TL;DR
- BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der deutsche Audit-Standard für Cloud-Security — Typ 2 = jährliches Wirtschaftsprüfer-Testat über tatsächlich gelebte Kontrollen, nicht nur dokumentierte.
- KRITIS, BaFin (BAIT/MaRisk), VAIT, Gesundheitssektor sind 2026 faktisch verpflichtet, AI-Workloads auf C5-zertifizierten Providern zu betreiben — Wahlfreiheit ist juristisch nicht mehr gegeben.
- Sieben Provider mit C5 + AI-Workload-Fähigkeit 2026; Default-Mittelstand: IONOS + Aleph Alpha + On-Prem-Crown-Jewel.
C5 ist der Boden, nicht die Decke. Wer AI-spezifische Risiken (Prompt-Injection, Halluzinationen, Bias) abdecken will, muss ISO 42001:2024 oder NIST AI RMF zusätzlich aufschalten.
BSI C5 Typ 1 vs Typ 2 — was zählt
C5 Typ 1 ist die Design-Prüfung: ein Wirtschaftsprüfer testiert, dass der Provider die Kontrollen dokumentiert und implementiert hat — ein Stichtag-Foto, kein laufender Beweis. Für Mittelstand-Compliance reicht das nicht; BaFin, BSI-KRITIS und VAIT verlangen Wirkungs-Evidenz.
C5 Typ 2 ist das operative Testat: ein Wirtschaftsprüfer prüft über mindestens 6 Monate (Standard: 12), ob die Kontrollen tatsächlich funktionierten. Das ist der Standard, den ernsthafte Compliance-Frameworks 2026 erwarten. Typ 2 ist beim Provider deutlich aufwändiger als Typ 1 — und genau deshalb der harte Filter im Procurement. Wer nur Typ 1 hat, ist 2026 nicht audit-fähig.
C5-Provider mit AI-Workload-Fähigkeit 2026
Stand Mai 2026, sieben Provider mit produktiver AI-Capability und C5-Testat:
| Provider | C5-Status | Hosting-Region | AI-Modelle | Use-Case-Fit |
|---|---|---|---|---|
| IONOS Cloud | C5 Typ 2 | DE (FRA, KAR) | AI Model Hub (Llama 3, Mistral, Aleph Alpha) | Mittelstands-Sweet-Spot |
| Open Telekom Cloud | C5 Typ 2 | DE (BLR, MGD, NLD) | Open Telekom AI (Falcon, Llama) | KRITIS, Behörden |
| Plusserver pluscloud open | C5 Typ 2 | DE (HAM, KÖL) | Primär IaaS, BYO-Modell | Self-Hosted vLLM/Ollama |
| STACKIT | C5 Typ 2 | DE (FRA, BLR) | STACKIT AI Hub (Beta) | Schwarz-Gruppe + Lidl-Partner |
| Aleph Alpha | BSI C5 + ISO 27001 | DE (Heidelberg, FRA) | Luminous, Pharia-1 | Souveränitäts-Top-Tier |
| Microsoft Azure Germany | C5 Typ 2 (Sub-Regionen) | DE (FRA, BLR) | Azure OpenAI (EU Boundary) | US-Hyperscaler-Brücke |
| Delos Cloud | C5 Typ 2 (in Akkr.) | DE (FRA) | SAP-Cloud + AI Foundation | SAP-Workload-Compliance |
Plusserver ist reine IaaS ohne eigenes AI-Hub — wer Plusserver wählt, trägt die Modell-Compliance selbst. Das funktioniert für Mittelständler mit eigenem ML-Team, aber nicht für Operating-Modelle ohne ML-Tiefe. Lese-Regel: Wer im Dialog mit BaFin oder einer KRITIS-Aufsicht steht, nennt Provider mit testiertem C5 Typ 2, nicht "in Vorbereitung" — Delos Cloud ist darum für regulierte Use-Cases noch nicht produktiv.
KRITIS + AI: wann C5 Pflicht wird
C5 ist juristisch keine Verordnung, sondern ein Audit-Rahmen — wird aber 2026 von fünf regulatorischen Quellen faktisch erzwungen:
| Sektor | Regulierungs-Quelle | C5-Status 2026 |
|---|---|---|
| KRITIS (Energie, Wasser, Telekom, Gesundheit) | BSI-KritisV + §8a BSIG | De-facto-Pflicht — Aufsicht akzeptiert C5 als Nachweis |
| Banken | BaFin BAIT + MaRisk AT 9 | Pflicht für Auslagerungen — C5 Typ 2 ist Mindeststandard |
| Versicherer | BaFin VAIT | Pflicht — explizite Nennung im VAIT-Rundschreiben |
| Gesundheitssektor | §75c SGB V + IT-SiG 2.0 | Pflicht für Krankenhäuser ab 30k Behandlungen/Jahr |
| Öffentliche Verwaltung | BSI-Grundschutz + EVB-IT Cloud | Pflicht in den meisten Bundes- und Landes-Ausschreibungen |
Der Großteil der größeren DACH-Mittelständler berührt mindestens eine dieser Quellen — direkt als KRITIS-Betreiber oder indirekt als Zulieferer. Die Cascading-Compliance wandert über die Lieferkette nach unten: "Wir sind kein KRITIS-Betreiber, aber unser größter Kunde ist BaFin-reguliert" genügt bereits.
Was C5 NICHT abdeckt — die ISO-42001-Lücke
C5 prüft Cloud-Security-Kontrollen — Zugriff, Verschlüsselung, RZ-Sicherheit, Incident-Response. Was C5 nicht prüft, sind die AI-spezifischen Risiken: Prompt-Injection-Resistance (OWASP LLM01), Modell-Halluzinationen, Bias über Subgruppen, Training-Data-Provenance und Adversarial-Robustness — alle fünf bleiben offen.
Diese Lücke schließen zwei Frameworks. NIST AI RMF 1.0 (Januar 2024) liefert mit den vier Funktionen Govern, Map, Measure, Manage das strukturierende Raster für AI-Compliance-Evidenz — kein Zertifikat, aber die interne Struktur. ISO/IEC 42001:2024 ist die erste internationale Norm für AI Management Systems (analog ISO 27001 für ISMS) und fordert AI-Risk-Assessment, Lifecycle-Governance, Stakeholder-Impact-Analyse und Continuous-Monitoring — faktisch der Audit-Maßstab ab EU-AI-Act-Hochrisiko-Systemen (Art. 9) ab 2. August 2026.
Trio 2026: C5 Typ 2 (Cloud) + ISO 42001 (AI-System) + NIST AI RMF (interne Struktur) ergibt Defense-in-Depth über die ganze AI-Wertschöpfungskette.
Default-Empfehlung Mittelstand 2026
Für DACH-Mittelständler mit KRITIS-, BaFin- oder Gesundheits-Bezug bewährt sich ein Drei-Säulen-Stack:
- IONOS Cloud als Cloud-AI-Sweet-Spot (rund 80 % der Workloads): C5 Typ 2 + AI Model Hub + deutsche Datenresidenz + DSGVO-Standard-AVV — Standard-Diktate, Chatbots, Code-Assist, Vertragsanalyse, Compliance-RAG laufen hier ohne Reibung.
- Aleph Alpha für Top-Souveränitäts-Use-Cases (rund 15 %): wo Modelle, Gewichte und Inference-Layer alle in deutschem Eigentum sein müssen — klassifizierte Forschung, hochsensitive Patienten-/Mandantendaten. Modell-Qualität ein Tier unter den Frontier-Modellen, dafür kompromisslose Souveränität.
- On-Prem für Crown-Jewel-Workloads (5–15 %): eigenes RZ, vLLM/Ollama, GPU-Cluster bei Plusserver IaaS oder Hetzner — Radiologie-Vorscreen, KRITIS-Predictive, DRG-Codierung unter §75c, MDR-Klasse-IIa und KritisV §8a.
In einem realen Krankenhausverbund-Pilot (4 Häuser, 1.800 Betten) wurden 12 AI-Workloads nach genau diesem Muster produktiv gesetzt: kein Workload auf US-only-Provider, keiner auf nicht-C5-zertifizierter Cloud. Audit-Resultat Q1 2026: 0 KRITIS-Findings, 0 BaFin-Beanstandungen, 2 Empfehlungen (Sub-Processor-Tracking, Incident-Response-Playbook).
Anti-Pattern 2026: "Wir nutzen ChatGPT direkt, ist ja in der EU verfügbar." Das ist kein C5, kein DPA-Standard, kein Audit-Trail — und kein Compliance-Argument vor BaFin, BSI oder DSK.
Fazit
BSI C5 Typ 2 ist 2026 der Boden für jeden AI-Workload mit KRITIS-, BaFin-, VAIT- oder §75c-Bezug — nicht verhandelbar, nicht ersetzbar durch SOC 2 oder ISO 27001. Die deutsche Cloud-Souveränität hat mit IONOS, Open Telekom Cloud, STACKIT und Aleph Alpha vier ernsthafte Säulen. ISO 42001:2024 schließt die AI-spezifische Lücke über dem Cloud-Layer; wer beides plus NIST AI RMF aufschaltet, passiert jeden DACH-Aufsichts-Dialog.
Praxis-Schritt: Ein kurzes C5-Souveränitäts-Audit klärt, welche AI-Workloads heute auf welchem Provider laufen, wo C5-Lücken bestehen und welche drei Workloads im nächsten Quartal migriert werden müssen. Erstgespräch anfragen → /anfrage
Stand Mai 2026. BSI-C5-Beratung in Zusammenarbeit mit akkreditierten Wirtschaftsprüfern und ISO-42001-Auditoren — eigene BAFA-/go-digital-Akkreditierung in Vorbereitung Q3 2026.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.