Warum viele europäische Anbieter im Gesundheitswesen auf US-Cloud-Dienste wie Microsoft Azure, AWS und Google Cloud setzen – und warum das datenschutzrechtlich riskant ist
Im digitalen Wandel des Gesundheitswesens setzen immer mehr Praxen, Kliniken und digitale Gesundheitsanbieter auf Cloud-Dienste wie Microsoft Azure, Amazon Web Services (AWS) oder Google Cloud Platform (GCP). Die Versprechen klingen verlockend: Skalierbarkeit, Ausfallsicherheit, „europäische“ Rechenzentren – und angeblich DSGVO-konforme Verarbeitung. Doch bei näherem Hinsehen erweisen sich diese Zusicherungen oft als juristische Fassaden ohne technische Substanz – besonders im sensiblen Bereich der Gesundheitsdaten.
Denn: Papier schützt keine Daten. Dieser Satz, den der unabhängige IT- und Datenschutzexperte Kuketz IT-Security immer wieder betont, trifft den Kern des Problems. Verträge, Compliance-Zertifikate oder „EU Data Boundary“-Versprechen mögen formal korrekt sein – sie ändern jedoch nichts an der rechtlichen und technischen Realität, mit der US-Cloud-Anbieter operieren.
CLOUD Act und FISA: Das grundsätzliche Problem US-amerikanischer Cloud-Anbieter
Unabhängig von der physischen Speicherung der Daten innerhalb der EU unterliegen US-Unternehmen wie Microsoft, Amazon und Google dem US CLOUD Act. Diese Gesetze verpflichten US-Firmen, auf Anfrage US-Behörden Zugriff auf sämtliche von ihnen kontrollierten Daten zu gewähren – auch wenn diese in Europa gespeichert sind.
Für Gesundheitseinrichtungen bedeutet das: Sobald eine Anwendung, z.B. eine digitale Patientenakte oder eine automatisierte Dokumentationssoftware auf Azure, AWS oder GCP läuft, bleibt der US-Anbieter technisch und rechtlich in der Lage, auf die Daten zuzugreifen. Dieser Zugriff erfolgt oft ohne Wissen oder Zustimmung des Kunden und ohne richterliche Kontrolle in Europa. Das steht im klaren Widerspruch zu Art. 44 ff. DSGVO, der internationale Datenübermittlungen nur zulässt, wenn ein angemessenes Schutzniveau gewährleistet ist.
Juristische Gutachten reichen nicht – die Technik entscheidet
Wie der Kuketz-Blog mehrfach aufgezeigt hat, verlassen sich viele Organisationen auf juristische Gutachten, die den Einsatz von US-Cloud-Diensten als „DSGVO-konform“ darstellen – allein auf Basis von Verträgen und Herstellerangaben. Doch solche Bewertungen ignorieren die technische Realität.
Entscheidend ist nicht, was versprochen wird, sondern was die Infrastruktur tatsächlich tut. Und hier zeigen unabhängige Analysen – etwa durch den LfDI Baden-Württemberg oder die niedersächsische Datenschutzbehörde – ein klares Bild:
- US-Cloud-Anbieter behalten administrativen Root-Zugriff auf ihre Systeme, selbst bei „europäischen“ Instanzen.
- Sie sammeln umfangreiche Logs, Metadaten und Telemetriedaten, die oft personenbeziehbar sind oder eine Re-Identifizierung ermöglichen.
- In vielen Fällen hat der Anbieter mehr Einblick in die Datenverarbeitung als der Kunde selbst – ein Verstoß gegen das Prinzip der Datenminimierung und das Recht auf informationelle Selbstbestimmung.
Solche Risiken lassen sich nicht durch Verträge eliminieren. Wie Kuketz treffend schreibt:
„Datenschutz entsteht nicht durch Gutachten oder juristisches Geschwurbel. Er lässt sich nicht herbeireden – sondern nur durch überprüfbare technische Fakten.“
Was das für digitale Gesundheitsanwendungen bedeutet
Gesundheitsdaten genießen nach der DSGVO einen besonderen Schutzstatus (Art. 9). Sie gelten als „besonders schützenswert“, weil sie tiefste Einblicke in die Privatsphäre, psychische Verfassung oder körperliche Integrität eines Menschen gewähren. Wer solche Daten verarbeitet, trägt eine hohe Verantwortung und muss sicherstellen, dass sie nicht unrechtmäßig an Dritte weitergegeben werden können.
Doch sobald eine Healthcare-Software auf Azure, AWS oder GCP basiert, ist diese Kontrolle nicht mehr vollständig gegeben. Selbst wenn der Anbieter alles richtig macht: die Infrastruktur bleibt in der Hand eines US-Unternehmens, das rechtlich verpflichtet ist, Daten an US-Behörden herauszugeben.
Das ist kein hypothetisches Risiko. Es ist ein strukturelles, systemisches Problem, das sich durch technische Konfiguration oder vertragliche Zusagen nicht beheben lässt.
Echte Datenschutzalternativen: Transparenz, Kontrolle, Souveränität
Wer echten Datenschutz im Gesundheitswesen will, muss deshalb konsequent auf europäische, souveräne Infrastruktur setzen und auf transparente, nachvollziehbare Software. Dazu gehören drei zentrale Prinzipien:
1. Keine Abhängigkeit von US-Cloud-Anbietern
Verzicht auf Azure, AWS und GCP reduziert das CLOUD Act-Risiko auf null. Stattdessen: Nutzung von europäischen Rechenzentren und keine rechtlichen Verpflichtung zur Datenherausgabe an Drittstaaten.
2. On-premise- Betrieb
Praxen und Kliniken sollten die Option haben, die Software lokal in ihren eigenen Räumen zu betreiben. Das gibt volle Kontrolle über die Daten – ohne Abhängigkeit von externen Cloud-Providern.
3. Open-Source-basierte Software
Nur bei Open-Source-Systemen können unabhängig geprüft werden. Es gibt keine Black Boxes, keine versteckten Telemetriefunktionen, keine unkontrollierten Datenübertragungen. Transparenz wird so zum Kernbestandteil des Datenschutzes.
Genau diesen Ansatz verfolgen wir: neoscript.ai nutzt Open Source-KI, kann on-premise betrieben werden und läuft ausschließlich auf deutscher bzw. europäischer Infrastruktur. Damit erfüllen wir nicht nur die formale, sondern auch die substantielle Anforderung der DSGVO: Schutz der Patientendaten in der Praxis, nicht nur auf dem Papier.
Fazit: Datenschutz im Gesundheitswesen darf keine Illusion sein
Im Gesundheitsbereich geht es um Vertrauen. Um sensible Daten, die nicht in falsche Hände geraten dürfen. Wer hier auf US-Cloud-Dienste setzt – auch wenn sie „in Frankfurt“ laufen –, überlässt die Kontrolle über diese Daten einem rechtlichen System, das europäische Grundrechte nicht anerkennt.
Juristische Gutachten mögen beruhigen, aber sie schützen nicht. Nur technische Souveränität, europäische Infrastruktur und transparente Software bieten echte Sicherheit. Denn am Ende zählt nicht, was versprochen wird – sondern was tatsächlich passiert.
Schreibe einen Kommentar