(Februar 2026) Cloud-Lösungen können im Gesundheitswesen spürbare Mehrwerte schaffen, darauf hat die Bundesregierung in einer aktuellen Antwort auf eine Kleine Anfrage hingewiesen. Mit dem Paragrafen 393 SGB V („Cloud-Einsatz im Gesundheitswesen“) werden verbindliche Mindeststandards zur Cybersicherheit für die Nutzung von Cloud-Computing-Diensten im Gesundheitswesen eingeführt. Der Bundesverband Medizintechnologie (BVMed) informiert in einem ausführlichen Infoblatt darüber, wann MedTech-Unternehmen betroffen sind, was als Cloud-Computing-Dienst gilt und welche Pflichten zu beachten sind.
„Der sichere Einsatz von Cloud-Lösungen bildet mittlerweile für viele digitale Anwendungen im Gesundheitswesen die Basis – zugleich steigen die Anforderungen an Sicherheit und Vertrauenswürdigkeit. Mit unserem Infoblatt informieren wir MedTech-Unternehmen über den aktuellen Stand und geben eine praxisnahe Orientierung“, so Natalie Gladkov, BVMed-Digitalexpertin und Dr. Katja Marx, BVMed-Rechtsexpertin.
Mehrwert durch Cloud Computing
Die Bundesregierung hat in der Antwort auf eine Kleine Anfrage der Grünen-Fraktion vom 21. Januar 2026 betont, dass cloudbasierte Systeme einen Mehrwert für Einrichtungen im Gesundheitswesen bieten können – etwa durch bedarfsgerechte IT-Ressourcen, verbesserten Datenaustausch und die Integration neuer Technologien. Zugleich verweist sie auf die besondere Sensibilität von Gesundheitsdaten und die Bedeutung klarer Sicherheitsvorgaben. Der neue Paragraf 393 SGB V schafft hierfür den Rahmen.
Die neue gesetzliche Regelung stellt einen Erlaubnistatbestand dar: Leistungserbringer im Gesundheitswesen sowie gesetzliche Kranken- und Pflegekassen dürfen Cloud-Computing-Dienste einsetzen, wenn bestimmte Cybersicherheitsanforderungen eingehalten werden.
Relevanz für die MedTech-Branche
Für die MedTech-Branche relevant ist die Vorschrift insbesondere dann, wenn personenbezogene Gesundheitsdaten von Patient:innen über Cloud-Computing-Dienste verarbeitet werden – etwa bei digitalen Gesundheitsanwendungen (DiGA) oder cloudbasierten Plattform- und Softwarelösungen. „Als Faustformel kann man festhalten, dass ein Cloud-Computing-Dienst vorliegt, wenn Unternehmen bzw. Personen von einem Dritten eine Zugriffsmöglichkeit über Nutzerkonten auf Anwendungen und Daten per Fernzugriff erhalten“, fasst der BVMed in seinem Infoblatt zusammen.
Pflichten für MedTech-Unternehmen beim Cloud-Einsatz
Im Fokus des BVMed-Infoservices zum Cloud-Einsatz im Gesundheitswesen stehen die Pflichten, sobald die Norm anwendbar ist. Dazu gehören insbesondere:
- C5-Testat: Cloud-Dienste müssen ein aktuelles C5-Testat nachweisen.
- Verarbeitungsregionen: Gesundheitsdaten dürfen nur in bestimmten Ländern/Regionen verarbeitet werden.
- Niederlassung in Deutschland: Für die „datenverarbeitende Stelle“ ist eine Niederlassung im Inland erforderlich.
- Sicherheitsmaßnahmen: Es sind angemessene technische und organisatorische Maßnahmen umzusetzen.
Weitere Informationen könnten hier heruntergeladen werden.
Der BVMed-Infoservice „C5-Testat / § 393 SGB V Cloud-Einsatz im Gesundheitswesen“ wurde in Zusammenarbeit mit CMS law tax future erarbeitet.
Quelle: BVMed
