BSI C5 Typ 2 Testat: Der gesetzliche Sicherheitsstandard für Cloud-Software in der Psychotherapie

Wer als Psychotherapeut:in Software einsetzt, die Patientendaten über die Cloud verarbeitet, muss sicherstellen, dass der Anbieter ein aktuelles C5-Testat vorweisen kann. Dieser Beitrag erklärt, was dahintersteckt.
Lion Langer
18. Februar 2026

Ausgangspunkt: § 393 SGB V

Mit § 393 SGB V hat der Gesetzgeber einen klaren Rahmen für den Cloud-Einsatz im Gesundheitswesen geschaffen. Die Kernaussage: Leistungserbringer – inklusive PsychotherapeutInnen – dürfen Gesundheitsdaten nur dann über Cloud-Dienste verarbeiten, wenn für diesen Dienst ein aktuelles C5 Typ 2 Testat vorliegt.
Das betrifft oftmals bestehende Praxissoftware-Systeme (einige führende PVS Anbieter setzen teilweise auf Cloud-Software) als auch moderne KI-Dokumentationssysteme, die Therapiesitzungen aufzeichnen, transkribieren und zusammenfassen.
Und das Gesetz adressiert nicht nur den Softwareanbieter sondern adressiert auch Sie als PsychotherapeutIn. Denn § 393 SGB V verpflichtet Leistungserbringer, sicherzustellen, dass die von ihnen genutzte Software diese Anforderungen erfüllt .

Was ist das C5-Testat?

C5 (steht für Cloud Computing Compliance Criteria Catalogue) ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er definiert Aanforderungen an die Informationssicherheit von Cloud-Diensten und gilt als der zentrale Sicherheitsstandard für Cloud-Anwendungen in Deutschland.
Um das Testat zu erhalten, muss sich ein Anbieter einer umfassenden, kontinuierlichen Prüfung durch unabhängige Wirtschaftsprüfer unterziehen. Dabei wird nicht nur geprüft, ob Sicherheitsmaßnahmen auf dem Papier existieren, sondern ob sie im täglichen Betrieb nachweislich wirksam umgesetzt werden.

Was genau wird geprüft?

Das BSI definiert im C5-Katalog über 120 Sicherheitskriterien in 17 Prüfbereichen. Die Prüfbereiche reichen von Kryptographie über physische Sicherheit bis hin zu Compliance und Personalmanagement. Nur ein Auszug aus den Sicherheitsanforderungen und Prüfbereichen:

  1. Kryptographie & Schlüsselmanagement: Sämtliche Patientendaten müssen zu jeder Zeit vollständig verschlüsselt sein, sowohl bei der Übertragung als auch bei der (Zwischen-)Speicherung. Selbst im Fall eines unbefugten Zugriffs wären die Daten nicht lesbar.
  2. Zugriffs- & Identitätsmanagement: Der Zugriff auf sämtliche Systeme und Infrastruktur ist strikt nach dem Need-to-know-Prinzip geregelt und technisch durch Maßnahmen wie Mehrfaktor-Authentifizierung abgesichert.
  3. Physische Sicherheit: Die Rechenzentren, auf denen Daten verarbeitet werden, müssen gegen unbefugten Zutritt geschützt sein, u.A. durch Zugangskontrollen, Überwachung und dokumentierte Sicherheitszonen.
  4. Betriebssicherheit: Die Systeme müssen regelmäßig durch unabhängige Dritte auf Schwachstellen getestet werden. Sogenannte Penetrationstests, bei denen gezielte Angriffsversuche simuliert werden, um Sicherheitslücken zu identifizieren, bevor sie ausgenutzt werden können.

Ein gültiges C5-Testat ist also der Nachweis, dass ein unabhängiger Wirtschaftsprüfer die Einhaltung der vom BSI definierten Sicherheitsanforderungen geprüft und bestätigt hat.

Worauf PsychotherapeutInnen achten sollten

§ 393 SGB V erlaubt ausdrücklich den Einsatz von Cloud-Software zur Verarbeitung von Gesundheitsdaten. Aber eben nur unter den genannten klaren Voraussetzungen, dass der Softwarehersteller selbst und die angebotene Software vollständig C5-testiert sind.
Und das Gesetz nimmt nicht nur den Softwareanbieter in die Pflicht, sondern es verpflichtet auch Sie als Leistungserbringer, dies zu prüfen.
Prüfen Sie daher bei jeder Software, die Sie in Ihrer Praxis einsetzen, ob ein eigenes C5-Testat des Anbieters vorliegt. Das gilt für Praxisverwaltungssysteme (PVS), die teilweise Cloud-Elemente nutzen,  aber insbesondere für KI-gestützte Assistenzsoftware wie Dokumentationstools. Gerade wenn Psychotherapiegespräche aufgezeichnet, transkribiert und zusammengefasst werden ist ein gültiges C5 Typ 2 Testat nicht optional, sondern gesetzlich vorgeschrieben.

Erfahren Sie mehr, indem Sie an einem unserer kommenden Webinare teilnehmen.

Platz sichern

Wie VIA HealthTech diese Anforderungen erfüllt

VIA HealthTech verfügt über ein C5 Typ 2-Testat mit uneingeschränktem Prüfungsurteil, ausgestellt durch eine unabhängige Wirtschaftsprüfungsgesellschaft.
VIAs C5 Typ 2 Testat und der detaillierte Prüfbericht sind einsehbar in unserem Sicherheitszentrum.

Weitere Informationen zum C5-Kriterienkatalog finden Sie auf der Webseite des BSI.

VIA HealthTech entwickelt sichere, C5-zertifizierte KI-Assistenzsoftware für die Psychotherapie, die Behandler durch die automatisierte Erstellung von Sitzungsprotokollen und psychologischen Berichten unterstützt.
Das könnte Sie auch interessieren:
ISO 27001 Zertifizierung bei VIA HealthTech: Internationaler Goldstandard für Ihre Datensicherheit
KI in der Psychotherapie: Eine Einordnung der rechtlichen und technischen Anforderungen
Produkt
Kostenlos ausprobierenDatenschutz
Features
DokumentationBerichterstellung
PreiseSystemstatus
Rechtliches & Datenschutz
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)
Rechtliches & Sicherheit
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)Trust Center
Unternehmen
KontaktierenTeamKarriereBlog
Rechtliches & Datenschutz
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)
Rechtliches & Datenschutz
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)
© 2026 VIA HealthTech UG. Alle Rechte vorbehalten.
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)