In 2 Sätzen. Der Cloud Act (amerikanisches Gesetz von 2018) erlaubt einem US-Staatsanwalt, den Zugriff auf Daten zu verlangen, die ein amerikanisches Unternehmen oder seine Tochtergesellschaft besitzt — selbst wenn diese Daten auf europäischem Boden liegen. SecNumCloud (französische Qualifizierung der ANSSI) garantiert, dass ein Cloud-Dienst gegen diesen Zwang immun ist.
Der Cloud Act, klar erklärt
Vom amerikanischen Kongress im März 2018 verabschiedet, erlaubt der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) den amerikanischen Justizbehörden, von einem dem US-Recht unterliegenden Unternehmen die Herausgabe der von ihm gehaltenen Daten zu verlangen, unabhängig davon, wo diese Daten physisch gespeichert sind.
Konkretes Beispiel: Wenn Ihre Gesundheitsdaten bei AWS Paris (AWS Europe SARL) liegen, kann ein amerikanischer Bundesstaatsanwalt Amazon Web Services Inc. zwingen, sie ihm herauszugeben. Selbst wenn sie im Ruhezustand verschlüsselt sind: Hält AWS den Schlüssel, muss es ihn liefern. Die französische Gesellschaft AWS Europe, Tochter von Amazon, unterliegt dieser Anordnung mittelbar.
Warum das ein Problem für das Gesundheitswesen ist
Gesundheitsdaten werden von der DSGVO, Artikel 9, als „sensible Daten“ eingestuft. Sie dürfen nur unter strengen Bedingungen außerhalb der EU übermittelt werden. Der Cloud Act schafft einen Rechtskonflikt: Der amerikanische Hoster steckt zwischen einer US-Verpflichtung (liefern) und einem europäischen Verbot (nicht übermitteln).
Der EuGH hat 2020 das Privacy Shield für ungültig erklärt (Urteil Schrems II), gerade weil die amerikanischen Überwachungsgesetze (darunter der Cloud Act) als unvereinbar mit dem europäischen Schutzniveau angesehen werden.
Praktische Folge. AWS oder Azure zu nutzen, um französische Gesundheitsdaten zu hosten, selbst in einer europäischen Region, bleibt rechtlich fragil. Die Plattformen, die das tun, wissen es. Viele akzeptieren es in der Annahme, dass sich kein amerikanischer Staatsanwalt für anonyme französische Krankenakten interessiert.
SecNumCloud, das französische Gegenmittel
SecNumCloud ist eine Qualifizierung, die von der ANSSI (Nationale Agentur für die Sicherheit von Informationssystemen) an Cloud-Anbieter vergeben wird, die strenge Kriterien erfüllen:
- Französische oder europäische Gerichtsbarkeit — das Unternehmen, das die Cloud betreibt, unterliegt nicht dem Cloud Act
- Mehrheitlich europäisches Kapital — keine Kontrolle durch eine dem außereuropäischen Recht unterliegende Einheit
- Physische Infrastruktur in Frankreich oder der EU — keine Speicherung oder Verarbeitung außerhalb der EU
- Befugtes Personal — die Personen mit technischem Zugriff auf die Daten sind europäisch und befugt
- Hohe Sicherheitsanforderungen — basierend auf den ISO-27001-Standards, wobei SecNumCloud strenger ist
In Frankreich sind bislang nur wenige Anbieter SecNumCloud-qualifiziert: hauptsächlich OVHcloud, Outscale (Dassault-Gruppe) und Scaleway.
SecNumCloud ist nicht „nur“ ein französischer Hoster
Viele französische Gesundheitsplattformen hosten bei einem französischen Anbieter, der AWS weiterverkauft: technisch in Frankreich, rechtlich über die Unterauftragsvergabe dem amerikanischen Recht unterworfen. SecNumCloud verbietet diese Konfiguration ausdrücklich.
Die Qualifizierung verlangt außerdem, dass der Anbieter jede ausländische Anordnung ablehnt, alle erhaltenen gerichtlichen Anfragen dokumentiert und regelmäßig von der ANSSI auditiert wird.
Die Vergleichstabelle
- AWS / Azure / Google Cloud Europe: dem Cloud Act unterworfen, US-Staatsanwalt kann erzwingen
- Französischer Anbieter, der AWS/Azure weiterverkauft: derselbe mittelbare Zwang
- Klassischer HDS-Anbieter: Hosting in Frankreich, aber nicht zwingend SecNumCloud (kann US-Abhängigkeiten haben)
- SecNumCloud-Anbieter: Cloud-Act-Immunität von der ANSSI garantiert
Wo stehen die französischen Akteure der digitalen Gesundheit?
Die Lage ist heterogen:
- Mon Espace Santé / DMP: gehostet bei Atos (heute Eviden), souveräne Infrastruktur
- Doctolib: Hosting in Frankreich, aber teilweise AWS — Reibungspunkt bei der Senatsanhörung 2021
- WEDA, Maiia, einige Arztsoftware: variables Hosting, oft bei französischen Anbietern
- Zahlreiche Gesundheits-Start-ups: AWS oder Azure standardmäßig, aus Gründen der Markteinführungsgeschwindigkeit
So prüfen Sie, wo Ihre Gesundheitsdaten gehostet werden
Sie haben das Recht, es zu erfahren. So üben Sie dieses Recht aus:
- Lesen Sie das Impressum der App oder Website — die Identität des Hosters ist verpflichtend
- Fragen Sie deren Datenschutzbeauftragten per E-Mail — die Antwort muss innerhalb eines Monats kommen (DSGVO, Artikel 15)
- Überprüfen Sie die HDS-Qualifizierung — für alle Gesundheitsdaten verpflichtend, auf der Website der ANS überprüfbar
- Suchen Sie nach dem Hinweis SecNumCloud — fehlt er, fragen Sie ausdrücklich nach der Cloud-Act-Konformität
Das Engagement von MDMC
My Data My Care hat sich für das Hosting bei einem HDS-zertifizierten französischen Anbieter entschieden, mit laufender SecNumCloud-Qualifizierung. Unsere Zero-Knowledge-Architektur fügt eine zusätzliche Ebene hinzu: Selbst im Falle einer Anordnung besitzen wir die Entschlüsselungsschlüssel nicht. Ihre Daten sind ohne Ihre kryptografische Zustimmung unlesbar.
Das steht in unseren AGB, überprüfbar in unserer Architektur, und gehört zu unseren Verpflichtungen aus dem Manifest.
Zum Merken
Die Wahl des Hostings ist kein technisches Detail. Sie entscheidet darüber, wer auf der Welt rechtmäßig auf Ihre Gesundheitsdaten zugreifen kann. SecNumCloud + Zero-Knowledge-Verschlüsselung ist heute das höchste Niveau digitaler Souveränität in Europa. Die anderen Optionen bedeuten in unterschiedlichem Maße Kompromisse bei Ihrer medizinischen Privatsphäre.