← Zurück zum Blog

Gesundheitsdaten in der Cloud — sicher oder nicht? Der DSGVO-Leitfaden 2026 für Praxen

Ralf Heßlinger20. April 202611 Min. Lesezeit
DSGVOCloudDatenschutzGesundheitsdatenPraxissoftware

"Patientendaten gehören nicht in die Cloud." Diese Aussage hört man in der Praxislandschaft immer noch häufig — und sie ist falsch. Richtig ist: Gesundheitsdaten gehören nicht in jede Cloud. Der Unterschied entscheidet darüber, ob Sie rechtskonform arbeiten oder nicht.

Dieser Leitfaden zeigt Ihnen konkret, worauf Sie bei Cloud-basierter Praxissoftware achten müssen, wo die juristischen Fallstricke liegen und welche Anbieter Sie im Jahr 2026 ruhigen Gewissens nutzen können. Er richtet sich an Heilpraktiker/innen für Psychotherapie, Osteopathen, Coaches, Ernährungsberater und alle anderen Gesundheitsberufe, die mit sensiblen Klientendaten arbeiten.

Kurzfassung

Cloud-Speicherung von Gesundheitsdaten ist in Deutschland erlaubt und sicher, wenn vier Bedingungen erfüllt sind: Server in der EU, abgeschlossener AVV nach Art. 28 DSGVO, nachweisbare technische Schutzmaßnahmen nach Art. 32 DSGVO und ausdrückliche Einwilligung Ihrer Klient/innen nach Art. 9 DSGVO. Der Serverstandort allein genügt nicht — besonders bei US-Anbietern bleibt ein Restrisiko durch den US CloudAct.

1. Warum Gesundheitsdaten rechtlich besonders geschützt sind

Gesundheitsdaten zählen nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Die DSGVO verbietet ihre Verarbeitung grundsätzlich — mit eng definierten Ausnahmen. Das bedeutet: Anders als bei einer normalen Kundenadresse gilt für Patientendaten ein Verbot mit Erlaubnisvorbehalt.

Für Ihre Praxis relevant sind vor allem zwei Ausnahmetatbestände aus Art. 9 Abs. 2 DSGVO:

  • Buchstabe a — Ausdrückliche Einwilligung: Ihre Klient/innen stimmen schriftlich zu, dass Sie ihre Gesundheitsdaten digital verarbeiten dürfen.
  • Buchstabe h — Gesundheitsvorsorge und Behandlung: Die Verarbeitung ist für die Behandlung erforderlich und erfolgt durch Fachpersonal, das einer Schweigepflicht unterliegt.

In der Praxis nutzen Sie meist eine Kombination aus beidem: Die Behandlung rechtfertigt die Datenverarbeitung, und die Einwilligung dokumentiert die Zustimmung zur konkreten Form (z. B. digitale Akte, Cloud-Speicherung).

2. Was "Cloud" überhaupt bedeutet — und warum es nicht egal ist

"Die Cloud" ist kein einheitliches Konzept. Für Praxen sind drei Varianten relevant:

Cloud-Typ Beispiele DSGVO-Eignung
EU-Cloud Deutsche Rechenzentren (z. B. Hetzner, IONOS, Supabase Frankfurt) Gut geeignet
US-Cloud mit EU-Region Microsoft Azure, AWS, Google Cloud (mit Frankfurt-Region) Kritisch (CloudAct)
US-Cloud ohne EU-Region Anbieter mit Servern in USA, UK, Asien Nicht geeignet

Der Knackpunkt ist der US CloudAct: Dieses US-Gesetz verpflichtet amerikanische Unternehmen, auf Anforderung US-amerikanischer Behörden Daten herauszugeben — auch wenn diese auf Servern außerhalb der USA gespeichert sind. Ein deutsches Rechenzentrum von Microsoft oder Amazon schützt also nicht vollständig vor US-Zugriff. Für hochsensible Gesundheitsdaten ist das ein ernstzunehmendes Problem.

3. Die vier Prüfkriterien für DSGVO-konforme Cloud-Software

Kriterium 1: Serverstandort in der EU — idealerweise in Deutschland

Fragen Sie jeden Anbieter konkret: "Wo genau stehen die Server, auf denen meine Daten liegen?" Akzeptieren Sie keine vagen Antworten wie "in Europa". Sie brauchen einen konkreten Ort (z. B. Frankfurt am Main) und idealerweise den Namen des Rechenzentrumsbetreibers.

Faustregel: Deutsche oder europäische Anbieter mit Servern in Deutschland sind am einfachsten rechtlich sauber einzusetzen. Sie unterliegen ausschließlich deutschem und EU-Recht — kein CloudAct-Risiko.

Kriterium 2: Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Jeder Cloud-Anbieter, der für Sie Gesundheitsdaten speichert, ist ein Auftragsverarbeiter. Sie müssen mit ihm einen AVV abschließen — das ist keine Kür, sondern gesetzliche Pflicht. Ohne AVV verstoßen Sie gegen die DSGVO, selbst wenn der Anbieter ansonsten perfekt arbeitet.

Ein guter AVV regelt mindestens:

  • Gegenstand, Dauer und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Umgang mit Subunternehmern (z. B. Hosting-Dienstleister)
  • Unterstützungspflichten bei Betroffenenrechten und Datenpannen
  • Löschung oder Rückgabe der Daten nach Vertragsende
  • Auditrechte für Sie als verantwortliche Stelle

Praxistipp: Seriöse Anbieter stellen den AVV entweder online zum Download bereit oder schicken ihn auf Anfrage innerhalb eines Werktags zu. Wenn ein Anbieter zögert oder ausweicht — Alarmzeichen.

Kriterium 3: Technische Schutzmaßnahmen nach Art. 32 DSGVO

Art. 32 DSGVO verpflichtet Anbieter zu "geeigneten technischen und organisatorischen Maßnahmen" (TOMs). Für Praxissoftware sollten diese mindestens umfassen:

  • Transportverschlüsselung (TLS 1.2+): Daten werden beim Übertragen verschlüsselt
  • Ruhende Verschlüsselung (Encryption at Rest): Daten liegen verschlüsselt auf der Festplatte
  • Mehrstufige Authentifizierung: Idealerweise mit Zwei-Faktor-Option
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Row Level Security)
  • Automatische Backups: Regelmäßig, verschlüsselt, getrennt vom Hauptsystem
  • Protokollierung: Nachvollziehbarkeit aller Zugriffe auf sensible Daten
  • Sicherheitszertifizierungen: ISO 27001, BSI C5 oder vergleichbar

Fragen Sie den Anbieter nach seinen TOMs — diese sind Teil eines guten AVV. Ein seriöser Anbieter hat ein eigenes TOM-Dokument oder verlinkt auf die Zertifizierungen seines Infrastruktur-Dienstleisters.

Kriterium 4: Einwilligung Ihrer Klient/innen

Auch mit perfekter Software brauchen Sie die ausdrückliche Einwilligung Ihrer Klient/innen in die digitale Verarbeitung ihrer Gesundheitsdaten. Die Einwilligung muss:

  • Freiwillig erteilt werden (keine Koppelung an die Behandlung)
  • Informiert sein (Klient/innen müssen wissen, was passiert)
  • Spezifisch formuliert sein (nicht: "Ich willige in die Datenverarbeitung ein")
  • Dokumentiert sein (schriftlich oder digital mit Zeitstempel)
  • Widerrufbar sein (Klient/innen müssen ihre Zustimmung zurückziehen können)

Integrieren Sie die Einwilligung in Ihren Anamnesebogen oder Ihre Aufnahmeunterlagen. Formulieren Sie klar, welche Daten (Namen, Kontakt, Diagnose, Behandlungsverlauf) in welcher Software gespeichert werden und wo die Server stehen.

4. Der neue Rechtsrahmen: EHDS-Verordnung ab 2026

2026 tritt der European Health Data Space (EHDS) schrittweise in Kraft — eine EU-Verordnung, die den Umgang mit Gesundheitsdaten europaweit vereinheitlicht. Für Einzelpraxen ändert sich dadurch vorerst wenig, aber die Richtung ist klar: höhere Transparenz, mehr Kontrolle für Betroffene, strengere Anforderungen an Cloud-Anbieter.

Wer jetzt auf DSGVO-konforme, EU-basierte Software setzt, ist für EHDS bereits gut aufgestellt. Wer dagegen auf US-Clouds oder unklare Dienstleister setzt, muss in den kommenden Jahren mit deutlichem Nachbesserungsbedarf rechnen.

5. Die häufigsten Cloud-Irrtümer in der Praxis

Irrtum 1: "Microsoft 365 mit deutschem Rechenzentrum ist DSGVO-konform."

Falsch. Microsoft unterliegt als US-Unternehmen dem CloudAct. Der Serverstandort Frankfurt schützt nicht vor US-Behördenzugriff. Für allgemeine Bürokommunikation mag das akzeptabel sein — für Patientenakten ist es juristisch hochproblematisch.

Irrtum 2: "Dropbox / Google Drive reicht für meine Praxisunterlagen."

Falsch. Auch hier gilt der CloudAct. Hinzu kommt: Es fehlt meist ein spezifischer AVV, die Dateien werden beim Anbieter potenziell für Trainings-Zwecke analysiert, und es gibt keine medizinspezifische Rollen-/Rechteverwaltung. Für Gesundheitsdaten ungeeignet.

Irrtum 3: "WhatsApp mit meinen Klient/innen ist okay, solange ich keine Diagnosen schreibe."

Falsch. Schon die Tatsache, dass jemand bei Ihnen in Behandlung ist, ist ein Gesundheitsdatum. Der Klarname im Kontakt plus die Tatsache einer Nachricht an Sie genügt. WhatsApp (Meta, USA) ist für Therapie-Kommunikation nicht DSGVO-konform einsetzbar.

Irrtum 4: "Lokal auf meinem Rechner ist sicherer als Cloud."

Oft falsch. Ein einzelner Laptop ohne automatische Backups, ohne Festplattenverschlüsselung und ohne Zugriffsprotokolle ist meist unsicherer als eine professionell betriebene Cloud. Wird der Laptop gestohlen, sind alle Daten weg — oder schlimmer: in fremden Händen. Cloud-Software mit EU-Servern bietet in der Regel das höhere Schutzniveau.

6. Checkliste: Welche Fragen Sie jedem Cloud-Anbieter stellen sollten

Bevor Sie eine Praxissoftware, ein Online-Terminbuch oder einen Abrechnungsdienst nutzen, prüfen Sie diese sieben Punkte:

  1. Wo stehen die Server? Konkrete Adresse oder zumindest Stadt und Land.
  2. Wer betreibt das Rechenzentrum? Deutsches oder EU-Unternehmen, oder eine US-Firma mit EU-Tochter?
  3. Wo ist das Unternehmen rechtlich ansässig? Unterliegt es dem CloudAct?
  4. Stellt der Anbieter einen AVV bereit? Gibt es ein öffentlich verfügbares Muster?
  5. Welche Zertifizierungen hat der Anbieter? ISO 27001, BSI C5, SOC 2?
  6. Wie sind Daten verschlüsselt? Sowohl bei der Übertragung als auch im Ruhezustand?
  7. Was passiert mit Ihren Daten nach Vertragsende? Löschung garantiert, Rückgabe möglich?

Anbieter, die diese Fragen nicht sauber beantworten können oder wollen, sind für sensible Gesundheitsdaten nicht geeignet — unabhängig davon, wie gut die Software ansonsten wirkt.

7. PraxisCloud: Transparenz bei Datenschutz und Serverstandort

PraxisCloud wurde von Anfang an mit dem Fokus auf DSGVO-Konformität entwickelt. Konkret bedeutet das für Sie:

  • Serverstandort Frankfurt am Main (Supabase, Rechenzentrum der AWS-Region eu-central-1) — auf Datenbankebene durch europäische Jurisdiktion geschützt
  • AVV nach Art. 28 DSGVO wird automatisch beim Registrieren abgeschlossen
  • Transport- und Ruheverschlüsselung standardmäßig aktiviert
  • Row Level Security auf Datenbankebene — Sie sehen nur die Daten Ihrer eigenen Praxis
  • Tägliche verschlüsselte Backups — Point-in-Time-Recovery verfügbar
  • Volle Transparenz über unseren Tech-Stack und unsere Subunternehmer in der Datenschutzerklärung

PraxisCloud ist speziell für Einzelpraxen und kleine Teams im Bereich Heilpraktiker/innen für Psychotherapie, Osteopathie, Coaching und Energiearbeit entwickelt. Die gesamte Klientenverwaltung, Terminplanung, Rechnungsstellung (inklusive GebüH-Abrechnung) und Anamnese läuft in einer DSGVO-konformen deutschen Cloud — ohne Installation, ohne Wartungsaufwand.

Praxisverwaltung, die nach DSGVO funktioniert

Probieren Sie PraxisCloud 30 Tage kostenlos aus. Server in Frankfurt, AVV inklusive, keine Installation nötig. Jederzeit kündbar.

Jetzt 30 Tage kostenlos testen

Fazit: Cloud ist sicher — wenn Sie die richtige wählen

Die Frage "Cloud — ja oder nein?" ist die falsche Frage. Die richtige Frage lautet: "Welche Cloud erfüllt die Anforderungen an Gesundheitsdaten?"

Wer eine europäische Software mit Servern in Deutschland, einem soliden AVV, nachweisbaren Sicherheitsmaßnahmen und klaren Betroffenenrechten nutzt, arbeitet rechtssicher und oft auch technisch sicherer als mit einem lokalen Einzelplatz-System. Wer auf US-Dienste oder unklare Anbieter setzt, riskiert Datenschutzverstöße mit empfindlichen Bußgeldern — unabhängig davon, wie sorgfältig die einzelne Behandlung dokumentiert wird.

Der wichtigste Schritt ist nicht, "aus der Cloud auszusteigen", sondern die eigene Cloud-Nutzung kritisch zu prüfen: Welche Daten liegen wo? Welche Verträge sind abgeschlossen? Welche Einwilligungen sind dokumentiert? Diese drei Fragen sollten Sie einmal pro Jahr durchgehen — idealerweise als Teil Ihrer DSGVO-Dokumentation.

Weiterführende Artikel zum Thema:

Rechtlicher Hinweis: Dieser Artikel ersetzt keine individuelle Rechtsberatung. Die Anforderungen an die Verarbeitung von Gesundheitsdaten können je nach Berufsfeld, Praxisstruktur und Bundesland variieren. Bei konkreten Fragen wenden Sie sich an Ihre/n Datenschutzbeauftragte/n oder die zuständige Aufsichtsbehörde.

Kostenlose Checkliste

Die richtige Praxissoftware finden

Systematisch vergleichen — DSGVO, Funktionen, Anbieter, Warnsignale.

Jetzt herunterladen
← Zurück zum Blog