Vom europäischen Datenschutz hält man in den USA weniger. Dort gilt das Gesetz, dass Daten gelesen werden dürfen. Wer damit nicht einverstanden ist, muss seine Daten einem der vielen europäischen Datenserver-Anbieter anvertrauen.
fotogestoeber / stock.adobe.com
Als Edward Snowden im Jahr 2013 aufdeckte, wie ungeniert die USA und ihre englischsprachigen Verbündeten in unseren Daten wühlen, war die Welt entsetzt.
Fünf Jahre später schrieben die USA ganz offiziell in einem Gesetz fest, dass es überall dort keinen Datenschutz gibt, wo sie Zugriff haben. Sehen wir uns diesen Absatz im US Cloud Act näher an: „Ein Anbieter elektronischer Kommunikationsdienste oder entfernter Rechendienste (Cloud-Dienste) ist verpflichtet, Inhalte drahtgebundener oder elektronischer Kommunikation sowie sämtliche Aufzeichnungen oder sonstige Informationen, die sich auf einen Kunden oder Nutzer beziehen und sich im Besitz, in der Obhut oder unter der Kontrolle des Anbieters befinden, aufzubewahren, zu sichern oder offenzulegen – unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder Information innerhalb oder außerhalb der Vereinigten Staaten befindet.“ Somit nützt es auch wenig, wenn US-Konzerne sagen, dass sie unsere Daten in Europa speichern.
Auch das Transparenzgebot der europäischen Datenschutzgrundverordnung gilt in den USA nicht. Art. 14 der EU-Datenschutzgrundverordnung ordnet an, dass nach einer Einsicht von Behörden binnen eines Monats die betroffene Person informiert werden muss – ausgenommen Ermittlungen der Strafverfolgungsbehörden oder der Nachrichtendienste. Die USA kennen keine derartige Grenze: „Eine US-Behörde kann bei Gericht beantragen, dass ein Anbieter nicht berechtigt ist, den Betroffenen über die Datenabfrage zu informieren, wenn dadurch das Leben von Personen gefährdet, Beweise vernichtet oder Ermittlungen beeinträchtigt würden.“
Diese Geheimhaltung kann immer wieder verlängert werden, ohne dass Betroffene je erfahren, dass ihre Daten abgefragt wurden. Genug gefürchtet. Sehen wir uns europäische alternative Datenhoster an. Sie alle versprechen, sich an die Vorgaben der Datenschutzgrundverordnung zu halten.
Nextcloud: eine Basis
Viele europäische Datenhoster verwenden die Plattform „Nextcloud“. Man kann sie über nextcloud.com selbst einrichten und dort auch weitere Infos finden. Diese „Managed Nextclouds“ kosten natürlich Geld. Aber dafür übernehmen sie Updates und Systemwartungen automatisch im Hintergrund. In Österreich bieten die Firmen Siedl Networks GmbH, Iphos IT Solutions, Managed-Office.at, Next layer und Internex diesen Dienst an. Nextcloud überträgt keine Daten an die USA-Dienste. Der Code ist Open Source, es gibt also keine versteckten Funktionen. Und er ist DSGVO-konform – also auch geeignet für das Übermitteln medizinischer Informationen.
Microsoft verspricht zwar DSGVO-Konformität, kann diese aber nicht garantieren. In den Unterlagen heißt es: „Die Microsoft EU-Datengrenze reduziert erheblich die Clouddatenflüsse aus der EU in andere Länder.“ Reduziert. Erheblich. Aber das schließt natürlich nicht aus, dass es nicht trotzdem passiert. Es sei denn, man verschlüsselt alles, was man in einem Microsoft-Datenspeicher ablegt. Was Zeit und Mühe kostet, die man beim Verwenden von Nextcloud nicht investieren müsste.
Checkliste: DSGVO-Konformität in der ärztlichen Praxis: Was Sie beim Hosting selbst beachten müssen
Immer mehr Ärztinnen und Ärzte setzen auf digitale Prozesse – von der Befundarchivierung bis zur Kommunikation mit Patienten und Kollegen. Wer dabei eigene Server oder Cloudlösungen (z. B. Nextcloud) einsetzt, gewinnt zwar an Datenkontrolle, steht aber auch in besonderer Verantwortung. Denn Patientendaten zählen zu den sensibelsten Informationen überhaupt. Wie Sie diese rechtssicher und DSGVO-konform verarbeiten, zeigt dieser Überblick.
1. Technik: Sicherheit von Anfang an
Beginnen Sie mit dem Fundament: Ihre Server. Diese sollten nicht nur technisch abgesichert (z. B. Firewall, Antivirenschutz, automatische Updates), sondern auch physisch geschützt sein – etwa durch abschließbare Racks und Zutrittsbeschränkungen.
Alle gespeicherten Patientendaten müssen verschlüsselt sein, ebenso die Backups. Letztere sollten täglich, automatisiert und auf getrennten Medien erfolgen. Besonders heikel: die Netzstruktur. Trennen Sie das Praxisnetz (inkl. Patientenverwaltung) unbedingt vom WLAN für Patienten oder private Geräte.
Auch die Kommunikation verdient Aufmerksamkeit: E-Mails mit sensiblen Daten dürfen nur über gesicherte Dienste wie KIM, Cryptshare oder RocaMail versendet werden.
2. Organisation: Dokumentieren, prüfen, regeln
Die DSGVO verlangt nachvollziehbare Prozesse. Dazu zählen ein Verzeichnis aller Datenverarbeitungen, eine Datenschutz-Folgenabschätzung für Gesundheitsdaten und Verträge mit externen IT-Dienstleistern.
Zudem brauchen Sie klare Regeln für die Datenhaltung: Wer darf worauf zugreifen? Wie lange werden Befunde aufbewahrt? Wann und wie werden sie gelöscht?
Zugriffe müssen protokolliert und regelmäßig kontrolliert werden – besonders bei Notfallzugriffen.
3. Menschlich: Das Team ins Boot holen
Auch die beste Technik hilft wenig, wenn das Personal nicht mitzieht. Schulen Sie Ihr Team regelmäßig in Sachen Datenschutz, Passwortsicherheit und IT-Verhalten. Jeder Mitarbeitende sollte ein eigenes Benutzerkonto mit klar definierten Rechten haben. Gemeinsame Logins sind nicht nur unpraktisch, sondern auch datenschutzrechtlich heikel.
Vergessen Sie nicht: Alle Mitarbeitenden müssen eine Vertraulichkeitserklärung nach DSGVO abgeben.
4. Patienten informieren – klar und transparent
Nach Art. 13 DSGVO sind Sie verpflichtet, Ihre Patienten darüber zu informieren, wie Sie mit ihren Daten umgehen. Ideal ist eine leicht verständliche Datenschutzerklärung, die Sie bei der Anmeldung ausgeben oder sichtbar in der Ordination aufhängen.
Diese sollte unter anderem enthalten:
-
Verarbeitungszwecke (Behandlung, Abrechnung, Dokumentation)
-
Speicherdauer
-
Rechtsgrundlagen
-
Empfänger der Daten (z. B. Labor, SV-Träger)
-
Hinweise zu Drittstaatentransfers (falls Cloud-Anbieter betroffen sind)
-
Rechte der Patienten (Auskunft, Löschung, Widerspruch)
Fazit: Eigenhosting braucht Verantwortung
Selbst gehostete Lösungen bieten maximale Kontrolle – aber sie erfordern konsequente Umsetzung technischer, organisatorischer und rechtlicher Schutzmaßnahmen. Wer hier sauber arbeitet, profitiert nicht nur vom Vertrauen seiner Patienten, sondern auch von echter Datensouveränität. Wenn Sie sich unsicher sind, empfiehlt sich die Zusammenarbeit mit einem spezialisierten IT-Dienstleister und/oder einer externen Datenschutzberatung.
