Viele KI-Anbieter werben mit „Daten in Deutschland" — und liefern trotzdem an US-Konzerne aus. Was hinter den Begriffen steckt und worauf Sie als Arztpraxis achten müssen, ohne Datenschutzbeauftragten zu Hilfe zu rufen.
„EU-Server” ist das Lieblings-Etikett der KI-Anbieter. Es klingt beruhigend. Aber es löst das eigentliche Problem nicht. Hier in einfacher Sprache, was dahintersteckt.
Stellen Sie sich vor, eine deutsche Bank speichert Ihre Kontodaten in einem Tresor in Berlin — aber der Bank-Konzern selbst hat seinen Hauptsitz in den USA. Die US-Regierung kann den Konzern auffordern, Daten herauszugeben — auch die aus dem Berliner Tresor. Der Konzern darf das oft nicht einmal Ihnen sagen.
Genau das passiert in der KI-Welt. Microsoft, Amazon und Google haben Rechenzentren in Deutschland — aber die Mutterkonzerne sind US-Firmen. Wenn die KI Ihres Anbieters auf einer dieser Infrastrukturen läuft, können US-Behörden theoretisch verlangen, dass Ihre Patientendaten herausgegeben werden.
US-Recht reicht über Ländergrenzen. Ein Gesetz aus den USA verpflichtet US-Konzerne zur Datenherausgabe — egal, wo die Daten physisch liegen.
Geheim-Anordnungen sind möglich. US-Behörden können Daten anfordern, ohne dass der Empfänger das jemandem mitteilen darf. Deutsche Datenschutzbehörden (allen voran in Baden-Württemberg) haben mehrfach festgestellt, dass das mit der ärztlichen Schweigepflicht und §203 StGB schlecht zusammenpasst.
Verträge zwischen EU und USA sind wackelig. Die letzten zwei „Datenschutz-Abkommen” sind vor Gericht gefallen. Das aktuelle hält möglicherweise auch nicht. Wer auf US-Cloud setzt, baut auf einem Fundament, das jederzeit wegrutschen kann.
Wenn Ihre KI-Doku auf Microsoft Azure (Frankfurt) oder ähnlich läuft — egal wie schön das Datacenter ist — gilt:
Wenn die Daten Ihre Räume nicht verlassen, ist die ganze Diskussion über Drittlands- Übertragungen erledigt. Wichtig: keine versteckten „heimliche Datenrückmeldungen”-Mechanismen — manche Anbieter schicken im Hintergrund Telemetrie zurück, das müssen Sie ausschließen.
Wenn Sie sicher sein wollen, dass kein US-Recht greift, brauchen Sie:
Das schließt fast alle Aufsätze auf OpenAI, Anthropic und Google aus — auch wenn sie eine deutsche Niederlassung haben.
Eine moderne Form der Verschlüsselung sorgt dafür, dass selbst der Betreiber der Hardware die Daten nicht lesen kann. Wenn das mit europäischer Hardware kombiniert wird, haben Sie eine saubere Lösung: Sie können große KI-Modelle nutzen, ohne die Hoheit über Ihre Daten zu verlieren.
Wichtig: Diese Verschlüsselung muss tatsächlich aktiv und nachweisbar sein — nicht „der Anbieter sagt, es ist eingeschaltet”, sondern „wir können auf Knopfdruck zeigen, dass es lief”.
Bevor Sie einen KI-Vertrag unterschreiben:
- Wer ist die rechtliche Konzernmutter des Anbieters?
- Wer betreibt die Hardware, auf der die KI läuft? Welche Sub-Anbieter?
- Sind US-Cloud-Anbieter (AWS, Azure, Google) im Hintergrund — auch nur für Hilfsfunktionen?
- Gibt es nachweisbare Verschlüsselung, in die niemand mitlesen kann?
- Welche US-Beteiligungen existieren über Investoren oder Vorstände?
- Wird bei Vertragsende eine schriftliche Lösch-Bestätigung ausgestellt?
„DSGVO-konform” und „EU-Server” sind nicht dasselbe wie „kein US-Recht greift”. Wer wirklich US-rechtsfreie KI braucht — etwa für die ärztliche Schweigepflicht oder für sensible Patientenklientel —, muss tiefer prüfen.
Vor-Ort-KI mit Hardware in der Praxis und/oder Verschlüsselung ohne US-Konzern-Beteiligung sind die zwei sauberen Antworten. Alles andere ist ein Kompromiss, den Sie bewusst eingehen sollten — mit klarem Blick auf das Risiko.
30 Minuten Demo. Mit Ihren echten Beispielen. Ohne Verkaufsmasche.