Alles klar. Ich recherchiere die aktuelle Rechtslage in Deutschland (Stand Juni 2025) zur Speicherung sensibler personenbezogener Daten, insbesondere Gesundheits- und Finanzdaten, durch Berufsgruppen wie Physiotherapeuten, Wirtschaftsprüfer und Steuerberater.

Ich werde dabei beide Szenarien beleuchten: die lokale Speicherung auf einem Synology NAS in der Praxis oder im Büro (ggf. mit USV) sowie die Cloud-Nutzung über Anbieter wie die K-Suite mit Datenzentren in der Schweiz oder Deutschland. Ziel ist es, herauszufinden, welche rechtlichen Anforderungen gelten, wo und wie diese Daten gespeichert werden dürfen, welche Vorgaben die DSGVO, das BDSG und ggf. standesrechtliche Vorschriften machen, und welche Sicherheitsmaßnahmen rechtlich geboten oder empfohlen sind.

Ich melde mich, sobald ich dir eine ausführliche Übersicht geben kann.

Speicherung sensibler personenbezogener Daten: Lokales NAS vs. Cloud (Stand Juni 2025)

Einleitung

Bei der Verarbeitung sensibler personenbezogener Daten – etwa Gesundheitsdaten von Patienten (z. B. bei Physiotherapeuten) oder wirtschaftlich/steuerlich relevante Mandantendaten (bei Wirtschaftsprüfern und Steuerberatern) – stellt sich die Frage nach einer rechtssicheren und zugleich praktikablen Speicherlösung. Zwei häufig diskutierte Optionen sind lokale Speicherung auf einem eigenen NAS-System innerhalb der Praxis/Kanzlei und Speicherung in einer Cloud (z. B. über die kSuite eines Schweizer Anbieters mit Rechenzentren in der Schweiz und/oder Deutschland). Beide Varianten müssen mit den Vorgaben der DSGVO und des Bundesdatenschutzgesetzes (BDSG) in Einklang stehen. Zusätzlich sind berufsrechtliche Verschwiegenheitspflichten dieser Berufsgruppen zu beachten. Im Folgenden werden die rechtlichen Rahmenbedingungen dargestellt und die beiden Speicher-Varianten in Hinblick auf Datenschutz, Verschlüsselung, Datenübertragung, Zugriffsrisiken durch Dritte (Stichwort US CLOUD Act etc.), Haftungsfragen und Stand-der-Technik-Sicherheitsmaßnahmen verglichen. Abschließend erfolgt eine Einschätzung, welche Lösung für welche Berufsgruppe aus rechtlicher Sicht vorteilhafter sein kann und welche Mindestanforderungen jeweils erfüllt sein müssen.

Rechtlicher Rahmen: DSGVO, BDSG und Berufsgeheimnis

DSGVO und BDSG – Schutz sensibler Daten: Gesundheitsdaten und viele Finanz- oder Steuerdaten fallen unter sensible personenbezogene Daten. Gesundheitsinformationen gelten gemäß DSGVO als besondere Kategorien personenbezogener Daten und genießen besonderen Schutz. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es greift ein Erlaubnistatbestand (Art. 9 DSGVO). Typischerweise ist die Verarbeitung erlaubt, wenn der Betroffene eingewilligt hat oder die Verarbeitung für Gesundheitsvorsorge, Diagnostik oder Behandlung erforderlich ist. In Deutschland konkretisiert das BDSG diese Ausnahmen und erlaubt z. B. die Verarbeitung von Gesundheitsdaten für Behandlungszwecke durch Angehörige von Gesundheitsberufen, die einer beruflichen Schweigepflicht unterliegen. Auch wirtschaftliche Daten von Mandanten dürfen nur auf rechtmäßiger Grundlage verarbeitet werden (etwa zur Vertragserfüllung, gesetzlicher Pflicht oder Einwilligung gemäß Art. 6 DSGVO) und unterliegen den Grundsätzen der Zweckbindung, Datenminimierung und Speicherbegrenzung. Aufgrund der Sensibilität solcher Informationen müssen Verantwortliche strenge technische und organisatorische Schutzmaßnahmen ergreifen, um Unbefugten den Zugriff zu verwehren. Die DSGVO verlangt in Art. 32 explizit angemessene Sicherheitsmaßnahmen nach dem Stand der Technik, wozu Verschlüsselung personenbezogener Daten ausdrücklich als Beispiel genannt wird. Ferner sind bei externer Datenverarbeitung Auftragsverarbeitungsverträge nach Art. 28 DSGVO Pflicht, um sicherzustellen, dass ein externer Dienstleister die Daten nur nach Weisung und geschützt verarbeitet.

Berufsrechtliche Verschwiegenheitspflichten: Zusätzlich zur DSGVO gelten für die genannten Berufsgruppen strenge Geheimhaltungsvorschriften. Physiotherapeuten, Ärzte und andere Heilberufler unterliegen §203 StGB (Schweigepflicht) und dürfen Patientendaten nur befugt weitergeben. Auch Steuerberater und Wirtschaftsprüfer sind Berufsgeheimnisträger nach §203 StGB. Ein Verstoß gegen die Verschwiegenheit (etwa unbefugtes Offenbaren von Patientengeheimnissen oder Mandantengeheimnissen) ist strafbar. Standesrechtlich wurde die Nutzung externer IT-Dienstleister jedoch im Jahr 2017 explizit erleichtert: Der Gesetzgeber hat klargestellt, dass Berufsgeheimnisträger ohne Einwilligung der Betroffenen Dritte in die Datenverarbeitung einschalten dürfen, sofern diese Einschaltung zur Berufsausübung erforderlich ist und die Dritten zur Verschwiegenheit verpflichtet werden. Konkret wurde §203 StGB ergänzt (§203 Abs. 3 Satz 2) und parallel dazu z. B. §62a StBerG für Steuerberater geschaffen. Nach §62a Abs. 1 StBerG darf der Steuerberater Dienstleistern den Zugang zu geheimhaltungsbedürftigen Daten gewähren, wenn dies für die Inanspruchnahme der Dienstleistung erforderlich ist – unter der Bedingung, dass er den Dienstleister sorgfältig auswählt und schriftlich zur Verschwiegenheit verpflichtet. Entsprechende vertragliche Vereinbarungen (z. B. eine Geheimhaltungs- und Auftragsverarbeitungsvereinbarung) sind zwingend und müssen u. a. sicherstellen, dass der Dienstleister und ggf. von ihm eingesetzte Unterauftragnehmer die Geheimnisse nur im nötigen Umfang zur Kenntnis nehmen und ebenfalls unter Geheimhaltungspflicht stehen. Wichtig: Werden ausländische Dienstleister einbezogen, verlangt §62a Abs. 4 StBerG, dass ein vergleichbares Geheimnisschutzniveau im Ausland gewährleistet ist; andernfalls soll der Steuerberater vorsorglich die Einwilligung des Mandanten einholen. Praktisch bedeutet das, dass z. B. bei Cloud-Dienstleistern mit Sitz außerhalb Deutschlands geprüft werden muss, ob dort ähnliche Verschwiegenheitsregeln gelten. Die Steuerberaterkammer empfiehlt bei Auslands-Dienstleistern im Zweifel eine ausdrückliche Mandanteneinwilligung einzuholen. Für Wirtschaftsprüfer, Rechtsanwälte etc. gelten inhaltlich vergleichbare Regelungen in deren Berufsordnungen. Zusammenfassend steht fest: Alle sensiblen Daten unterliegen sowohl dem Datenschutzrecht der DSGVO/BDSG als auch speziellen beruflichen Geheimhaltungspflichten. Jede Speicherlösung muss diesen beiden Ebenen gerecht werden.

Variante 1: Lokales NAS-System in der eigenen Praxis/Kanzlei

Bei dieser Lösung werden die Daten vor Ort in Deutschland auf einem eigenen Server/NAS (z. B. einem Synology NAS) gespeichert, der sich physisch in den Räumlichkeiten der Praxis oder Kanzlei befindet. Rechtlich hat das den Vorteil, dass keine Übermittlung an externe Stellen erfolgt – der Berufsträger bleibt allein Verantwortlicher und es ist kein externer Auftragsverarbeiter im Spiel (sofern kein externes IT-Personal eingebunden ist). Damit entfällt die Notwendigkeit eines Art. 28 DSGVO Auftragsverarbeitungsvertrags, und die volle Datenhoheit liegt beim Verantwortlichen. Auch Fragen eines internationalen Datentransfers stellen sich in diesem Szenario nicht, da die Daten Deutschland nicht verlassen. Für Berufsgeheimnisträger bedeutet die lokale Speicherung zudem, dass keine Offenbarung gegenüber Dritten stattfindet – das Risiko einer Verletzung von §203 StGB durch Weitergabe an externe Cloud-Betreiber entfällt. Dies kann insbesondere für Mandanten und Patienten vertrauenswürdiger wirken, da die Daten nicht “in fremde Hände” gelangen.

Technische und organisatorische Anforderungen: Die Verantwortung, die DSGVO-Vorgaben und den Stand der Technik einzuhalten, liegt jedoch vollständig beim Betreiber der Praxis/Kanzlei. Konkret muss er für die IT-Sicherheit der NAS-Lösung sorgen. Dazu zählen u. a. folgende Maßnahmen:

Netzwerksicherheit: Eine Firewall muss die NAS und das Praxisnetz vor unbefugten Zugriffen von außen schützen. Direkte Zugriffe aus dem Internet sollten nur über gesicherte Wege (z. B. VPN-Verbindungen) ermöglicht werden, um Abhör- und Einbruchsrisiken zu minimieren. Falls remote auf Daten zugegriffen wird (z. B. Telearbeit), ist eine verschlüsselte Verbindung (etwa via TLS oder VPN) unabdingbar.
Zugriffskontrolle: Es sollten rollenbasierte Berechtigungen eingerichtet werden, sodass nur befugtes Personal auf die jeweils erforderlichen Daten zugreifen kann. Starke Authentifizierung (idealerweise Zwei-Faktor-Authentifizierung) erhöht die Sicherheit weiter, um unbefugte Logins zu verhindern.
Verschlüsselung der Daten: Lokale Datenträger sollten möglichst verschlüsselt werden, damit bei einem physischen Diebstahl oder unbefugtem Ausbauen der Festplatten keine Klartextdaten ausgelesen werden können. Moderne NAS-Systeme bieten Festplattenverschlüsselung an. Durch eine Vollverschlüsselung des Laufwerks ist sichergestellt, dass nur Berechtigte nach Eingabe des Schlüssels Zugriff erhalten – selbst wenn der Datenträger in fremde Hände gerät. Alternativ oder ergänzend können besonders vertrauliche Daten zusätzlich innerhalb der NAS verschlüsselt (z. B. in verschlüsselten Containerspeichern oder Dateien) abgelegt werden.
Stromversorgung und Verfügbarkeit: Der Hinweis auf eine USV (Unterbrechungsfreie Stromversorgung) zeigt, dass man auch physische Risiken adressieren muss. Eine USV gewährleistet, dass ein Stromausfall nicht zum abrupten Ausfall oder Datenverlust führt – wichtig für die Integrität der Daten und Verfügbarkeit der Systeme. Zusätzlich sollte an regelmäßige Backups gedacht werden. Diese Backups sollten idealerweise ausgelagert werden (z. B. auf externen Datenträgern in einem Tresor oder an einem zweiten Standort), um selbst bei Brand oder Wasserschäden in der Praxis die Daten rekonstruieren zu können. Die DSGVO fordert in Art. 32 auch die Fähigkeit, Systeme im Ernstfall rasch wiederherstellen zu können (Disaster Recovery).
Software-Updates und Wartung: Der Betreiber muss dafür sorgen, dass das NAS-System stets mit aktuellen Sicherheitsupdates versorgt wird und sicher konfiguriert ist. Schwachstellen in Betriebssystem oder Firmware könnten sonst ein Einfallstor für Angreifer sein. Diese Wartungsverantwortung liegt beim Praxisinhaber/Kanzleiinhaber oder einem von ihm beauftragten IT-Dienstleister.

Wenn ein externer Techniker beim Einrichten/Warten hilft, greift wiederum die Berufsgeheimnisregel: Dieser Dienstleister ist wie oben erläutert auf Vertraulichkeit zu verpflichten, um §203 StGB nicht zu verletzen. In der Praxis lässt sich dies durch einen Vertrag mit Verschwiegenheitsklausel und Auftragsverarbeitungsvertrag (sofern der Dienstleister Einsicht in personenbezogene Daten nehmen kann) lösen. Kleinere Praxen ohne eigene IT-Abteilung müssen hier besonderes Augenmaß walten lassen – die Technik bietet zwar volle Kontrolle, verlangt aber auch entsprechende Kompetenz und Sorgfalt.

Bewertung dieser Variante: Aus rechtlicher Sicht ist eine lokale Speicherung durchaus konform, sofern die genannten Schutzmaßnahmen umgesetzt werden. Es gibt keinen Transfer ins Ausland und keinen externen Datenverarbeiter, was viele komplizierte Rechtsfragen entschärft. Für Berufsgeheimnisträger ist diese Lösung traditionell der konservative Weg, um die Vertraulichkeit zu wahren – man behält die Daten “im Hause”. Allerdings übernimmt man damit vollumfänglich die Haftung dafür, dass die Daten sicher sind. Kommt es z. B. durch unzureichende Sicherungsmaßnahmen zu einem Datenleck (etwa Hackerangriff auf ein schlecht konfiguriertes NAS oder Verlust unverschlüsselter Backup-Festplatten), haftet der Verantwortliche selbst. Nach DSGVO drohen Bußgelder, wenn nachgewiesen wird, dass kein angemessenes Schutzniveau bestand (Verstoß gegen Art. 32 DSGVO). Auch zivilrechtlich könnten Patienten oder Mandanten Schadenersatz fordern, wenn vertrauliche Informationen durch Verschulden der Kanzlei/Praxis an die Öffentlichkeit gelangen. Eine Berufshaftpflichtversicherung deckt solche Cyber-Schäden nicht immer ab, daher ist Prävention hier entscheidend. Vorteil der lokalen Lösung ist, dass keine ausländischen Gesetze (wie der US CLOUD Act) unmittelbaren Zugriff erzwingen könnten – denn die Daten liegen nicht bei einem US-Anbieter, sondern physisch in der eigenen Kontrolle. Insgesamt eignet sich ein lokales NAS insbesondere für Berufsgeheimnisträger, die genügend IT-Ressourcen haben, um die strengen Sicherheitsanforderungen eigenständig umzusetzen, und die Wert darauf legen, dass Daten ausschließlich in ihren eigenen vier Wänden verbleiben.

Variante 2: Cloud-Speicherung über einen externen Anbieter (Beispiel: kSuite in der Schweiz)

Bei dieser Variante werden die sensiblen Daten auf Servern eines Cloud-Dienstleisters gespeichert. Im Beispiel kSuite handelt es sich um einen Schweizer Anbieter (Infomaniak), der Dienste ähnlich Google Workspace/Microsoft 365 anbietet. Wichtig sind hier zwei Aspekte: Standort der Server und Rechtsnatur des Dienstes. Zunächst zur DSGVO: Die Datenhaltung in der Cloud gilt als Auslagerung an einen Auftragsverarbeiter. Der Berufsangehörige (Physiotherapeut, Steuerberater etc.) bleibt der Verantwortliche nach DSGVO, gibt aber die Speicherung und ggf. Verarbeitung in Hände eines Dienstleisters. Mit diesem muss zwingend ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden, der sicherstellt, dass der Cloud-Anbieter die Daten nur im Rahmen der Weisungen verarbeitet, angemessene Sicherheitsmaßnahmen ergreift und seinerseits Mitarbeiter zur Vertraulichkeit verpflichtet etc.. Seriöse Cloud-Anbieter stellen solche Verträge proaktiv zur Verfügung – im Gesundheits- und Finanzsektor ist dies üblich und erforderlich.

Server-Standort und Datenschutzrecht: Im Beispiel ist der Anbieter in der Schweiz ansässig und betreibt Rechenzentren in der Schweiz und teils in der EU (Deutschland). Datenschutzrechtlich ist die Schweiz ein sogenannter Drittstaat, jedoch einer mit anerkannt angemessenem Datenschutzniveau. Die EU-Kommission hat offiziell bestätigt, dass die Schweiz ein gleichwertiges Datenschutzniveau wie die EU bietet (Angemessenheitsbeschluss). Daher ist eine Datenübermittlung in die Schweiz aus Sicht der DSGVO zulässig, ohne dass weitere Sondermaßnahmen (wie Standardvertragsklauseln) erforderlich wären. Für den Verantwortlichen heißt das: Die Speicherung bei einem Schweizer Cloud-Dienst ist prinzipiell DSGVO-konform, sofern alle anderen Datenschutzpflichten (AV-Vertrag, Transparenz gegenüber Betroffenen, technische Sicherheit etc.) erfüllt sind. Betriebe der Cloud-Anbieter auch Rechenzentren in Deutschland, befinden sich die Daten sogar innerhalb der EU, was die Sache noch unproblematischer macht. In jedem Fall muss aber klar kommuniziert werden (etwa in der Datenschutzerklärung der Praxis/Kanzlei), dass ein externer Cloud-Dienst genutzt wird und wo die Daten liegen.

Berufsgeheimnis und Cloud: Für Ärzte/Physiotherapeuten, Steuerberater oder Wirtschaftsprüfer ist die Einschaltung eines Cloud-Dienstes mittlerweile rechtlich möglich, aber es sind zusätzliche Vorkehrungen notwendig. Gemäß der Neuregelung von §203 StGB und der Berufsordnungen (z. B. §62a StBerG) darf ein Berufsgeheimnisträger auch ohne Einwilligung solche Dienste nutzen, wenn der Dienstleister in die Verschwiegenheitspflichten einbezogen wird. Ein Cloud-Anbieter ist in der Regel kein eigener Berufsgeheimnisträger, weshalb der verantwortliche Berufsgeheimnisträger vertraglich sicherstellen muss, dass der Anbieter und dessen Mitarbeiter Geheimhaltung wahren. Praktisch wird dies im Auftragsverarbeitungsvertrag und ggf. ergänzenden NDAs umgesetzt – darin garantiert der Anbieter, dass alle Mitarbeiter den Schutz der Kundendaten beachten und keine unbefugten Zugriffe erfolgen. Anbieter wie Infomaniak (kSuite) betonen in ihren Datenschutzrichtlinien, dass Kundendaten nicht analysiert oder weitergegeben werden, sondern DSGVO-konform geschützt bleiben. Wichtig im Berufsrecht ist zudem die Frage des Auslandsbezuges: Da der Anbieter in der Schweiz sitzt (Ausland im Sinne des §62a StBerG), sollte geprüft werden, ob der Geheimnisschutz vergleichbar ist. Die Schweiz hat strenge Datenschutzgesetze und Strafnormen für Datenschutzverletzungen, was durchaus als vergleichbar gelten kann; absolute Rechtssicherheit würde aber eine Einwilligung der Mandanten/Patienten bringen, wie von manchen Kammern empfohlen. In sensiblen Fällen (z. B. sehr vertrauliche wirtschaftliche Geheimnisse großer Mandanten) könnte ein Steuerberater oder WP erwägen, vorab das Einverständnis des Kunden zur Cloud-Nutzung einzuholen – zumindest solange keine höchstrichterliche Klarstellung existiert, dass Schweizer Dienste ohne Weiteres zulässig sind. Für Patientendaten in der Physiopraxis ist eine Einwilligung zur Cloud-Speicherung ebenfalls empfehlenswert, falls Zweifel bestehen. Rein datenschutzrechtlich ist sie zwar nicht unbedingt erforderlich (weil die Verarbeitung zur Behandlung zulässig sein kann), aber aus Transparenz- und Vertrauensgründen könnte man Patienten informieren oder um Zustimmung bitten, dass ihre Daten in einer Cloud (verschlüsselt) gespeichert werden.

Sicherheitsmaßnahmen des Cloud-Dienstes: Ein professioneller Cloud-Anbieter wird erhebliche Ressourcen in IT-Sicherheit und Verfügbarkeit investieren. So wirbt der Schweizer Anbieter Infomaniak damit, alle Daten ausschließlich in Schweizer Rechenzentren zu hosten und DSGVO-Konformität zu gewährleisten. Daten werden typischerweise in mehreren Rechenzentren redundant gespeichert (bei Infomaniak z. B. verschlüsselt gespiegelt in zwei Rechenzentren), um Ausfälle abzufangen. Die Übertragung der Daten vom Kunden zur Cloud erfolgt verschlüsselt via TLS (üblich ist HTTPS), sodass auf dem Transportweg kein Unbefugter mitlesen kann. In der Cloud selbst werden die Daten in der Regel serverseitig verschlüsselt auf den Datenträgern abgelegt, um sie vor externen Angriffen zu schützen. Allerdings ist zu beachten, dass bei vielen Cloud-Diensten die Schlüsselverwaltung beim Anbieter liegt – d. h. der Anbieter könnte technisch auf die entschlüsselten Daten zugreifen, sofern keine Ende-zu-Ende-Verschlüsselung im Spiel ist. Im Fall von kSuite/kDrive wurde etwa kritisiert, dass eine integrierte Zero-Knowledge-Verschlüsselung (Ende-zu-Ende) derzeit noch fehlt. Das bedeutet, die Daten liegen zwar verschlüsselt auf den Servern, aber der Dienstanbieter könnte bei rechtlicher Verpflichtung oder durch Administratorzugriff theoretisch darauf zugreifen. Abhilfe: Der Nutzer kann selbst für zusätzliche Verschlüsselung sorgen, indem er Client-seitige Verschlüsselung einsetzt. Beispielsweise können Dateien bereits vor dem Hochladen lokal verschlüsselt werden, sodass sie sowohl auf dem lokalen Rechner als auch in der Cloud nur in chiffrierter Form vorliegen. Auf diese Weise behält ausschließlich der Nutzer den Schlüssel, und weder Cloud-Mitarbeiter noch andere Dritte könnten Inhalte lesen. Diese Praxis wird von Datenschützern gerade bei sensiblen Daten empfohlen: „Cloudspeicher mit Verschlüsselung nutzen“, sodass die Dateien schon vor dem Upload verschlüsselt werden und in der Cloud keiner Einsicht unterliegen. Einige Cloud-Dienste bieten hierfür integrierte Lösungen oder at least die Möglichkeit, eigene Schlüssel zu verwalten. Sollte das nicht der Fall sein, lässt sich mit Zusatz-Software (z. B. VeraCrypt, Cryptomator etc.) eine „Verschlüsselungsschicht“ einziehen.

Zugriff durch Dritte und CLOUD Act: Ein viel diskutierter Aspekt bei Cloud-Diensten ist die Gefahr des Zugriffs durch ausländische Behörden aufgrund von Gesetzen wie dem US CLOUD Act oder ehemals dem Patriot Act. Hier bietet ein europäischer bzw. Schweizer Anbieter einen klaren Vorteil gegenüber US-Anbietern: Der CLOUD Act der USA ermächtigt US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen oder deren Auslandstöchtern gespeichert werden – unabhängig vom physischen Speicherort. Das heißt, wenn man z. B. einen amerikanischen Cloud-Dienst (Google, Microsoft, Amazon etc.) nutzt, könnten US-Behörden per Gesetzesbeschluss Zugang zu den dort gespeicherten personenbezogenen oder geschäftlichen Daten verlangen, selbst wenn die Server in Deutschland stehen. Dieser Konflikt mit europäischem Datenschutz war ein Kernpunkt der Schrems II-Entscheidung des EuGH. Bei einem rein schweizerischen Anbieter ohne US-Muttergesellschaft ist dieses Risiko deutlich reduziert, da der CLOUD Act hier nicht greift. Die Schweiz würde ein Auskunftsersuchen fremder Behörden nicht ohne Weiteres umsetzen; Zugriffe erfolgen höchstens im Rahmen bilateraler Rechtshilfe und unter Schweizer Gesetzgebung. Damit bietet die Schweizer/EU-Cloud Datensouveränität und Schutz vor dem direkten Zugriff z. B. amerikanischer Geheimdienste, wie er bei US-Diensten befürchtet wird. Natürlich kann theoretisch auch eine Schweizer Behörde oder ein deutscher Gerichtsbeschluss im Extremfall Daten offenlegen lassen (etwa bei Strafverfolgung, mit richterlichem Beschluss). Doch das unterliegt den hiesigen rechtsstaatlichen Hürden und steht im Einklang mit EU-Recht, anders als die extraterritorialen Zugriffe durch z. B. FISA/CLOUD-Act-Befugnisse. Insgesamt ist somit bei einem europäischen/Schweizer Cloud-Dienst das Risiko unerwarteter Zugriffe durch Dritte geringer als bei Nutzung eines US-basierten Cloud-Dienstes – ein wichtiger rechtlicher Pluspunkt, insbesondere wenn man Mandanten- oder Patientendaten vor fremdem staatlichen Zugriff schützen will.

Verfügbarkeits- und Haftungsaspekte: Cloud-Dienste punkten mit hoher Verfügbarkeit (Redundanz, professionelles Monitoring) – Ausfälle durch Hardwaredefekte oder lokale Stromprobleme betreffen den Nutzer in der Regel nicht, da der Anbieter für unterbrechungsfreien Betrieb sorgt. Allerdings begibt man sich in eine gewisse Abhängigkeit vom Cloud-Anbieter. Fällt der Dienst dennoch aus oder geht der Anbieter insolvent, kann dies den Datenzugriff beeinträchtigen. Der Berufsinhaber sollte daher vertraglich prüfen, wie Datensicherungen, Herausgabe bei Kündigung und Notfallpläne geregelt sind. Haftungsrechtlich bleibt auch in der Cloud der Verantwortliche (Arzt, Therapeut, Berater) primär dafür verantwortlich, dass die Daten geschützt sind. Bei einer Datenschutzverletzung (z. B. Leak durch Hackerangriff auf den Cloud-Anbieter) haftet zunächst der Verantwortliche gegenüber dem Betroffenen. Er kann sich zwar beim Auftragsverarbeiter regressieren, aber gegenüber Behörden und Kunden steht er in der Pflicht. Daher muss der Anbieter sorgfältig ausgewählt werden – Kriterien sind z. B. Zertifizierungen (ISO 27001 für IT-Sicherheit, ISO 27701 für Datenschutz), Reputation, Serverstandort, transparente Vertragsbedingungen und technische Features (Verschlüsselung, Zugriffskontrollen). Ein guter Cloud-Vertrag wird auch Regelungen zur Haftung des Anbieters enthalten, etwa dass dieser bei von ihm verschuldeten Sicherheitsvorfällen Schadensersatz leistet. Dennoch verbleibt das Datenschutzrisiko zu einem gewissen Grad beim Verantwortlichen, der nach Art. 5 Abs. 2 DSGVO Rechenschaftspflicht hat (er muss also nachweisen können, einen geeigneten, sicheren Dienst gewählt und überwacht zu haben). Dies erfordert z. B. dokumentierte Datenschutz-Folgenabschätzung bei sehr sensiblen Daten in der Cloud und regelmäßige Überprüfung der getroffenen Maßnahmen.

Bewertung dieser Variante: Aus rechtlicher Sicht ist die Cloud-Lösung zulässig, erfordert aber etwas mehr formalen Aufwand (AV-Vertrag, evtl. Einwilligungen/Informationen an Betroffene) und Vertrauen in den Dienstleister. Für Physiotherapeuten oder Ärzte bietet eine spezialisierte Cloudlösung den Vorteil, dass viele Sicherheitsanforderungen (Backups, Verschlüsselung, Ausfallsicherheit) professionell umgesetzt sind – was eine einzelne Praxis eventuell nicht in gleichem Maße leisten kann. Gerade kleine Praxen ohne IT-Expertise können durch einen datenschutzkonformen Cloud-Dienst einen hohen Schutzstandard „einkaufen“. Wichtig ist, dass die gewählte Lösung spezifisch für Gesundheitsdaten geeignet ist oder zumindest die Anforderungen des Gesundheitsdatenschutzes erfüllt (z. B. Speicherung nur in DSGVO-Ländern, kein Zugriff Unbefugter, Möglichkeit der patientenseitigen Rechtewahrnehmung). Für Steuerberater und Wirtschaftsprüfer ist die Cloud nach der Gesetzesänderung ebenfalls eine attraktive Option, zumal viele Kanzleien bereits Rechenzentrumsdienste wie Datev nutzen, was im Grunde auch Cloud-Services sind. Ein Schweizer Cloud-Angebot mit deutschen/Schweizer Servern kann hier datenschutzrechtlich sicherer sein als etwa die Verwendung von Microsoft 365, das unter US-Einfluss steht. Allerdings müssen Berater und Prüfer stets die Mandantenerwartungen im Blick haben: Einige Mandanten (insbesondere Firmen) könnten Bedenken haben, wenn sensible Finanzdaten „in der Cloud“ liegen. Transparenz und ggf. Zustimmung schaffen Vertrauen. Zusammengefasst bietet die Cloud-Lösung state-of-the-art Sicherheit und entlastet den Berufsgeheimnisträger bei der technischen Umsetzung, verlangt aber sorgfältige vertragliche Absicherung und eine etwas komplexere rechtliche Prüfung (insbesondere bzgl. Auslandsbezug und Geheimnisschutz).

Fazit: Welche Lösung für wen – rechtliche Abwägung

Physiotherapeuten / Gesundheitsdaten: In kleinen Physiopraxen mit begrenzter IT-Infrastruktur kann eine Cloud-Lösung (etwa ein spezialisierter medizinischer Cloud-Dienst oder ein DSGVO-konformes Schweizer Angebot) vielfach die sicherere Wahl sein, sofern die gesetzlichen Anforderungen erfüllt werden. Die Cloud nimmt der Praxis viele technische Pflichten ab – regelmäßige Backups, Updates, Server-Sicherheit – und erreicht ein hohes Schutzniveau, das der einzelne Therapeut allein ggf. nicht sicherstellen kann. Wichtig ist aber, dass der Cloud-Dienst nachweislich datenschutzkonform betrieben wird (Server in der EU/Schweiz, AV-Vertrag vorhanden, hohe Verschlüsselungsstandards). Gesundheitsdaten als besondere Kategorie verlangen besonderen Schutz; ein Cloud-Anbieter sollte daher mindestens Transportverschlüsselung und Speicherverschlüsselung einsetzen und idealerweise Client-seitige Verschlüsselung ermöglichen. Zudem muss der Physiotherapeut die Vertraulichkeit wahren – d. h. den Cloud-Dienst vertraglich zur Geheimhaltung verpflichten und sicherstellen, dass kein Unbefugter (auch kein ausländischer Geheimdienst) Zugang hat. Mit einem rein europäischen Cloud-Anbieter ist diese Voraussetzung erfüllbar. Hat die Praxis die IT-Kompetenz und will volle Datenkontrolle behalten, kann ein lokales NAS durchaus genauso datenschutzkonform betrieben werden. Hier liegt der Schwerpunkt darauf, dass die Praxis alle technischen Maßnahmen (Firewall, Zugriffsmanagement, Verschlüsselung, Backup) in eigener Regie umsetzt. Für einzelne Therapeuten ohne viel IT-Erfahrung kann dies eine Herausforderung sein – in solchen Fällen ist es oft besser, auf einen professionellen (und überwachten) Cloud-Dienst zurückzugreifen, anstatt ein ungesichertes NAS zu riskieren. Rechtlich zulässig sind beide Wege; entscheidend ist, dass jeweils das Schutzniveau der DSGVO gewährleistet ist und die Schweigepflicht nicht gefährdet wird. In der Praxis werden viele Gesundheitsdaten heute bereits in Cloud-Systemen (z. B. Praxisverwaltungssoftware beim Anbieter) gehalten – mit entsprechender Patienteneinwilligung oder im Rahmen der erlaubten Auftragsverarbeitung – ohne dass dies gegen Datenschutzrecht verstößt, solange die oben genannten Bedingungen (AV-Vertrag, angemessene Sicherheit) erfüllt sind.

Steuerberater und Wirtschaftsprüfer / Finanz- und Mandantendaten: Für diese Berufsgruppe ist die Vertraulichkeit und Integrität der Daten ebenfalls essenziell, wenngleich die Daten nicht unter Art. 9 DSGVO fallen. Hier spielt neben dem Datenschutz vor allem das Berufsgeheimnis eine Rolle. Seit der Anpassung von §203 StGB/§62a StBerG 2017 können Steuerberater und WPs Cloud-Dienste nutzen, ohne automatisch gegen ihre Verschwiegenheitspflicht zu verstoßen – jedoch nur unter den genannten Auflagen (sorgfältige Anbieterwahl, vertragliche Geheimhaltung, ggf. Mandantenzustimmung bei Auslandsdiensten). Ein lokales NAS in der Kanzlei bietet maximalen Eigenkontrolle und vermeidet jede externe Kenntnisnahme. Dies kann insbesondere bei sehr sensiblen Unternehmensdaten oder z. B. Wirtschaftsprüfungsunterlagen vorteilhaft sein, da Mandanten in solchen Bereichen oft Wert darauf legen, dass keine Dritten (weder Cloud-Provider noch fremde Staaten) Einblick erlangen. Allerdings müssen Kanzleien dann intern für hochprofessionelle IT-Sicherheit sorgen – inklusive physischer Sicherung und Notfallkonzepten. Größere WP-Gesellschaften haben meist entsprechende IT-Abteilungen und können so ein Schutzniveau gewährleisten, das dem Stand der Technik entspricht. Kleinere Steuerkanzleien hingegen könnten von einer Cloud-Lösung profitieren, sofern diese speziell für Berufsgeheimnisträger zugeschnitten ist (es gibt z. B. deutsche Cloud-Angebote, teils von Kammern empfohlen, die Verschlüsselung und Serverstandort Deutschland garantieren). Eine Schweizer Suite wie im Beispiel kann ebenfalls geeignet sein, solange der Mandantenschutz gewährleistet ist – hier würde man zur Sicherheit Mandanten zumindest in allgemeiner Form darüber informieren, dass man eine europäische Cloud nutzt, die DSGVO- und Berufsrechts-konform ist. Aus Compliance-Sicht muss der Steuerberater nachweisen können, den Cloud-Dienst sorgfältig ausgewählt zu haben (Sicherheitsaudits, Zertifikate prüfen, Rechtsstandort beachten). Bei Mandanten, die ausdrücklich gegen Cloud-Speicherung sind, sollte natürlich Rücksprache gehalten und ggf. doch lokale Speicherung bevorzugt werden.

Zusammengefasst: Beide Speicherungsvarianten können im Rahmen der geltenden Gesetze datenschutzgerecht umgesetzt werden. Variante 1 (lokales NAS) bietet volle Datenhoheit und vermeidet viele rechtliche Unsicherheiten hinsichtlich Auslandszugriffen, erfordert aber vom Verantwortlichen erhebliche eigene Sicherheitsvorkehrungen und bringt die volle Verantwortung für Datenverluste oder Pannen mit sich. Sie ist tendenziell für diejenigen geeignet, die über die notwendigen Ressourcen verfügen und denen maximale Kontrolle wichtiger ist als Komfort. Variante 2 (Cloud-Dienst) ermöglicht es, auf die Professionalität eines spezialisierten Anbieters zu setzen, was insbesondere in puncto Ausfallsicherheit, Updates und skalierbarer Sicherheit Vorteile hat. Rechtlich ist hier darauf zu achten, dass der Dienst vertraglich eingebunden, technisch abgesichert (Verschlüsselung, EU/Schweiz-Server) und mit den Verschwiegenheitspflichten vereinbar ist. Die Cloud-Option ist oft sinnvoll für kleinere Einheiten oder wenn ortsunabhängiger Zugriff benötigt wird (z. B. mehrere Standorte, Homeoffice), da sie den Datenzugriff über das Internet ermöglicht – natürlich nur über gesicherte Verbindungen. In jedem Fall muss die Vertraulichkeit, Verfügbarkeit und Integrität der sensiblen Daten nach Stand der Technik gewährleistet sein, sei es durch eigene Maßnahmen beim NAS oder durch die geprüften Sicherheitsvorkehrungen des Cloud-Anbieters. Nur dann erfüllt man die Anforderungen von DSGVO und BDSG und wird zugleich den hohen beruflichen Sorgfaltspflichten gerecht.

Quellen: Die Ausführungen beziehen sich auf die DSGVO und das BDSG in der aktuell gültigen Fassung, sowie auf berufsrechtliche Vorgaben (§203 StGB, §62a StBerG u.a.). Weiterführende Informationen und konkrete Empfehlungen stammen aus einschlägigen Publikationen und Stellungnahmen, u. a. von Datenschutzbehörden und Berufsverbänden. Beispielsweise betont das Portal Datenschutz.org den besonderen Schutzbedarf von Patientendaten und die engen Voraussetzungen für deren Verarbeitung. Die Bundessteuerberaterkammer informiert in ihren Hinweisen ausführlich über technische Sicherheitsmaßnahmen (z. B. Verschlüsselung bei Speicherung und Übertragung) und empfiehlt etwa bei Cloud-Nutzung eine Verschlüsselung der Daten schon vor dem Hochladen. Die Änderungen des §203 StGB aus 2017 erläutern u. a. Rödl & Partner sowie WEKA, wonach nun Cloud-Dienste zulässig sind, solange Dienstleister zur Geheimhaltung verpflichtet und sorgfältig ausgewählt werden. WEKA hebt auch hervor, dass bei Auslandsdienstleistern ein vergleichbares Geheimnisschutzniveau vorliegen oder sonst die Einwilligung des Mandanten eingeholt werden sollte. Zum US CLOUD Act und dessen Risiken für nicht-europäische Cloudanbieter liegen Analysen von Datenschutz-Experten vor – so warnt activeMind davor, dass US-Behörden mittels CLOUD Act auf von US-Unternehmen gespeicherte Daten zugreifen können, egal ob diese in der EU liegen. Im Umkehrschluss wird die Wahl eines europäischen/Schweizer Anbieters als datensicherheitsfreundliche Maßnahme gesehen. Der Schweizer Cloud-Dienst Infomaniak (kSuite/kDrive) wirbt seinerseits mit DSGVO-Konformität und ausschließlicher Datenhaltung in der Schweiz, allerdings ohne integrierte Ende-zu-Ende-Verschlüsselung – was den Nutzer nicht davon entbindet, eigenverantwortlich für bestmögliche Verschlüsselung zu sorgen. All diese Aspekte fließen in die obige Bewertung mit ein, um eine fundierte Entscheidung zwischen lokalem NAS und Cloud-Speicherung aus rechtlicher Sicht zu ermöglichen.

Speicherung sensibler personenbezogener Daten: Lokales NAS vs. Cloud (Stand Juni 2025)

Einleitung

Rechtlicher Rahmen: DSGVO, BDSG und Berufsgeheimnis

DSGVO und BDSG – Schutz sensibler Daten: Gesundheitsdaten und viele Finanz- oder Steuerdaten fallen unter sensible personenbezogene Daten. Gesundheitsinformationen gelten gemäß DSGVO als besondere Kategorien personenbezogener Daten und genießen besonderen Schutzdatenschutz.org. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es greift ein Erlaubnistatbestand (Art. 9 DSGVO). Typischerweise ist die Verarbeitung erlaubt, wenn der Betroffene eingewilligt hat oder die Verarbeitung für Gesundheitsvorsorge, Diagnostik oder Behandlung erforderlich istdatenschutz.org. In Deutschland konkretisiert das BDSG diese Ausnahmen und erlaubt z. B. die Verarbeitung von Gesundheitsdaten für Behandlungszwecke durch Angehörige von Gesundheitsberufen, die einer beruflichen Schweigepflicht unterliegen. Auch wirtschaftliche Daten von Mandanten dürfen nur auf rechtmäßiger Grundlage verarbeitet werden (etwa zur Vertragserfüllung, gesetzlicher Pflicht oder Einwilligung gemäß Art. 6 DSGVO) und unterliegen den Grundsätzen der Zweckbindung, Datenminimierung und Speicherbegrenzung. Aufgrund der Sensibilität solcher Informationen müssen Verantwortliche strenge technische und organisatorische Schutzmaßnahmen ergreifen, um Unbefugten den Zugriff zu verwehrendatenschutz.org. Die DSGVO verlangt in Art. 32 explizit angemessene Sicherheitsmaßnahmen nach dem Stand der Technik, wozu Verschlüsselung personenbezogener Daten ausdrücklich als Beispiel genannt wirddatenschutzexperte.de. Ferner sind bei externer Datenverarbeitung Auftragsverarbeitungsverträge nach Art. 28 DSGVO Pflicht, um sicherzustellen, dass ein externer Dienstleister die Daten nur nach Weisung und geschützt verarbeitet.

Berufsrechtliche Verschwiegenheitspflichten: Zusätzlich zur DSGVO gelten für die genannten Berufsgruppen strenge Geheimhaltungsvorschriften. Physiotherapeuten, Ärzte und andere Heilberufler unterliegen §203 StGB (Schweigepflicht) und dürfen Patientendaten nur befugt weitergeben. Auch Steuerberater und Wirtschaftsprüfer sind Berufsgeheimnisträger nach §203 StGBroedl.de roedl.de. Ein Verstoß gegen die Verschwiegenheit (etwa unbefugtes Offenbaren von Patientengeheimnissen oder Mandantengeheimnissen) ist strafbar. Standesrechtlich wurde die Nutzung externer IT-Dienstleister jedoch im Jahr 2017 explizit erleichtert: Der Gesetzgeber hat klargestellt, dass Berufsgeheimnisträger ohne Einwilligung der Betroffenen Dritte in die Datenverarbeitung einschalten dürfen, sofern diese Einschaltung zur Berufsausübung erforderlich ist und die Dritten zur Verschwiegenheit verpflichtet werdenweka.de weka.de. Konkret wurde §203 StGB ergänzt (§203 Abs. 3 Satz 2) und parallel dazu z. B. §62a StBerG für Steuerberater geschaffen. Nach §62a Abs. 1 StBerG darf der Steuerberater Dienstleistern den Zugang zu geheimhaltungsbedürftigen Daten gewähren, wenn dies für die Inanspruchnahme der Dienstleistung erforderlich ist – unter der Bedingung, dass er den Dienstleister sorgfältig auswählt und schriftlich zur Verschwiegenheit verpflichtetweka.de. Entsprechende vertragliche Vereinbarungen (z. B. eine Geheimhaltungs- und Auftragsverarbeitungsvereinbarung) sind zwingend und müssen u. a. sicherstellen, dass der Dienstleister und ggf. von ihm eingesetzte Unterauftragnehmer die Geheimnisse nur im nötigen Umfang zur Kenntnis nehmen und ebenfalls unter Geheimhaltungspflicht stehenweka.de. Wichtig: Werden ausländische Dienstleister einbezogen, verlangt §62a Abs. 4 StBerG, dass ein vergleichbares Geheimnisschutzniveau im Ausland gewährleistet ist; andernfalls soll der Steuerberater vorsorglich die Einwilligung des Mandanten einholenweka.de. Praktisch bedeutet das, dass z. B. bei Cloud-Dienstleistern mit Sitz außerhalb Deutschlands geprüft werden muss, ob dort ähnliche Verschwiegenheitsregeln gelten. Die Steuerberaterkammer empfiehlt bei Auslands-Dienstleistern im Zweifel eine ausdrückliche Mandanteneinwilligung einzuholenweka.de. Für Wirtschaftsprüfer, Rechtsanwälte etc. gelten inhaltlich vergleichbare Regelungen in deren Berufsordnungen. Zusammenfassend steht fest: Alle sensiblen Daten unterliegen sowohl dem Datenschutzrecht der DSGVO/BDSG als auch speziellen beruflichen Geheimhaltungspflichten. Jede Speicherlösung muss diesen beiden Ebenen gerecht werden.

Variante 1: Lokales NAS-System in der eigenen Praxis/Kanzlei

Netzwerksicherheit: Eine Firewall muss die NAS und das Praxisnetz vor unbefugten Zugriffen von außen schützen. Direkte Zugriffe aus dem Internet sollten nur über gesicherte Wege (z. B. VPN-Verbindungen) ermöglicht werden, um Abhör- und Einbruchsrisiken zu minimieren. Falls remote auf Daten zugegriffen wird (z. B. Telearbeit), ist eine verschlüsselte Verbindung (etwa via TLS oder VPN) unabdingbarbstbk.de bstbk.de.
Zugriffskontrolle: Es sollten rollenbasierte Berechtigungen eingerichtet werden, sodass nur befugtes Personal auf die jeweils erforderlichen Daten zugreifen kann. Starke Authentifizierung (idealerweise Zwei-Faktor-Authentifizierung) erhöht die Sicherheit weiter, um unbefugte Logins zu verhindern.
Verschlüsselung der Daten: Lokale Datenträger sollten möglichst verschlüsselt werden, damit bei einem physischen Diebstahl oder unbefugtem Ausbauen der Festplatten keine Klartextdaten ausgelesen werden können. Moderne NAS-Systeme bieten Festplattenverschlüsselung an. Durch eine Vollverschlüsselung des Laufwerks ist sichergestellt, dass nur Berechtigte nach Eingabe des Schlüssels Zugriff erhalten – selbst wenn der Datenträger in fremde Hände gerätbstbk.de. Alternativ oder ergänzend können besonders vertrauliche Daten zusätzlich innerhalb der NAS verschlüsselt (z. B. in verschlüsselten Containerspeichern oder Dateien) abgelegt werden.
Stromversorgung und Verfügbarkeit: Der Hinweis auf eine USV (Unterbrechungsfreie Stromversorgung) zeigt, dass man auch physische Risiken adressieren muss. Eine USV gewährleistet, dass ein Stromausfall nicht zum abrupten Ausfall oder Datenverlust führt – wichtig für die Integrität der Daten und Verfügbarkeit der Systeme. Zusätzlich sollte an regelmäßige Backups gedacht werden. Diese Backups sollten idealerweise ausgelagert werden (z. B. auf externen Datenträgern in einem Tresor oder an einem zweiten Standort), um selbst bei Brand oder Wasserschäden in der Praxis die Daten rekonstruieren zu können. Die DSGVO fordert in Art. 32 auch die Fähigkeit, Systeme im Ernstfall rasch wiederherstellen zu können (Disaster Recovery).
Software-Updates und Wartung: Der Betreiber muss dafür sorgen, dass das NAS-System stets mit aktuellen Sicherheitsupdates versorgt wird und sicher konfiguriert ist. Schwachstellen in Betriebssystem oder Firmware könnten sonst ein Einfallstor für Angreifer sein. Diese Wartungsverantwortung liegt beim Praxisinhaber/Kanzleiinhaber oder einem von ihm beauftragten IT-Dienstleister.

Variante 2: Cloud-Speicherung über einen externen Anbieter (Beispiel: kSuite in der Schweiz)

Bei dieser Variante werden die sensiblen Daten auf Servern eines Cloud-Dienstleisters gespeichert. Im Beispiel kSuite handelt es sich um einen Schweizer Anbieter (Infomaniak), der Dienste ähnlich Google Workspace/Microsoft 365 anbietet. Wichtig sind hier zwei Aspekte: Standort der Server und Rechtsnatur des Dienstes. Zunächst zur DSGVO: Die Datenhaltung in der Cloud gilt als Auslagerung an einen Auftragsverarbeiter. Der Berufsangehörige (Physiotherapeut, Steuerberater etc.) bleibt der Verantwortliche nach DSGVO, gibt aber die Speicherung und ggf. Verarbeitung in Hände eines Dienstleisters. Mit diesem muss zwingend ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden, der sicherstellt, dass der Cloud-Anbieter die Daten nur im Rahmen der Weisungen verarbeitet, angemessene Sicherheitsmaßnahmen ergreift und seinerseits Mitarbeiter zur Vertraulichkeit verpflichtet etc.physio.de physio.de. Seriöse Cloud-Anbieter stellen solche Verträge proaktiv zur Verfügung – im Gesundheits- und Finanzsektor ist dies üblich und erforderlich.

Server-Standort und Datenschutzrecht: Im Beispiel ist der Anbieter in der Schweiz ansässig und betreibt Rechenzentren in der Schweiz und teils in der EU (Deutschland). Datenschutzrechtlich ist die Schweiz ein sogenannter Drittstaat, jedoch einer mit anerkannt angemessenem Datenschutzniveau. Die EU-Kommission hat offiziell bestätigt, dass die Schweiz ein gleichwertiges Datenschutzniveau wie die EU bietet (Angemessenheitsbeschluss)edoeb.admin.ch homburger.ch. Daher ist eine Datenübermittlung in die Schweiz aus Sicht der DSGVO zulässig, ohne dass weitere Sondermaßnahmen (wie Standardvertragsklauseln) erforderlich wären. Für den Verantwortlichen heißt das: Die Speicherung bei einem Schweizer Cloud-Dienst ist prinzipiell DSGVO-konform, sofern alle anderen Datenschutzpflichten (AV-Vertrag, Transparenz gegenüber Betroffenen, technische Sicherheit etc.) erfüllt sind. Betriebe der Cloud-Anbieter auch Rechenzentren in Deutschland, befinden sich die Daten sogar innerhalb der EU, was die Sache noch unproblematischer macht. In jedem Fall muss aber klar kommuniziert werden (etwa in der Datenschutzerklärung der Praxis/Kanzlei), dass ein externer Cloud-Dienst genutzt wird und wo die Daten liegen.

Berufsgeheimnis und Cloud: Für Ärzte/Physiotherapeuten, Steuerberater oder Wirtschaftsprüfer ist die Einschaltung eines Cloud-Dienstes mittlerweile rechtlich möglich, aber es sind zusätzliche Vorkehrungen notwendig. Gemäß der Neuregelung von §203 StGB und der Berufsordnungen (z. B. §62a StBerG) darf ein Berufsgeheimnisträger auch ohne Einwilligung solche Dienste nutzen, wenn der Dienstleister in die Verschwiegenheitspflichten einbezogen wirdweka.de weka.de. Ein Cloud-Anbieter ist in der Regel kein eigener Berufsgeheimnisträger, weshalb der verantwortliche Berufsgeheimnisträger vertraglich sicherstellen muss, dass der Anbieter und dessen Mitarbeiter Geheimhaltung wahren. Praktisch wird dies im Auftragsverarbeitungsvertrag und ggf. ergänzenden NDAs umgesetzt – darin garantiert der Anbieter, dass alle Mitarbeiter den Schutz der Kundendaten beachten und keine unbefugten Zugriffe erfolgen. Anbieter wie Infomaniak (kSuite) betonen in ihren Datenschutzrichtlinien, dass Kundendaten nicht analysiert oder weitergegeben werden, sondern DSGVO-konform geschützt bleibenheise.de. Wichtig im Berufsrecht ist zudem die Frage des Auslandsbezuges: Da der Anbieter in der Schweiz sitzt (Ausland im Sinne des §62a StBerG), sollte geprüft werden, ob der Geheimnisschutz vergleichbar ist. Die Schweiz hat strenge Datenschutzgesetze und Strafnormen für Datenschutzverletzungen, was durchaus als vergleichbar gelten kann; absolute Rechtssicherheit würde aber eine Einwilligung der Mandanten/Patienten bringen, wie von manchen Kammern empfohlenweka.de. In sensiblen Fällen (z. B. sehr vertrauliche wirtschaftliche Geheimnisse großer Mandanten) könnte ein Steuerberater oder WP erwägen, vorab das Einverständnis des Kunden zur Cloud-Nutzung einzuholen – zumindest solange keine höchstrichterliche Klarstellung existiert, dass Schweizer Dienste ohne Weiteres zulässig sind. Für Patientendaten in der Physiopraxis ist eine Einwilligung zur Cloud-Speicherung ebenfalls empfehlenswert, falls Zweifel bestehen. Rein datenschutzrechtlich ist sie zwar nicht unbedingt erforderlich (weil die Verarbeitung zur Behandlung zulässig sein kann), aber aus Transparenz- und Vertrauensgründen könnte man Patienten informieren oder um Zustimmung bitten, dass ihre Daten in einer Cloud (verschlüsselt) gespeichert werden.

Sicherheitsmaßnahmen des Cloud-Dienstes: Ein professioneller Cloud-Anbieter wird erhebliche Ressourcen in IT-Sicherheit und Verfügbarkeit investieren. So wirbt der Schweizer Anbieter Infomaniak damit, alle Daten ausschließlich in Schweizer Rechenzentren zu hosten und DSGVO-Konformität zu gewährleistenheise.de. Daten werden typischerweise in mehreren Rechenzentren redundant gespeichert (bei Infomaniak z. B. verschlüsselt gespiegelt in zwei Rechenzentreninfomaniak.com), um Ausfälle abzufangen. Die Übertragung der Daten vom Kunden zur Cloud erfolgt verschlüsselt via TLS (üblich ist HTTPS), sodass auf dem Transportweg kein Unbefugter mitlesen kann. In der Cloud selbst werden die Daten in der Regel serverseitig verschlüsselt auf den Datenträgern abgelegt, um sie vor externen Angriffen zu schützen. Allerdings ist zu beachten, dass bei vielen Cloud-Diensten die Schlüsselverwaltung beim Anbieter liegt – d. h. der Anbieter könnte technisch auf die entschlüsselten Daten zugreifen, sofern keine Ende-zu-Ende-Verschlüsselung im Spiel ist. Im Fall von kSuite/kDrive wurde etwa kritisiert, dass eine integrierte Zero-Knowledge-Verschlüsselung (Ende-zu-Ende) derzeit noch fehltheise.de. Das bedeutet, die Daten liegen zwar verschlüsselt auf den Servern, aber der Dienstanbieter könnte bei rechtlicher Verpflichtung oder durch Administratorzugriff theoretisch darauf zugreifen. Abhilfe: Der Nutzer kann selbst für zusätzliche Verschlüsselung sorgen, indem er Client-seitige Verschlüsselung einsetzt. Beispielsweise können Dateien bereits vor dem Hochladen lokal verschlüsselt werden, sodass sie sowohl auf dem lokalen Rechner als auch in der Cloud nur in chiffrierter Form vorliegenbstbk.de. Auf diese Weise behält ausschließlich der Nutzer den Schlüssel, und weder Cloud-Mitarbeiter noch andere Dritte könnten Inhalte lesen. Diese Praxis wird von Datenschützern gerade bei sensiblen Daten empfohlen: „Cloudspeicher mit Verschlüsselung nutzen“, sodass die Dateien schon vor dem Upload verschlüsselt werden und in der Cloud keiner Einsicht unterliegenbstbk.de. Einige Cloud-Dienste bieten hierfür integrierte Lösungen oder at least die Möglichkeit, eigene Schlüssel zu verwalten. Sollte das nicht der Fall sein, lässt sich mit Zusatz-Software (z. B. VeraCrypt, Cryptomator etc.) eine „Verschlüsselungsschicht“ einziehen.

Zugriff durch Dritte und CLOUD Act: Ein viel diskutierter Aspekt bei Cloud-Diensten ist die Gefahr des Zugriffs durch ausländische Behörden aufgrund von Gesetzen wie dem US CLOUD Act oder ehemals dem Patriot Act. Hier bietet ein europäischer bzw. Schweizer Anbieter einen klaren Vorteil gegenüber US-Anbietern: Der CLOUD Act der USA ermächtigt US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen oder deren Auslandstöchtern gespeichert werden – unabhängig vom physischen Speicherortactivemind.de activemind.de. Das heißt, wenn man z. B. einen amerikanischen Cloud-Dienst (Google, Microsoft, Amazon etc.) nutzt, könnten US-Behörden per Gesetzesbeschluss Zugang zu den dort gespeicherten personenbezogenen oder geschäftlichen Daten verlangen, selbst wenn die Server in Deutschland stehen. Dieser Konflikt mit europäischem Datenschutz war ein Kernpunkt der Schrems II-Entscheidung des EuGH. Bei einem rein schweizerischen Anbieter ohne US-Muttergesellschaft ist dieses Risiko deutlich reduziert, da der CLOUD Act hier nicht greift. Die Schweiz würde ein Auskunftsersuchen fremder Behörden nicht ohne Weiteres umsetzen; Zugriffe erfolgen höchstens im Rahmen bilateraler Rechtshilfe und unter Schweizer Gesetzgebung. Damit bietet die Schweizer/EU-Cloud Datensouveränität und Schutz vor dem direkten Zugriff z. B. amerikanischer Geheimdienste, wie er bei US-Diensten befürchtet wirdxpert.digital netzwoche.ch. Natürlich kann theoretisch auch eine Schweizer Behörde oder ein deutscher Gerichtsbeschluss im Extremfall Daten offenlegen lassen (etwa bei Strafverfolgung, mit richterlichem Beschluss). Doch das unterliegt den hiesigen rechtsstaatlichen Hürden und steht im Einklang mit EU-Recht, anders als die extraterritorialen Zugriffe durch z. B. FISA/CLOUD-Act-Befugnisse. Insgesamt ist somit bei einem europäischen/Schweizer Cloud-Dienst das Risiko unerwarteter Zugriffe durch Dritte geringer als bei Nutzung eines US-basierten Cloud-Dienstes – ein wichtiger rechtlicher Pluspunkt, insbesondere wenn man Mandanten- oder Patientendaten vor fremdem staatlichen Zugriff schützen will.

Verfügbarkeits- und Haftungsaspekte: Cloud-Dienste punkten mit hoher Verfügbarkeit (Redundanz, professionelles Monitoring) – Ausfälle durch Hardwaredefekte oder lokale Stromprobleme betreffen den Nutzer in der Regel nicht, da der Anbieter für unterbrechungsfreien Betrieb sorgt. Allerdings begibt man sich in eine gewisse Abhängigkeit vom Cloud-Anbieter. Fällt der Dienst dennoch aus oder geht der Anbieter insolvent, kann dies den Datenzugriff beeinträchtigen. Der Berufsinhaber sollte daher vertraglich prüfen, wie Datensicherungen, Herausgabe bei Kündigung und Notfallpläne geregelt sind. Haftungsrechtlich bleibt auch in der Cloud der Verantwortliche (Arzt, Therapeut, Berater) primär dafür verantwortlich, dass die Daten geschützt sind. Bei einer Datenschutzverletzung (z. B. Leak durch Hackerangriff auf den Cloud-Anbieter) haftet zunächst der Verantwortliche gegenüber dem Betroffenen. Er kann sich zwar beim Auftragsverarbeiter regressieren, aber gegenüber Behörden und Kunden steht er in der Pflicht. Daher muss der Anbieter sorgfältig ausgewählt werdenweka.de weka.de – Kriterien sind z. B. Zertifizierungen (ISO 27001 für IT-Sicherheit, ISO 27701 für Datenschutz), Reputation, Serverstandort, transparente Vertragsbedingungen und technische Features (Verschlüsselung, Zugriffskontrollen). Ein guter Cloud-Vertrag wird auch Regelungen zur Haftung des Anbieters enthalten, etwa dass dieser bei von ihm verschuldeten Sicherheitsvorfällen Schadensersatz leistet. Dennoch verbleibt das Datenschutzrisiko zu einem gewissen Grad beim Verantwortlichen, der nach Art. 5 Abs. 2 DSGVO Rechenschaftspflicht hat (er muss also nachweisen können, einen geeigneten, sicheren Dienst gewählt und überwacht zu haben). Dies erfordert z. B. dokumentierte Datenschutz-Folgenabschätzung bei sehr sensiblen Daten in der Cloud und regelmäßige Überprüfung der getroffenen Maßnahmen.

Bewertung dieser Variante: Aus rechtlicher Sicht ist die Cloud-Lösung zulässig, erfordert aber etwas mehr formalen Aufwand (AV-Vertrag, evtl. Einwilligungen/Informationen an Betroffene) und Vertrauen in den Dienstleister. Für Physiotherapeuten oder Ärzte bietet eine spezialisierte Cloudlösung den Vorteil, dass viele Sicherheitsanforderungen (Backups, Verschlüsselung, Ausfallsicherheit) professionell umgesetzt sind – was eine einzelne Praxis eventuell nicht in gleichem Maße leisten kann. Gerade kleine Praxen ohne IT-Expertise können durch einen datenschutzkonformen Cloud-Dienst einen hohen Schutzstandard „einkaufen“. Wichtig ist, dass die gewählte Lösung spezifisch für Gesundheitsdaten geeignet ist oder zumindest die Anforderungen des Gesundheitsdatenschutzes erfüllt (z. B. Speicherung nur in DSGVO-Ländern, kein Zugriff Unbefugter, Möglichkeit der patientenseitigen Rechtewahrnehmung). Für Steuerberater und Wirtschaftsprüfer ist die Cloud nach der Gesetzesänderung ebenfalls eine attraktive Option, zumal viele Kanzleien bereits Rechenzentrumsdienste wie Datev nutzen, was im Grunde auch Cloud-Services sind. Ein Schweizer Cloud-Angebot mit deutschen/Schweizer Servern kann hier datenschutzrechtlich sicherer sein als etwa die Verwendung von Microsoft 365, das unter US-Einfluss stehtactivemind.de activemind.de. Allerdings müssen Berater und Prüfer stets die Mandantenerwartungen im Blick haben: Einige Mandanten (insbesondere Firmen) könnten Bedenken haben, wenn sensible Finanzdaten „in der Cloud“ liegen. Transparenz und ggf. Zustimmung schaffen Vertrauen. Zusammengefasst bietet die Cloud-Lösung state-of-the-art Sicherheit und entlastet den Berufsgeheimnisträger bei der technischen Umsetzung, verlangt aber sorgfältige vertragliche Absicherung und eine etwas komplexere rechtliche Prüfung (insbesondere bzgl. Auslandsbezug und Geheimnisschutz).

Fazit: Welche Lösung für wen – rechtliche Abwägung

Steuerberater und Wirtschaftsprüfer / Finanz- und Mandantendaten: Für diese Berufsgruppe ist die Vertraulichkeit und Integrität der Daten ebenfalls essenziell, wenngleich die Daten nicht unter Art. 9 DSGVO fallen. Hier spielt neben dem Datenschutz vor allem das Berufsgeheimnis eine Rolle. Seit der Anpassung von §203 StGB/§62a StBerG 2017 können Steuerberater und WPs Cloud-Dienste nutzen, ohne automatisch gegen ihre Verschwiegenheitspflicht zu verstoßen – jedoch nur unter den genannten Auflagen (sorgfältige Anbieterwahl, vertragliche Geheimhaltung, ggf. Mandantenzustimmung bei Auslandsdiensten)weka.de weka.de. Ein lokales NAS in der Kanzlei bietet maximalen Eigenkontrolle und vermeidet jede externe Kenntnisnahme. Dies kann insbesondere bei sehr sensiblen Unternehmensdaten oder z. B. Wirtschaftsprüfungsunterlagen vorteilhaft sein, da Mandanten in solchen Bereichen oft Wert darauf legen, dass keine Dritten (weder Cloud-Provider noch fremde Staaten) Einblick erlangen. Allerdings müssen Kanzleien dann intern für hochprofessionelle IT-Sicherheit sorgen – inklusive physischer Sicherung und Notfallkonzepten. Größere WP-Gesellschaften haben meist entsprechende IT-Abteilungen und können so ein Schutzniveau gewährleisten, das dem Stand der Technik entspricht. Kleinere Steuerkanzleien hingegen könnten von einer Cloud-Lösung profitieren, sofern diese speziell für Berufsgeheimnisträger zugeschnitten ist (es gibt z. B. deutsche Cloud-Angebote, teils von Kammern empfohlen, die Verschlüsselung und Serverstandort Deutschland garantierensimpleum.com). Eine Schweizer Suite wie im Beispiel kann ebenfalls geeignet sein, solange der Mandantenschutz gewährleistet ist – hier würde man zur Sicherheit Mandanten zumindest in allgemeiner Form darüber informieren, dass man eine europäische Cloud nutzt, die DSGVO- und Berufsrechts-konform ist. Aus Compliance-Sicht muss der Steuerberater nachweisen können, den Cloud-Dienst sorgfältig ausgewählt zu haben (Sicherheitsaudits, Zertifikate prüfen, Rechtsstandort beachten). Bei Mandanten, die ausdrücklich gegen Cloud-Speicherung sind, sollte natürlich Rücksprache gehalten und ggf. doch lokale Speicherung bevorzugt werden.

Quellen: Die Ausführungen beziehen sich auf die DSGVO und das BDSG in der aktuell gültigen Fassung, sowie auf berufsrechtliche Vorgaben (§203 StGB, §62a StBerG u.a.). Weiterführende Informationen und konkrete Empfehlungen stammen aus einschlägigen Publikationen und Stellungnahmen, u. a. von Datenschutzbehörden und Berufsverbänden. Beispielsweise betont das Portal Datenschutz.org den besonderen Schutzbedarf von Patientendaten und die engen Voraussetzungen für deren Verarbeitungdatenschutz.org. Die Bundessteuerberaterkammer informiert in ihren Hinweisen ausführlich über technische Sicherheitsmaßnahmen (z. B. Verschlüsselung bei Speicherung und Übertragung) und empfiehlt etwa bei Cloud-Nutzung eine Verschlüsselung der Daten schon vor dem Hochladenbstbk.de. Die Änderungen des §203 StGB aus 2017 erläutern u. a. Rödl & Partner sowie WEKA, wonach nun Cloud-Dienste zulässig sind, solange Dienstleister zur Geheimhaltung verpflichtet und sorgfältig ausgewählt werdenweka.de weka.de. WEKA hebt auch hervor, dass bei Auslandsdienstleistern ein vergleichbares Geheimnisschutzniveau vorliegen oder sonst die Einwilligung des Mandanten eingeholt werden sollteweka.de. Zum US CLOUD Act und dessen Risiken für nicht-europäische Cloudanbieter liegen Analysen von Datenschutz-Experten vor – so warnt activeMind davor, dass US-Behörden mittels CLOUD Act auf von US-Unternehmen gespeicherte Daten zugreifen können, egal ob diese in der EU liegenactivemind.de activemind.de. Im Umkehrschluss wird die Wahl eines europäischen/Schweizer Anbieters als datensicherheitsfreundliche Maßnahme gesehenxpert.digital netzwoche.ch. Der Schweizer Cloud-Dienst Infomaniak (kSuite/kDrive) wirbt seinerseits mit DSGVO-Konformität und ausschließlicher Datenhaltung in der Schweizheise.de, allerdings ohne integrierte Ende-zu-Ende-Verschlüsselung – was den Nutzer nicht davon entbindet, eigenverantwortlich für bestmögliche Verschlüsselung zu sorgen. All diese Aspekte fließen in die obige Bewertung mit ein, um eine fundierte Entscheidung zwischen lokalem NAS und Cloud-Speicherung aus rechtlicher Sicht zu ermöglichen.

Speicherung sensibler personenbezogener Daten: Lokales NAS vs. Cloud (Stand Juni 2025)

Einleitung

Rechtlicher Rahmen: DSGVO, BDSG und Berufsgeheimnis

Variante 1: Lokales NAS-System in der eigenen Praxis/Kanzlei

Variante 2: Cloud-Speicherung über einen externen Anbieter (Beispiel: kSuite in der Schweiz)

Fazit: Welche Lösung für wen – rechtliche Abwägung

Speicherung sensibler personenbezogener Daten: Lokales NAS vs. Cloud (Stand Juni 2025)

Einleitung

Rechtlicher Rahmen: DSGVO, BDSG und Berufsgeheimnis

Variante 1: Lokales NAS-System in der eigenen Praxis/Kanzlei

Variante 2: Cloud-Speicherung über einen externen Anbieter (Beispiel: kSuite in der Schweiz)

Fazit: Welche Lösung für wen – rechtliche Abwägung

Veröffentlicht von F H