Unsere Haltung zu Patientendaten
Drei reale Fälle zeigen: DSGVO-Framework reicht nicht, wenn Patientendaten über US-Cloud-Anbieter laufen. Wir hosten auf eigenem Server in Deutschland.
Warum „mir doch egal" nicht reicht
„Was sollen die schon mit meinen Daten" — das mag für viele stimmen. Aber Patientendaten enthalten Diagnose, Therapie, Medikation. Wer darauf zugreift, weiß, wer wie verwundbar ist. Drei reale Fälle aus den letzten Jahren.
Der US-Auslandsgeheimdienst NSA hörte über Jahre das Mobiltelefon der amtierenden deutschen Bundeskanzlerin ab — offengelegt durch Snowden-Dokumente. Konsequenz: nichts. US-Recht erlaubt das. Wenn eine Regierungschefin keinen Schutz vor US-Geheimdiensten hat, hat ihn auch kein Patient eines Sanitätshauses.
Wer ein Regime kritisiert und ihm Daten überlässt, wird verwundbar. Nawalny wurde mit dem chemischen Kampfstoff Nowitschok vergiftet, überlebte mit Charité-Behandlung in Berlin, ging trotzdem zurück nach Russland und starb 2024 in Haft. Datenzugriff durch Staat ist kein theoretisches Risiko — er entscheidet Leben.
Snowden machte das Ausmaß der US-Massenüberwachung öffentlich (PRISM-Programm, FISA 702). Konsequenz für ihn: russisches Asyl, später Staatsbürgerschaft. Konsequenz für die US-Geheimdienst-Befugnisse: keine. FISA 702 wurde 2024 verlängert. Die Mechanik, die wir 2013 lernten, gilt heute unverändert.
Der gemeinsame Nenner: Menschen, die geschützt gehörten, hatten keinen Schutz, weil eine andere Macht Zugriff auf ihre Kommunikation hatte. Wir bauen OTpilot so, dass das mit Patientendaten nicht passiert.
Wie das Framework wirklich funktioniert
Viele KI-Anbieter berufen sich auf das EU-U.S. Data Privacy Framework (DPF) und nennen sich „DSGVO-konform". Das ist formal richtig. Faktisch lässt das US-Recht aber jederzeit Zugriff zu — und genau dort hört Datensouveränität auf.
2015 / 2020
Der österreichische Jurist Max Schrems brachte vor dem Europäischen Gerichtshof zwei US-Daten-Abkommen zu Fall: Safe Harbor (2015) und Privacy Shield (2020). Begründung jeweils: US-Gesetze zwingen US-Firmen zur Zusammenarbeit mit Geheimdiensten — das widerspricht EU-Grundrechten.
Seit 2023
Als Ersatz wurde 2023 das EU-U.S. Data Privacy Framework eingeführt. Schrems und seine Organisation noyb haben bereits angekündigt, auch dieses vor Gericht anzugreifen („Schrems III"). Experten halten ein erneutes Kippen für wahrscheinlich. Wer heute auf das Framework setzt, baut auf eine wackelnde Rechtsgrundlage.
US-Recht
Der CLOUD Act verpflichtet US-Unternehmen, Daten an US-Behörden herauszugeben — auch dann, wenn die Daten auf Servern in Europa liegen. FISA 702 erlaubt Massenüberwachung von Nicht-US-Bürgern. Serverstandort EU schützt nicht, wenn der Konzern in den USA sitzt.
Deutsches Strafrecht
Gesundheitsberufe unterliegen der strafrechtlichen Schweigepflicht. Wer Patientendaten an einen Dienstleister weitergibt, der wiederum US-Behörden Zugriff ermöglichen könnte, bewegt sich in einer rechtlichen Grauzone — selbst wenn alle DSGVO-Verträge formal stimmen.
Unsere Antwort
Wir verzichten bewusst auf den schnelleren Cloud-Weg. Stattdessen läuft die gesamte Verarbeitung von Patientendaten auf einem ISO-27001-zertifizierten Rechenzentrum in Deutschland — ohne US-Cloud-Provider, ohne US-Mutterkonzern, ohne CLOUD-Act- Pflicht.
Patientendaten bleiben in Deutschland.
Verarbeitung ausschließlich im ISO-27001-zertifizierten Rechenzentrum in Deutschland, DSGVO Art. 9 für besondere Kategorien personenbezogener Daten.
Kein US-Mutterkonzern.
Wir sind Digital Hoch X GmbH, Sitz Osnabrück, deutsches Unternehmen. Kein CLOUD Act, kein FISA-702-Zugriffsrecht auf unsere Infrastruktur.
Kein KI-Training mit euren Daten.
Eure Korrekturen schärft unser QM-Team in der Anleitung nach — die KI selbst lernt nicht aus euren Daten.
Kein Audio gespeichert.
Nur die Abschrift wird verarbeitet, dann gelöscht. Kein Mitschnitt, kein Archiv.
MDR-konform durch Fachkraft-Freigabe.
Die Fachkraft prüft jede Versorgungsdokumentation vor der Freigabe und signiert per Touch. OTpilot ist Assistent, kein Medizinprodukt.
Realitäts-Hinweis
Für ERP, Krankenkassen-Wege oder weitere Drittsysteme gelten weiterhin die Konditionen eurer dortigen Anbieter. Welche Schnittstellen wir aktuell bauen und welche wir pro Anfrage besprechen, steht auf der HUB-Seite und auf der Schnittstellen-Seite.
Wer für Patientendaten am Point of Care die Sprach-Dokumentation nutzen möchte, ohne sie über US-Cloud zu schicken — dafür sind wir da.
30 Minuten persönlich, am echten Beispielformular. Keine Vertriebsshow — wir hören euren Ist-Stand an und sagen direkt, ob OTpilot in eure Datenschutz-Anforderungen passt.