Cloud-Software in der Arztpraxis: Was die Schweigepflicht erlaubt
Cloud-Software ist in vielen Praxen Alltag: E-Mail, Kalender, Dateispeicher, Buchhaltung. Sobald Patient:innendaten ins Spiel kommen, ändert sich die rechtliche Lage drastisch. Dieser Ratgeber erklärt, welche Cloud-Dienste mit ärztlicher Schweigepflicht und DSGVO vereinbar sind – und an welcher Stelle die meisten Praxen unwissentlich gegen das Gesetz verstoßen.
Die zwei Regelwerke, die zusammenwirken
Cloud-Nutzung in der Praxis berührt zwei Regelwerke gleichzeitig: die DSGVO (insbesondere Art. 9, 28 und 32) und § 203 StGB (Schweigepflicht). Die DSGVO regelt Datenschutz, § 203 StGB stellt das Offenbaren von Berufsgeheimnissen unter Strafe. Beide müssen erfüllt sein.
Eine Software kann DSGVO-konform sein und trotzdem ein § 203-Problem auslösen – etwa wenn der Anbieter zwar einen AVV hat, aber Mitarbeitende theoretischen Zugriff auf Klartextdaten haben, ohne als Berufsgeheimnis-Gehilfen verpflichtet zu sein.
Microsoft 365 in der Praxis: ja, aber nur konfiguriert
Microsoft 365 lässt sich grundsätzlich datenschutzkonform betreiben – mit AVV, EU-Datenresidenz (EU Data Boundary) und richtig gesetzten Compliance-Optionen. Standard-Tenants ohne diese Konfiguration sind für Patient:innendaten kritisch.
Der Knackpunkt: § 203 StGB verlangt eine vertragliche Verschwiegenheitsverpflichtung der Mitarbeitenden des Anbieters. Microsoft bietet entsprechende Zusatzklauseln an, sie müssen aber aktiv vereinbart werden.
Google Workspace, Dropbox, iCloud: meist ungeeignet
Reine Consumer-Cloudspeicher (kostenlose Dropbox, iCloud, Google Drive Privatkonto) erfüllen weder AVV-Pflicht noch die § 203-Anforderungen und dürfen nicht für Patient:innendaten genutzt werden.
Geschäftliche Varianten (Google Workspace Business, Dropbox Business) bieten zwar AVV, lösen aber das Drittlandtransfer-Thema nur teilweise und enthalten standardmäßig keine § 203-konforme Verschwiegenheitserklärung.
E-Mail: das unterschätzte Risiko
Unverschlüsselte E-Mail mit Patient:innendaten an externe Empfänger ist in den meisten Aufsichtsbehörden-Handreichungen als unzulässig markiert. Lösungen: Ende-zu-Ende-Verschlüsselung (z. B. S/MIME), TLS-erzwungener Versand zwischen vertrauenswürdigen Partnern, oder verschlüsselte Patientenportale.
Cloud nutzen, ohne Schweigepflicht zu brechen
Scribamed verschlüsselt Inhalte Ende-zu-Ende. Selbst wir können Ihre Texte nicht im Klartext sehen – damit ist das § 203-Risiko technisch ausgeschlossen.
Kostenlos ausprobierenDie saubere technische Antwort: Ende-zu-Ende-Verschlüsselung
Wenn der Anbieter die Inhalte technisch nicht im Klartext sehen kann, entfällt das § 203-Problem weitgehend – es gibt keinen „unbefugten Dritten“ mehr. Genau diesen Ansatz verfolgen moderne KI-Schreibassistenten wie Scribamed: Inhalte werden im Browser verschlüsselt, der Server sieht nur Chiffrate.
Mehr Hintergrund zu DSGVO-Anforderungen finden Sie unter /ratgeber/dsgvo-ki-in-der-medizin.
Praxis-Checkliste vor Cloud-Einsatz
AVV nach Art. 28 DSGVO vorhanden? Datenresidenz EU? § 203-konforme Verschwiegenheitserklärung des Anbieters? TOMs nach Art. 32 dokumentiert? Subunternehmer-Liste transparent? Im Zweifel: Datenschutzbeauftragten und – bei strafrechtlichen Fragen – Fachanwalt einbinden.
Häufige Fragen
Allgemeine Information, keine Rechtsberatung. Konkrete Konfigurations- und Compliance-Fragen mit Datenschutzbeauftragtem und Fachanwalt klären.
Bereit, Stunden pro Woche zu sparen?
Scribamed: Ende-zu-Ende-verschlüsselt, in der EU gehostet, ohne Trainingsnutzung.