Cloud-Hosting Deutschland – Warum der Serverstandort für Pflegedaten entscheidend ist

25. Juni 2026 | Lesezeit: ca. 9 Minuten

Pflegedaten in der Cloud – das klingt für viele Pflegedienstleitungen nach einem Risiko. Dabei ist das Gegenteil der Fall: Ein professionelles Cloud-Hosting in Deutschland ist sicherer als jeder Server im Keller. Entscheidend ist nicht das „Ob", sondern das „Wo" und „Wie". Mit dem neuen § 393 SGB V, dem BSI-Kriterienkatalog C5:2026 und den verschärften DSGVO-Anforderungen gibt es klare Regeln, wann Cloud-Computing für Gesundheits- und Sozialdaten zulässig ist – und wann nicht. Dieser Artikel zeigt, worauf es beim Serverstandort ankommt, welche Zertifizierungen Pflicht sind und wie Sie mit einer strukturierten Checkliste den richtigen Cloud-Anbieter für Ihre Pflegeeinrichtung finden.


Cloud-Hosting im Gesundheitswesen: Kein Verbot, sondern klare Regeln

Lange Zeit galt in der Pflegebranche die Devise: „Patientendaten gehören nicht in die Cloud." Diese pauschale Aussage ist überholt – und rechtlich falsch. Der Gesetzgeber hat mit dem Digitale-Versorgung-Gesetz (DVG) und dem Digital-Gesetz (DigiG) einen klaren Rechtsrahmen geschaffen. Der am 1. Juli 2024 in Kraft getretene § 393 SGB V regelt erstmals explizit den „Cloud-Einsatz im Gesundheitswesen" und definiert verbindliche Voraussetzungen für die Verarbeitung von Sozial- und Gesundheitsdaten in der Cloud.

Die Kernbotschaft des Gesetzgebers: Cloud-Computing ist ausdrücklich erlaubt – aber nur unter strengen Auflagen. Wer diese Auflagen einhält, profitiert von höherer Verfügbarkeit, besserem Schutz vor Ransomware und automatischen Backups, die ein eigener Server im Keller niemals leisten könnte.

§ 393 SGB V: Die vier zentralen Anforderungen an Cloud-Dienste

Der § 393 SGB V definiert, unter welchen Bedingungen Leistungserbringer – also auch Pflegedienste, Pflegeheime und Tagespflegen – Sozial- und Gesundheitsdaten in der Cloud verarbeiten dürfen. Die Vorschrift gilt nicht nur für spezialisierte Pflegesoftware, sondern für alle Cloud-Dienste, in denen personenbezogene Daten von Pflegebedürftigen verarbeitet werden – also auch E-Mail, Dokumentenmanagement oder Personalplanung.

1. Verarbeitungsort: Inland, EU/EWR oder Angemessenheitsbeschluss

§ 393 Abs. 2 SGB V schreibt vor: Die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes darf nur erfolgen:

Wichtig: Die USA haben keinen Angemessenheitsbeschluss. Das EU-US Data Privacy Framework (DPF) gilt nicht als Angemessenheitsbeschluss im Sinne des § 393 SGB V. Cloud-Dienste mit Serverstandort USA oder mit US-Mutterkonzern (Stichwort: US CLOUD Act) sind daher für Pflegedaten grundsätzlich unzulässig – auch dann, wenn der Anbieter mit Standardvertragsklauseln wirbt.

2. Niederlassungspflicht im Inland

Die datenverarbeitende Stelle muss über eine Niederlassung in Deutschland verfügen (§ 393 Abs. 2 SGB V). Ein reiner Briefkastensitz genügt nicht – es muss eine tatsächliche Geschäftstätigkeit in Deutschland vorliegen. Diese Anforderung schließt Anbieter aus, die ihre Dienste ausschließlich aus dem Ausland betreiben und in Deutschland keine eigene Rechtspersönlichkeit haben.

3. C5-Zertifizierung nach BSI-Standard

§ 393 Abs. 3 Nr. 2 SGB V verlangt ein aktuelles Zertifikat nach dem Cloud Computing Compliance Criteria Catalogue (C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit dem 1. Juli 2025 ist zwingend ein C5-Testat Typ 2 erforderlich – also nicht nur die Prüfung der Angemessenheit der Kontrollmechanismen (Typ 1), sondern der Nachweis ihrer tatsächlichen Wirksamkeit über einen definierten Prüfungszeitraum (in der Regel 12 Monate).

Im März 2026 hat das BSI den C5:2026 veröffentlicht – die zweite große Überarbeitung des Kriterienkatalogs. Er integriert die Anforderungen der NIS-2-Richtlinie, der ISO/IEC 27001:2022 und der CSA Cloud Controls Matrix Version 4. Neue Kriterien betreffen unter anderem Asset Management, Remote Work und Post-Quanten-Kryptografie. Ab dem 1. Juni 2027 müssen alle neuen C5-Prüfungen nach C5:2026 durchgeführt werden.

4. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Jeder Cloud-Anbieter, der für Ihre Pflegeeinrichtung personenbezogene Daten verarbeitet, ist Auftragsverarbeiter im Sinne der DSGVO. Sie benötigen einen schriftlichen AVV, der mindestens folgende Punkte regelt: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Kategorien betroffener Personen, technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sowie Regelungen zu Subunternehmern, Löschung und Kontrollrechten.

Quelle: § 393 SGB V – Cloud-Einsatz im Gesundheitswesen (gesetze-im-internet.de)

Warum der Serverstandort Deutschland die sicherste Wahl ist

Auch wenn § 393 SGB V die Verarbeitung in der gesamten EU erlaubt, gibt es gute Gründe, auf einen ausschließlich deutschen Serverstandort zu bestehen:

BSI C5:2026 – Der Goldstandard für Cloud-Sicherheit

Der C5-Kriterienkatalog des BSI ist das maßgebliche Rahmenwerk für Cloud-Sicherheit in Deutschland. Er definiert 17 Kontrollbereiche mit insgesamt über 120 Einzelanforderungen – von der Organisation der Informationssicherheit über physische Sicherheit bis zum Notfallmanagement. Die wichtigsten Kontrollbereiche im Überblick:

Ein C5-Testat Typ 2 bedeutet: Ein unabhängiger, vom BSI zugelassener Wirtschaftsprüfer hat nicht nur die Existenz dieser Kontrollen bestätigt, sondern auch deren tatsächliche Wirksamkeit über mindestens 6 Monate geprüft. Das ist ein entscheidender Unterschied zu reinen „Papier-Zertifikaten".

Quelle: BSI – C5:2026 Kriterienkatalog

Checkliste: So wählen Sie den richtigen Cloud-Anbieter für Pflegedaten

Die folgende Checkliste hilft Ihnen, Cloud-Anbieter systematisch zu bewerten und die gesetzlichen Anforderungen des § 393 SGB V sowie der DSGVO zu erfüllen. Gehen Sie die Punkte mit jedem potenziellen Anbieter durch und lassen Sie sich die Nachweise schriftlich geben.

1. Serverstandort und Rechtsraum

Kriterium Anforderung Erfüllt?
Primärer Serverstandort Deutschland (empfohlen) oder EU/EWR
Backup-Standort Ebenfalls in Deutschland oder EU/EWR
Kein US-Mutterkonzern Kein Zugriffsrisiko durch US CLOUD Act
Niederlassung in Deutschland Tatsächliche Geschäftstätigkeit, nicht nur Briefkasten
Gerichtsstand Deutschland

2. Zertifizierungen und Nachweise

Kriterium Anforderung Erfüllt?
BSI C5-Testat Typ 2 Aktuelles Testat, nicht älter als 12 Monate
ISO 27001 (auf Basis IT-Grundschutz) Optional, wenn C5 vorliegt; sonst mit Maßnahmenplan
DSGVO-Compliance-Nachweis Schriftliche Bestätigung der DSGVO-Konformität
TI-Konnektor-Zertifizierung Falls TI-Anbindung erforderlich (SMC-B, KIM etc.)

3. Technische Sicherheitsmaßnahmen

Kriterium Anforderung Erfüllt?
Verschlüsselung in Transit TLS 1.3, HTTPS für alle Verbindungen
Verschlüsselung at Rest AES-256 oder gleichwertig für alle gespeicherten Daten
Ende-zu-Ende-Verschlüsselung Optional, aber empfohlen für besonders sensible Daten
Mehr-Faktor-Authentifizierung Verpflichtend für alle Administratoren und Benutzer
Protokollierung und Monitoring Lückenlose Zugriffsprotokolle, 24/7-Überwachung
Backup-Strategie Tägliche Backups, mindestens 30 Tage Aufbewahrung, regelmäßige Wiederherstellungstests
Notfall- und Wiederanlaufplan Dokumentiert, getestet, maximale Ausfallzeit vertraglich zugesichert (RTO/RPO)

4. Vertragliche und organisatorische Anforderungen

Kriterium Anforderung Erfüllt?
Auftragsverarbeitungsvertrag (AVV) Schriftlich, vollständig nach Art. 28 DSGVO
Subunternehmer-Regelung Alle Subunternehmer benannt, Änderungen zustimmungspflichtig
Datenlöschung nach Vertragsende Nachweisbare, vollständige Löschung aller Daten
Datenportabilität Export in gängigen, maschinenlesbaren Formaten
Kontroll- und Auditrechte Vertraglich zugesicherte Prüfrechte für Sie als Kunde
Meldepflicht bei Sicherheitsvorfällen Unverzügliche Benachrichtigung (max. 24 Stunden)

Typische Fallstricke: Woran Sie unseriöse Anbieter erkennen

Der Markt für Cloud-Dienste ist unübersichtlich, und nicht jeder Anbieter, der mit „DSGVO-konform" wirbt, hält die Anforderungen tatsächlich ein. Achten Sie auf folgende Warnsignale:

itbuddy.care: Cloud-Hosting, das die Checkliste erfüllt

itbuddy.care wurde von Grund auf für die Anforderungen des deutschen Gesundheitswesens entwickelt. Die Plattform erfüllt alle Kriterien dieser Checkliste:

Fazit: Serverstandort Deutschland ist kein „Nice-to-have", sondern Pflicht

Die Rechtslage ist eindeutig: Wer Pflegedaten in der Cloud verarbeitet, muss die Anforderungen des § 393 SGB V erfüllen – und das bedeutet Serverstandort Deutschland oder EU/EWR, C5-Testat Typ 2, Niederlassung im Inland und einen wasserdichten AVV. Die gute Nachricht: Mit einem professionellen, auf das Gesundheitswesen spezialisierten Anbieter ist das alles kein Hexenwerk.

Die Checkliste in diesem Artikel gibt Ihnen ein praktisches Werkzeug an die Hand, um Anbieter systematisch zu vergleichen und die richtige Entscheidung für Ihre Pflegeeinrichtung zu treffen. Nehmen Sie sich die Zeit für eine gründliche Prüfung – es geht um die sensibelsten Daten, die Ihre Einrichtung verarbeitet: die Gesundheitsdaten der Ihnen anvertrauten Menschen.

Quellen

  1. § 393 SGB V – Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung
  2. BSI – C5:2026 Cloud Computing Compliance Criteria Catalogue
  3. BSI – C5 Kriterienkatalog (Übersicht)
  4. LUTZ | ABEL – Cloud-Computing-Dienste im Gesundheitswesen: Anforderungen des § 393 SGB V
  5. DSN Group – C5:2026: Der neue Kriterienkatalog ist da
  6. WINHELLER – Cloud-Dienste im Gesundheitswesen: Neue Anforderungen
  7. Baker Tilly – Neuer Kriterienkatalog C5:2026

Cloud-Hosting für Pflegedaten muss sicher, rechtskonform und in Deutschland sein. itbuddy.care bietet Ihnen die digitale Komplettlösung für Pflegedienste, Pflegeheime und Tagespflegen – mit Serverstandort Deutschland, vollständiger Ende-zu-Ende-Verschlüsselung, aktuellem BSI C5:2026-Testat Typ 2 und nahtloser TI-Integration. Erfüllen Sie alle Anforderungen des § 393 SGB V auf Knopfdruck. Vereinbaren Sie jetzt Ihren persönlichen Demo-Termin und überzeugen Sie sich selbst.

Jetzt Demo-Termin vereinbaren