Rechtssicher Gesundheitsdaten in der Cloud verarbeiten: DSGVO, BSI C5 und Praxis-Tipps für Therapeutinnen und Therapeuten in Deutschland und Österreich.
Die Digitalisierung im Gesundheitswesen schreitet voran – auch in der Therapiebranche. Cloud-Computing bietet Therapiepraxen und -einrichtungen die Möglichkeit, große Datenmengen flexibel, sicher und wirtschaftlich zu verarbeiten. Doch gerade bei sensiblen Gesundheitsdaten gelten in Deutschland, Österreich und der EU strenge Datenschutzvorgaben, die therapeutische Praxen und Einrichtungen beachten müssen.
Inhalt
- DSGVO und besondere Schutzmaßnahmen
- Auftragsverarbeitung und Datenlokalisierung
- Rechtliche Lage in Deutschland und Österreich: Unterschiede und Gemeinsamkeiten
- Schweigepflicht und Strafrecht: Berufsgeheimnis bei Cloud-Nutzung
- Cybersicherheit und NIS2: Neue Pflichten für Gesundheitsanbieter
- Cloud-Lösungen richtig wählen: Worauf Therapiepraxen und -einrichtungen achten sollten
- Zukunftsausblick: Europäischer Gesundheitsdatenraum und KI
DSGVO und besondere Schutzmaßnahmen
Die Datenschutz-Grundverordnung (DSGVO) ist die zentrale europäische Rechtsnorm für den Umgang mit personenbezogenen Daten. Gesundheitsdaten gelten als besonders schützenswert (Art. 9 DSGVO). Cloud-Dienstleister dürfen solche Daten nur verarbeiten, wenn ein Auftragsverarbeitungsvertrag (AVV) besteht und der Anbieter geeignete technische und organisatorische Schutzmaßnahmen nachweist – etwa durch Zertifikate wie ISO 27001 oder BSI C5.
Auftragsverarbeitung und Datenlokalisierung
Einrichtungen, die Cloud-Anbieter nutzen oder beauftragen, bleiben datenschutzrechtlich verantwortlich. Es ist daher entscheidend, ob die Verarbeitung in der EU stattfindet oder in einem sogenannten Drittland. Für Datenübermittlungen in Länder außerhalb der EU (z. B. USA) gelten zusätzliche Anforderungen – etwa Standardvertragsklauseln oder die Zertifizierung nach dem EU-U.S. Data Privacy Framework.
Rechtliche Lage in Deutschland und Österreich: Unterschiede und Gemeinsamkeiten
In Deutschland regeln neben der DSGVO auch das SGB V und SGB X den Umgang mit Gesundheits- und Sozialdaten. Der neu gefasste § 393 SGB V erlaubt seit Juli 2024 ausdrücklich die Nutzung von Cloud-Diensten, legt aber zusätzliche Hürden fest – u. a. ein verpflichtendes BSI-C5-Testat und die Verarbeitung innerhalb der EU oder in Ländern mit anerkanntem Datenschutzniveau.
In Österreich gilt die DSGVO ebenfalls uneingeschränkt. Zusätzlich müssen Gesundheitseinrichtungen das österreichische Datenschutzgesetz (DSG) und ggf. berufsrechtliche Regelungen beachten. Auch hier gilt: Cloud-Nutzung ist erlaubt, solange die gesetzlichen Vorgaben eingehalten werden und keine unbefugte Offenlegung sensibler Daten erfolgt.
Schweigepflicht und Strafrecht: Berufsgeheimnis bei Cloud-Nutzung
Die ärztliche bzw. therapeutische Schweigepflicht ist durch § 203 StGB in Deutschland und durch § 121 StGB in Österreich strafrechtlich geschützt. Eine Offenbarung von Patientendaten gegenüber Dritten – etwa Cloud-Anbietern – ist nur zulässig, wenn diese zur Verschwiegenheit verpflichtet wurden und ein berechtigtes Interesse vorliegt. Eine technische Möglichkeit, Daten sicher zu übermitteln, ist etwa das „Bring Your Own Key“-Modell. Bei diesem Modell behalten Gesundheitsdienstleister selbst die Kontrolle über den Schlüssel zur Datenverschlüsselung – also nicht der Cloud-Anbieter. Das bedeutet: Die Daten sind für den Anbieter technisch nicht einsehbar, was den Datenschutz deutlich erhöht.
Cybersicherheit und NIS2: Neue Pflichten für Gesundheitsanbieter
Mit der EU-NIS2-Richtlinie werden spätestens seit Oktober 2024 auch kleinere Gesundheitseinrichtungen in die Pflicht genommen: Sie müssen Cyber-Risiken proaktiv managen, Schulungen durchführen und Sicherheitsvorfälle melden. Besonders betroffen sind Hersteller medizinischer Produkte, aber auch größere Therapieeinrichtungen mit kritischer Infrastruktur.
Cloud-Lösungen richtig wählen: Worauf Therapiepraxen und -einrichtungen achten sollten
Zertifizierte Anbieter bevorzugen
Wer Gesundheitsdaten in der Cloud verarbeitet, muss sich auf höchste Sicherheitsstandards verlassen können. Deshalb ist es entscheidend, Cloud-Anbieter sorgfältig auszuwählen – und dabei auf etablierte Zertifizierungen zu achten. Zu den wichtigsten zählen:
- ISO/IEC 27001: Der international anerkannte Standard für Informationssicherheits-Managementsysteme stellt sicher, dass der Anbieter umfassende Prozesse zum Schutz von Daten, Systemen und Netzwerken etabliert hat.
- BSI C5: Das vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte C5-Testat („Cloud Computing Compliance Criteria Catalogue“) ist speziell auf Cloud-Dienstleister zugeschnitten und definiert verbindliche Sicherheitsanforderungen – ein zentraler Nachweis, wenn es um die Verarbeitung von Sozial- und Gesundheitsdaten in Deutschland geht.
- SOC 2 Typ I/II: Diese Prüfberichte aus den USA dokumentieren, dass ein Cloud-Anbieter seine Services nach definierten Sicherheits-, Verfügbarkeits- und Datenschutzprinzipien betreibt. Für Anbieter mit internationaler Reichweite ein wichtiges Gütesiegel.
Besonders sinnvoll ist es, Anbieter zu wählen, die ausschließlich in europäischen Rechenzentren arbeiten – idealerweise mit Sitz und Hosting in der EU. Das Prädikat „Made and Hosted in Europe“ gewährleistet, dass keine Datenübermittlung in sogenannte Drittländer stattfindet, was den regulatorischen Aufwand reduziert und die Zusammenarbeit mit Datenschutzbehörden erheblich vereinfacht.
Wichtig: Gängige Dienste wie Google Drive, Dropbox oder iCloud sowie Nachrichtendienste wie WhatsApp oder Signal sind nicht für die Speicherung oder Übermittlung von Gesundheitsdaten geeignet. Sie erfüllen in der Regel nicht die strengen Vorgaben der DSGVO und bieten keine ausreichenden Garantien im Sinne der Auftragsverarbeitung.
Ein Punkt, der vor allem auch bei der Wahl der passenden Praxissoftware beachtet werden sollte. Anbieter wie appointmed etwa bieten gezielt Cloud-Speicherung innerhalb der EU an und orientieren sich an den datenschutzrechtlichen Vorgaben der DSGVO. So können therapeutische Praxen viele Prozesse – von der Online-Terminbuchung über die Dokumentation bis zur Abrechnung – digital und automatisiert abwickeln, ohne bei der Datensicherheit Kompromisse eingehen zu müssen.
Kurz gesagt: Wer zertifizierte Anbieter mit transparenter Infrastruktur wählt, schützt nicht nur seine Patientinnen und Patienten, sondern auch sich selbst – vor Haftungsrisiken, Systemausfällen und datenschutzrechtlichen Problemen.
Hybride Cloud-Modelle als pragmatischer Kompromiss
Für viele Therapieeinrichtungen stellt ein hybrides Cloud-Modell einen besonders praktikablen Weg dar, die Vorteile von Cloud-Computing zu nutzen, ohne vollständig auf eigene IT-Infrastruktur zu verzichten. Bei diesem Modell werden sensible Gesundheitsdaten sowohl lokal – zum Beispiel auf einem internen NAS-Server (Network Attached Storage) – als auch in der Cloud gespeichert.
Die lokale Speicherung bietet volle Kontrolle über besonders vertrauliche Informationen und schafft Sicherheit durch unmittelbaren Datenzugriff im eigenen Haus. Gleichzeitig ermöglicht die Cloud eine flexible Skalierung der Speicherkapazitäten, automatisierte Backups und den ortsunabhängigen Zugriff auf Patientendaten – etwa bei Hausbesuchen oder in der mobilen Nachversorgung.
Ein weiterer Vorteil: Die Synchronisierung zwischen lokalem Server und Cloud kann so eingerichtet werden, dass nur bestimmte Datenbereiche oder Nutzergruppen Zugriff auf definierte Inhalte erhalten. Damit lassen sich Datenschutzanforderungen noch gezielter umsetzen – etwa durch differenzierte Rechtevergabe für verschiedene Berufsgruppen in der Einrichtung.
Das hybride Modell verbindet also das Beste aus zwei Welten – maximale Datensouveränität vor Ort und gleichzeitig moderne Cloud-Funktionalitäten für ein effizienteres, digital unterstütztes Arbeiten im therapeutischen Alltag.
Zukunftsausblick: Europäischer Gesundheitsdatenraum und KI
Die Digitalisierung macht vor der Therapie nicht halt: Mit dem European Health Data Space (EHDS), dem AI Act und dem Data Act schafft die EU neue Rahmenbedingungen für die Nutzung von Gesundheitsdaten. KI-gestützte Diagnostik, Spracherkennung in der Dokumentation und die elektronische Patientenakte sind nur einige Beispiele, die auch in der täglichen Praxis therapeutischer Berufe an Bedeutung gewinnen werden – und Cloud-Strukturen dafür zur Voraussetzung machen. Die gesetzlichen Entwicklungen in Deutschland, Österreich und auf EU-Ebene geben den Weg zunehmend klarer vor – höchste Zeit, ihn auch im Praxisalltag zu beschreiten.
Header © svstudioart | Freepik
