Am 14. Mai 2026 hat das Bundesamt für Sicherheit in der Informationstechnik still und leise etwas verändert. 129 überarbeitete Kriterien. 39 neue. Und eine unmissverständliche Botschaft an alle, die im Gesundheitswesen, bei Behörden oder in Sicherheitsorganisationen arbeiten: Die Uhr läuft.
Ab dem 1. Juni 2027 müssen alle Cloud-Prüfungen auf dem neuen Standard C5:2026 basieren.
Das klingt technisch. Das klingt weit weg. Das ist es nicht.
Was C5:2026 ist – in einem Satz
Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI ist das deutsche Maßstabswerk für Cloud-Sicherheit. Wer als Cloud-Anbieter Daten für Behörden, kritische Infrastrukturen oder das Gesundheitswesen verarbeiten will, muss ein C5-Testat vorweisen – ein Prüfbericht eines unabhängigen Wirtschaftsprüfers. Die neue Version verschärft die Anforderungen in 129 Punkten und fügt 39 neue hinzu. Neue Themen: Verschlüsselungsanforderungen, sichere Verarbeitung, erweitertes Mapping. Der Unterschied zur Vorgängerversion ist nicht kosmetisch.
Wen das trifft – konkret
Pflegeeinrichtungen
Patientendaten gehören zu den sensibelsten Daten überhaupt. §203 StGB. DSGVO-Artikel 9. Und jetzt C5:2026 als verbindlicher Rahmen für alle Cloud-Anbieter, die diese Daten verarbeiten. Wer heute Pflegesoftware, Dokumentationssysteme oder digitale Akten in fremden Rechenzentren lagert: Ihr Anbieter muss bis Juni 2027 ein gültiges C5-Testat besitzen. Wenn nicht, haben Sie ein Compliance-Problem – nicht er.
BOS – Behörden und Organisationen mit Sicherheitsaufgaben
Feuerwehren, Rettungsdienste, Hilfsorganisationen: Sie arbeiten mit Daten, die schützenswert sind. Einsatzdaten. Personaldaten. Protokolle. Wer für öffentliche Auftraggeber tätig ist oder KRITIS-angrenzend arbeitet, für den gilt: Die eingesetzten Cloud-Dienste müssen den neuen Mindeststandard erfüllen. C5 wird für Ausschreibungen zum Pflichtkriterium. Wer es nicht vorweisen kann, ist aus dem Wettbewerb raus – bevor er überhaupt angefangen hat.
Niedergelassene Ärzte und MVZ
Arztpraxen sind keine Konzerne. Aber sie verarbeiten täglich Daten, für die das Gesundheitswesen in C5:2026 explizit genannt wird. Praxissoftware in der Cloud, digitale Befunde auf fremden Servern, cloudbasierte Kommunikationslösungen – jede dieser Komponenten betrifft Sie. Und Ihr Anbieter braucht künftig das Testat.
KMU als Zulieferer
Sie beliefern Kommunen, Kliniken, Rettungsorganisationen? Dann kann ein C5-Nachweis bei Ausschreibungen zur Bedingung werden. Wer das ignoriert, verliert nicht nur Aufträge. Er verliert die Tür.
Die unbequeme Frage
Warum ist das so kompliziert? Weil Compliance auf dem Rücken des Nutzers ausgetragen wird. Der Anbieter macht das Testat. Der Nutzer muss prüfen, ob der Anbieter das Testat hat. Und wenn er es nicht hat, ist der Nutzer trotzdem haftbar. Das Modell „jemand anderes passt auf meine Daten auf" funktioniert solange, bis sich die Regeln ändern. Die Regeln haben sich gerade geändert.
Die ruhige Alternative
Es gibt eine einfachere Antwort auf die Frage „Welcher Cloud-Anbieter ist C5-zertifiziert?": diese Frage gar nicht stellen müssen.
Wer seine Daten auf der eigenen Infrastruktur betreibt, ist kein Cloud-Kunde. Er ist der Betreiber. Die Pflicht zur C5-Prüfung liegt beim Anbieter – nicht bei demjenigen, der seinen eigenen Server nutzt.
Nextcloud
Dokumente, Dateien, Kalender und interne Kommunikation auf Ihrer Infrastruktur – in Ihrem Rechenzentrum oder bei einem deutschen Hoster Ihres Vertrauens. Kein fremder Zugriff. Kein C5-Audit erforderlich.
Paperless-ngx
Eingehende Post, Befunde, Protokolle, Formulare: automatisch erfasst, verschlagwortet, durchsuchbar. Auf Ihrem Server. Nirgendwo sonst. Vollständig offline-fähig.
Das ist kein Trick. Das ist die konsequenteste Form digitaler Selbstbestimmung: Daten, die Sie erzeugen, gehören Ihnen. Sie entscheiden, wo sie liegen. Sie entscheiden, wer Zugriff hat. Und Sie brauchen keinen Wirtschaftsprüfer, der Ihnen bestätigt, dass Ihr Anbieter das auch so sieht.
Was Sie jetzt tun können
1. Bestandsaufnahme: Welche Ihrer Anwendungen laufen auf fremden Servern? Wer ist der Anbieter? Hat er ein C5-Testat – und wird er bis Juni 2027 ein aktualisiertes vorweisen?
2. Kritikalitätsbewertung: Welche dieser Anwendungen verarbeiten Patientendaten, Einsatzdaten oder dienstliche Informationen? Genau dort liegt das Risiko.
3. Entscheidung: Wollen Sie die Compliance Ihres Anbieters dauerhaft im Blick behalten – oder wollen Sie der Betreiber sein?
Häufige Fragen zu BSI C5:2026
Was ist BSI C5:2026?
BSI C5:2026 ist die aktuelle Version des Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik. Er definiert Sicherheitsanforderungen für Cloud-Anbieter und ist für das Gesundheitswesen, Behörden und KRITIS-Betreiber verpflichtend. Die neue Version enthält 129 überarbeitete und 39 neue Kriterien.
Für wen ist ein C5-Testat verpflichtend?
Für Cloud-Anbieter, die Daten für Bundesbehörden, KRITIS-Betreiber oder das Gesundheitswesen (Patientendaten) verarbeiten. Nutzer dieser Dienste – z. B. Pflegeeinrichtungen, BOS oder Arztpraxen – sind verpflichtet, ausschließlich Anbieter mit gültigem C5-Testat einzusetzen.
Was ändert sich ab dem 1. Juni 2027?
Ab dem 1. Juni 2027 müssen alle C5-Prüfungen auf dem neuen Standard C5:2026 basieren. Bestehende Attestierungen nach dem alten Standard verlieren ihre Gültigkeit. Cloud-Anbieter für sensible Bereiche müssen bis dahin ein aktualisiertes Testat vorweisen.
Was ist die Alternative zu C5-zertifizierten Cloud-Diensten?
Wer Daten auf eigener Infrastruktur betreibt, ist kein externer Cloud-Nutzer und unterliegt damit nicht den Nutzerpflichten aus C5. Selbst gehostete Lösungen wie Nextcloud (Dateiablage, interne Kommunikation) oder Paperless-ngx (digitale Akten) bieten volle Datenkontrolle – in Deutschland, ohne Drittabhängigkeit.
Müssen niedergelassene Ärzte ein C5-Testat beantragen?
Nein. Das C5-Testat wird vom Cloud-Anbieter