen Rahmen ersetzt worden. Das Europäische Gericht hat den Beschluss im September 2025 in einer Klage bestätigt. Er ist damit zum Stand März 2026 gültig – wenngleich politisch weiterhin nicht völlig stabil.

Für Arztpraxen ist die entscheidende Frage daher nicht: Wo hat der Anbieter seinen Sitz? Die entscheidende Frage ist: Erfüllt der Cloud-Dienst die Anforderungen des § 393 SGB V?

Was § 393 SGB V verlangt

Seit dem 1. Juli 2024 gilt für alle Cloud-Computing-Dienste, die Gesundheits- oder Sozialdaten im deutschen Gesundheitswesen verarbeiten, § 393 SGB V. Die Norm gilt unmittelbar für Cloud-Anbieter – aber als Arztpraxis tragen Sie die Verantwortung, nur zertifizierte Dienste einzusetzen.

Die Kernanforderungen:

C5-Typ-2-Testat des BSI. Cloud-Dienste, die Patientendaten verarbeiten, müssen seit dem 1. Juli 2025 ein gültiges C5-Typ-2-Testat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorweisen. Das C5-Testat prüft anhand von 125 Kriterien in 17 Themenbereichen, ob ein Cloud-Dienst definierte Mindeststandards erfüllt – und beim Typ-2-Testat zusätzlich, ob diese Maßnahmen auch über einen längeren Zeitraum (typisch 6–12 Monate) wirksam waren. Das gilt für alle Anbieter – europäische wie amerikanische.

Datenspeicherort und Rechtsgrundlage für den Datentransfer. Hier kommt eine zweite Dimension ins Spiel, die vom C5-Testat unabhängig ist:

  • Daten werden in EU/EWR gespeichert: Kein Problem – weder für europäische noch für US-Anbieter, die europäische Rechenzentren betreiben.
  • Daten werden in den USA verarbeitet oder gespeichert: Dann braucht es zusätzlich zum C5-Testat eine rechtliche Grundlage für den Datentransfer. Der einfachste Weg: Der Anbieter ist nach dem EU-US Data Privacy Framework (TADPF) beim US-Handelsministerium zertifiziert. Alternativ sind EU-Standardvertragsklauseln (SCC) möglich – aber nur zusammen mit einer Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) und gegebenenfalls weiteren technischen Schutzmaßnahmen. Das ist deutlich aufwendiger.

Kundenseitige Anforderungen. Das C5-Testat prüft den Cloud-Anbieter – aber der Testat-Bericht enthält auch sogenannte „korrespondierende Kundenkriterien": Anforderungen, die der Anbieter prinzipiell nicht für Sie erfüllen kann, weil sie davon abhängen, wie Sie den Dienst nutzen. Das BSI dokumentiert diese im Testat-Bericht. Konkret geht es um:

  • Berechtigungsmanagement: Wer in Ihrer Praxis hat Zugang zu welchen Daten? Das legt nicht der Anbieter fest, sondern Sie.
  • Protokollierung: Viele Cloud-Dienste bieten Zugriffs-Logs an – diese müssen aktiviert und aufbewahrt werden.
  • Schlüsselverwaltung: Falls der Dienst Ihnen Verschlüsselungsschlüssel aushändigt, liegt deren sichere Aufbewahrung bei Ihnen.
  • Eigene Risikoeinschätzung: Das Testat ist generisch – Sie müssen prüfen, ob das geprüfte Sicherheitsniveau für Ihren konkreten Einsatzzweck ausreicht.

Ihr IT-Dienstleister sollte diese Punkte kennen und umsetzen.

Merksatz: C5-Typ-2 ist für alle Anbieter Pflicht. Bei US-Anbietern, die Daten außerhalb der EU verarbeiten, kommt zusätzlich die TADPF-Zertifizierung dazu – oder der deutlich aufwendigere Weg über SCC und TIA. Ein europäischer Anbieter ohne C5-Testat ist genauso ungeeignet wie ein US-Anbieter ohne TADPF.

Die Übergangsregelung: Gleichwertige Zertifizierungen

Nicht alle Cloud-Anbieter haben bereits ein C5-Typ-2-Testat. Für diesen Fall hat das Bundesgesundheitsministerium die C5-Gleichwertigkeitsverordnung (C5GleichwV) erlassen – rückwirkend zum 1. Juli 2024 in Kraft.

Diese Verordnung erlaubt übergangsweise den Einsatz von Cloud-Diensten, die (noch) kein C5-Testat haben, aber eine gleichwertige Zertifizierung vorweisen können. Anerkannt sind:

  • ISO/IEC 27001 (ggf. auf Basis BSI IT-Grundschutz)
  • Cloud Controls Matrix (CCM) Version 4.0

Die Bedingung: Es reicht nicht, einfach ein ISO-27001-Zertifikat vorzulegen. Der Anbieter muss zusätzlich eine GAP-Analyse vorlegen, die dokumentiert, welche C5-Anforderungen durch das bestehende Zertifikat noch nicht abgedeckt sind – und einen verbindlichen Maßnahmenplan, wie diese Lücken geschlossen werden.

Die Fristen für den Übergang:

  • Innerhalb von 12 Monaten: Schließung der identifizierten Lücken
  • Innerhalb von 18 Monaten: Erlangung des C5-Typ-1-Testats
  • Innerhalb von 24 Monaten: Erlangung des C5-Typ-2-Testats

Das bedeutet: Die Übergangsregelung ist keine Dauerlösung, sondern ein zeitlich begrenzter Weg zum vollständigen C5-Testat.

Was das für die Praxis bedeutet

Als Arztpraxis müssen Sie selbst kein C5-Testat haben. Sie müssen aber sicherstellen, dass die Cloud-Dienste, die Sie für Patientendaten einsetzen, die Anforderungen erfüllen. In der Praxis heißt das:

Fragen Sie Ihren IT-Dienstleister und Ihre Cloud-Anbieter konkret: Haben Sie ein aktuelles C5-Typ-2-Testat? Falls nicht: Haben Sie eine gleichwertige Zertifizierung plus GAP-Analyse und Maßnahmenplan nach der C5-Gleichwertigkeitsverordnung?

Bei US-Anbietern, die Daten außerhalb der EU verarbeiten: Zusätzlich fragen, ob der Anbieter nach dem EU-US Data Privacy Framework (TADPF) beim US-Handelsministerium zertifiziert ist. Diese Zertifizierung ist öffentlich überprüfbar unter dataprivacyframework.gov.

Prüfen Sie den Auftragsverarbeitungsvertrag (AVV). Für jeden Cloud-Dienst, der Patientendaten verarbeitet, brauchen Sie einen AVV. Das ist unabhängig von § 393 SGB V eine DSGVO-Anforderung.

Unterscheiden Sie, was wo verarbeitet wird. Nicht alle Daten in der Praxis sind Patientendaten. Buchführung ohne Patientenbezug, interne Dokumente, Terminkalender ohne Namen – das unterliegt anderen Anforderungen.

Was ist wo erlaubt?

Patientendaten (Diagnosen, Befunde, Behandlungsunterlagen, Laborwerte, Bilddaten): → Nur in Cloud-Diensten mit C5-Typ-2-Testat oder anerkannter Übergangsregelung nach C5GleichwV, plus AVV, plus Datenspeicherung in zugelassenen Regionen.

Praxis-Infrastrukturdaten (Router-Konfigurationen, Passwort-Manager, interne Dokumente ohne Patientenbezug): → Keine spezifischen SGB-V-Anforderungen, aber DSGVO und sorgfältige Auswahl gelten weiterhin.

Terminverwaltung (sofern keine Patientendaten im engeren Sinne enthalten sind): → Dienste wie Doctolib, die einen AVV anbieten und DSGVO-konform sind, sind möglich. Ob C5 hier greift, hängt davon ab, ob die verarbeiteten Daten als Gesundheitsdaten einzustufen sind.

Cloud-Buchhaltung, E-Mail-Archivierung, Video-Konferenzen (ohne Patientendaten): → Keine C5-Pflicht, aber AVV und DSGVO-Konformität des Anbieters prüfen.

Ein unterschätztes Risiko: Cloud-Kontosperrung

Unabhängig von Zertifizierungsfragen gibt es ein praktisches Risiko, das oft übersehen wird: Was passiert, wenn ein Cloud-Anbieter Ihren Account sperrt?

Große Anbieter können Accounts automatisch sperren – bei verdächtigen Aktivitäten, bei fehlgeschlagenen Zahlungen, nach einer Beschwerde. Support ist dann schwer erreichbar, Wiederherstellung dauert Tage oder Wochen.

Wenn Ihre Praxis-IT darauf aufgebaut ist, können Sie in dieser Zeit nicht arbeiten.

Schutz dagegen: Lokale Backups aller Cloud-Daten (keine vollständige Abhängigkeit vom Cloud-Zugang), alternative Wiederherstellungs-Kontakte bei einem anderen E-Mail-Anbieter, und ein Notfallkonzept für den Fall, dass kritische Cloud-Dienste nicht erreichbar sind. Dazu mehr in Teil 10.

Checkliste: Cloud-Dienste

  • Ich weiß, welche Cloud-Dienste ich nutze – und welche davon Patientendaten verarbeiten.
  • Für alle Cloud-Dienste mit Patientendaten: C5-Typ-2-Testat vorhanden oder Übergangsregelung (ISO 27001 + GAP-Analyse nach C5GleichwV) dokumentiert?
  • Für alle Cloud-Dienste mit Patientendaten: Auftragsverarbeitungsvertrag (AVV) geschlossen?
  • Datenspeicherort geprüft: Daten in EU/EWR – oder, falls in den USA, TADPF-Zertifizierung des Anbieters verifiziert (dataprivacyframework.gov)?
  • Bei US-Anbietern ohne TADPF: Standardvertragsklauseln (SCC) + Transfer Impact Assessment (TIA) vorhanden – ggf. rechtliche Beratung eingeholt?
  • Kundenseitige Anforderungen aus dem C5-Testat-Bericht umgesetzt?
  • Terminverwaltungs-Dienste (Doctolib etc.): DSGVO-Konformität und AVV geprüft?
  • Lokale Backups kritischer Cloud-Daten vorhanden (keine vollständige Abhängigkeit).
  • Wiederherstellungs-Kontakt für Cloud-Accounts liegt bei einem anderen Anbieter.

Rechtlicher Hinweis: Die Anforderungen aus § 393 SGB V und der C5-Gleichwertigkeitsverordnung sind komplex und entwickeln sich weiter. Die hier dargestellten Grundzüge ersetzen keine individuelle rechtliche oder technische Beratung. Klären Sie die konkrete Umsetzung mit Ihrem IT-Dienstleister und – bei Unsicherheit – mit einem auf IT-Recht oder Medizinrecht spezialisierten Anwalt.