Georg Thieme Verlag KGGeorg Thieme Verlag KG
Georg Thieme Verlag KGGeorg Thieme Verlag KG

SouveränitätWie bleiben sensible Gesundheitsdaten in europäischen Händen?

Amerikanische Hyperscaler gelten als technisch zuverlässig. Doch bei Gesundheitsdaten ist Vertrauen essenziell. Europäische Cloud-Lösungen, ob eigenständig oder kombiniert mit globalen Plattformen, könnten einen Ausweg aus dem Datenschutz-Dilemma bieten.

Eine Person in Kasack sitzt vor einen Tablet. Über dem Gerät erscheinen Symbole, wie ein Schloss und andere Icons, die ein Daten veranschaulichen.
C Malambo/peopleimages.com/stock.adobe.com
Symbolfoto

Patientendaten sind längst das Rückgrat der modernen Medizin – und gleichzeitig einer der sensibelsten Bereiche der digitalen Transformation. Elektronische Patientenakten, Telemedizin, vernetzte Diagnostik oder Forschungskooperationen: Ohne Cloud ist all das kaum mehr denkbar. Während die Digitalisierung von klinischen Prozessen weiter voranschreitet, bleibt jedoch häufig eine zentrale Frage ungelöst: Wie lässt sich sicherstellen, dass die Kontrolle über diese sensiblen Gesundheitsdaten langfristig in europäischen Händen bleibt? Viele Krankenhäuser setzen heute auf internationale Cloud-Anbieter (Hyperscaler) – nicht selten aus pragmatischen Gründen. 

Hyperscaler gelten als leistungsfähig, skalierbar und vergleichsweise kosteneffizient. Gleichzeitig schaffen sie eine Abhängigkeit, die im Gesundheitswesen besonders kritisch ist. Denn hier geht es nicht nur um technische Verfügbarkeit, sondern um Vertrauen, Nachvollziehbarkeit und Haftung. Laut einer Studie von Research And Markets wird der europäische Markt für digitale Gesundheit bis 2030 voraussichtlich auf mehr als 220 Milliarden Euro wachsen. Viele Krankenhäuser befinden sich derzeit in einer Doppelrolle: Sie müssen ihre IT-Systeme modernisieren, ohne die Patientensicherheit zu gefährden, und gleichzeitig den steigenden regulatorischen Anforderungen gerecht werden. Dabei entscheidet gerade die Wahl der Cloud-Infrastruktur, ob Innovation zum Fortschritt oder zum Risiko wird.

Keine theoretische Debatte

Der Begriff der Datensouveränität hat in den letzten Jahren an Schärfe gewonnen. Im Kern bedeutet er: Die Kontrolle über Daten und die Systeme, die diese Daten verarbeiten, bleibt bei denjenigen, die rechtlich dafür verantwortlich sind. Für das Gesundheitswesen ist das keine theoretische Debatte, sondern eine tägliche Verpflichtung. Krankenhäuser, Klinikketten und IT-Dienstleister im Medizinsektor tragen die Verantwortung für Datenschutz, Patientensicherheit und regulatorische Konformität. Doch was in der Theorie selbstverständlich klingt, scheitert in der Praxis oft an technischen und rechtlichen Hürden. 

Wer US-basierte Cloud-Dienste nutzt, läuft Gefahr, gegen europäisches Datenschutzrecht zu verstoßen – selbst dann, wenn die Daten physisch in einem europäischen Rechenzentrum liegen. Hintergrund ist der Cloud Act (Clarifying Lawful Overseas Use of Data Act). Dieses US-Gesetz erlaubt den amerikanischen Behörden den Zugriff auf Daten von US-Unternehmen, unabhängig vom Speicherort. Auch das neue EU-U.S. Data Privacy Framework schafft hier keine vollständige Rechtssicherheit. Es kann politisch neu bewertet oder – wie bereits beim „Privacy Shield“ – gerichtlich gekippt werden. Datenschutzbehörden empfehlen daher weiterhin, sensible Gesundheitsdaten ausschließlich innerhalb der EU zu speichern.

Globale Plattformen

Im Alltag zeigt sich: Die technische Leistungsfähigkeit großer Plattformen hat ihren Preis. Nach wie vor besteht rechtliche Unsicherheit: Selbst bei Nutzung von Standardvertragsklauseln bleibt das Risiko, dass US-Behörden auf Gesundheitsdaten zugreifen könnten. Kritisch zu sehen ist auch der sogenannte Vendor Lock-in: Proprietäre Schnittstellen erschweren einen Anbieterwechsel oder den Rückzug auf eigene Systeme. Hinzu kommen Transparenzdefizite. Kliniken wissen oft nicht genau, wo und in welcher Form ihre Daten verarbeitet werden. Schließlich führt die Nutzung eines Hyperscalers zu einem Verlust der Nachvollziehbarkeit. Im Falle eines Datenschutzvorfalls lässt sich kaum lückenlos dokumentieren, welche Daten wann wohin gelangt sind – ein Problem für jede Auditierung.

Fünf Fragen, die sich jedes Krankenhaus stellen sollte:

  1. Wo werden derzeit Patientendaten physisch gespeichert – und unter welchem Rechtsrahmen?
  2. Gibt es klare Verantwortlichkeiten und Audit-Trails für Cloud-Datenflüsse?
  3. Welche Partner erfüllen EU-Standards tatsächlich und nicht nur auf dem Papier?
  4. Wie lässt sich ein Anbieterwechsel ohne Datenverlust sicherstellen?
  5. Ist die Cloud-Architektur langfristig interoperabel und zukunftssicher?

Für das Gesundheitswesen ist das mehr als ein Compliance-Problem. Es geht um Vertrauen, also die Grundlage jeder Arzt-Patienten-Beziehung und zugleich jeder digitalen Infrastruktur. Im „Worst Case“ drohen Bußgelder nach DSGVO Art. 83 Abs. 5, ein erheblicher Imageverlust und vor allem ein irreversibler Vertrauensbruch bei Patienten. Eine digitale Infrastruktur, deren Kontrolle außerhalb Europas liegt, widerspricht damit letztlich dem medizinischen Ethos: dem Schutz des Menschen.

Europäische Cloud-Souveränität

Europäische Cloud-Souveränität ist kein Schlagwort, sondern ein Prinzip, das sich auf drei Ebenen konkretisieren lässt:

  1. Rechtliche Souveränität: Datenhaltung und -verarbeitung unterliegen ausschließlich europäischem Recht – ohne Zugriffsmöglichkeiten durch Drittstaaten.
  2. Technologische Souveränität: Die verwendete Infrastruktur basiert auf offenen Standards und interoperablen Schnittstellen, die Wechsel und Integration ermöglichen.
  3. Operative Souveränität: Support, Wartung und Weiterentwicklung erfolgen in Europa, durch Partner, die denselben regulatorischen Rahmenbedingungen unterliegen wie die Betreiber selbst.

Souveräne Cloud-Infrastrukturen sind kein Rückschritt in die Isolation, sondern ein Schritt in Richtung nachhaltiger, kontrol-lierbarer Digitalisierung. Initiativen wie Gaia X, European Cloud Federation oder Sovereign Cloud Stack zeigen, dass Europa technologisch aufholt – und dass Kooperation der Schlüssel zur Unabhängigkeit ist.

Souveränität ist nicht nur eine Frage des Datenschutzes, sondern auch der Wettbewerbsfähigkeit. Europäische Cloud-Strukturen fördern die regionale Wertschöpfung mit lokalen Betreibern, sowie Wartung und Support vor Ort. Darüber hinaus schaffen sie Vertrauen bei Investoren und Forschungspartnern, insbesondere in Bereichen wie Genomik oder KI-gestützter Diagnostik. Und sie ermöglichen neue Geschäftsmodelle, zum Beispiel den sicheren Datenaustausch zwischen Ärzten, Laboren und Universitätskliniken. Ein offenes, interoperables Ökosystem, das auf Kooperation statt Monopolstrukturen setzt, ist besonders für kleinere Anbieter von Vorteil. So können sie digitale Unabhängigkeit erlangen, ohne ihre Innovationskraft einzubüßen.

Selbstverständlich gibt es Grenzen. Noch fehlen vollständig europäische Alternativen zu Hyperscalern in allen Leistungsklassen. Zudem stehen Krankenhäuser vor der Herausforderung, hybride IT-Landschaften zu managen, die aus Alt-Systemen, regionalen Rechenzentren und Cloud-Diensten bestehen. Hier gilt es, praktikable Wege zu finden, statt ideologische Debatten zu führen. Ein pragmatischer Ansatz sind Cloudmodelle, bei denen kritische Gesundheitsdaten lokal oder in EU-basierten Clouds verbleiben, während unkritische Anwendungen in internationalen Umgebungen laufen. Sie ermöglichen Ausfallsicherheit und Skalierung bei gleichzeitiger Wahrung der Datenhoheit. Auch neue gesetzliche Rahmenbedingungen wie der Europäische Gesundheitsdatenraum (EHDS) oder die NIS2-Richtlinie fördern diesen Kurs. Sie verlangen mehr Transparenz, Nachvollziehbarkeit und Resilienz – Werte, die sich nur mit einer souveränen IT-Infrastruktur langfristig erreichen lassen.

Telemedizin mit Datenhoheit

Wie sich Souveränität praktisch umsetzen lässt, zeigt das Beispiel von Oiva Health, einem nordischen Anbieter von Telemedizin- und Monitoringlösungen. Das Unternehmen betreibt seine Plattform vollständig auf einer europäischen Cloud-Infrastruktur. Patientendaten werden ausschließlich in finnischen Rechenzentren verarbeitet, verschlüsselt gespeichert und unterliegen vollständig der DSGVO. Die Entscheidung für eine europäische Lösung wurde bewusst getroffen: Oiva Health wollte sicherstellen, dass keine externen Behörden Zugriff auf sensible Gesundheitsinformationen erhalten und dass jede Datenverarbeitung nachvollziehbar bleibt. Gleichzeitig sollten Performance und Skalierbarkeit mit internationalen Anbietern mithalten können – was durch eine cloud-native Architektur und offene Schnittstellen erreicht wurde. Das Ergebnis ist eine Telemedizin-Plattform, die sowohl medizinischen als auch regulatorischen Anforderungen gerecht wird und ein nachweislich hohes Vertrauensniveau bei Ärzten, Pflegepersonal und Patienten aufweist.

Schrems II - das juristische Nadelöhr

Mit dem Urteil Schrems II (EuGH 2020) wurde das EU-U.S. Privacy Shield für ungültig erklärt.

  • US-Dienste dürfen personenbezogene Daten europäischer Nutzer nur unter sehr strengen Auflagen verarbeiten.
  • Das neue EU-U.S. Data Privacy Framework gilt seit Juli 2023, steht jedoch erneut unter juristischer Beobachtung.
  • Empfehlung von Datenschutzbehörden: Speicherung und Verarbeitung sensibler Daten ausschließlich in der EU – insbesondere Gesundheitsdaten.

Die Perspektive der Krankenhäuser

Für IT-Verantwortliche in Kliniken bedeutet dies, dass der Weg zur Datensouveränität machbar ist, aber klare Entscheidungen und einen strukturierten Fahrplan erfordert (siehe Kasten „Fünf Fragen, die sich jedes Krankenhaus stellen sollte“). Eine souveräne Cloud-Strategie sollte mehrstufig umgesetzt werden. Zunächst ist eine Analyse der bestehenden Infrastruktur erforderlich, gefolgt von der Definition sensibler Datenkategorien. Anschließend erfolgt die Auswahl zertifizierter Anbieter, dann die Migration und schließlich das kontinuierliche Monitoring. Nur so lassen sich Compliance-Anforderungen mit Innovationsdruck in Einklang bringen.

Digitale Souveränität im Gesundheitswesen ist kein Selbstzweck. Vielmehr ist sie die Voraussetzung, um Patientendaten sicher, effizient und vertrauenswürdig zu verwalten. Europa verfügt über die regulatorischen Grundlagen und zunehmend auch über die technischen Ressourcen, um diesen Anspruch umzusetzen. Doch der Weg dorthin verlangt Konsequenz: Krankenhäuser müssen Cloud-Strategien nicht nur nach Funktion und Preis, sondern auch nach Kontrolle und Nachvollziehbarkeit bewerten. In Zukunft wird diese Souveränität noch wichtiger werden, beispielsweise wenn KI-Systeme Diagnosen unterstützen, Genomdaten für die Präzisionsmedizin ausgewertet werden oder ganze Versorgungsnetze digital gekoppelt sind. Nur wer die Datenhoheit behält, kann ethische, rechtliche und medizinische Verantwortung übernehmen. Die europäische Cloud ist dafür kein politisches Symbol, sondern ein praktisches Instrument – für Datenschutz, Versorgungssicherheit und das Vertrauen, das die moderne Medizin benötigt.

Arno Schäfer (CEO des Cloudanbieters UpCloud) 2025. Thieme. All rights reserved.

Das könnte Sie auch interessieren

Kommentare

Sortierung

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!

    Jetzt einloggen

Aktuelle Ausgaben