Was Berufsgeheimnisträger jetzt zur Cloud-Nutzung wissen müssen

Ab dem 18. August 2026 tritt die e‑Evidence‑Verordnung (EU) 2023/1543 vollständig in Kraft. Sie verändert grundlegend, wie Strafverfolgungsbehörden in der EU auf elektronische Daten zugreifen können – auch dann, wenn diese bei Cloud-Diensten gespeichert sind.

Für Berufsgeheimnisträger wie Ärzte, Psychotherapeuten, Anwälte oder Steuerberater ist das ein Einschnitt, der sowohl datenschutzrechtliche als auch berufsrechtliche Fragen aufwirft. Als Anbieter einer sicheren Cloud-Lösung möchten wir einordnen, was sich ändert und welche Konsequenzen das für die Praxis hat.

Was regelt die e‑Evidence‑Verordnung?

Die Verordnung schafft ein Verfahren, das es Behörden eines EU-Mitgliedstaats ermöglicht, direkt bei Cloud‑ und Kommunikationsanbietern in einem anderen EU-Land Daten anzufordern. Der bisher notwendige Weg über Rechtshilfeverfahren entfällt.

Angefragt werden können unter anderem:

  • Bestandsdaten (z. B. Name, E‑Mail-Adresse)
  • Verkehrs‑ und Metadaten (z. B. IP-Adressen, Zeitpunkte)
  • Inhaltsdaten (Dokumente, Nachrichten, Dateien)

Damit rückt der Cloud-Anbieter selbst in die Verantwortung: Er wird zum unmittelbaren Adressaten behördlicher Anordnungen.

Beschlagnahmeschutz und Schweigepflicht: Wo es kritisch wird

In Deutschland sind Patientendaten besonders geschützt.
Nach § 97 StPO sind Unterlagen, die der ärztlichen Schweigepflicht unterliegen, grundsätzlich beschlagnahmefrei.

Dieser Schutz bezieht sich jedoch auf Unterlagen, die sich im Gewahrsam des Arztes befinden – also klassisch in der Praxis.

Und was gilt für Daten in der Cloud?

Wer Patientendaten in einer:

  • Praxis‑Cloud
  • einem Dokumentenmanagement-System
  • oder der elektronischen Patientenakte (ePA)

speichert, übergibt sie einem externen Dienstleister. Genau hier entsteht eine rechtliche Unsicherheit:
Behörden in anderen EU-Staaten könnten argumentieren, dass der Beschlagnahmeschutz nicht für Daten gilt, die bei einem Cloud-Anbieter liegen.

Hinzu kommt: Ein Cloud-Anbieter kann in der Regel nicht beurteilen, ob die angeforderten Daten Berufsgeheimnisse betreffen.

Welche Pflichten haben Cloud-Anbieter?

Die Verordnung verpflichtet Anbieter grundsätzlich zur Kooperation. Das bedeutet:

  • Daten müssen bei gültiger Anordnung herausgegeben werden
  • Eine inhaltliche Prüfung ist dem Anbieter meist nicht möglich
  • Metadaten liegen häufig im Klartext vor und sind daher besonders sensibel

Für Berufsgeheimnisträger verschiebt sich das Risiko damit auf die technische Architektur der eingesetzten Cloud-Lösung.

Was bedeutet das für die Auswahl eines Cloud-Dienstes?

Wer sensible Daten verarbeitet, sollte künftig noch genauer auf die technischen Schutzmechanismen achten. Aus unserer Sicht sind drei Punkte entscheidend:

1. Konsequente Ende‑zu‑Ende‑Verschlüsselung (E2EE)

Nur wenn der Anbieter technisch keinen Zugriff auf Inhalte hat, bleibt die Vertraulichkeit gewahrt. Die Schlüssel müssen vollständig unter Kontrolle des Nutzers bleiben.

2. Schutz der Metadaten

Auch Dateinamen, Ordnerstrukturen oder Patientenakten dürfen nicht im Klartext sichtbar sein.

3. Sicherheit als fester Bestandteil der Architektur

Sicherheitsfunktionen dürfen nicht optional oder abschaltbar sein. Fehlbedienungen müssen technisch abgefangen werden.

Wie TeamDrive mit der e‑Evidence‑Verordnung umgeht

Auch wir unterliegen der Verordnung und müssen im gesetzlichen Rahmen kooperieren. Entscheidend ist jedoch, welche Daten wir überhaupt kennen – und welche nicht.

Unsere Architektur sorgt dafür, dass:

  • alle Inhalte durchgängig Ende‑zu‑Ende verschlüsselt sind,
  • die Schlüssel ausschließlich beim Nutzer liegen,
  • wir angeforderte Inhalte nur verschlüsselt herausgeben können,
  • und wir technisch nicht in der Lage sind, Daten zu entschlüsseln.

Welche Daten können wir herausgeben?

Nur solche Informationen, die wir selbst kennen, etwa:

  • E‑Mail-Adresse des Kunden
  • Zeitpunkt der letzten Anmeldung
  • IP-Adresse der letzten Anmeldung

Nicht bekannt sind:

  • Inhalte von Dateien
  • Namen von Patientenakten oder Dokumenten
  • Beziehungen zwischen Nutzern oder Freigaben

Ein wichtiger Punkt für Berufsgeheimnisträger

Unsere Sicherheitsarchitektur ist nicht optional. Sie lässt sich nicht abschalten und schützt damit nicht nur vor externen Zugriffen, sondern auch vor versehentlichen Fehlkonfigurationen. Das reduziert das persönliche Haftungsrisiko erheblich – ein Aspekt, der im Alltag oft unterschätzt wird.

Fazit: e‑Evidence verändert die Anforderungen an Cloud-Compliance

Die e‑Evidence‑Verordnung markiert einen Paradigmenwechsel in der europäischen Strafverfolgung. Für Berufsgeheimnisträger bedeutet das:

Rechtliche Schutzmechanismen allein reichen nicht mehr aus.
Technische Sicherheit wird zum entscheidenden Faktor.

Wer Cloud-Dienste nutzt, sollte prüfen, ob die eingesetzte Lösung:

  • echte Ende‑zu‑Ende‑Verschlüsselung bietet,
  • Metadaten wirksam schützt,
  • und selbst bei behördlichen Anordnungen nur technisch begrenzte Auskünfte ermöglicht.