Magazine
Cloud Speicher
DSGVO Speicher

Patientendaten in der Cloud speichern: Gesetze und DSGVO-konforme Lösungen 2025

15.09.2025

11

Minutes
Thomas Demoor
CTO Impossible Cloud
Wie medizinische Einrichtungen die strengen gesetzlichen Anforderungen mit souveränem EU-Cloud-Speicher erfüllen und Risiken wie den CLOUD Act vermeiden.
Jetzt starten
White ArrowBlack Arrow
Inhaltsverzeichnis

Die Verarbeitung von Patientendaten in der Cloud ist für moderne Gesundheitseinrichtungen unumgänglich, um Effizienz und Versorgungsqualität zu steigern. Gleichzeitig gelten für diese besonders sensible Informationen nach Artikel 9 der DSGVO höchste Schutzanforderungen. Deutsche Gesetze verschärfen diese Vorgaben weiter und drohen bei Nichteinhaltung mit Bußgeldern von bis zu 4 % des weltweiten Jahresumsatzes. IT-Entscheider stehen vor der Herausforderung, eine Speicherlösung zu finden, die nicht nur technisch leistungsfähig, sondern auch rechtlich unangreifbar ist. Dies erfordert einen genauen Blick auf Themen wie Datensouveränität, den US CLOUD Act und neue EU-Regularien wie NIS-2. Souveräne Cloud-Speicher, die ausschließlich in der EU betrieben werden, bieten einen praxisnahen und sicheren Weg, um Compliance zu gewährleisten und gleichzeitig die Vorteile der Cloud zu nutzen.

Schlüsselpunkte

  • Die Speicherung von Patientendaten in der Cloud unterliegt strengen Gesetzen wie der DSGVO (Art. 9) und dem SGB V, die höchste Sicherheitsmaßnahmen und oft einen Datenstandort in der EU erfordern.
  • Der US CLOUD Act stellt ein erhebliches Rechtsrisiko dar, da er US-Behörden den Zugriff auf Daten bei US-Anbietern ermöglicht, selbst wenn diese in der EU gespeichert sind, was einen DSGVO-Verstoß darstellt.
  • Eine souveräne, europäische Cloud-Lösung mit Funktionen wie Geofencing, Immutable Storage (Object Lock) und einem Kostenmodell ohne Egress-Gebühren ist entscheidend, um Compliance, Datensouveränität und Ransomware-Schutz zu gewährleisten.

Rechtliche Grundlagen für Gesundheitsdaten in der Cloud

Die Speicherung von Patientendaten unterliegt strengen gesetzlichen Regelungen, die über allgemeine Datenschutzanforderungen hinausgehen. Im Zentrum steht die Datenschutz-Grundverordnung (DSGVO), die Gesundheitsdaten in Artikel 9 als "besondere Kategorien personenbezogener Daten" einstuft. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine von wenigen Ausnahmen greift, etwa die ausdrückliche Einwilligung des Patienten. Für deutsche Krankenhäuser und Arztpraxen kommen nationale Gesetze wie das Fünfte Buch Sozialgesetzbuch (SGB V) und § 203 des Strafgesetzbuches (StGB) zur ärztlichen Schweigepflicht hinzu.

Diese Gesetze fordern von Verantwortlichen und ihren IT-Dienstleistern weitreichende technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO. Dazu gehören eine starke Verschlüsselung, strikte Zugriffskontrollen und die Gewährleistung der Datenintegrität. Ein entscheidender Punkt ist der physische Speicherort der Daten, da eine übermittlung in Drittländer außerhalb der EU nur unter sehr engen Voraussetzungen zulässig ist. Ein Verstoß kann Bußgelder von bis zu 20 Millionen Euro nach sich ziehen. Die Wahl eines Cloud-Anbieters mit Rechenzentren ausschließlich in der EU, wie es deutsche Cloud-Anbieter vorsehen, ist daher eine fundamentale Anforderung. Diese rechtlichen Hürden machen deutlich, dass die Auswahl des Cloud-Partners eine strategische Entscheidung mit direkten Compliance-Auswirkungen ist.

Das CLOUD-Act-Dilemma bei US-Anbietern

Ein zentrales Risiko bei der Nutzung von Cloud-Diensten großer US-Hyperscaler ist der "Clarifying Lawful Overseas Use of Data Act" (CLOUD Act). Dieses US-Gesetz aus dem Jahr 2018 verpflichtet amerikanische Unternehmen, US-Behörden auf Verlangen Zugriff auf gespeicherte Daten zu gewähren. Dies gilt unabhängig davon, wo die Daten physisch gespeichert sind - also auch für Server in europäischen Rechenzentren. Für deutsche Gesundheitseinrichtungen entsteht dadurch ein unauflösbarer Rechtskonflikt: Die Herausgabe von Patientendaten an US-Behörden ohne europäische Rechtsgrundlage wäre ein klarer Verstoß gegen die DSGVO.

Dieser Konflikt setzt Unternehmen einem doppelten Risiko aus: Einerseits drohen Strafen in den USA bei Verweigerung der Datenherausgabe, andererseits empfindliche DSGVO-Bußgelder in der EU bei Kooperation. Die bloße theoretische Möglichkeit des Zugriffs untergräbt bereits das Prinzip der Datensouveränität. Europäische Datenschutzbehörden weisen darauf hin, dass der CLOUD Act keine legitime Grundlage für eine Datenübermittlung darstellt. Die einzige verlässliche Lösung zur Vermeidung dieses Risikos ist die Wahl eines europäischen Anbieters, der nicht der US-Gesetzgebung unterliegt und eine sichere Cloud-Verschlüsselung garantiert. So wird sichergestellt, dass Patientendaten ausschließlich der EU-Jurisdiktion unterliegen.

Technische Anforderungen für DSGVO-konformen Cloud-Speicher

Um die gesetzlichen Vorgaben zu erfüllen, muss eine Cloud-Lösung für Patientendaten spezifische technische Kriterien erfüllen. Diese gehen weit über eine einfache Datenspeicherung hinaus und bilden die Basis für eine auditierbare Compliance. Ein Anbieter muss mindestens 100 % S3-API-Kompatibilität gewährleisten, um bestehende Backup- und Archivierungstools nahtlos zu integrieren.

Eine Checkliste für die Auswahl eines Anbieters umfasst folgende Punkte:

  • Ausschließlich EU-Rechenzentren: Der Anbieter muss garantieren, dass Daten die EU niemals verlassen, um CLOUD-Act-Risiken auszuschließen.
  • Geofencing auf Länderebene: Die Möglichkeit, Daten auf ein bestimmtes Land wie Deutschland zu beschränken, erhöht die Kontrolle.
  • Ende-zu-Ende-Verschlüsselung: Daten müssen sowohl bei der übertragung (in transit) als auch im Ruhezustand (at rest) nachweisbar verschlüsselt sein.
  • Immutable Storage (Object Lock): Unveränderliche Speicherung schützt Backups vor Ransomware-Angriffen und Manipulation und sichert die Datenintegrität für mindestens 7 Jahre.
  • Granulares Identitäts- und Zugriffsmanagement (IAM): Rollenbasierte Zugriffskontrollen (RBAC) und Multi-Faktor-Authentifizierung (MFA) sind unerlässlich, um den Zugriff auf sensible Daten streng zu reglementieren.
  • Zertifizierungen und Audits: Nachweise wie ISO 27001 oder die Orientierung an Standards wie dem BSI C5-Katalog schaffen Vertrauen in die Sicherheitsarchitektur.

Ein "Always-Hot"-Speichermodell, bei dem alle Daten sofort verfügbar sind, ist traditionellen Tiering-Modellen vorzuziehen. Im medizinischen Notfall können Verzögerungen durch die Wiederherstellung von Daten aus einem kalten Archiv inakzeptabel sein. Diese technologischen Garantien sind die Voraussetzung für eine rechtssichere DSGVO-konforme Objektspeicherung.

Neue EU-Regularien: NIS-2 und der Data Act ab 2025

Ab 2025 verschärfen zwei weitere EU-Verordnungen die Anforderungen an IT-Sicherheit und Datenmanagement im Gesundheitssektor. Die NIS-2-Richtlinie zielt darauf ab, die Cyber-Resilienz kritischer Infrastrukturen, zu denen auch Krankenhäuser und große Arztpraxen gehören, EU-weit zu vereinheitlichen. Sie fordert von betroffenen Einrichtungen ab Oktober 2024 die Umsetzung strenger Risikomanagement-Maßnahmen, ein proaktives Management der Lieferkette und klare Prozesse für die Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden. Die Geschäftsführung wird dabei direkt in die Verantwortung genommen und haftet für die Einhaltung.

Parallel dazu tritt im September 2025 der EU Data Act in Kraft. Diese Verordnung stärkt die Datenportabilität und soll den "Vendor Lock-in" bei Cloud-Anbietern verhindern. Kunden erhalten das Recht, ihre Daten - inklusive aller Metadaten - innerhalb von 30 Tagen kostenfrei zu einem anderen Anbieter zu migrieren. Cloud-Provider müssen diesen Wechsel technisch und vertraglich reibungslos ermöglichen. Für Gesundheitseinrichtungen bedeutet dies eine gestärkte Verhandlungsposition und die Freiheit, den Anbieter zu wählen, der die besten Souveränitäts- und Sicherheitsgarantien bietet. Eine Cloud für kritische Infrastrukturen muss diese neuen Regelungen bereits heute im Design berücksichtigen.

Praktische Umsetzung: Backup, Archivierung und Ransomware-Schutz

Die Einhaltung der Gesetze erfordert eine durchdachte Strategie für die Datensicherung und -archivierung. Ein zentraler Anwendungsfall ist das DSGVO-konforme Backup von Patientendaten. Hierfür ist eine Lösung erforderlich, die sich nahtlos in bestehende Software wie Veeam oder Synology integriert und die 3-2-1-Backup-Regel um eine unveränderliche Kopie in der Cloud erweitert. Die S3-Kompatibilität eines Cloud-Speichers ist dabei entscheidend für eine reibungslose Implementierung mit über 100 unterstützten Tools.

Wichtige Schritte zur praktischen Umsetzung sind:

  1. Implementierung von Immutable Backups: Durch die Nutzung von S3 Object Lock wird eine Kopie der Daten für einen definierten Zeitraum unveränderbar gemacht. Dies bietet einen wirksamen Schutz vor Ransomware, da verschlüsselte Backups nicht überschrieben werden können.
  2. Regelmäßige Wiederherstellungstests: Die Durchführung geplanter Tests stellt sicher, dass die Daten im Notfall innerhalb der geforderten Zeit wiederherstellbar sind. Ein "Always-Hot"-Speicher ohne Wiederherstellungsgebühren unterstützt diesen Prozess mit 100 % Datenverfügbarkeit.
  3. Automatisierte Archivierung: Die Einhaltung gesetzlicher Aufbewahrungsfristen von bis zu 30 Jahren für Patientendaten kann durch automatisierte Lebenszyklus-Regeln sichergestellt werden.
  4. Dokumentation der Compliance: Alle Maßnahmen, von der Verschlüsselung bis zu den Zugriffsprotokollen, müssen lückenlos dokumentiert werden, um im Falle einer Prüfung die Einhaltung der gesetzlichen Aufbewahrungsfristen nachweisen zu können.

Ein transparenter Kostenansatz ohne Egress-Gebühren oder API-Aufrufkosten ist dabei essenziell. Unvorhersehbare Kosten bei einer notwendigen Wiederherstellung großer Datenmengen können das IT-Budget sprengen und die Handlungsfähigkeit einschränken.

Die Rolle von MSPs bei der Bereitstellung konformer Cloud-Lösungen

Managed Service Provider (MSPs) und Systemhäuser spielen eine entscheidende Rolle bei der Umsetzung gesetzeskonformer Cloud-Strategien für das Gesundheitswesen. Sie tragen die Verantwortung, ihren Kunden Lösungen anzubieten, die den strengen Anforderungen der DSGVO und der ärztlichen Schweigepflicht genügen. Die Wahl des richtigen Infrastrukturpartners ist für MSPs daher von strategischer Bedeutung, um Haftungsrisiken zu minimieren und ein vertrauenswürdiges Portfolio aufzubauen. Ein Partner, der Datensouveränität "by Design" bietet, vereinfacht die Compliance erheblich.

Ein europäischer Cloud-Speicher ermöglicht es MSPs, profitable "Backup as a Service" (BaaS)-Angebote zu schnüren. Dank eines Preismodells ohne Egress- oder API-Gebühren können sie ihren Kunden feste Preise garantieren und ihre eigenen Margen präzise kalkulieren. Funktionen wie eine mandantenfähige Verwaltungskonsole, Automatisierung per API/CLI und Whitelabeling-Optionen erlauben es MSPs, unter eigener Marke aufzutreten. Die Verfügbarkeit über lokale Distributoren wie api in Deutschland erleichtert zudem den Zugang und Support. So können MSPs ihren Kunden im Gesundheitswesen eine vollständig sichere Cloud-Lösung anbieten, die Souveränität, Sicherheit und planbare Kosten vereint.

Fazit: Souveränität als Schlüssel zur rechtskonformen Datenspeicherung

Die Gesetze zum Speichern von Patientendaten in der Cloud setzen einen klaren Rahmen: Nur Lösungen, die volle Datensouveränität, lückenlose Sicherheit und EU-Rechtskonformität garantieren, sind zukunftsfähig. Die Risiken durch den US CLOUD Act und die steigenden Anforderungen durch NIS-2 und den Data Act machen europäische Alternativen zu US-Hyperscalern für über 80 % der IT-Entscheider zur Notwendigkeit. Ein S3-kompatibler Objektspeicher, der ausschließlich in europäischen Rechenzentren betrieben wird, erfüllt diese Anforderungen "by Design".

Merkmale wie unveränderliche Backups, Geofencing und ein transparentes Kostenmodell ohne versteckte Gebühren bieten die technische und wirtschaftliche Grundlage für eine sichere Digitalisierung im Gesundheitswesen. Damit können Krankenhäuser, Arztpraxen und MSPs nicht nur die gesetzlichen Vorgaben erfüllen, sondern auch das Vertrauen der Patienten in den Schutz ihrer sensibelsten Daten stärken. Die Entscheidung für einen souveränen Cloud-Partner ist somit eine Investition in langfristige Rechtssicherheit und digitale Resilienz. Sprechen Sie mit einem Experten, um Ihre Compliance-Strategie zu überprüfen.

FAQ

Welche Rolle spielt die DSGVO bei der Speicherung von Gesundheitsdaten?

Die DSGVO stuft Gesundheitsdaten in Artikel 9 als "besondere Kategorien personenbezogener Daten" ein. Ihre Verarbeitung ist nur unter strengen Auflagen erlaubt, erfordert höchste technische und organisatorische Schutzmaßnahmen und eine klare Rechtsgrundlage, wie die Einwilligung des Patienten.

Was ist der US CLOUD Act und warum ist er ein Problem?

Der CLOUD Act ist ein US-Gesetz, das es US-Behörden erlaubt, von US-Unternehmen die Herausgabe von Daten zu verlangen, unabhängig vom Speicherort. Dies führt zu einem direkten Konflikt mit der DSGVO, wenn es sich um Daten von EU-Bürgern handelt, und untergräbt die Datensouveränität.

Was bedeutet "Immutable Storage" und warum ist es für Patientendaten wichtig?

Immutable Storage (unveränderlicher Speicher), oft mittels S3 Object Lock realisiert, sorgt dafür, dass Daten für einen festgelegten Zeitraum nicht gelöscht oder verändert werden können. Dies ist ein entscheidender Schutz gegen Ransomware-Angriffe und stellt die Integrität von Backups und Archiven sicher.

Was fordert die neue NIS-2-Richtlinie vom Gesundheitssektor?

Die NIS-2-Richtlinie verpflichtet Betreiber kritischer Infrastrukturen, wozu auch viele Gesundheitseinrichtungen zählen, zu umfassenden Risikomanagement-Maßnahmen, zur Sicherung ihrer Lieferketten und zur schnellen Meldung von Cyber-Sicherheitsvorfällen. Die Geschäftsführung haftet für die Umsetzung.

Wie hilft ein europäischer Cloud-Anbieter bei der Einhaltung der Gesetze?

Ein Anbieter mit Sitz und Rechenzentren ausschließlich in der EU unterliegt nicht dem CLOUD Act und kann Datensouveränität garantieren. Durch Geofencing, DSGVO-konforme Features und transparente Verträge bietet er die rechtliche und technische Grundlage, um die strengen europäischen und deutschen Gesetze für Patientendaten zu erfüllen.

Warum sind keine Egress-Gebühren bei der Speicherung von Patientendaten wichtig?

Im Gesundheitswesen können im Notfall oder bei einem Anbieterwechsel große Datenmengen anfallen, die schnell wiederhergestellt oder transferiert werden müssen. Egress-Gebühren (Kosten für ausgehenden Datenverkehr) können dann zu unkalkulierbaren, hohen Kosten führen. Ein Modell ohne Egress-Gebühren sorgt für Kostentransparenz und finanzielle Planbarkeit.

Would you like more information?

Send us a message and our experts will get back to you shortly.
Talk to your expert
White ArrowBlack Arrow

Mehr ähnliche Artikel

icon
03.01.2026
Kubernetes S3 Persistent Storage in Deutschland: Ein Leitfaden
Christian Kaul
icon
15.09.2025
Patientendaten in der Cloud speichern: Gesetze und DSGVO-konforme Lösungen 2025
Thomas Demoor
icon
29.10.2025
Hybride Cloud-Backup-Strategien: Souveränität und Kosteneffizienz für 2025
Thomas Demoor

Europe's sovereign cloud storage.

Full Control. Zero Surprises.

Cut your costs, not performance.

Jetzt starten
White ArrowBlack Arrow
Direktlinks
HomeÜber unsProduktPreiseKontakt
Beliebte Inhalte
Unsere PartnerWerden Sie PartnerBlogWissen & SupportDokumentationMagazin
Adresse
Friesenweg 12, Haus 5
22763 Hamburg Deutschland
Kontakt
+49 40 573082-400info@impossiblecloud.com
Impressum & DatenschutzAGBsNutzungsbedingungen