top of page
Risorsa 2s.avif
Risorsa 2s.avif

Digitale Souveränität im Gesundheitswesen: Schweizer Gesundheitsdaten gehören in Schweizer Verantwortung

  • 30. Jan.
  • 4 Min. Lesezeit

Aktualisiert: 31. Jan.

In Schweizer Gesundheitseinrichtungen hat sich die Diskussion um Cloud-Lösungen grundlegend verändert. Was lange als technische Detailfrage an IT-Abteilungen delegiert wurde, ist heute eine strategische Führungsentscheidung. Sie betrifft Geschäftsleitungen, Verwaltungsräte und Datenschutzverantwortliche gleichermassen – und sie lässt sich nicht mehr mit Verweisen auf Effizienz oder Marktstandards umgehen.

 

Wer heute über die Verarbeitung von Gesundheitsdaten entscheidet, entscheidet nicht über Infrastruktur. Er entscheidet über Haftung, Vertrauen und Glaubwürdigkeit.

 

  

Rechtliche Realität trifft Führungsverantwortung

 

Aktuell warnen Datenschutzbehörden[1]  in der Schweiz ausdrücklich davor, besonders schützenswerte Behörden- und Verwaltungsdaten bei internationalen Cloud-Diensten zu verarbeiten – selbst dann, wenn diese physisch in der Schweiz betrieben werden. Hintergrund ist die extraterritoriale Wirkung ausländischer Gesetzgebungen, insbesondere aus den USA, die es dortigen Behörden ermöglichen, Zugriff auf Daten zu verlangen – unabhängig vom Speicherort.

 

Für öffentliche Institutionen in der Schweiz entsteht damit ein fundamentaler Rechtskonflikt. Der Schutz besonders sensibler Daten wie Gesundheits-, Sozial- oder Steuerdaten ist im Schweizer Recht klar geregelt. Gleichzeitig können internationale Anbieter diesen Schutz im Ernstfall nicht verbindlich garantieren. Das ist kein theoretisches Restrisiko, sondern eine systemische Unsicherheit.

 

In einer öffentlich kommunizierten Empfehlung[2] hat die Konferenz der Schweizer Datenschutzbeauftragten daher klar festgehalten, dass internationale Cloud-Dienste für sensible und vertrauliche Daten kaum noch als rechtlich unbedenklich gelten können.

 

Für Spitäler, Praxen und Gesundheitsverwaltungen bedeutet das: Cloud-Entscheide sind keine technische Wahlfreiheit mehr. Sie sind eine Frage der rechtlichen Verantwortung – und der Vertrauensbasis gegenüber Patientinnen und Patienten.

 

 

Föderale Realität: Datenschutz ist kantonal – und das verschärft die Lage

 

Hinzu kommt eine Besonderheit des Schweizer Systems, die in der Cloud-Debatte oft unterschätzt wird: Datenschutz im öffentlichen Bereich wird nicht einheitlich, sondern auf kantonaler Ebene geregelt und durchgesetzt. Die Kantone haben eigene Datenschutzgesetze, eigene Datenschutzbeauftragte und teilweise unterschiedliche Auslegungen zentraler Grundsätze.

 

Für Gesundheitseinrichtungen, die kantonsübergreifend tätig sind oder Leistungen für mehrere Kantone erbringen, bedeutet das eine zusätzliche Komplexitätsebene. Was in einem Kanton unter bestimmten Bedingungen akzeptiert wird, kann im nächsten bereits als kritisch oder unzulässig gelten.

 

Internationale Cloud-Modelle, die auf standardisierte Verträge, globale Prozesse und zentrale Governance setzen, geraten hier schnell an ihre Grenzen. Die praktische Umsetzung wird nicht nur rechtlich anspruchsvoll, sondern operativ kaum noch sauber steuerbar.

 

Je fragmentierter die rechtlichen Rahmenbedingungen, desto wichtiger werden klare Zuständigkeiten, einfache Verantwortungsmodelle und vollständige Kontrolle über Datenverarbeitung und Zugriff. Genau hier entscheidet sich, ob eine Cloud-Strategie tragfähig ist – oder nur auf dem Papier funktioniert.

 


„Absichern könnte man das doch“ – warum diese Logik oft scheitert

 

Ein häufig geäusserter Einwand lautet: Internationale Cloud-Dienste liessen sich doch mit zusätzlicher Verschlüsselung, vertraglichen Zusatzklauseln oder organisatorischen Massnahmen absichern. Theoretisch ist das korrekt. In der Praxis zeigt sich jedoch ein anderes Bild.

 

Erstens verlangen solche Absicherungen ein sehr hohes Mass an spezialisiertem Know-how, permanenter Kontrolle und disziplinierter Umsetzung über Jahre hinweg. Sicherheitskonzepte scheitern selten am Design – sie scheitern an Realität: an Personalwechseln, Zeitdruck, Budgetrestriktionen und widersprüchlichen Prioritäten.

 

Zweitens bleibt die Verantwortung in jedem Fall bei der eigenen Institution. Nicht beim Cloud-Anbieter, nicht beim Berater, sondern bei den Entscheidungsträgern. Wer eine komplexe Absicherungsarchitektur wählt, trägt auch die volle Verantwortung dafür, dass sie jederzeit korrekt funktioniert.

 

Drittens wird ein zentraler Widerspruch oft ausgeblendet: Ende-zu-Ende-Verschlüsselung und der produktive Betrieb von KI-Modellen schliessen sich in der Praxis weitgehend aus. KI-Systeme müssen Daten verarbeiten, analysieren und kontextualisieren können. Werden Daten vollständig End-to-End verschlüsselt, stehen sie dem Modell faktisch nicht mehr in nutzbarer Form zur Verfügung. Die vermeintlich „maximal sichere“ Lösung führt damit dazu, dass KI-Anwendungen entweder technisch nicht sinnvoll betrieben werden können oder in ihrer Funktionalität stark eingeschränkt sind.

 

Das Ergebnis ist eine strategische Sackgasse: Entweder man erlaubt den Zugriff auf Daten und akzeptiert die rechtliche Unsicherheit – oder man verschlüsselt konsequent und verzichtet faktisch auf den produktiven Einsatz von KI im Gesundheitsumfeld.

 

Gerade dort, wo Patientendaten betroffen sind, gilt deshalb ein unbequemer, aber realistischer Grundsatz: Was organisatorisch zu komplex oder konzeptionell widersprüchlich ist, wird im Alltag nicht dauerhaft und verantwortbar umgesetzt. Und was nicht dauerhaft verantwortbar umgesetzt werden kann, ist für hochsensible Gesundheitsdaten keine tragfähige Option.

 

 

Souveräne Schweizer Lösungen: keine Vision, sondern Realität

 

Vor diesem Hintergrund ist der Ruf nach souveränen Schweizer Cloud-Lösungen kein politisches Schlagwort, sondern eine logische Konsequenz. Gemeint sind Lösungen, die:

 

  • ausschliesslich in der Schweiz von Schweizer Cloud-Anbietern betrieben werden

  • vollständig unter schweizerischer Rechtsordnung stehen

  • keinen Zugriff durch ausländische Gesetzgebungen erlauben

  • klare, nachvollziehbare Verantwortlichkeiten schaffen

  • Transparenz für Aufsichts- und Datenschutzstellen ermöglichen

 

Digitale Souveränität bedeutet dabei nicht Abschottung oder Innovationsverzicht. Sie bedeutet Gestaltungsfreiheit innerhalb eines klaren rechtlichen Rahmens.

 


Unser Ansatz aus der Praxis

 

Auch wir haben uns bei Saipient intensiv mit diesen Fragen auseinandergesetzt. Die Entscheidung, neben einer bestehenden Lösung auf einer internationalen Plattform bewusst eine vollständig souveräne Variante aufzubauen, war kein Marketingentscheid. Sie war das Ergebnis zahlreicher Gespräche mit Datenschutzbeauftragten, Geschäftsleitungen und Verwaltungsräten im Gesundheitswesen.

 

Die souveräne Lösung:

 

  • wird mit Schweizer Cloud-Anbietern betrieben

  • erzeugt keine Abhängigkeit von ausländischer Gesetzgebung

  • basiert auf offenen, transparenten KI-Modellen

  • ist heute bereits produktiv im Einsatz

 

Die erste Umsetzung wurde gemeinsam mit Phoenix Technologies realisiert – nicht als Pilotprojekt, sondern im regulären Betrieb bei Kunden im Spital- und Praxisumfeld. Das zeigt: Souveränität ist nicht theoretisch möglich, sondern operativ machbar.

 

 

Was das für Entscheiderinnen und Entscheider konkret bedeutet

 

Für Geschäftsleitungen, Verwaltungsräte, CIOs und Datenschutzverantwortliche im Gesundheitswesen lassen sich daraus klare Schlussfolgerungen ziehen:

 

  • Digitale Souveränität ist eine Governance-Frage, keine technische Detaildiskussion.

  • Rechtliche Klarheit und Kontrolle über Daten stehen über technologischer Bequemlichkeit.

  • Die föderale Datenschutzrealität der Schweiz erhöht die Anforderungen an Cloud-Strategien erheblich.

  • Kurzfristige Effizienzgewinne durch internationale Anbieter können langfristig erhebliche rechtliche und reputative Risiken erzeugen.

  • Es existieren heute tragfähige, souveräne Alternativen, die Datenschutz und Innovation miteinander verbinden.

 

 

Fazit

 

Die entscheidende Frage ist nicht, ob internationale Cloud-Plattformen leistungsfähig sind. Die Frage ist, ob ihre rechtlichen Rahmenbedingungen mit der Verantwortung vereinbar sind, die Schweizer Gesundheitseinrichtungen gegenüber Patientinnen und Patienten tragen.

 

Unsere Erfahrung aus der Praxis ist klar: Schweizer Souveränität und digitale Innovation schliessen sich nicht aus. Im Gegenteil – sie gehören zusammen, wenn Verantwortung ernst genommen wird. Wer heute Cloud-Entscheide trifft, entscheidet nicht nur für die eigene Organisation, sondern für das Vertrauen der Menschen, deren Daten ihm anvertraut sind.




[1] Swissinfo: Data protection officer warns Swiss authorities over US cloud risks  https://www.swissinfo.ch/eng/various/data-protection-officer-warns-swiss-authorities-over-us-cloud-risks/90478203


[2] MetaNet Blog: Schweizer Datenschutzbehörden schränken Cloud‑Nutzung für Ämter drastisch ein  https://www.metanet.ch/de/blog/schweizer-datenschutzbehoerden-schraenken-cloud-nutzung-fuer-aemter-drastisch-ein

 

 
 
bottom of page