BSI C5: Warum der strengste Cloud-Sicherheitsstandard Deutschlands für Reha-Kliniken entscheidend wird

Compliance gilt vielen als Bremse für Innovation. Tatsächlich entscheidet sie heute darüber, ob digitale Lösungen in Kliniken überhaupt produktiv werden. Ein Überblick zur BSI C5-Zertifizierung – und was sie für Reha-Einrichtungen konkret bedeutet.

Das eigentliche Problem in der Klinik-Digitalisierung

Reha-Einrichtungen verarbeiten besonders sensible Patientendaten: psychische Erkrankungen, Suchterkrankungen, onkologische Verläufe, sozialmedizinische Beurteilungen. Der Schutzbedarf ist hoch, die regulatorischen Anforderungen ebenfalls – DSGVO, der neue EU AI Act, NIS-2 und sektorspezifische Vorgaben der Kostenträger greifen ineinander.

In diesem Umfeld scheitern viele KI-Projekte nicht an der Technologie, sondern an ungeklärten Verantwortlichkeiten, fehlender Compliance und Datenschutz-Bedenken. Wer trägt die Verantwortung? Wo liegen die Daten? Welche Standards gelten?

Solange diese Fragen offen sind, bleibt jedes digitale Projekt ein Pilot. Genau hier setzt die BSI C5-Zertifizierung an.

Was ist das BSI C5-Testat?

C5 steht für Cloud Computing Compliance Criteria Catalogue, herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Katalog definiert die Mindestanforderungen, die ein Cloud-Anbieter erfüllen muss, um sicherheits- und datenschutzkritische Workloads zuverlässig zu betreiben.

Geprüft werden rund 120 Kriterien aus Bereichen wie Organisation der Informationssicherheit, Identitäts- und Zugriffsmanagement, Kryptografie, physische Sicherheit der Rechenzentren, Incident Management, Lieferantenmanagement, Notfallvorsorge und Datenschutz-Compliance. Geprüft wird durch unabhängige Wirtschaftsprüfer.

C5 gilt heute als der strengste, in Deutschland anerkannte Sicherheitsmaßstab für Cloud-Dienste und ist im öffentlichen Sektor sowie in stark regulierten Branchen wie dem Gesundheitswesen längst der Maßstab geworden.

C5 und der EU AI Act: Wie die Standards zusammenspielen

Der EU AI Act stuft KI-Anwendungen im Gesundheitswesen je nach Einsatzkontext teilweise als „Hochrisiko-KI-Systeme" ein. Etwa Anwendungen, die Versorgungsentscheidungen unterstützen oder personenbezogene Verläufe analysieren. Hochrisiko-Systeme unterliegen strengen Anforderungen, unter anderem an:

• Daten-Governance – Qualität und Nachvollziehbarkeit der eingesetzten Daten.

• Genauigkeit, Robustheit und Cybersicherheit.

• Qualitätsmanagement des Anbieters.

C5 ersetzt diese Anforderungen nicht. Aber C5 deckt einen erheblichen Teil der zugrundeliegenden Sicherheits-, Governance- und Dokumentationspflichten bereits ab – und liefert auditierte Nachweise dafür. Wer eine KI-Lösung auf einer C5-testierten Plattform betreibt, hat einen großen Teil der Hausaufgaben für Artikel 10, 15 und 17 strukturell schon gemacht.

Für Kliniken bedeutet das: Ein C5-Testat des Anbieters ist im Zusammenspiel mit dem EU AI Act ein klarer Effizienzgewinn bei der eigenen Compliance.

C5 im Vergleich zu ISO 27001

Viele Kliniken kennen ISO 27001 als Sicherheitsstandard. ISO 27001 beschreibt allgemeine Anforderungen an ein Informationssicherheits-Managementsystem und ist international etabliert.

C5 geht in mehreren Punkten deutlich tiefer: Es ist speziell auf Cloud-Dienste zugeschnitten, fordert hohe Transparenz gegenüber Kunden (Datenstandorte, Subdienstleister, Reaktionszeiten bei Vorfällen) und ist eng an deutsche und europäische Rechtslage geknüpft.

Die folgende Übersicht zeigt die wichtigsten Unterschiede auf einen Blick:

Was C5 für Reha-Kliniken konkret bedeutet

Für Geschäftsführung, IT-Leitung und Datenschutzbeauftragte einer Klinik hat eine C5-Zertifizierung des Cloud-Anbieters drei spürbare Effekte.

Erstens: Beschaffungs- und Freigabeprozesse werden kürzer. Statt jeden Anbieter selbst durch eine umfangreiche Sicherheits- und Datenschutzprüfung zu schleusen, kann sich die Klinik auf den unabhängigen Auditbericht stützen. Das spart oft Wochen bis Monate.

Zweitens: Es entsteht echte Transparenz. C5 verpflichtet Anbieter, offenzulegen, wo Daten verarbeitet werden, wer Zugriff hat, wie auf Vorfälle reagiert wird und wie Subdienstleister gesteuert werden. Keine Black Box, sondern dokumentierte Verantwortung.

Drittens: Compliance lässt sich standardisieren. Setzen mehrere Standorte denselben geprüften Cloud-Dienst ein, lassen sich Sicherheits- und Datenschutzbewertungen einheitlich aufsetzen; statt an jeder Einrichtung neu. Für Trägergesellschaften ist das ein operativer Hebel.

FICUS ist BSI C5 testiert

Wir bei FICUS verstehen Compliance nicht als einmaligen Meilenstein, sondern als kontinuierliches Fundament. FICUS ist FICUS ist auf den datenschutzkonformen Einsatz im Gesundheitswesen ausgelegt, DSGVO-konform aufgebaut und nach ISO 27001 zertifiziert. Mit der BSI C5-Testierung haben wir den nächsten konsequenten Schritt gemacht: Seit dem 31. Dezember 2025 ist FICUS BSI C5 testiert, geprüft durch PwC.

Damit erfüllen wir die regulatorische Reife, die der Einsatz von KI-gestützter Dokumentation in einer hochsensiblen Versorgungsumgebung wie der Reha verlangt – und liefern unseren Kunden die Grundlage, auf der sie ihre eigenen Compliance-Pflichten effizient erfüllen können. Den vollständigen Auditbericht stellen wir IT-Verantwortlichen und Datenschutzbeauftragten unserer Kunden auf Anfrage zur Verfügung.

Compliance ist kein Bremsklotz – sondern Beschleuniger

Wer KI in der Reha einsetzt, übernimmt Verantwortung für Menschen in einer besonders verletzlichen Phase ihres Lebens. Sicherheit, Datenschutz und Transparenz sind dabei keine Add-ons, die man später nachholt. Sie sind die Grundlage dafür, dass digitale Werkzeuge überhaupt produktiv und dauerhaft eingesetzt werden können.

C5 ist deshalb für uns kein Marketingsiegel, sondern ein Betriebsmodell. Es zwingt zu klaren Prozessen, regelmäßigen Audits und kontinuierlicher Weiterentwicklung, genau das, was eine vertrauenswürdige Plattform im Gesundheitswesen ausmacht.

FAQ – Häufige Fragen zum BSI C5-Testat

Ist ein BSI C5-Testat gesetzlich vorgeschrieben?

Allgemein ist C5 kein Gesetz, sondern ein vom BSI herausgegebener Kriterienkatalog. Für Cloud-Dienste im Gesundheitswesen ist die Lage jedoch differenzierter: Beim Einsatz von Cloud-Computing-Diensten zur Verarbeitung von Gesundheitsdaten können gesetzliche Anforderungen greifen, die ein C5-Testat oder vergleichbare Nachweise verlangen.

Wie lange ist ein C5-Testat gültig?

C5 ist kein Zertifikat mit fixer Gültigkeitsdauer wie etwa ein TÜV-Siegel. Der Auditbericht bezieht sich auf einen Stichtag oder einen Prüfzeitraum. Anbieter, die den Standard dauerhaft erfüllen wollen, lassen ihre Kontrollen jährlich nachprüfen.

Was ist der Unterschied zwischen einem C5-Testat und einer ISO 27001-Zertifizierung?

ISO 27001 prüft das allgemeine Informationssicherheits-Managementsystem eines Unternehmens. C5 ist speziell auf Cloud-Dienste zugeschnitten, geht in der Prüftiefe weiter und verlangt zusätzlich umfangreiche Transparenz gegenüber Kunden – etwa zu Datenstandorten, Subdienstleistern und Reaktionszeiten bei Vorfällen. Für Cloud-Dienste im deutschen Gesundheitswesen ist C5 der relevantere Standard.

Wer darf C5-Prüfungen durchführen?

C5-Prüfungen werden von unabhängigen Wirtschaftsprüfungsgesellschaften durchgeführt, die nach IDW PS 951 oder vergleichbaren Standards akkreditiert sind. In der Praxis sind das vor allem die großen Prüfungsgesellschaften wie PwC, KPMG, Deloitte und EY.

Reicht es, wenn nur unser Software-Anbieter C5-testiert ist?

Für die Cloud-Komponente Ihrer digitalen Infrastruktur deckt ein C5-Testat des Anbieters einen großen Teil Ihrer eigenen Sicherheits- und Datenschutzprüfungen ab. Andere Bereiche – etwa Ihre internen Prozesse, Schulungen und die Steuerung weiterer Dienstleister – bleiben in Ihrer Verantwortung. C5 nimmt Ihnen also die Cloud-Prüfung weitgehend ab, ersetzt aber nicht Ihre gesamte Compliance-Organisation.

Sie möchten den C5-Auditbericht für Ihre IT- oder Datenschutzprüfung? Jetzt C5 Report anfordern