Mit der Digitalisierung im Gesundheitsbereich landen zunehmend auch sensible Daten in Cloud-Applikationen. Die Datenschutzaufsichtsbehörden haben nun auf die erforderlichen, hohen Schutzmaßnahmen hingewiesen. Auch Branchen jenseits des Gesundheitswesens sollten sich damit befassen, denn auch andere Datenkategorien in Cloud-Apps sind besonders schutzbedürftig.
Immer wenn personenbezogene Daten in Gefahr stehen, in einer Cloud-Anwendung verarbeitet zu werden, ist Vorsicht geboten.
(Bild: jirsak - stock.adobe.com)
Digitales Gesundheitswesen steckt zwischen Euphorie und Sorgen
Die Menschen in Deutschland sehen in der Digitalisierung des Gesundheitswesens vor allem Vor- statt Nachteile, so eine Umfrage des Digitalverbands Bitkom. 80 Prozent meinen, Digitalisierung ermögliche etwa durch Robotik schonendere und präzisere Operationen. Dass die Digitalisierung im Gesundheitswesen medizinisches Personal entlastet, davon sind zwei Drittel (69 %) überzeugt. Knapp mehr als die Hälfte (53 %) meint, die Digitalisierung führe im Gesundheitswesen zu weniger Bürokratie. 50 Prozent gehen davon aus, dass die Digitalisierung die steigenden Kosten im Gesundheitswesen auffangen kann.
Gleichwohl gibt es auch Sorgen innerhalb der Bevölkerung, wie Bitkom berichtet. 70 Prozent stimmen der Aussage zu, ein digitalisiertes Gesundheitssystem mache die Menschen zu „gläsernen Patientinnen oder Patienten“, und 62 Prozent haben Angst vor Hacker-Angriffen auf Kliniken und Praxen.
Aus gutem Grund also zählt die Datenschutz-Grundverordnung (DSGVO) die Gesundheitsdaten zu den besonderen Kategorien personenbezogener Daten, die nur unter bestimmten Voraussetzungen und bei entsprechend hohem Schutzniveau verarbeitet werden dürfen.
(Nicht nur) Gesundheitsdaten in der Cloud brauchen hohen Schutz
Bekanntlich sind nicht nur Gesundheitsdaten, sondern auch andere persönliche Daten in einer Cloud ein Thema, das die Datenschützer besonders auf den Plan ruft. Das liegt daran, dass das Datenschutzniveau in einer Cloud nicht ohne weiteres klar ist: Zum einen kann der Cloud-Standort dazu führen, dass die Daten in ein Drittland jenseits des EU/EWR-Raums übermittelt werden. Zum anderen liegt oftmals eine Auftragsverarbeitung der Daten vor. Das Unternehmen, das die Daten in die Cloud überträgt, bleibt dann zwar verantwortlich für den Datenschutz, hat aber keine direkte Kontrolle mehr über die Daten.
Wenn dann auch noch Gesundheitsdaten und die Cloud zusammenkommen, scheint der Datenschutz noch komplexer zu werden. Die Aufsichtsbehörden für den Datenschutz sind sich dieser Herausforderungen für Unternehmen und Betroffene bewusst und haben sich deshalb explizit zu Gesundheitsdaten in Cloud-Applikationen geäußert. Dabei geht es nicht etwa nur um den Fall, dass personenbezogene Daten in ein Drittland übermittelt werden könnten, sondern es geht generell um Cloud-Apps für Gesundheitsdaten.
Die Datenschutzhinweise der Aufsichtsbehörden sind zudem nicht nur für Organisationen im Gesundheitswesen interessant und relevant. Gesundheitsdaten sind nicht die einzigen besonders sensiblen Datenkategorien, die DSGVO Art. 9 kennt mehrere besondere Kategorien personenbezogener Daten, darunter auch personenbezogene Daten, aus denen „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person“ sowie Daten zum Sexualleben oder der sexuellen Orientierung.
Cloud-Funktionen nur, wenn sie wirklich erforderlich sind
Aus der Vielzahl der Hinweise der Datenschutzaufsichtsbehörden zu cloud-basierten Gesundheitsanwendungen soll an dieser Stelle auf einige Besonderheiten hingewiesen werden. Zum einen ist es aus Sicht des Datenschutzes nicht immer die beste Wahl, die Daten in einer Cloud verarbeiten zu lassen, denn die Gewährleistung und die Prüfung des Datenschutzniveaus in einer Cloud sind eben nicht trivial.
Anstelle von „Cloud First“ sollten Unternehmen also bei einer geplanten Verarbeitung von Gesundheitsdaten (und anderen sensiblen Daten) eher anders denken: Die Cloud nur dann, wenn es sein muss und wenn die Betroffenen die entsprechende Cloud-Funktion wünschen.
Explizit sagen die Aufsichtsbehörden: Die Verwendung der Gesundheitsanwendung (z. B. einer App zum Auslesen und Speichern der Glukosewerte) muss nach dem Grundsatz „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ nach DSGVO auch ohne Nutzung der Cloudfunktionen und ohne Verknüpfung mit einem Benutzerkonto möglich sein, es sei denn, die Cloudfunktion ist unbedingt für die Erreichung eines therapeutischen Nutzens erforderlich und die Funktion wird von der betroffenen Person ausdrücklich gewünscht. Die betroffene Person muss hierzu eine entsprechende Auswahlmöglichkeit erhalten (z. B. im Registrierungsprozess) und über etwaige bestehende Vorteile und Risiken, die mit der Cloudanwendung verbunden sind, informiert werden. Die Daten dürfen im Falle der Entscheidung gegen eine cloudbasierte Verarbeitung allenfalls lokal auf dem Endgerät gespeichert werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Nun sollte man nicht den Datenschutz als Cloud-Verhinderer sehen, vielmehr müssen immer die Risiken für die Privatsphäre betrachtet werden. Gibt es einen Weg, die Risiken zu minimieren, dann soll man diesen gehen. Wäre also eine Funktion auch ohne Cloud machbar, muss man die Daten nicht den Cloud-Risiken aussetzen, so der Gedanke dahinter.
Für Cloud-Apps braucht es ein eigenes Sicherheitskonzept
Ein weiterer Punkt aus den Hinweisen der Datenschutzaufsichtsbehörden soll hier hervorgehoben werden: Die Verarbeitung sensibler, personenbezogener Daten in Cloud-Apps setzt geeignete technische und organisatorische Schutzmaßnahmen voraus.
Die Datenschützer nennen eine ganze Reihe von Sicherheitsmaßnahmen, darunter die Berücksichtigung von Technischen Richtlinien des BSI zur Informationssicherheit und Best-Practice-Guidelines zur sicheren Implementierung von Anwendungen (z. B. OWASP), sichere Authentifizierungsverfahren (in der Regel Multi-Faktor-Authentifizierung), Zugriffskontrolle mit „least privilege policy“ und regelmäßiger Überprüfung von Benutzerkonten und Zugriffsrechten, automatische zeitbasierte Sperrung von Benutzeranwendungen (unter anderem bei Nichtverwendung), wirksame Verschlüsselungsmechanismen, insbesondere bei der Speicherung auf Mobilgeräten, Richtlinien und Weisungen an Beschäftigte zur datenschutzrechtlichen Sensibilisierung, Protokollierungen von Zugriffen mit anlasslosen Prüfungen, Schaffung einer Redundanz von Infrastrukturkomponenten und Hintergrundsystemen bei technischen Betreibern sowie die Überprüfung von Sicherheitsmaßnahmen in Anwendungsprogrammen und Hintergrundsystemen durch Sicherheits- und Penetrationstests.
Auch hier sei angemerkt, dass der Datenschutz nicht etwa Cloud-Apps in sensiblen Bereichen verhindern will, sondern es muss auch dort für ein angemessenes Datenschutzniveau gesorgt werden, bei sensiblen Daten ein entsprechend hohes Datenschutzniveau.
Datenschutz und Digitalisierung sind vereinbar, wenn man es richtig angeht, sagt zum Beispiel der Landesdatenschutzbeauftragte von Rheinland-Pfalz in diesem Positionspapier. Die digitale Transformation der Medizin wird also nicht am Datenschutz scheitern, sondern sie ist nur mit Datenschutz möglich, wie die Sensibilität der Gesundheitsdaten ganz klar macht.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/ac/67ac72eb8ec04/stackit-logo-rgb-regular-petrol-mz-big.png "stackit-logo-rgb-regular-petrol-mz-big (STACKIT)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9e/20/9e20c2b0bb9a2c2735bbbb9404f2355e/99250087.jpeg "Die Cloud wird auch für die Durchführung von Forschungsprojekten immer wichtiger (© metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/ca/9ccace3e0a387a805b5acaf414332f1b/0124670998v1.jpeg "Die souveräne Cloud: Ein Schritt zur digitalen Souveränität für Unternehmen mit sensiblen Daten, die volle Kontrolle über Datenverarbeitung, Transparenz bei Cloud-Aktivitäten und Offenheit der Anwendungen verspricht. (Bild: © Ilya Nikolaevic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/63/0063946414e9ded29aa9ae0bbbbc2d97/0123745610v1.jpeg "Wer die KI DeepSeek nutzt, sollte sich früher oder später fragen: Was macht DeepSeek mit meinen Daten? (Bild: Viz - stock.adobe.com)")