Ratgeber
CLOUD Act & Patientendaten: Risiken für deutsche Arztpraxen
US-Behörden können auf Cloud-Daten zugreifen — auch wenn der Server in Deutschland steht. Was das für Ihre Praxis bedeutet und wie Sie Datensouveränität sichern.
Stand: Februar 2026
Was ist der CLOUD Act?
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-Bundesgesetz aus dem Jahr 2018. Es verpflichtet US-Unternehmen — darunter Amazon (AWS), Microsoft (Azure) und Google (GCP) — auf Anordnung von US-Behörden Daten herauszugeben, die auf ihren Servern gespeichert sind. Das gilt unabhängig davon, in welchem Land die Server physisch stehen. Selbst wenn ein AWS-Rechenzentrum in Frankfurt steht: US-Behörden können auf die dort gespeicherten Daten zugreifen.
Warum betrifft das Arztpraxen?
Ästhetische Kliniken und Arztpraxen verarbeiten nach Art. 9 DSGVO besonders schützenswerte Gesundheitsdaten: Diagnosen, OP-Berichte, Vorher/Nachher-Fotos, Abrechnungsdaten und Einwilligungserklärungen. Wenn eine Praxissoftware auf der Infrastruktur eines US-Cloud-Anbieters betrieben wird, können diese Daten potenziell dem Zugriff durch US-Behörden ausgesetzt sein — ohne dass der Patient, der Arzt oder die Datenschutzbehörde davon erfährt. Der CLOUD Act enthält ausdrücklich eine Verschwiegenheitsklausel (gag order), die eine Benachrichtigung untersagen kann.
CLOUD Act vs. DSGVO: Der Rechtskonflikt
Der CLOUD Act steht in direktem Widerspruch zur Datenschutz-Grundverordnung. Art. 48 DSGVO bestimmt, dass eine Datenübermittlung an Drittstaaten nur auf Grundlage eines internationalen Abkommens oder einer Rechtshilfevereinbarung zulässig ist. Eine einseitige US-Behördenanordnung erfüllt diese Voraussetzung nicht. Für Ärzte entsteht ein unlösbarer Konflikt: Die Befolgung des CLOUD Act verstößt gegen die DSGVO, die Weigerung gegen US-Recht. Der Europäische Datenschutzausschuss (EDPB) hat diese Problematik mehrfach adressiert und empfiehlt organisatorische und technische Maßnahmen zur Risikominimierung.
Welche Cloud-Anbieter sind betroffen?
Jedes Unternehmen, das dem US-Recht unterliegt, fällt unter den CLOUD Act — unabhängig von der Rechtsform oder dem Serverstandort. Das betrifft insbesondere: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Salesforce, Oracle Cloud sowie alle SaaS-Anbieter, die auf diesen Plattformen hosten. Auch Praxissoftware-Anbieter, die ihre Lösung auf AWS oder Azure betreiben, sind indirekt betroffen. Die Frage lautet nicht 'Steht der Server in Deutschland?', sondern 'Wer kontrolliert den Server?'.
Was bedeutet Datensouveränität?
Datensouveränität bedeutet die vollständige technische und rechtliche Kontrolle über die eigenen Daten. In einer On-Premise-Installation steht der Server in der Klinik, wird vom Praxis-Team oder einem deutschen IT-Dienstleister betrieben und unterliegt ausschließlich deutschem und europäischem Recht. Kein US-Unternehmen hat Zugriff auf die Hardware, die Software oder die Daten. Das ist der einzige Weg, den CLOUD Act vollständig auszuschließen. Für eine deutsche Cloud-Lösung gilt: Entscheidend ist, dass der Hosting-Anbieter keine US-Muttergesellschaft hat und keine Vertragsbeziehung zu US-Unternehmen unterhält, die einen Datenzugriff ermöglichen könnte.
Die Rolle der Auftragsverarbeitung (Art. 28 DSGVO)
Wenn eine Klinik ihre Praxissoftware in der Cloud betreibt, schließt sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem Anbieter. Der AVV regelt, wie personenbezogene Daten verarbeitet werden dürfen. Das Problem: Ein AVV kann den CLOUD Act nicht aushebeln. Selbst wenn der Cloud-Anbieter vertraglich zusichert, keine Daten an Drittstaaten zu übermitteln, kann eine US-Behördenanordnung diese Zusicherung aufheben. Praxisinhaber tragen als Verantwortliche nach Art. 24 DSGVO die Rechenschaftspflicht — sie müssen nachweisen können, dass die Datenverarbeitung rechtskonform erfolgt.
Handlungsempfehlungen für Praxen und Kliniken
Erstens: Prüfen Sie, ob Ihre aktuelle Praxissoftware auf der Infrastruktur eines US-Cloud-Anbieters läuft. Fragen Sie Ihren Anbieter explizit nach der Hosting-Architektur und den Subprozessoren. Zweitens: Dokumentieren Sie Ihre Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO — insbesondere für Gesundheitsdaten ist diese häufig verpflichtend. Drittens: Erwägen Sie eine On-Premise-Lösung oder eine deutsche Cloud ohne US-Abhängigkeit. Viertens: Informieren Sie Ihre Patienten transparent über den Speicherort ihrer Daten — das stärkt das Vertrauen und erfüllt die Informationspflicht nach Art. 13 DSGVO.
So schützt AesthOS Ihre Patientendaten
AesthOS bietet als einzige Praxissoftware für ästhetische Medizin die freie Wahl zwischen On-Premise und deutscher Cloud — zum gleichen Funktionsumfang. Die On-Premise-Installation läuft auf Ihrem eigenen Server in Ihrer Klinik. Kein US-Unternehmen hat Zugriff auf die Infrastruktur, die Anwendung oder die Daten. Die optionale Cloud-Variante nutzt ein ISO-27001-zertifiziertes Rechenzentrum in Deutschland, betrieben von einem deutschen Unternehmen ohne US-Muttergesellschaft. Alle Daten sind mit AES-256 verschlüsselt. Der HMAC-V2 Audit-Trail dokumentiert jeden Zugriff lückenlos und fälschungssicher.
US-Cloud vs. On-Premise: CLOUD Act im Vergleich
Was passiert bei einer US-Behördenanfrage? Der direkte Vergleich.
| Kriterium | US-Cloud (AWS/Azure) | On-Premise |
|---|---|---|
| Datenspeicherort | AWS/Azure Rechenzentrum (Frankfurt) | Ihr eigener Server in Ihrer Klinik |
| CLOUD Act Zugriff | Ja — US-Behörden können anfordern | Ausgeschlossen — kein US-Unternehmen beteiligt |
| DSGVO-Konformität | Umstritten — Rechtskonflikt Art. 48 | Vollständig — deutsches Recht gilt exklusiv |
| Benachrichtigung bei Zugriff | Gag Order möglich — keine Pflicht | Nur auf richterlichen Beschluss nach StPO |
| Rechenschaftspflicht Art. 24 | Nachweis schwierig — Subprozessoren | Klar — volle Kontrolle dokumentierbar |
| Verschlüsselung hilft? | Begrenzt — Provider hat Schlüsselzugriff | Ja — nur Sie kontrollieren die Schlüssel |
Relevante Rechtsgrundlagen
CLOUD Act (US): H.R.4943 — Clarifying Lawful Overseas Use of Data Act (2018)
Art. 48 DSGVO: Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Schrems II (EuGH C-311/18): Urteil vom 16. Juli 2020 — Privacy Shield ungültig
Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
Häufige Fragen zum CLOUD Act und Patientendaten
Können US-Behörden auf Patientendaten in Deutschland zugreifen?
Ja, wenn die Daten auf Servern gespeichert sind, die von US-Unternehmen kontrolliert werden. Der CLOUD Act verpflichtet US-Unternehmen wie Amazon (AWS) oder Microsoft (Azure) zur Herausgabe, unabhängig vom physischen Serverstandort. Nur wenn kein US-Unternehmen an der Datenverarbeitung beteiligt ist — etwa bei einer On-Premise-Lösung — ist dieser Zugriff ausgeschlossen.
Reicht ein deutsches Rechenzentrum für DSGVO-Konformität?
Nein. Der Standort des Rechenzentrums allein ist nicht ausreichend. Entscheidend ist, wer die Infrastruktur kontrolliert. Ein AWS-Rechenzentrum in Frankfurt unterliegt trotzdem dem CLOUD Act, weil Amazon ein US-Unternehmen ist. Für DSGVO-konforme Verarbeitung von Gesundheitsdaten muss der gesamte Verarbeitungspfad — Hardware, Software und Betreiber — frei von US-Jurisdiktion sein.
Was ist der Unterschied zwischen CLOUD Act und Schrems II?
Schrems II (EuGH-Urteil C-311/18 vom Juli 2020) hat das Privacy-Shield-Abkommen für ungültig erklärt und betrifft den aktiven Datentransfer in die USA. Der CLOUD Act betrifft den passiven Zugriff auf Daten, die in Europa gespeichert sind. Beide zusammen machen deutlich: US-Cloud-Infrastruktur ist für besonders schutzwürdige Gesundheitsdaten ein strukturelles Risiko.
Wie schütze ich meine Praxis vor dem CLOUD Act?
Die sicherste Maßnahme ist eine On-Premise-Installation Ihrer Praxissoftware auf einem eigenen Server in Ihrer Klinik. Alternativ kommt eine deutsche Cloud in Frage, die von einem rein europäischen Unternehmen ohne US-Muttergesellschaft betrieben wird. Zusätzlich empfiehlt sich: Ende-zu-Ende-Verschlüsselung mit selbst verwalteten Schlüsseln, eine dokumentierte DSFA nach Art. 35 DSGVO und transparente Patienteninformation.
Ist eine Datenschutz-Folgenabschätzung bei Cloud-Nutzung Pflicht?
Nach Art. 35 DSGVO ist eine DSFA immer dann verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Gesundheitsdaten in einer Cloud-Infrastruktur erfüllen dieses Kriterium regelmäßig. Die deutschen Datenschutz-Aufsichtsbehörden führen die Verarbeitung von Gesundheitsdaten in ihren Positivlisten für DSFA-pflichtige Verarbeitungen.
Verwandte Ratgeber
Mehr zur Datensicherheit: Sicherheit & DSGVO in AesthOS
Erleben Sie AesthOS live — in 30 Minuten
Wir zeigen Ihrem gesamten Team, wie AesthOS den Alltag vereinfacht. Kostenlos und unverbindlich.
Jetzt Demo-Termin sichernAll-inclusive · Deutsche Cloud oder eigener Server · Monatlich kündbar
48 Min. weniger Admin pro OP — von der Akte bis zur Rechnung →
Für Empfang & VerwaltungWartezimmer, Termine, Dokumente — ein Dashboard statt fünf Systeme →
Für IT & DatenschutzEigener Server, AES-256, RBAC — Architektur im Detail →
Für KlinikinhaberAuslastung, Conversion und Compliance — statt Bauchgefühl →