Manche Anbieter präsentieren ihre Cloud-Zertifikate wie Gütesiegel. Doch was steckt wirklich dahinter – und wann ist ein Zertifikat schlicht unnötig?

C5 schützt Sie vor fremder Infrastruktur – nicht vor fremder Infrastruktur selbst

Das BSI C5-Testat ist kein Qualitätsmerkmal für sich. Es ist eine Compliance-Anforderung für Cloud-Dienste – also für Software, die Daten auf Servern Dritter verarbeitet. Das steht so auch in § 393 SGB V: Wer als Leistungserbringer Gesundheitsdaten über einen Cloud-Dienst verarbeitet, muss sicherstellen, dass dieser Dienst ein gültiges C5 Typ 2-Testat vorweist.

Das Schlüsselwort ist Cloud-Dienst. Und genau hier unterscheidet sich neoscript grundlegend von anderen Anbietern: Bei neoscript läuft die Verarbeitung Ihrer Patientendaten nicht in der Cloud eines Drittanbieters.

Die Hardware gehört uns. Die Software gehört. Ihre Daten verlassen nie eine Infrastruktur, über die wir keine vollständige Kontrolle haben.

Das C5-Zertifikat wäre für uns das, was ein Rauchmelder für ein Haus ohne Strom ist: für den vorliegenden Fall schlicht nicht relevant.

Was viele Anbieter Ihnen nicht sagen

Ein C5-Testat klingt nach maximaler Sicherheit. Doch es gibt eine Lücke, über die in der Branche wenig gesprochen wird: Das Testat bezieht sich auf den zertifizierten Anbieter – nicht zwingend auf alle Infrastrukturschichten, die er nutzt.

Viele Software-Anbieter im Gesundheitsbereich betreiben ihre Dienste auf Infrastruktur von Microsoft Azure, Amazon AWS oder Google Cloud. Sprachaufnahmen aus Ihrer Therapiesitzung werden dort verarbeitet – auch wenn sie anschließend gelöscht werden. Auch temporäre Verarbeitung ist Verarbeitung. Die Daten fließen durch Systeme, auf die der Softwareanbieter selbst keinen vollständigen Einblick hat.

Das ist rechtlich compliant – wenn das C5-Testat vorliegt. Aber es ist keine echte Datenhoheit. Es ist rechtliche Verbindlichkeit ohne faktische Kontrolle.

Für Psychotherapeut:innen ist das kein akademisches Problem. Therapiegespräche gehören zu den sensibelsten Daten, die es gibt. Die Frage „Wer hat technisch Zugriff auf diese Aufnahme?“ ist nicht mit einem Zertifikat beantwortet (siehe US Cloud-Act)

Echte Datensouveränität: Was das bedeutet

Bei neoscript – ob als Software-Lösung oder als neobox für Ihre Praxis – gilt ein einfaches Prinzip: Die Hardware gehört uns, nicht einem Hyperscaler. Das bedeutet:

• Sprachaufnahmen werden lokal verarbeitet – nicht auf Azure, AWS oder Google-Servern
• Kein Drittanbieter hat technischen Zugang zu Ihren Patientendaten
• Keine Abhängigkeit von den Datenschutzpraktiken amerikanischer Cloud-Konzerne
• Volle Transparenz, welche Infrastruktur genutzt wird – weil es unsere ist

Das ist der Unterschied zwischen einem Zertifikat, das bescheinigt, dass ein Dritter vertrauenswürdig mit Ihren Daten umgeht – und einer Architektur, in der eine solche Vereinbarung gar nicht erst nötig ist.

Fragen, die Sie jedem Anbieter stellen sollten

Ob C5-zertifiziert oder nicht: Stellen Sie die richtigen Fragen, bevor Sie eine KI-Lösung in Ihrer Praxis einsetzen:

1. Auf welcher Infrastruktur werden Sprachaufnahmen verarbeitet? Konkret: Werden Audiodateien oder Transkriptionen an Microsoft, Amazon, Google oder andere Dritte übertragen – auch temporär?

2. Wer hat technischen Zugang zu den Servern, auf denen meine Daten liegen? Ein Zertifikat beschreibt Sicherheitsprozesse. Es beschreibt nicht, wer technisch Zugang haben könnte.

3. Werden Daten für Modelltraining verwendet? Auch wenn eine Lösung „DSGVO-konform“ ist, können Nutzungsbedingungen eine Verwendung von Daten zu Trainingszwecken erlauben.

4. Wo stehen die Server physisch? Rechenzentren in der EU und unter deutschem Recht sind nicht dasselbe wie ein US-Unternehmen mit EU-Servern.

Fazit

Das BSI C5-Zertifikat ist ein sinnvolles Instrument – für Cloud-Dienste, die auf fremder Infrastruktur laufen. Es schafft Transparenz und Verbindlichkeit dort, wo Daten die eigene Kontrolle verlassen.

Aber es schafft keine echte Datenhoheit. Es dokumentiert, dass ein Dritter sorgfältig mit Ihren Daten umgeht. Es garantiert nicht, dass kein Dritter Ihre Daten verarbeitet.

neoscript und neobox brauchen kein C5-Zertifikat – weil sie keine Infrastruktur Dritter nutzen. Ihre Sprachaufnahmen werden nie bei Azure oder AWS verarbeitet. Punkt.

Wenn Sie als Psychotherapeut:in echte Datenhoheit wollen und nicht nur rechtliche Absicherung, dann ist der entscheidende Unterschied nicht das Zertifikat. Es ist die Frage, wem die Hardware gehört.

Haben Sie Fragen zu unserer Infrastruktur oder möchten neoscript in Ihrer Praxis testen? Sprechen Sie uns an.

Während das Bundesministerium für Gesundheit in seiner Digitalisierungsstrategie „Gemeinsam Digital 2026″ das große Ziel ausgibt, KI-gestützte Dokumentation bis 2028 zum Standard zu machen und mehr als 70 % aller Einrichtungen dafür zu gewinnen, hat neoscript diesen Wandel längst eingeleitet.

1.000+ automatisierte Dokumentationen. 1.000+ Chat-Einträge. Das sind keine Pilotprojekte. Das ist gelebte Realität – qualitativ hochwertig, zuverlässig und direkt im Versorgungsalltag von Fachkräften im Gesundheitswesen.
Und das Entscheidende: ohne Abhängigkeit von US-amerikanischen Anbietern. Genau das fordert die Bundesregierung: digitale Souveränität, europäische Resilienz, Datenschutz nach höchsten Standards. Die Strategie formuliert es klar – es braucht Lösungen, die DSGVO-konform, sicher und unabhängig funktionieren. neoscript.ai liefert das nicht als Versprechen, sondern als nachgewiesene Praxis.

Das BMG betont in seiner Weiterentwicklung der Digitalisierungsstrategie, dass KI dort eingesetzt werden soll, „wo sie Abläufe effizienter macht oder von administrativen Tätigkeiten entlastet – ohne ärztliche oder pflegerische Verantwortung zu ersetzen.“
Genau diesen Anspruch erfüllt neoscript: Fachkräfte werden entlastet, Dokumentationsaufwand sinkt, die Qualität steigt – und der Mensch bleibt im Mittelpunkt.

Was uns besonders stolz macht:
✅ Hohe Dokumentationsqualität, die dem Versorgungsalltag standhält
✅ DSGVO-Konformität ohne Kompromisse
✅ Kein Lock-in bei US-Hyperscalern – digitale Souveränität in der Praxis
✅ Entlastung für Fachkräfte, die jeden Tag Außergewöhnliches leisten

Über 1.000 erfolgreichen Einträge sind mehr als eine Zahl. Sie sind ein Beweis dafür, dass KI im Gesundheitswesen jetzt funktioniert – nicht irgendwann 2028.

Deutschland braucht mutige Vorreiter auf dem Weg zur digitalen Gesundheitsversorgung. neoscript.ai ist einer davon.

Quelle: BMG Gemeinsam Digital – Digitalisierungsstrategie für das Gesundheitswesen und die Pflege.

Digitale Souveränität ist kein politisches Modewort mehr, sondern eine sehr konkrete wirtschaftliche und strategische Notwendigkeit – gerade für kritische Bereiche wie das Gesundheitswesen, in dem neoscript ansetzt. Die Beispiele aus Deutschland und der Schweiz zeigen eindrücklich, was passiert, wenn Verwaltungen und Unternehmen Abhängigkeiten reduzieren und eigene, offene Strukturen aufbauen und welche Rolle Lösungen wie neoscript dabei spielen können.

Was digitale Souveränität bedeutet

Digitale Souveränität heißt, die eigene IT‑Infrastruktur, Daten und zentralen Prozesse unter eigener Kontrolle zu behalten – technisch, rechtlich und wirtschaftlich. Es geht nicht darum, jede Zeile Code selbst zu schreiben, sondern darum, bewusst zu entscheiden, wo Daten liegen, wer zugreifen kann und wie austauschbar einzelne Bausteine sind.

Für Gesundheitsanbieter, Praxen und therapeutische Einrichtungen bedeutet das: Patientendaten dürfen nicht in undurchsichtigen Blackbox-Clouds verschwinden, Lizenz- und Nutzungsbedingungen müssen nachvollziehbar bleiben und Kernprozesse wie Dokumentation oder Befundschreibung dürfen nicht von der Preispolitik eines einzelnen US‑Konzerns abhängen.

Schleswig-Holstein: Open Source statt Vendor Lock-in

Schleswig-Holstein zeigt aktuell sehr sichtbar, was passiert, wenn eine öffentliche Verwaltung konsequent auf Open Source und digitale Unabhängigkeit setzt. Das Land stellt seine Verwaltungs-IT schrittweise von proprietären Microsoft‑Lösungen auf freie Software um und spart damit schon im ersten Jahr mehr als 15 Millionen Euro an Lizenzkosten, bei einmaligen Investitionen von rund neun Millionen Euro – die Maßnahme amortisiert sich also in weniger als zwölf Monaten.

Gleichzeitig reduziert das Land den Anteil an Microsoft‑Lizenzen um fast 80 Prozent und gewinnt damit Spielräume, offene Lösungen weiterzuentwickeln, Fachverfahren besser zu integrieren und eigene Prioritäten zu setzen, statt Roadmaps und Preismodelle eines einzelnen Anbieters einfach hinnehmen zu müssen. Genau diese Logik lässt sich auf Krankenhäuser, MVZs und Praxisketten übertragen: Wer offene, modular aufgebaute Software einführt, verschafft sich nicht nur Kostenvorteile, sondern auch echte strategische Handlungsfreiheit.

Preisspirale bei Cloud-Suiten als Warnsignal

Parallel dazu drehen große Anbieter weiter an der Preisschraube: Microsoft kündigt für die Microsoft‑365‑Suite ab Juli 2026 deutliche Erhöhungen an; einzelne Pläne steigen um bis zu ein Drittel, etwa wenn ein Tarif von 2,25 auf 3 US‑Dollar pro Nutzer und Monat wächst. Auch Business‑ und Enterprise‑Pläne legen teils im zweistelligen Prozentbereich zu, begründet mit neuen KI‑Funktionen und Security‑Features.

Für Organisationen im Gesundheitswesen, die ohnehin mit knappen Budgets und steigenden Kosten in Pflege, Therapie und Infrastruktur kämpfen, bedeutet diese Preisdynamik: Jede zusätzliche Abhängigkeit von proprietären Suiten erhöht das finanzielle Risiko und reduziert den Spielraum für echte Innovation am Patienten. Digitale Souveränität heißt hier sehr konkret, diese Risiken zu begrenzen durch offene Standards, exportierbare Datenformate und Anbieter, die auf Transparenz und Interoperabilität

Schweiz: Souveräne KI‑Infrastruktur als Vorbild

Die Schweiz geht mit Initiativen wie der «Digital Switzerland Strategy» und der Swiss AI Initiative einen eigenen Weg, um digitale Souveränität auch im Bereich KI zu sichern. Basis ist unter anderem der öffentliche Supercomputer Alps, mit dem ein großer, mehrsprachiger Open‑Source‑Sprachmodell‑Stack aufgebaut wurde – mit Millionen GPU‑Stunden und signifikanten öffentlichen Investitionen, ausdrücklich ausgerichtet auf Transparenz, Datenschutz und offene Wissenschaft.

Das Ziel ist klar: Staat und öffentliche Institutionen sollen KI nutzen können, ohne sich vollständig von einzelnen globalen Cloud‑Anbietern abhängig zu machen, sowohl in Bezug auf Infrastruktur als auch auf Modelle und Daten. Für Anwendungen im Gesundheitswesen entsteht damit ein Ökosystem, in dem sensible medizinische Informationen mit hohen Datenschutzanforderungen verarbeitet werden können, während Governance, Update‑Zyklen und Datenflüsse nachvollziehbar bleiben.

Wo neoscript ansetzt

neoscript ist genau in dieser neuen Realität verortet: Als spezialisierte Plattform für medizinische Dokumentation und KI‑gestützte Transkription zielt sie darauf, die Effizienz in Praxen und Kliniken zu steigern, ohne digitale Souveränität zu opfern. Durch einen Fokus auf deutsche undeuropäische Infrastruktur und klare Datenschutz-Architektur kann neoscript in souveräne IT-Strategien von Einrichtungen integriert werden, statt ein weiteres proprietäres Insel-System zu sein.

Statt ein monolithisches US‑Produkt «von der Stange» zu kaufen, das jede Preiserhöhung und Produktentscheidung von außen diktiert, können Gesundheitsanbieter mit Lösungen wie neoscript schrittweise Kompetenz im eigenen Haus aufbauen: Daten bleiben in kontrollierten Umgebungen, Schnittstellen zu Praxis- und Kliniksystemen sind dokumentiert, und KI‑Modelle lassen sich perspektivisch austauschen oder ergänzen, passend zu regulatorischen Anforderungen und eigenen Qualitätsstandards. Damit wird digitale Souveränität vom abstrakten Schlagwort zur konkreten Architekturentscheidung und neoscript zu einem Baustein in einem unabhängigen, zukunftsfähigen Gesundheits-Ökosystem.

1. https://www.heise.de/news/Adieu-Microsoft-Schleswig-Holstein-setzt-auf-Open-Source-und-spart-Millionen-11105389.html
2. https://www.schleswig-holstein.de/DE/landesregierung/ministerien-behoerden/I/Presse/PI/2025/cds/251204_cds_open-source
3. https://www.s-ge.com/en/article/news/why-digital-sovereignty-begins-switzerland
4. https://find.swiss/find-library/articles/digital-sovereignty-lost-in-the-cloud
5. https://www.swisscom.ch/en/business/enterprise/themen/cloud/digitale-souveraenitaet.html
6. https://www.igorslab.de/adieu-microsoft-schleswig-holstein-setzt-auf-open-source-und-spart-millionen/
7. https://www.it-boltwise.de/schleswig-holstein-spart-millionen-durch-open-source-umstellung.html
8. https://www.trendingtopics.eu/microsoft-preiserhoehungen/
9. https://www.heise.de/news/Microsoft-erhoeht-Preise-fuer-Microsoft-365-ab-Juli-2026-deutlich-11103864.html
10. https://www.handelsblatt.com/technik/it-internet/software-microsoft-hebt-preise-fuer-buerosoftware-um-bis-zu-33-prozent-an-01/100181349.html
11. https://www.ad-hoc-news.de/boerse/ueberblick/microsoft-365-preise-steigen-um-bis-zu-33-prozent/68411818
12. https://de.linkedin.com/posts/handelsblatt_software-microsoft-hebt-preise-f%C3%BCr-b%C3%BCrosoftware-activity-7403566701218254849-owzZ
13. https://www.smartcountry.berlin/en/newsblog/strategy-initiative-how-switzerland-is-going-digital.html
14. https://www.heise.de/news/Studie-Bundesverwaltung-soll-bei-generativer-KI-auf-Eigenentwicklungen-setzen-11105571.html
15. https://winfuture.de/news,155429.html
16. https://www.reddit.com/r/de/comments/1pgimhv/adieu_microsoft_schleswigholstein_setzt_auf_open/
17. https://s3nnet.de/lesetp-adieu-microsoft-schleswig-holstein-setzt-auf-open-source-und-spart-millionen/
18. https://de.linkedin.com/posts/dev-felix-becker_software-microsoft-hebt-preise-f%C3%BCr-b%C3%BCrosoftware-activity-7403672438342909955-FTms
19. https://www.facebook.com/heiseonline/photos/mit-der-migration-von-microsoft-zu-freier-software-zahlt-schleswig-holstein-gut-/1263775259118737/
20. https://news.microsoft.com/source/emea/2025/09/how-microsoft-is-addressing-digital-sovereignty-in-switzerland/

Jahrelang haben wir uns eingeredet, das Internet gehöre allen. Wir haben „Akzeptieren“ geklickt, ohne nachzudenken, unsere wertvollsten Erinnerungen in den Clouds US-amerikanischer Riesen abgelegt und Warnungen ignoriert. „Ich habe nichts zu verbergen“, war die Ausrede. Doch 2025 lässt sich die unbequeme Wahrheit nicht mehr leugnen: Wenn es wirklich drauf ankommt, haben wir Europäer:innen die Schlüssel zu unserem digitalen Zuhause längst abgetreten.

Dieses Jahr hat schmerzhaft gezeigt, was Experten prophezeit hatten: Unsere digitale Abhängigkeit ist keine theoretische Gefahr mehr, sondern eine akute Bedrohung für Freiheit und Privatsphäre.

Der „Kill Switch“ wird Realität

Experten warnten: „Europa ist digital vom US abhängig – alles kann mit einem Klick abgeschaltet werden.“ Damals klang das nach Weltuntergangsszenario. Wie könnte ein Verbündeter das tun?

Am 16. Mai 2025 erlebten wir, wie dieser Knopf aussieht: Microsoft blockierte die E-Mail-Accounts des Chefanklägers des Internationalen Strafgerichtshofs (IStGH) in Den Haag. Auf US-politischen Druck hin wurde eine unabhängige Institution digital zum Schweigen gebracht. Akten unzugänglich, Kommunikation dunkel.

Dieser Vorfall beweist: Unsere kritische Infrastruktur ist Gast auf Servern, die wir nicht kontrollieren. Entscheidet ein Tech-Riese (oder die Regierung dahinter), dass du ein Problem bist, bist du raus – ob Bürger oder internationales Gericht.

Dein Leben als Trainingsdaten (es sei denn, du widersprichst)

Während unsere Souveränität bedroht ist, zerfrisst Big Tech unsere Privatsphäre. Erinnert ihr euch? „Widersprecht jetzt, wenn Meta eure Daten nicht für KI trainieren soll.“

Vollkommene Umkehrung: Statt um Erlaubnis zu bitten, nehmen Firmen Urlaubsfotos, Kinder-Videos und Chats für profitablere KI-Modelle – es sei denn, du kämpfst dich durch verwirrende Menüs. 2025 wurde klar: Big Tech sieht deine Daten nicht als Eigentum, sondern als kostenloses Rohmaterial. Amnesty International warnte schon im August: Dieses Geschäftsmodell bedroht grundlegende Menschenrechte.

Warum Big Tech kein sicherer Hafen ist

Fazit 2025 ist hart, aber klar. Drei strukturelle Probleme lassen sich nicht mehr ignorieren:

• Kill Switch: Wie NU.nl beschrieb und der IStGH erlebte, können Dienste einseitig gekappt werden.
• Daten-Ausbeutung: Wie NOS und AP warnten, dienen Erinnerungen kommerzieller KI.
• Machtmissbrauch: Wie Amnesty betont, gefährdet Konzentration bei wenigen Firmen unsere Freiheit.[1]

Die Lösung in Europa: neoscript.ai

Wir müssen das nicht hinnehmen. Der einzige Weg, Big Techs Macht zu brechen, führt unsere Daten nach Hause – nach Europa.

Bei neoscript.ai machen wir es anders. Als privacy-fokussierte Healthcare-AI-Plattform glauben wir: Deine sensiblen medizinischen Daten gehören dir – und niemandem sonst.

Kein KI-Training: Wir schauen nicht in deine Dateien. Deine Dokumente sind kein Algorithmus-Futter.

Deutscher Schutz: Daten auf unseren eigenen Servern, oder wenn gewünscht auf deiner eigenen Infrastruktur, geschützt durch DSGVO Kein US-Cloud Act-Zugriff.

Transparent: Kein Kleingedrucktes oder versteckte Opt-outs. Du bist Kunde, nicht Produkt.

Kontrolle zurückholen – heute

Wartet nicht auf den nächsten Skandal, die nächste Sperre oder AGB-Änderung. 2025 war der Weckruf.

Tretet aus Big Techs Schatten. Wählt Privatsphäre, Sicherheit und Souveränität.

Originalartikel: https://pixelunion.eu/blog/2025/

Was das neue Gutachten zeigt
Das Kölner Gutachten im Auftrag des Bundesinnenministeriums kommt zu einem klaren Ergebnis: US-Behörden können auf Daten zugreifen, selbst wenn diese in europäischen Rechenzentren liegen. Entscheidend ist nicht der Standort des Rechenzentrums, sondern die Kontrolle durch ein Unternehmen, das US-Recht wie CLOUD Act, SCA oder FISA 702 unterliegt.

Für europäische Unternehmen bedeutet das: Wer auf US-Hyperscaler oder europäische Anbieter mit starken US-Geschäftsbeziehungen setzt, öffnet ein Einfallstor für ausländische Zugriffe. Das steht in einem direkten Spannungsverhältnis zu DSGVO, EU‑Datenschutzrahmen und der Idee echter digitaler Souveränität.

Warum das Gesundheitswesen besonders betroffen ist
Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt und unterliegen neben der DSGVO auch der ärztlichen Schweigepflicht und strafrechtlichem Schutz, etwa nach § 203 StGB. Ein heimlicher Zugriff ausländischer Behörden auf Arztbriefe, Therapienotizen oder Gesprächsprotokolle ist damit nicht nur ein Compliance-Problem, sondern ein Vertrauensbruch gegenüber Patient:innen.

Viele aktuelle eHealth- und KI-Lösungen setzen dennoch auf US-Clouds wie Azure, AWS oder GCP – oft sogar dann, wenn die Rechenzentren formal in Deutschland oder der EU stehen. Das Gutachten macht deutlich: Dieses „Standort-Argument“ reicht nicht aus, um das Risiko eines Zugriffs durch US-Behörden wirksam auszuschließen.

Wie neoscript Datensouveränität umsetzt
neoscript geht hier bewusst einen anderen Weg: Die Plattform wird ausschließlich auf eigenen Servern in Deutschland betrieben – ohne AWS, Azure, GCP oder andere US-Clouds. Kundendaten verbleiben damit vollständig in deutscher Infrastruktur, was die Vereinbarkeit mit DSGVO und ärztlicher Schweigepflicht deutlich erleichtert.
Zusätzlich bietet neoscript auf Wunsch On-Premise-Betrieb direkt in der IT-Umgebung von Praxen und Kliniken an. So behalten Einrichtungen die volle Kontrolle darüber, wo Gesundheitsdaten liegen – und wer eben keinen Zugriff hat.

Was Entscheider:innen jetzt tun sollten
Für Ärzt:innen, Psychotherapeut:innen, Kliniken und Gesundheits-IT bedeutet das Gutachten: Die Wahl der Infrastruktur ist eine strategische Datenschutzentscheidung, keine reine IT-Frage. Wer US-Clouds einsetzt, sollte das Risiko eines potentiellen Behördenzugriffs transparent bewerten – und dokumentierte Schutzmaßnahmen sowie Alternativen prüfen.

neoscript positioniert sich genau hier als Lösung für maximale Datensouveränität: KI-gestützte Dokumentation und sicherer KI-Chat, betrieben auf eigener deutscher Infrastruktur, ohne US-Cloud und mit Fokus auf deutsche Compliance-Anforderungen. Für alle, die KI im Gesundheitswesen nutzen wollen – ohne bei Datenschutz und Souveränität Abstriche zu machen.

In Zeiten digitaler Kommunikation greifen viele Praxisteams und Therapeut:innen intuitiv zu Tools wie WhatsApp, Gmail, iCloud oder OneDrive. Schließlich sind sie allgegenwärtig, einfach zu bedienen und oft kostenlos. Doch gerade im Gesundheitswesen birgt die Nutzung solcher Dienste erhebliche datenschutzrechtliche Risiken. Im Folgenden erklären wir, warum klassische Cloud- und Messenger-Dienste für die berufliche Kommunikation mit Patient:innen oder im Praxisteam nicht zulässig sind und welche DSGVO-konformen Alternativen sich stattdessen anbieten.

Warum WhatsApp, Gmail & Co. tabu sind

Die Nutzung gängiger US-amerikanischer Dienste verletzt in der Regel das Datenschutz-Grundverordnung (DSGVO) und das Berufsrecht im Gesundheitswesen:

• WhatsApp ist ein Messenger von Meta (USA). Obwohl Nachrichten Ende-zu-Ende-verschlüsselt sind, werden Metadaten (Wer schreibt wann mit wem?) und ggf. Backups (z. B. in iCloud oder Google Drive) unverschlüsselt gespeichert – und oft in die USA übertragen.
• Gmail und andere Google-Dienste unterliegen dem US-amerikanischen Cloud Act. Das bedeutet: US-Behörden können unter Umständen auf sensible Daten zugreifen – ohne dass europäische Datenschutzbehörden eingreifen können.
• iCloud, OneDrive, Dropbox und ähnliche Cloud-Dienste speichern Daten oft außerhalb der EU und bieten keine ausreichenden Garantien für den Schutz personenbezogener, geschweige denn besonders sensibler Gesundheitsdaten (Art. 9 DSGVO).

Selbst mit Einwilligung der Patient:innen reicht dies nicht aus, da die Verarbeitung sensibler Gesundheitsdaten im Rahmen der beruflichen Tätigkeit einer rechtlichen Verpflichtung zur Vertraulichkeit unterliegt – nicht nur einer datenschutzrechtlichen Abwägung.

DSGVO-konforme Alternativen: Sicher, souverän, deutsch/europäisch

Glücklicherweise gibt es robuste, datenschutzfreundliche Alternativen, die für Praxen und Therapeuten geeignet sind – und dabei oft sogar kostengünstig oder Open Source sind.

📧 E-Mail & Kommunikation

• Posteo (posteo.de): E-Mail-Dienst aus Deutschland, DSGVO-konform, ohne Werbung, ohne Tracking – inkl. Kalender und Adressbuch. Ideal für den geschützten Schriftverkehr.
• Eigene Mail-Infrastruktur bei Hetzner oder netcup: Mit einem eigenen Mail-Server auf deutschem Boden behalten Sie volle Kontrolle über Ihre Daten. Besonders für Praxisgruppen oder digitale Gesundheits-Startups interessant.
• Tutanota: Ende-zu-Ende-verschlüsselte E-Mails mit Servern in Deutschland.

📁 Cloud & Dateiablage

• Nextcloud (self-hosted): Open-Source-Alternative zu Dropbox/OneDrive. Läuft auf Ihrer eigenen Hardware oder bei einem deutschen Anbieter wie Hetzner. Mit Clients für alle Geräte, Kalender, Aufgaben und sogar Videochats (Talk).
• Managed-Nextcloud-Anbieter: Unternehmen wie Hetzner bieten auch managed Nextcloud-Lösungen an – ideal, wenn Sie keine eigene Serveradministration betreiben möchten, aber auf Compliance bestehen.

📝 Office & Dokumente

• LibreOffice: Open-Source-Büropaket (Text, Tabellen, Präsentationen) – lokal nutzbar, ohne Cloud, vollständig DSGVO-sicher.
• Kombiniert mit Nextcloud kann man Dokumente auch kollaborativ bearbeiten – etwa über Collabora Online oder OnlyOffice, beides DSGVO-konforme Office-Lösungen für den Browser.

💬 Sichere Messenger (für Teams, nicht für Patient:innen)

• Signal: Obwohl Signal US-basiert ist, gilt es als sicherer Messenger – aber: Nur für interne Teamkommunikation, nicht für den Kontakt mit Patient:innen, da keine rechtssichere Auftragsverarbeitung (AVV) möglich ist.
• Threema Work: Schweizer Messenger mit DSGVO-konformer AVV möglich – allerdings kostenpflichtig und eher für größere Einrichtungen geeignet.
• Matrix + Element (self-hosted): Open-Source-Messenger mit End-to-End-Verschlüsselung, komplett auf eigenem Server betreibbar – maximale Datenschutzherrschaft.

🔐 Fazit: Technik muss Vertrauen ermöglichen – nicht untergraben

Als Therapeut:in oder Arzt tragen Sie eine besondere Verantwortung: Ihre Patient:innen vertrauen Ihnen ihre intimsten Gedanken und Gesundheitsdaten an. Dieses Vertrauen endet nicht an der Tür zur digitalen Welt. Die Nutzung unsicherer Kommunikationswege ist nicht nur rechtlich riskant – es verletzt auch das ethische Fundament unseres Berufsstands.

Die gute Nachricht: Es gibt ausgereifte, erschwingliche und benutzerfreundliche Alternativen, die Datenschutz, Souveränität und Praxistauglichkeit verbinden. Und wer, wie wir bei neoscript.ai, an Open-Source, On-Premises-Lösungen und transparenter Technik arbeitet, weiß: Sicherheit und Benutzerfreundlichkeit schließen sich nicht aus.

Über neoscript.ai
Wir entwickeln DSGVO-konforme, on-premises KI-Systeme zur automatisierten Dokumentation von Psychotherapiesitzungen – ohne Cloud, ohne US-Hyperscaler, mit voller Kontrolle über Ihre Daten. Unsere Lösung basiert auf Open-Source-Modellen wie Whisper und Qwen und läuft ausschließlich auf Ihrer Hardware oder bei uns auf eigener Infrastruktur.

Hinweis: Dieser Blogpost ersetzt keine rechtliche Beratung. Für konkrete Fragen zur DSGVO oder zum Berufsrecht wenden Sie sich bitte an Ihre zuständige Ärztekammer oder einen auf IT-Recht spezialisierten Anwalt.