In 2 Sätzen. Der Cloud Act (US-Gesetz von 2018) erlaubt es einem US-Staatsanwalt, den Zugriff auf Daten zu verlangen, die ein US-Unternehmen oder dessen Tochtergesellschaft hält – selbst wenn diese Daten auf europäischem Boden liegen. SecNumCloud (französische Qualifizierung der ANSSI) garantiert, dass ein Cloud-Dienst gegen diesen Zwang immun ist.
Der Cloud Act, klar erklärt
Im März 2018 vom US-Kongress verabschiedet, erlaubt der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) den US-Justizbehörden, von einem dem US-Recht unterstehenden Unternehmen die Herausgabe der von ihm gehaltenen Daten zu verlangen, unabhängig davon, wo diese Daten physisch gespeichert sind.
Konkretes Beispiel: Liegen Ihre Gesundheitsdaten bei AWS Paris (AWS Europe SARL), kann ein US-Bundesstaatsanwalt Amazon Web Services Inc. zur Herausgabe zwingen. Selbst wenn sie im Ruhezustand verschlüsselt sind, muss AWS den Schlüssel liefern, sofern es ihn besitzt. Die französische Gesellschaft AWS Europe, Tochter von Amazon, unterliegt dieser Anordnung indirekt.
Warum das ein Problem für die Gesundheit ist
Gesundheitsdaten gelten gemäss DSGVO Artikel 9 als «besondere Kategorien personenbezogener Daten». Sie dürfen nur unter strengen Bedingungen ausserhalb der EU übermittelt werden. Der Cloud Act schafft einen Rechtskonflikt: Der US-Hoster steht zwischen einer US-Pflicht (Herausgabe) und einem europäischen Verbot (keine Übermittlung).
Der EuGH hat 2020 den Privacy Shield für ungültig erklärt (Urteil Schrems II), gerade weil die US-Überwachungsgesetze (darunter der Cloud Act) als unvereinbar mit dem europäischen Schutzniveau gelten.
Praktische Folge. AWS oder Azure zum Hosten französischer Gesundheitsdaten zu nutzen, selbst in einer europäischen Region, bleibt rechtlich heikel. Die Plattformen, die das tun, wissen das. Viele nehmen es in Kauf und setzen darauf, dass sich kein US-Staatsanwalt für anonyme französische Krankenakten interessiert.
SecNumCloud, das französische Gegenmittel
SecNumCloud ist eine von der ANSSI (Agence nationale de la sécurité des systèmes d'information) an Cloud-Anbieter vergebene Qualifizierung, die strenge Kriterien erfüllen:
- Französische oder europäische Jurisdiktion – das die Cloud betreibende Unternehmen unterliegt nicht dem Cloud Act
- Mehrheitlich europäisches Kapital – keine Kontrolle durch eine dem aussereuropäischen Recht unterstehende Einheit
- Physische Infrastruktur in Frankreich oder der EU – keine Speicherung oder Bearbeitung ausserhalb der EU
- Berechtigtes Personal – die Personen mit technischem Zugang zu den Daten sind europäisch und befugt
- Hohe Sicherheitsanforderungen – basierend auf den Standards ISO 27001, wobei SecNumCloud strenger ist
In Frankreich sind bislang nur wenige Anbieter SecNumCloud-qualifiziert: hauptsächlich OVHcloud, Outscale (Gruppe Dassault) und Scaleway.
SecNumCloud ist nicht «bloss» ein französischer Hoster
Viele französische Gesundheitsplattformen hosten bei einem französischen Anbieter, der AWS weiterverkauft: technisch in Frankreich, rechtlich aber über die Unterauftragsvergabe dem US-Recht unterstellt. SecNumCloud verbietet diese Konstellation ausdrücklich.
Die Qualifizierung verlangt zudem, dass der Anbieter jede ausländische Anordnung ablehnt, alle erhaltenen gerichtlichen Anfragen dokumentiert und regelmässig von der ANSSI auditiert wird.
Die Vergleichstabelle
- AWS / Azure / Google Cloud Europe: dem Cloud Act unterstellt, US-Staatsanwalt kann erzwingen
- Französischer Anbieter, der AWS/Azure weiterverkauft: derselbe Zwang indirekt
- Klassischer HDS-Anbieter: Hosting in Frankreich, aber nicht zwingend SecNumCloud (kann US-Abhängigkeiten haben)
- SecNumCloud-Anbieter: Cloud-Act-Immunität von der ANSSI garantiert
Wo stehen die französischen Akteure der digitalen Gesundheit?
Die Lage ist heterogen:
- Mon Espace Santé / DMP: gehostet bei Atos (heute Eviden), souveräne Infrastruktur
- Doctolib: Hosting in Frankreich, aber teilweise AWS – Reibungspunkt bei der Senatsanhörung 2021
- WEDA, Maiia, gewisse LGC: unterschiedliches Hosting, oft bei französischen Anbietern
- Zahlreiche Gesundheits-Startups: AWS oder Azure standardmässig, aus Gründen der Markteinführungsgeschwindigkeit
So prüfen Sie, wo Ihre Gesundheitsdaten gehostet werden
Sie haben das Recht, es zu erfahren. So üben Sie dieses Recht aus:
- Lesen Sie das Impressum der App oder der Website – die Angabe des Hosters ist obligatorisch
- Fragen Sie deren DPO per E-Mail – die Antwort muss innert 1 Monat eintreffen (DSGVO Artikel 15)
- Prüfen Sie die HDS-Qualifizierung – obligatorisch für jegliche Gesundheitsdaten, überprüfbar auf der Website der ANS
- Suchen Sie die Angabe SecNumCloud – fehlt sie, verlangen Sie ausdrücklich die Cloud-Act-Konformität
Das Engagement von MDMC
My Data My Care hat sich für das Hosting bei einem französischen HDS-zertifizierten Anbieter entschieden, mit laufender SecNumCloud-Zertifizierung. Unsere patientenseitige Ende-zu-Ende-Verschlüsselung fügt eine zusätzliche Schicht hinzu: Selbst im Fall einer gerichtlichen Anordnung besitzen wir die Entschlüsselungsschlüssel des Patienten-Vaults nicht. Ihre Daten sind ohne Ihre kryptografische Zustimmung unlesbar.
Es steht in unseren AGB, ist in unserer Architektur überprüfbar und gehört zu unseren Verpflichtungen im Manifest.
Zum Merken
Die Wahl des Hostings ist kein technisches Detail. Sie bestimmt, wer weltweit rechtmässig auf Ihre Gesundheitsdaten zugreifen kann. SecNumCloud + patientenseitige Ende-zu-Ende-Verschlüsselung ist heute das höchste Niveau digitaler Souveränität in Europa. Die übrigen Optionen bedeuten in unterschiedlichem Mass Kompromisse bei Ihrer medizinischen Privatsphäre.