{"id":68,"date":"2025-10-20T18:53:06","date_gmt":"2025-10-20T18:53:06","guid":{"rendered":"https:\/\/neoscript.ai\/blog\/?p=68"},"modified":"2026-03-27T15:01:26","modified_gmt":"2026-03-27T15:01:26","slug":"warum-viele-europaeische-anbieter-im-gesundheitswesen-auf-us-cloud-dienste-wie-microsoft-azure-aws-und-google-cloud-setzen-und-warum-das-datenschutzrechtlich-riskant-ist","status":"publish","type":"post","link":"https:\/\/neoscript.ai\/blog\/warum-viele-europaeische-anbieter-im-gesundheitswesen-auf-us-cloud-dienste-wie-microsoft-azure-aws-und-google-cloud-setzen-und-warum-das-datenschutzrechtlich-riskant-ist\/","title":{"rendered":"Warum viele europ\u00e4ische Anbieter im Gesundheitswesen auf US-Cloud-Dienste wie Microsoft Azure, AWS und Google Cloud setzen \u2013 und warum das datenschutzrechtlich riskant ist"},"content":{"rendered":"\n<h1 class=\"wp-block-heading\">Warum viele europ\u00e4ische Anbieter im Gesundheitswesen auf US-Cloud-Dienste wie Microsoft Azure, AWS und Google Cloud setzen \u2013 und warum das datenschutzrechtlich riskant ist<\/h1>\n\n\n\n<p>Im digitalen Wandel des Gesundheitswesens setzen immer mehr Praxen, Kliniken und digitale Gesundheitsanbieter auf Cloud-Dienste wie <strong>Microsoft Azure<\/strong>, <strong>Amazon Web Services (AWS)<\/strong> oder <strong>Google Cloud Platform (GCP)<\/strong>. Die Versprechen klingen verlockend: Skalierbarkeit, Ausfallsicherheit, \u201eeurop\u00e4ische\u201c Rechenzentren \u2013 und angeblich DSGVO-konforme Verarbeitung. Doch bei n\u00e4herem Hinsehen erweisen sich diese Zusicherungen oft als <strong>juristische Fassaden ohne technische Substanz<\/strong> \u2013 besonders im sensiblen Bereich der Gesundheitsdaten.<\/p>\n\n\n\n<p>Denn: <strong>Papier sch\u00fctzt keine Daten.<\/strong> Dieser Satz, den der unabh\u00e4ngige IT- und Datenschutzexperte Kuketz IT-Security immer wieder betont, trifft den Kern des Problems. Vertr\u00e4ge, Compliance-Zertifikate oder \u201eEU Data Boundary\u201c-Versprechen m\u00f6gen formal korrekt sein \u2013 sie \u00e4ndern jedoch nichts an der <strong>rechtlichen und technischen Realit\u00e4t<\/strong>, mit der US-Cloud-Anbieter operieren.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>CLOUD Act und FISA: Das grunds\u00e4tzliche Problem US-amerikanischer Cloud-Anbieter<\/strong><\/h2>\n\n\n\n<p>Unabh\u00e4ngig von der physischen Speicherung der Daten innerhalb der EU unterliegen US-Unternehmen wie Microsoft, Amazon und Google dem <strong><a href=\"https:\/\/de.wikipedia.org\/wiki\/CLOUD_Act\">US CLOUD Act<\/a><\/strong>. Diese Gesetze verpflichten US-Firmen, auf Anfrage US-Beh\u00f6rden Zugriff auf s\u00e4mtliche von ihnen kontrollierten Daten zu gew\u00e4hren \u2013 <strong>auch wenn diese in Europa gespeichert sind<\/strong>.<\/p>\n\n\n\n<p>F\u00fcr Gesundheitseinrichtungen bedeutet das: Sobald eine Anwendung, z.B. eine digitale Patientenakte oder eine automatisierte Dokumentationssoftware auf Azure, AWS oder GCP l\u00e4uft, bleibt der US-Anbieter <strong>technisch und rechtlich in der Lage<\/strong>, auf die Daten zuzugreifen. Dieser Zugriff erfolgt oft <strong>ohne Wissen oder Zustimmung des Kunden<\/strong> und <strong>ohne richterliche Kontrolle<\/strong> in Europa. Das steht im klaren Widerspruch zu Art. 44 ff. DSGVO, der internationale Daten\u00fcbermittlungen nur zul\u00e4sst, wenn ein <strong>angemessenes Schutzniveau<\/strong> gew\u00e4hrleistet ist.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Juristische Gutachten reichen nicht \u2013 die Technik entscheidet<\/strong><\/h2>\n\n\n\n<p>Wie der <strong><a href=\"https:\/\/www.kuketz-blog.de\/\">Kuketz-Blog<\/a><\/strong> mehrfach aufgezeigt hat, verlassen sich viele Organisationen auf juristische Gutachten, die den Einsatz von US-Cloud-Diensten als \u201eDSGVO-konform\u201c darstellen \u2013 allein auf Basis von Vertr\u00e4gen und Herstellerangaben. Doch solche Bewertungen <strong>ignorieren die technische Realit\u00e4t<\/strong>.<\/p>\n\n\n\n<p>Entscheidend ist nicht, was versprochen wird, sondern <strong>was die Infrastruktur tats\u00e4chlich tut<\/strong>. Und hier zeigen unabh\u00e4ngige Analysen \u2013 etwa durch den <strong>LfDI Baden-W\u00fcrttemberg<\/strong> oder die <strong>nieders\u00e4chsische Datenschutzbeh\u00f6rde <\/strong>\u2013 ein klares Bild:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>US-Cloud-Anbieter behalten <strong>administrativen Root-Zugriff<\/strong> auf ihre Systeme, selbst bei \u201eeurop\u00e4ischen\u201c Instanzen.<\/li>\n\n\n\n<li>Sie sammeln <strong>umfangreiche Logs, Metadaten und Telemetriedaten<\/strong>, die oft personenbeziehbar sind oder eine Re-Identifizierung erm\u00f6glichen.<\/li>\n\n\n\n<li>In vielen F\u00e4llen hat der Anbieter <strong>mehr Einblick in die Datenverarbeitung<\/strong> als der Kunde selbst \u2013 ein Versto\u00df gegen das <strong>Prinzip der Datenminimierung<\/strong> und das <strong>Recht auf informationelle Selbstbestimmung<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p>Solche Risiken lassen sich <strong>nicht durch Vertr\u00e4ge eliminieren<\/strong>. Wie Kuketz treffend schreibt:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u201eDatenschutz entsteht nicht durch Gutachten oder juristisches Geschwurbel. Er l\u00e4sst sich nicht herbeireden \u2013 sondern nur durch \u00fcberpr\u00fcfbare technische Fakten.\u201c<\/p>\n<\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Was das f\u00fcr digitale Gesundheitsanwendungen bedeutet<\/strong><\/h2>\n\n\n\n<p>Gesundheitsdaten genie\u00dfen nach der DSGVO einen <strong>besonderen Schutzstatus<\/strong> (Art. 9). Sie gelten als \u201ebesonders sch\u00fctzenswert\u201c, weil sie tiefste Einblicke in die Privatsph\u00e4re, psychische Verfassung oder k\u00f6rperliche Integrit\u00e4t eines Menschen gew\u00e4hren. Wer solche Daten verarbeitet, tr\u00e4gt eine <strong>hohe Verantwortung<\/strong>  und muss sicherstellen, dass sie <strong>nicht unrechtm\u00e4\u00dfig an Dritte weitergegeben<\/strong> werden k\u00f6nnen.<\/p>\n\n\n\n<p>Doch sobald eine Healthcare-Software auf Azure, AWS oder GCP basiert, ist diese Kontrolle <strong>nicht mehr vollst\u00e4ndig gegeben<\/strong>. Selbst wenn der Anbieter alles richtig macht: die Infrastruktur bleibt in der Hand eines US-Unternehmens, das rechtlich verpflichtet ist, Daten an US-Beh\u00f6rden herauszugeben.<\/p>\n\n\n\n<p>Das ist kein hypothetisches Risiko. Es ist ein <strong>strukturelles, systemisches Problem<\/strong>, das sich durch technische Konfiguration oder vertragliche Zusagen <strong>nicht beheben l\u00e4sst<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Echte Datenschutzalternativen: Transparenz, Kontrolle, Souver\u00e4nit\u00e4t<\/strong><\/h2>\n\n\n\n<p>Wer echten Datenschutz im Gesundheitswesen will, muss deshalb konsequent auf <strong>europ\u00e4ische, souver\u00e4ne Infrastruktur<\/strong> setzen  und auf <strong>transparente, nachvollziehbare Software<\/strong>. Dazu geh\u00f6ren drei zentrale Prinzipien:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1. <strong>Keine Abh\u00e4ngigkeit von US-Cloud-Anbietern<\/strong><\/h3>\n\n\n\n<p>Verzicht auf Azure, AWS und GCP reduziert das CLOUD Act-Risiko auf null. Stattdessen: Nutzung von <strong>europ\u00e4ischen Rechenzentren<\/strong> und <strong>keine rechtlichen Verpflichtung zur Datenherausgabe an Drittstaaten<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2. <strong>On-premise- Betrieb<\/strong><\/h3>\n\n\n\n<p>Praxen und Kliniken sollten die Option haben, die Software <strong>lokal in ihren eigenen R\u00e4umen<\/strong> zu betreiben. Das gibt volle Kontrolle \u00fcber die Daten \u2013 ohne Abh\u00e4ngigkeit von externen Cloud-Providern.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3. <strong>Open-Source-basierte Software<\/strong><\/h3>\n\n\n\n<p>Nur bei Open-Source-Systemen k\u00f6nnen <strong>unabh\u00e4ngig gepr\u00fcft<\/strong> werden. Es gibt keine Black Boxes, keine versteckten Telemetriefunktionen, keine unkontrollierten Daten\u00fcbertragungen. Transparenz wird so zum <strong>Kernbestandteil des Datenschutzes<\/strong>.<\/p>\n\n\n\n<p>Genau diesen Ansatz verfolgen wir: neoscript.ai nutzt <strong>Open Source<\/strong>-KI, kann <strong>on-premise betrieben<\/strong> werden und l\u00e4uft ausschlie\u00dflich auf <strong>deutscher<\/strong> bzw. <strong>europ\u00e4ischer Infrastruktur<\/strong>. Damit erf\u00fcllen wir nicht nur die formale, sondern auch die <strong>substantielle Anforderung der DSGVO<\/strong>: Schutz der Patientendaten <strong>in der Praxis<\/strong>, nicht nur auf dem Papier.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Fazit: Datenschutz im Gesundheitswesen darf keine Illusion sein<\/strong><\/h2>\n\n\n\n<p>Im Gesundheitsbereich geht es um Vertrauen. Um sensible Daten, die nicht in falsche H\u00e4nde geraten d\u00fcrfen. Wer hier auf US-Cloud-Dienste setzt \u2013 auch wenn sie \u201ein Frankfurt\u201c laufen \u2013, \u00fcberl\u00e4sst die Kontrolle \u00fcber diese Daten einem rechtlichen System, das <strong>europ\u00e4ische Grundrechte nicht anerkennt<\/strong>.<\/p>\n\n\n\n<p>Juristische Gutachten m\u00f6gen beruhigen, aber sie sch\u00fctzen nicht. <strong>Nur technische Souver\u00e4nit\u00e4t, europ\u00e4ische Infrastruktur und transparente Software<\/strong> bieten echte Sicherheit. Denn am Ende z\u00e4hlt nicht, was versprochen wird \u2013 sondern <strong>was tats\u00e4chlich passiert<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Warum viele europ\u00e4ische Anbieter im Gesundheitswesen auf US-Cloud-Dienste wie Microsoft Azure, AWS und Google Cloud setzen \u2013 und warum das datenschutzrechtlich riskant ist Im digitalen Wandel des Gesundheitswesens setzen immer mehr Praxen, Kliniken und digitale Gesundheitsanbieter auf Cloud-Dienste wie Microsoft Azure, Amazon Web Services (AWS) oder Google Cloud Platform (GCP). Die Versprechen klingen verlockend: Skalierbarkeit, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":69,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[8,14,10,11,13,5,6,4,7],"class_list":["post-68","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-neoscriptai","tag-digitalisierung","tag-dsgvo","tag-eu","tag-neoscript-ai","tag-open-source","tag-praxis","tag-praxisverwaltung","tag-psychotherapie","tag-software"],"_links":{"self":[{"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/posts\/68","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/comments?post=68"}],"version-history":[{"count":2,"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/posts\/68\/revisions"}],"predecessor-version":[{"id":71,"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/posts\/68\/revisions\/71"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/media\/69"}],"wp:attachment":[{"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/media?parent=68"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/categories?post=68"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/neoscript.ai\/blog\/wp-json\/wp\/v2\/tags?post=68"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}