Schlagwort: Patientendaten

  • Schrems III: Was der Supreme Court für Patientendaten in Europa bedeutet

    Schrems III: Was der Supreme Court für Patientendaten in Europa bedeutet

    1. Das Urteil
      Am 29. Juni 2026 entschied der US Supreme Court mit 6 zu 3 Stimmen im Fall Trump v. Slaughter, dass der US-Präsident die Leitung unabhängiger Regulierungsbehörden entlassen darf. Die Entscheidung Humphrey’s Executor von 1935, die diese Unabhängigkeit seit fast 90 Jahren rechtlich absicherte, ist damit obsolet. Das Urteil gilt weit über die aktuelle US-Regierung hinaus. Es regelt nicht eine politische Tagesfrage, sondern eine Verfassungsfrage: Sind Regulierungsbehörden in den USA unabhängig von der Exekutive?
      Die Antwort des Supreme Court lautet: nein.
    2. Was das mit Europa zu tun hat
      Der EU-US Data Privacy Framework (DPF) regelt nach Schrems II den Datenverkehr zwischen der EU und den USA. Der DPF setzt voraus, dass US-Behörden, die für Datenschutz und Überwachung zuständig sind, unabhängig von der Regierung agieren. Genau diese Unabhängigkeit ist mit dem Urteil Trump v. Slaughter verfassungsrechtlich nicht mehr garantiert. Max Schrems hat die Konsequenz unmittelbar nach dem Urteil gezogen. Er fordert die Europäische Kommission auf, Schrems III einzuleiten und das EU-US-Abkommen auslaufen zu lassen.
      Seine Einschätzung: EU-Recht und US-Recht sind auf verfassungsrechtlicher Ebene inkompatibel. Ein Regierungswechsel in den USA löst das Problem nicht, weil die Unabhängigkeit der Regulierer nun verfassungsrechtlich abgeschafft ist.
    3. Was das für Therapeuten und Ärzte bedeutet
      Für Praxen und Kliniken, die mit sensiblen Patientendaten arbeiten (Art. 9 DSGVO, § 203 StGB), bedeutet das erneut Rechtsunsicherheit bei jeder Datenübermittlung in die USA. Daten, die über US-Cloud-Dienste verarbeitet werden, unterliegen dem US-Recht. Das umfasst AWS, Google Cloud, Azure, OpenAI und alle Dienste, deren Server in den USA stehen oder deren Mutterkonzern dort ansässig ist.
      Die Folge: Wer Patientendaten über einen US-Dienstleister verarbeitet, kann sich nicht mehr darauf verlassen, dass US-Behörden dieser Dienstleister unabhängig kontrollieren. Die datenschutzrechtlichen Garantien, auf denen der EU-US-Datenverkehr aktuell beruht, sind verfassungsrechtlich nicht mehr verlässlich.
    4. Welche KI-Dokumentations-Tools betroffen sind
      Stefan Krucker führt auf https://www.kuenstliche-intelligenz-psychotherapie.com/vergleich einen unabhängigen Vergleich von KI-Dokumentationstools für Psychotherapie und Beratung. Er prüft unter anderem das Kriterium „Geschützt vor US Cloud Act“. Das Ergebnis: 6 von 10 verglichenen Anbietern sind dem US Cloud Act ausgesetzt. Das bedeutet: Patientendaten, die über diese Tools verarbeitet werden, können von US-Behörden abgefordert werden, unabhängig davon, ob die Server in der EU stehen oder nicht.
      Der Cloud Act gilt für alle Unternehmen mit einer Niederlassung in den USA. Für Therapeuten, die der Schweigepflicht (§ 203 StGB) unterliegen, stellt sich die Frage: Dürfen Patientendaten überhaupt über Tools verarbeitet werden, die dem Zugriff US-amerikanischer Behörden ausgesetzt sind? Die Antwort wird spätestens mit Schrems III lauten: nein.
    5. Was sich ändern muss
      Patientendaten gehören in die EU. Das war vor dem Urteil richtig, und es ist danach unverändert richtig. Wer heute ein KI-Dokumentationstool einsetzt, sollte prüfen:
      Wo werden die Daten verarbeitet?
      Nicht der Serverstandort entscheidet, sondern der Rechtssitz des Unternehmens. Ein US-Unternehmen mit EU-Servern unterliegt dennoch dem Cloud Act
      Wer betreibt die KI?
      Daten, die an US-KI-Anbieter (OpenAI, Google, Anthropic) gesendet werden, unterliegen US-Recht auch wenn die API in Europa gehostet wird.
      Gibt es einen Weg zurück?
      Sobald Patientendaten einmal über US-Dienste gelaufen sind, lässt sich die Rechtswirkung nicht rückgängig machen. Die Daten existieren in einem Rechtsraum, in dem Unabhängigkeit der Aufsichtsbehörden jetzt verfassungsrechtlich abgeschafft ist.
    6. Wie neoscript Patientendaten schützt
      Bei neoscript verarbeiten wir alle Daten auf eigener Server-Infrastruktur. Lokale Transkription, lokale Analyse, keine Übermittlung von Gesprächsinhalten an externe KI-Anbieter. Kein US-Hoster, kein US-Dienstleister, kein Cloud Act. Unsere Server-Infrastruktur steht in Deutschland. Reverse Proxy über Hetzner in Deutschland. Website bei netcup in Karlsruhe. CDN über bunny.net in Slowenien. Zahlungen über Mollie in den Niederlanden. Jeder Dienstleister hat seinen Sitz in der EU. Kein Unterauftragsverarbeiter verarbeitet Gesundheitsdaten (Art. 9 DSGVO) oder Gesprächsinhalte. Alle Inhaltsdaten bleiben auf eigener Infrastruktur. Von Psychologen entwickelt, für Therapie und Beratung gebaut.
    7. Fazit
      Schrems III kommt. Die Frage ist nicht ob, sondern wann. Wer heute Patientendaten über US-Dienste verarbeitet, handelt nicht erst nach dem nächsten Schrems-Urteil rechtlich riskant, sondern bereits jetzt. Die Unabhängigkeit US-amerikanischer Regulierungsbehörden ist nach Trump v. Slaughter verfassungsrechtlich abgeschafft. Der Datenschutzrahmen, auf dem der EU-US-Datenverkehr beruht, steht auf einem Fundament, das gerade entfernt wurde. Patientendaten gehören in die EU. In die Therapiepraxis, in das Krankenhaus, in die Beratungsstelle. Nicht in einen Rechtsraum, dessen Datenschutzgarantien verfassungsrechtlich nicht mehr verlässlich sind.
    8. Quellen
      NYT: https://www.nytimes.com/live/2026/06/29/us/trump-supreme-court-presidential-power
      Max Schrems: https://lnkd.in/dSsExiyr
      Stefan Krucker, Vergleich KI-Tools für Psychotherapie: https://www.kuenstliche-intelligenz-psychotherapie.com/vergleich

Blog – KI-Dokumentation & DSGVO im Gesundheitswesen

Expertenwissen zu KI-Dokumentation, DSGVO im Gesundheitswesen und datenschutzkonformer Software für Psychotherapeuten und Ärzte.