{"id":1101,"date":"2026-07-06T16:08:25","date_gmt":"2026-07-06T14:08:25","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1101"},"modified":"2026-07-06T16:08:25","modified_gmt":"2026-07-06T14:08:25","slug":"cloud-compliance-2026-das-zusammenspiel-von-sicherheit-c5-und-souveraenitaet-c3a","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/07\/06\/cloud-compliance-2026-das-zusammenspiel-von-sicherheit-c5-und-souveraenitaet-c3a\/","title":{"rendered":"Cloud-Compliance 2026: Das Zusammenspiel von Sicherheit (C5) und Souver\u00e4nit\u00e4t (C3A)"},"content":{"rendered":"<p>In der Cloud-Welt von 2026 reicht &#8222;Sicherheit&#8220; allein nicht mehr aus. W\u00e4hrend der aktualisierte <strong>BSI C5:2026<\/strong> den Goldstandard f\u00fcr die technische Absicherung definiert, bringen die neuen <strong>C3A-Kriterien<\/strong> (Criteria enabling Cloud Computing Autonomy) die strategische Komponente der <strong>digitalen Souver\u00e4nit\u00e4t<\/strong> ins Spiel. Besonders f\u00fcr regulierte Branchen wie das Gesundheitswesen versch\u00e4rft sich die Lage.<\/p>\n<h2>1. C5:2026 \u2013 Mehr als nur ein Update<\/h2>\n<p>Der C5:2026 ist nun offiziell in Kraft und bringt neben der <strong>Maschinenlesbarkeit<\/strong> vor allem technische Versch\u00e4rfungen in den Bereichen <strong>Container-Management<\/strong> und <strong>Post-Quanten-Kryptografie<\/strong>. Ein zentraler Punkt f\u00fcr Anbieter: Die logische Struktur der Pr\u00fcfung bleibt zwar erhalten, doch die Anforderungen an die Transparenz \u2013 insbesondere bez\u00fcglich der Rechtsr\u00e4ume von Mutterkonzernen \u2013 sind gestiegen.<\/p>\n<h2>2. Der Gesundheitssektor unter Zugzwang (\u00a7 393 SGB V)<\/h2>\n<p>Ein aktuelles Thema ist die Testatpflicht nach <strong>\u00a7 393 SGB V<\/strong>. Hier zeigt sich eine kritische H\u00fcrde f\u00fcr SaaS-Anbieter:<\/p>\n<ul>\n<li><strong>Keine Abk\u00fcrzung durch Hyperscaler:<\/strong> Ein C5-Testat von Anbietern wie AWS oder Azure reicht f\u00fcr SaaS-L\u00f6sungen im Gesundheitswesen nicht aus.<\/li>\n<li><strong>Eigene Testierungspflicht:<\/strong> Wer Gesundheitsdaten verarbeitet, muss in der Regel ein <strong>eigenes C5-Testat<\/strong> vorweisen, da der SaaS-Anbieter f\u00fcr Schichten wie Applikation und Datenhaltung selbst verantwortlich ist.<\/li>\n<li><strong>Wettbewerbsvorteil:<\/strong> In einem Markt, in dem die Rechtslage zur &#8222;datenverarbeitenden Stelle&#8220; noch nicht final gekl\u00e4rt ist, wird ein eigenes Testat zum entscheidenden Verkaufsargument f\u00fcr Kliniken und Krankenkassen.<\/li>\n<\/ul>\n<h2>3. C3A: Die neue Stufe der Souver\u00e4nit\u00e4t<\/h2>\n<p>Erg\u00e4nzend zum C5 adressiert der <strong>C3A-Katalog<\/strong> die Abh\u00e4ngigkeit von au\u00dfereurop\u00e4ischen Anbietern. Er fordert Autonomie in sechs Dom\u00e4nen \u2013 von der rechtlichen Kontrolle bis zur technologischen Unabh\u00e4ngigkeit (z. B. Zugriff auf Quellcode oder &#8222;Disconnect&#8220;-F\u00e4higkeit).<\/p>\n<h3>Vor- und Nachteile der C3A-Kriterien<\/h3>\n<ul>\n<li><strong>Vorteile:<\/strong> Maximale Transparenz \u00fcber Lieferketten und Schutz vor extraterritorialem Datenzugriff (z. B. US Cloud Act). Es erm\u00f6glicht eine risikobasierte Wahl des Souver\u00e4nit\u00e4tslevels.<\/li>\n<li><strong>Nachteile\/Kritik:<\/strong> Die Testierung ist wie beim C5 <strong>kostenintensiv und komplex<\/strong>. Kritiker warnen zudem, dass extrem strenge Souver\u00e4nit\u00e4tsvorgaben (wie lokale Personalvorgaben) die Auswahl an hochinnovativen globalen Diensten einschr\u00e4nken k\u00f6nnten. Zudem fehlt es dem C3A aktuell noch an einer <strong>direkten gesetzlichen Bindung<\/strong>, er fungiert prim\u00e4r als Handlungsrahmen.<\/li>\n<\/ul>\n<h2>4. Pr\u00fcfprogramm f\u00fcr Auditoren<\/h2>\n<p>Ein offizieller, detaillierter Leitfaden f\u00fcr C3A-Audits wird seitens des BSI noch finalisiert. Da C3A jedoch auf dem C5-Prozess aufsetzt, nutzen Auditoren bereits jetzt die C5-Methodik als Basis.<\/p>\n<p><strong>Ein vorl\u00e4ufiges Pr\u00fcfprogramm umfasst:<\/strong><\/p>\n<ol>\n<li><strong>Rechtssouver\u00e4nit\u00e4t:<\/strong> Pr\u00fcfung der Gerichtsbarkeit und Konzernstruktur.<\/li>\n<li><strong>Datensouver\u00e4nit\u00e4t:<\/strong> Nachweis \u00fcber BYOK (Bring Your Own Key) und lokale Speicherung.<\/li>\n<li><strong>Operationelle Souver\u00e4nit\u00e4t:<\/strong> \u00dcberpr\u00fcfung, ob der Dienst auch bei gekappter Verbindung zum Ausland (&#8222;Disconnect&#8220;) weiterl\u00e4uft.<\/li>\n<li><strong>Technologische Souver\u00e4nit\u00e4t:<\/strong> Einsicht in Software-St\u00fccklisten (SBOM) und Quellcode-Hinterlegungen.<\/li>\n<\/ol>\n<hr \/>\n<p><strong>Fazit:<\/strong> Der Trend geht klar zur <strong>Dual-Zertifizierung<\/strong>. W\u00e4hrend C5 das Fundament f\u00fcr das Vertrauen in die Technik legt, sichert C3A die politische und strategische Handlungsf\u00e4higkeit der Unternehmen ab.<\/p>\n<p>Was sind die Voraussetzungen nach \u00a7 393 SGB V?<strong><br \/>\n<\/strong><\/p>\n<p>Gem\u00e4\u00df <strong>\u00a7 393 SGB V<\/strong>, der durch das Digitalgesetz (DigiG) im M\u00e4rz 2024 eingef\u00fchrt wurde, d\u00fcrfen Leistungserbringer (wie Krankenh\u00e4user oder Arztpraxen) sowie Krankenkassen Sozial- und Gesundheitsdaten in der Cloud verarbeiten. Dies ist jedoch an <strong>drei kumulative Voraussetzungen<\/strong> gekn\u00fcpft, die gleichzeitig erf\u00fcllt sein m\u00fcssen:<\/p>\n<ul>\n<li><strong>Verarbeitungsort:<\/strong> Die Datenverarbeitung muss im Inland, in einem Mitgliedstaat der EU oder des EWR oder in einem Land mit einem Angemessenheitsbeschluss der EU-Kommission stattfinden (\u00a7 393 Abs. 3 Nr. 1 SGB V).<\/li>\n<li><strong>Aktuelles C5-Testat:<\/strong> Es muss ein aktuelles C5-Testat der \u201edatenverarbeitenden Stelle\u201c vorliegen (\u00a7 393 Abs. 3 Nr. 2 SGB V). Als datenverarbeitende Stelle gilt der Cloud-Anbieter, der die Daten technisch verarbeitet.<\/li>\n<li><strong>Umsetzung der Kundenkriterien:<\/strong> Die im Pr\u00fcfbericht des C5-Testats enthaltenen Kriterien f\u00fcr Kunden m\u00fcssen vom Nutzer (dem Leistungserbringer oder der Krankenkasse) tats\u00e4chlich umgesetzt sein (\u00a7 393 Abs. 3 Nr. 3 SGB V).<\/li>\n<\/ul>\n<h3>Wichtige Pr\u00e4zisierungen aus den Quellen:<\/h3>\n<ul>\n<li><strong>Eigenes Testat f\u00fcr SaaS-Anbieter:<\/strong> Nach Auslegung des Bundesgesundheitsministeriums (BMG) ben\u00f6tigen SaaS-Anbieter in der Regel ein <strong>eigenes C5-Testat<\/strong> f\u00fcr ihre spezifische Software und die zugrunde liegende Technik. Das Testat eines genutzten Hyperscalers (z. B. AWS oder Azure) reicht allein nicht aus, da dieses nur die physische Infrastruktur abdeckt, nicht aber die Applikations- und Datenhaltungsebene des SaaS-Produkts.<\/li>\n<li><strong>Nachweispflichten in der Praxis:<\/strong> Neben dem C5-Testat muss zwischen dem Leistungserbringer und dem Cloud-Anbieter ein <strong>Auftragsverarbeitungsvertrag (AVV)<\/strong> nach Art. 28 DSGVO bestehen, der die Testierungspflicht explizit adressiert. Zudem m\u00fcssen eingesetzte Subdienstleister l\u00fcckenlos dokumentiert werden.<\/li>\n<li><strong>Rolle des Pr\u00fcfberichts:<\/strong> Leistungserbringer sind verpflichtet, sich aktiv mit dem Pr\u00fcfbericht des Anbieters auseinanderzusetzen, um die f\u00fcr sie relevanten Kundenkriterien zu identifizieren und zu erf\u00fcllen.<\/li>\n<\/ul>\n<p>Obwohl der <strong>C5:2026<\/strong> eine technische \u00dcberarbeitung des Kriterienkatalogs darstellt, \u00e4ndern sich die grunds\u00e4tzlichen Anforderungen und die Scope-Logik des \u00a7 393 SGB V dadurch nicht. In der Beratungspraxis wird empfohlen, dass Anbieter von Gesundheits-Cloud-Diensten im Zweifelsfall immer ein <strong>eigenes Testat<\/strong> anstreben sollten, um die gesetzlichen Anforderungen rechtssicher zu erf\u00fcllen.<\/p>\n<h2>\nWelche Sanktionen drohen bei Verst\u00f6\u00dfen gegen \u00a7 393 SGB V?<\/h2>\n<p>Meine Recherchen lieferten <strong>keine explizite Auflistung spezifischer Bu\u00dfgelder oder Strafma\u00dfe<\/strong>, die direkt in \u00a7 393 SGB V definiert sind. Dennoch lassen sich aus den Texten und dem rechtlichen Kontext mehrere schwerwiegende Konsequenzen und Risiken bei Verst\u00f6\u00dfen ableiten:<\/p>\n<ul>\n<li><strong>Unzul\u00e4ssigkeit der Datenverarbeitung:<\/strong> Da \u00a7 393 SGB V die Cloud-Verarbeitung von Sozial- und Gesundheitsdaten nur unter strengen, kumulativen Voraussetzungen <strong>erlaubt<\/strong>, stellt eine Verarbeitung ohne g\u00fcltiges C5-Testat einen Versto\u00df gegen die gesetzliche Erlaubnisnorm dar.<\/li>\n<li><strong>Datenschutzrechtliche Konsequenzen (DSGVO):<\/strong> Die Quellen weisen darauf hin, dass zwischen dem Cloud-Nutzer und dem Anbieter ein <strong>Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO<\/strong> bestehen muss, der die C5-Testierungspflicht explizit adressiert. Ein Versto\u00df gegen diese vertraglichen oder gesetzlichen Pflichten zur Datensicherheit kann somit aufsichtsrechtliche Ma\u00dfnahmen nach der DSGVO nach sich ziehen.<\/li>\n<li><strong>Rechtliche Unsicherheit f\u00fcr Verantwortliche:<\/strong> Da Leistungserbringer (Krankenh\u00e4user, \u00c4rzte) und Krankenkassen gesetzlich verpflichtet sind, die Umsetzung der Kundenkriterien aus dem C5-Pr\u00fcfbericht nachzuweisen, f\u00fchrt ein fehlendes oder unzureichendes Testat dazu, dass diese Stellen ihren <strong>gesetzlichen Sorgfalts- und Nachweispflichten nicht nachkommen<\/strong> k\u00f6nnen.<\/li>\n<li><strong>Marktausschluss f\u00fcr Anbieter:<\/strong> F\u00fcr SaaS-Anbieter im Gesundheitswesen wirkt ein fehlendes Testat faktisch wie eine Marktschranke. Da Kunden gesetzlich zur Nutzung testierter Dienste verpflichtet sind, f\u00fchrt ein Versto\u00df bzw. das Nichtvorhandensein des Testats zu einem massiven <strong>Wettbewerbsnachteil<\/strong> oder dem Ausschluss von Ausschreibungen.<\/li>\n<li><strong>Haftungsrisiken:<\/strong> Die Quelle empfiehlt eine <strong>risikominimierende Auslegung<\/strong>, da die Rechtslage zur &#8222;datenverarbeitenden Stelle&#8220; noch nicht abschlie\u00dfend gerichtlich gekl\u00e4rt ist. Werden sensible Gesundheitsdaten ohne die erforderlichen Sicherheitsnachweise verarbeitet, entstehen erhebliche Haftungsrisiken gegen\u00fcber den Betroffenen und Aufsichtsbeh\u00f6rden.<\/li>\n<\/ul>\n<p><strong>Hinweis:<\/strong> In der Praxis k\u00f6nnen Verst\u00f6\u00dfe gegen die Sicherheitsvorschriften des SGB V je nach Schweregrad als Ordnungswidrigkeiten geahndet werden. Zudem k\u00f6nnen die zust\u00e4ndigen Aufsichtsbeh\u00f6rden (wie der BfDI f\u00fcr Krankenkassen oder die Landesdatenschutzbeauftragten f\u00fcr Krankenh\u00e4user) die Untersagung der Datenverarbeitung anordnen, was den Betrieb der entsprechenden IT-Systeme zum Erliegen bringen k\u00f6nnte. Dies sollten Sie bei Bedarf unabh\u00e4ngig verifizieren.<\/p>\n<h2><\/h2>\n","protected":false},"excerpt":{"rendered":"<p>In der Cloud-Welt von 2026 reicht &#8222;Sicherheit&#8220; allein nicht mehr aus. W\u00e4hrend der aktualisierte BSI&hellip;<\/p>\n","protected":false},"author":1,"featured_media":761,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,4],"tags":[],"class_list":["post-1101","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1101"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1101\/revisions"}],"predecessor-version":[{"id":1102,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1101\/revisions\/1102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/761"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}