Zum Inhalt springen
Demo buchen

Unsere Haltung zu Patientendaten

Datenschutz ist nicht egal.

Die Rechtslage zeigt: DSGVO-konform ist nicht automatisch datensouverän, wenn Patientendaten über US-Cloud-Anbieter laufen. Wir hosten auf eigenem Server in Deutschland.

Warum das Sanitätshäuser betrifft

Patientendaten sind besonders geschützt — aus gutem Grund.

Diagnose, Therapie, Medikation: Gesundheitsdaten fallen unter Art. 9 DSGVO, die höchste Schutzkategorie. Drei Fakten zur Rechtslage, die jede Cloud-Entscheidung berühren.

  1. CLOUD Act (2018)

    US-Bundesgesetz · gilt für alle US-Anbieter weltweit

    US-Behörden können US-Unternehmen zur Herausgabe von Daten verpflichten — auch wenn die Server in der EU stehen. Ein „Rechenzentrum in Frankfurt" eines US-Anbieters schützt davor nicht. Entscheidend ist, wem die Infrastruktur gehört, nicht wo sie steht.

  2. FISA Section 702

    US-Überwachungsbefugnis · 2024 erneut verlängert

    FISA 702 erlaubt US-Geheimdiensten den Zugriff auf Kommunikation von Nicht-US-Bürgern bei US-Diensten — ohne richterliche Einzelfallprüfung. Die Befugnis wurde 2024 vom US-Kongress verlängert. Für EU-Patientendaten bei US-Anbietern bleibt das ein struktureller Zugriffsweg.

  3. Schrems I & II

    EuGH-Urteile 2015 und 2020 · Safe Harbor + Privacy Shield gekippt

    Der Europäische Gerichtshof hat zwei EU-US-Datenabkommen nacheinander für ungültig erklärt — beide Male, weil US-Recht den EU-Datenschutz unterläuft. Das aktuelle Nachfolge-Abkommen (Data Privacy Framework) steht aus denselben Gründen erneut unter rechtlicher Kritik.

Der gemeinsame Nenner: Die Rechtsgrundlage für Patientendaten bei US-Anbietern ist seit Jahren ein bewegliches Ziel. Wir bauen OTpilot so, dass diese Frage für eure Patientendaten gar nicht erst entsteht.

Wie das Framework wirklich funktioniert

DSGVO-konform ist nicht gleich datensouverän.

Viele KI-Anbieter berufen sich auf das EU-U.S. Data Privacy Framework (DPF) und nennen sich „DSGVO-konform". Das ist formal richtig. Faktisch lässt das US-Recht aber jederzeit Zugriff zu — und genau dort hört Datensouveränität auf.

2015 / 2020

Schrems I & II

Der österreichische Jurist Max Schrems brachte vor dem Europäischen Gerichtshof zwei US-Daten-Abkommen zu Fall: Safe Harbor (2015) und Privacy Shield (2020). Begründung jeweils: US-Gesetze zwingen US-Firmen zur Zusammenarbeit mit Geheimdiensten — das widerspricht EU-Grundrechten.

Seit 2023

DPF — das nächste Framework

Als Ersatz wurde 2023 das EU-U.S. Data Privacy Framework eingeführt. Schrems und seine Organisation noyb haben bereits angekündigt, auch dieses vor Gericht anzugreifen („Schrems III"). Experten halten ein erneutes Kippen für wahrscheinlich. Wer heute auf das Framework setzt, baut auf eine wackelnde Rechtsgrundlage.

US-Recht

CLOUD Act & FISA 702

Der CLOUD Act verpflichtet US-Unternehmen, Daten an US-Behörden herauszugeben — auch dann, wenn die Daten auf Servern in Europa liegen. FISA 702 erlaubt Massenüberwachung von Nicht-US-Bürgern. Serverstandort EU schützt nicht, wenn der Konzern in den USA sitzt.

Deutsches Strafrecht

§ 203 StGB — Schweigepflicht

Gesundheitsberufe unterliegen der strafrechtlichen Schweigepflicht. Wer Patientendaten an einen Dienstleister weitergibt, der wiederum US-Behörden Zugriff ermöglichen könnte, bewegt sich in einer rechtlichen Grauzone — selbst wenn alle DSGVO-Verträge formal stimmen.

Unsere Antwort

Wir hosten selbst. In Deutschland. Ohne US-Mutterkonzern.

Wir verzichten bewusst auf den schnelleren Cloud-Weg. Stattdessen läuft die gesamte Verarbeitung von Patientendaten auf einem ISO-27001-zertifizierten Rechenzentrum in Deutschland — ohne US-Cloud-Provider, ohne US-Mutterkonzern, ohne CLOUD-Act- Pflicht.

  • Patientendaten bleiben in Deutschland.

    Verarbeitung ausschließlich im ISO-27001-zertifizierten Rechenzentrum in Deutschland, DSGVO Art. 9 für besondere Kategorien personenbezogener Daten.

  • Kein US-Mutterkonzern.

    Wir sind Digital Hoch X GmbH, Sitz Osnabrück, deutsches Unternehmen. Kein CLOUD Act, kein FISA-702-Zugriffsrecht auf unsere Infrastruktur.

  • Kein KI-Training mit euren Daten.

    Eure Korrekturen schärft unser QM-Team in der Anleitung nach — die KI selbst lernt nicht aus euren Daten.

  • Kein Audio gespeichert.

    Nur die Abschrift wird verarbeitet, dann gelöscht. Kein Mitschnitt, kein Archiv.

  • MDR-konform durch Fachkraft-Freigabe.

    Die Fachkraft prüft jede Versorgungsdokumentation vor der Freigabe und signiert per Touch. OTpilot ist Assistent, kein Medizinprodukt.

Realitäts-Hinweis

Wir lösen die Versorgungsdokumentation — nicht eure ganze IT.

Für ERP, Krankenkassen-Wege oder weitere Drittsysteme gelten weiterhin die Konditionen eurer dortigen Anbieter. Welche Schnittstellen wir aktuell bauen und welche wir pro Anfrage besprechen, steht auf der Schnittstellen-Seite.

Wer für Patientendaten am Point of Care die Sprach-Dokumentation nutzen möchte, ohne sie über US-Cloud zu schicken — dafür sind wir da.

Sprecht mit uns über euer Setup.

30 Minuten persönlich, am echten Beispielformular. Keine Vertriebsshow — wir hören euren Ist-Stand an und sagen direkt, ob OTpilot in eure Datenschutz-Anforderungen passt.

Demo buchen Datenschutzerklärung lesen →

OTpilot Newsletter

Updates aus dem Sanitätshaus-KI-Alltag.

Ein bis zwei Mails im Monat. Pilot-Erfahrungen, neue Schnittstellen, Termine — keine Werbeflut. Jederzeit abbestellbar.