E-Mail-Infrastruktur für Gesundheitsorganisationen unter DSGVO Art. 9, §22 BDSG-neu und dem EHDS-Regime
Gesundheits-E-Mail ist die Workload, in der Fehler am meisten kosten. Die Aufsichtsbehörden — der BfDI in Deutschland, die FMA in Österreich, der EDÖB in der Schweiz — verzeichnen jährlich hunderte E-Mail-bezogene Vorfälle mit Patientendaten. Ein vergessenes BCC legt 912 Patientenakten offen, ein falscher Autocomplete sendet eine Diagnose an den falschen Kollegen, ein erfolgreicher Phishing-Angriff macht ein Konto zur Brücke für 9.850 Patienten. Jeder begann mit einer Routine-E-Mail. Die Infrastruktur, die Patientenkommunikation handhabt, muss annehmen, dass Fehler passieren und standardmäßig verschlüsseln statt sich auf das Urteil des Personals zu verlassen.
DSGVO Art. 9 regiert Gesundheitsdaten seit 2018. EHDS ist gerade in Kraft getreten. E-Mail zwischen Behandler und Patient wird von beiden reguliert.
In der Europäischen Union klassifiziert Artikel 9 der DSGVO Gesundheitsdaten seit Mai 2018 als besondere Kategorie und erfordert verstärkte Rechtsgrundlagen für ihre Verarbeitung. E-Mail ist als Kommunikationskanal erlaubt — Artikel 28 rahmt die Verantwortlicher-Auftragsverarbeiter-Beziehung zwischen Gesundheitseinrichtung und E-Mail-Anbieter — aber die Infrastruktur muss die geeigneten technischen und organisatorischen Maßnahmen nach Art. 32 implementieren. Für Deutschland speziell verstärken §22 BDSG-neu sowie die spezifischen Anforderungen der Datenschutzkonferenz (DSK) und der jeweiligen Landesdatenschutzbeauftragten diese Schicht mit nationalen Anforderungen.
Gesundheitsdaten unter der DSGVO sind weiter gefasst, als die meisten Kliniker zunächst erwarten. Sie umfassen nicht nur Diagnosen und Behandlungen, sondern auch jede identifizierbare Gesundheitsinformation, die mit der Versorgung, Zahlung oder Behandlung des Patienten verbunden ist. Eine E-Mail-Adresse, die mit einer Patientenakte verknüpft ist, ein Name kombiniert mit einem Termin in einer Facharztpraxis — alle sind Gesundheitsdaten nach DSGVO Art. 4(15). Sogar E-Mail-Betreffzeilen und Nachrichten-Header können Gesundheitsdaten enthalten. Ein Betreff „Diabetes-Testergebnisse von Hans Müller" ist eine unzulässige Offenlegung, bevor die E-Mail überhaupt geöffnet wird, weil Header nicht Ende-zu-Ende verschlüsselt sind und TLS sie nur während des Transits zwischen Servern schützt, nicht im Postfach des Empfängers.
Am 26. März 2025 trat der Europäische Gesundheitsdatenraum (EHDS) Verordnung (EU) 2025/327 in Kraft. Die EHDS ersetzt nicht die Schutzbestimmungen des Art. 9 DSGVO für Gesundheitsdaten; sie ergänzt sie durch einen sektoralen Rahmen für die Primärnutzung (Gesundheitsversorgung) und Sekundärnutzung (Forschung, Innovation) elektronischer Gesundheitsdaten in der gesamten EU. Die EHDS-Verordnung gilt ab 26. März 2027, mit den wichtigsten Primärnutzungsbestimmungen operativ ab 26. März 2029. Bis Juni 2025 musste jeder EU-Mitgliedstaat eine Nationale Digitale Gesundheitsbehörde ernennen; bis Januar 2026 mussten EHR-Anbieter ihre Systeme für Interoperabilität und Sicherheits-Compliance zertifizieren.
Für Deutschland sind das die Gematik (für Telematikinfrastruktur) und das BfArM (für Software als Medizinprodukt), mit zusätzlichen Anforderungen aus dem Patientendaten-Schutz-Gesetz (PDSG 2020) und dem Krankenhauszukunftsgesetz (KHZG 2020), das die digitale Infrastruktur in deutschen Krankenhäusern finanziert. Die DSGVO Art. 32 kombiniert mit §22 BDSG-neu, dem PDSG und den KRITIS-Anforderungen für Krankenhäuser ab 30.000 stationären Fällen pro Jahr (BSI-Kritisverordnung) machen Gesundheits-E-Mail in DACH zur am stärksten regulierten E-Mail-Kategorie der Wirtschaft. Für Schweizer Kliniken: das revidierte Datenschutzgesetz (DSG) seit 1. September 2023, EDÖB-Aufsicht.
Die Strafen sind in allen Regimen schwerwiegend. DSGVO erlaubt Bußgelder bis zu €20M oder 4% des globalen Jahresumsatzes. Der BfDI und die Landesdatenschutzbeauftragten haben konsequent fünf- bis sechsstellige Sanktionen gegen Gesundheitseinrichtungen für unsichere E-Mail-Brüche verhängt. EHDS fügt eine zusätzliche Bußgeld-Schicht hinzu: bis zu €10M oder 2% für geringfügige Verstöße, bis zu €20M oder 4% für schwere.
Was eine Gesundheitsorganisation jährlich an E-Mail-bezogenen Datenpannen verliert
Bewegen Sie die Schieberegler. Die Mathematik approximiert die dokumentierten Pro-Datensatz-Bruchkosten im Gesundheitswesen (€400 bis ~€2.000) kombiniert mit der Pro-Personal-Konto-Expositionsrate, die das BfDI-Archiv vorschlägt.
Multiplikatoren: Klartext + Portal = 1,0×; TLS opportunistisch (Office 365 + AVV) = 0,55×; Verschlüsseltes Portal mit AVV = 0,20×; Auto-Verschl. + DLP + Audit + MFA = 0,05×.
Wechseln Sie zu Auto-Verschl. + DLP + Audit + MFA, und die Exposition sinkt um ~95%. Die Erwartung des Art. 32 DSGVO ist, dass das System, nicht das Personal, unzulässige Offenlegungen verhindert.
Wie Gesundheitsorganisationen Patientendaten per E-Mail tatsächlich handhaben
Die meisten Gesundheitsorganisationen landen in einer von drei Konfigurationen.
Verbraucher-E-Mail + Portal-Anmelde-Benachrichtigungen
Das häufigste Muster in kleinen Praxen. Personal nutzt Verbraucher-Gmail/Yahoo (ohne AVV), Patientenkommunikation läuft durch einen Portal-Workflow mit generischer Benachrichtigung. Das Portal ist AVV-abgedeckt, aber jede E-Mail außerhalb ist ein DSGVO-Risiko.
- Praktische Nutzung
- ~1-5 Kliniker
- Bricht bei
- Jeder E-Mail außerhalb des Portals
- BfDI-Sicht
- Unzureichend nach Art. 32
Akzeptabel nur, wenn die Disziplin perfekt ist. In der Praxis bricht die Disziplin binnen Monaten.
TLS-opportunistische Verschlüsselung mit AVV
Microsoft 365 Business oder Google Workspace, beide unterzeichnen AVVs nach Art. 28 mit Gesundheitskunden. TLS zwischen Servern wenn beide unterstützen; Fallback auf Klartext sonst.
- Praktische Nutzung
- 5-500 Kliniker
- Schwäche
- TLS-Fallback + Betreff-Exposition
- BfDI-Sicht
- Akzeptabel mit Risikobewertung
Der DSGVO-konforme Default für die meisten Praxen. Verbleibende Exposition: Betreffzeilen, TLS-Fallback-Lücke, und die Unfähigkeit, DLP automatisch zu erzwingen.
Jede E-Mail als Gesundheitsdaten angenommen, unabhängig verschlüsselt
Die Architektur für Organisationen, wo Disziplin nicht angenommen werden kann. DLP scannt nach Versichertennummer, Rentenversicherungsnummer, ICD-10-Codes; MFA erzwungen; Audit-Logs erfüllen Art. 32; Bruchermittlung innerhalb 72h Frist nach Art. 33.
- Praktische Nutzung
- 500+ Kliniker
- Breakeven
- 50+ klinisches Personal
- BfDI-Sicht
- Geeignete technische Maßnahmen
Wo die Mathematik funktioniert für Organisationen mit 50+ klinischem Personal. KRITIS-pflichtige Krankenhäuser, Universitätskliniken, Helios, Asklepios, Sana operieren auf dieser Skala.
Wo Gesundheitsdaten in einer E-Mail enden und wie jede Verschlüsselungsmethode damit umgeht
| Nachrichtenkomponente | TLS (nur Transit) | PGP / S/MIME | Portal-Zustellung | AH Auto-Verschl. |
|---|---|---|---|---|
| Betreffzeile | Nur im Transit; im Postfach sichtbar | Gar nicht verschlüsselt | Nur generische Benachrichtigung | Auto-gereinigt bei Erkennung |
| Nachrichtenkörper | Klartext im Postfach | Ende-zu-Ende verschlüsselt | Hinter Portal-Auth | E2E verschlüsselt |
| Anhänge | Empfänger speichert Klartext | Verschlüsselt | Hinter Portal-Auth | Verschlüsselt + protokolliert |
| Absender-/Empfängerfelder | Immer sichtbar (RFC 5321) | Immer sichtbar | Portal-intern | Sichtbar |
| BCC-Disziplin | Verlässt sich auf Personal | Verlässt sich auf Personal | Portal handhabt Listentrennung | BCC erzwungen bei Multi-Empfänger |
| Audit-Trail (Art. 32) | Nur Mailserver-Logs | Nur Mailserver-Logs | Portal-Zugriffslogs | Zustellung und Lesebestätigung |
| TLS-Fallback | Stiller Fallback auf Klartext | Unabhängig von TLS | Nicht zutreffend | Routet über sicheres Portal |
Vergleich verifiziert gegen BfDI-Dokumentation zu technischen Maßnahmen nach Art. 32 DSGVO, BSI-Empfehlungen für Krankenhäuser, Paubox HIPAA-E-Mail-Leitfaden 2026, und HHS Office for Civil Rights Bruchberichtsarchiv 2023-2025.
Die Plattformteile, die Art. 32 DSGVO, §22 BDSG-neu und das EHDS-Regime zusammen erfüllen
Was wir liefern, ist die regulierte Sendeschicht unter Ihrem EHR, Patientenportal und klinischen Kommunikationssystemen. Wir ersetzen nicht Compugroup Medical, Dedalus, Telekom Healthcare Solutions, doctolib; wir ersetzen das SMTP-Relay darunter plus die Verschlüsselungs-, Audit- und Bruchermittlungs-Workflows, die Art. 32 DSGVO, §22 BDSG-neu und das PDSG verlangen.
- AVV-Rahmen nach Art. 28 DSGVO, unterschriftsbereit Vorgefertigter AVV ausgerichtet auf Art. 28 DSGVO, erlaubte Ausnahmen dokumentiert, Bruchmeldung innerhalb 72h wie Art. 33 verlangt. Für DACH-Spezifika: §22 BDSG-neu Hinweise, KRITIS-Konformitätsbescheinigung, PDSG-Alignment. Für Österreich: DSG. Für Schweiz: revidiertes DSG mit EDÖB-Aufsicht.
- Auto-Verschlüsselung bei Gesundheitsdaten-Erkennung Das ausgehende DLP scannt nach DSGVO-Identifikatoren (Versichertennummer, Rentenversicherungsnummer, Krankenversicherten-ID), AT/CH-Äquivalenten, und klinischen Mustern (ICD-10-Codes, gängige Diagnoseterminologie). Erkennung löst automatische Verschlüsselung aus.
- Betreffzeilen-Bereinigung Unser DLP scannt den Betreff unabhängig vom Körper; bei Erkennung wird der Betreff durch einen neutralen Platzhalter ersetzt („Sichere Nachricht von Dr. Müllers Praxis — Anmelden zum Lesen").
- Auditkontrollen nach Art. 32 DSGVO Per-Nachricht Audit-Trail: Absender, Empfänger (einschließlich BCC), Zeitstempel, Nachrichten-ID, Verschlüsselungsmethode, Zustellstatus, Lesebestätigungen, Aufbewahrung für den von Ihrer Organisation spezifizierten Zeitraum. Export-fertig für jede BfDI- oder Health Data Access Body-Anfrage.
- Mehrfaktor-Authentifizierungs-Durchsetzung MFA auf jedem Personalkonto, das Gesundheitsdaten berührt, mit TOTP, FIDO2/WebAuthn-Sicherheitsschlüsseln, oder SMS als Fallback. Authentifizierungsfehler werden protokolliert; wiederholte Fehler lösen Kontosperrung aus.
- BCC-Disziplin auf der Relay-Ebene Das häufigste Bruchmuster sind Multi-Empfänger-E-Mails ohne BCC. Wenn unser System mehrere Empfänger auf An:- oder CC:-Zeile in einer Patientennachricht erkennt, werden die Empfänger stillschweigend nach BCC verschoben.
- Bruchermittlung innerhalb der 72h-Frist nach Art. 33 Unser Workflow markiert verdächtige Muster, fehlgeleitete Nachrichten und Authentifizierungsanomalien nahezu in Echtzeit. Die technischen Bruchdaten sind strukturiert für die direkte Einbindung in die Benachrichtigung an Ihre zuständige Behörde (BfDI, Landesdatenschutzbeauftragte, FMA, EDÖB).
- Nur-EU-Routing in Stockholm und Frankfurt Primärinfrastruktur in Stockholm, Sekundär in Frankfurt. Die Schrems-II-Fragen, die jede US-geroutete Mail mit Art.-9-Daten komplizieren, gelten nicht. Für deutsche Krankenhäuser erfüllt das die BfArM-Erwartungen und die §22 BDSG-neu-Anforderungen.
Wie Gesundheits-Engagements typischerweise dimensioniert werden
SMTP Relay Pro + AVV · €749/Monat
20 dedizierte IPs, AVV inklusive, Auto-Verschlüsselung + Betreff-Bereinigung, MFA-Durchsetzung, Auditkontrollen. Die Konfiguration für Kliniken mit ~5-50 Klinikern (Terminerinnerungen, Laborergebnisse, Abrechnungs-Comms).
SMTP Relay ansehenPowerMTA Pro + Managed Deliverability · €2.699/Monat
PowerMTA Pro (€1.499) + Managed Deliverability (€1.200). 20 dedizierte IPs, 150K Nachrichten/h, benannter Compliance-Ingenieur, voller Audit- und DLP-Stack, Bruchermittlung innerhalb 72h-Frist, AVV-Rahmen mit Unterauftragsverarbeiter-Register. Typische Setting-Stufe für Arztgruppen mit 50-500 Klinikern.
Managed Deliverability ansehenCustom · ab €5.999/Monat
Multi-Server-Architektur über Stockholm + Frankfurt, dedizierter IP-Raum, benannter SLA mit Sub-30-Minuten-Antwort auf gesundheitsdatenbezogene Vorfälle, KRITIS-Audit-Unterstützung, Integration mit Compugroup/Dedalus/doctolib SMTP-Gateways, Nationale Digitale Gesundheitsbehörde-Verbindung für europäische Organisationen.
Gespräch eröffnenWas Gesundheitsorganisationen vor Vertragsabschluss fragen
Was deckt Ihr AVV ab und wie sieht die Unterauftragsverarbeiter-Situation aus?
+
Unser AVV ist mit den nach Art. 28 DSGVO geforderten Begriffen ausgerichtet: Wir verarbeiten Gesundheitsdaten nur wie vom AVV erlaubt, implementieren geeignete Maßnahmen nach Art. 32, melden Brüche innerhalb der vom AVV spezifizierten Frist (Standard 24h nach Entdeckung), machen Daten für das Recht auf Auskunft nach Art. 15 verfügbar, dokumentieren jede Unterauftragsverarbeiter, und geben oder zerstören Daten beim Vertragsende zurück, sofern nicht gesetzlich erforderlich.
Unterauftragsverarbeiter: Unsere Infrastruktur läuft auf Bare-Metal-Servern in unseren Stockholm- und Frankfurt-Einrichtungen, beide direkt betrieben (nicht auf AWS, nicht auf Azure, nicht auf Google Cloud). Die Unterauftragsverarbeiter-Liste ist kurz: DNS, die Netzwerkanbieter in jedem Rechenzentrum. Jeder Unterauftragsverarbeiter hat einen AVV mit uns.
Wie funktioniert der Terminerinnerungs-Fluss, wenn ein Patient unverschlüsselter E-Mail zustimmt?
+
Die DSGVO erlaubt ausdrücklich, dass der Verantwortliche alternative Kommunikationsmittel akzeptiert, wenn der Betroffene dies ausdrücklich verlangt. Der BfDI und die Landesdatenschutzbeauftragten haben in mehreren Stellungnahmen klargestellt, dass der Patient unverschlüsselte E-Mail-Erinnerungen erhalten kann, sofern er über die Risiken informiert wurde.
Was wir liefern: ein Pro-Patient-Einwilligungs-Flag in der Datenbank. Bei aktiviertem Flag behandelt unser DLP die Erinnerungen dieses Patienten anders — Terminerinnerungen, Abrechnungsbenachrichtigungen und ähnliche Kommunikation niedriger Sensibilität können als Klartext fließen (mit generischem Betreff ohne Gesundheitsdaten), während klinische Kommunikation (Laborergebnisse, Rezeptdetails, Diagnoseinformationen) trotzdem automatische Verschlüsselung auslöst.
Was passiert, wenn eine E-Mail mit Gesundheitsdaten fehlgeleitet wird?
+
Das 24-48-Stunden-Fenster zählt am meisten. Erkennung: Unser DLP markiert Multi-Empfänger-Nachrichten, ungewöhnliche Empfänger-Domains (Verbraucher-Gmail/Hotmail wenn das Patientenprofil Office 365 zeigt), und Adressen, die mit Personal- oder Anbieterkonten in einer klinischen Nachricht übereinstimmen. Wenn das Flag auslöst, wird die Nachricht in der Ausgangswarteschlange gehalten und Absender plus unmittelbarer Vorgesetzter werden binnen 60 Sekunden benachrichtigt.
Wenn eine Nachricht doch durchgeht, beginnt der Art.-33-Uhr-Workflow: sofortige Benachrichtigung an Ihren Datenschutzbeauftragten, vorab gefüllte Bruchbewertungsvorlage mit den technischen Fakten, Anfrage zur Löschung beim Empfänger (rechtlich schwach, aber wert, sie zu tun), und der Art.-33-Uhr beginnt — Meldung an die zuständige Aufsichtsbehörde (BfDI für föderale Themen, Landesdatenschutzbeauftragte für die Mehrheit der Fälle) innerhalb 72h.
Wie integriert dies mit unserem EHR (Compugroup, Dedalus, doctolib, Telekom Healthcare)?
+
Zwei Integrationsmuster. SMTP-Relay-Muster: Compugroup/Dedalus/doctolib/Telekom Healthcare authentifiziert an unser SMTP-Relay, das EHR bleibt die Quelle der Patientenkommunikation, unsere Infrastruktur handhabt Verschlüsselung, DLP, Audit und Zustellung. Der klinische Kontext des EHRs wird uns nicht offengelegt; wir sehen Envelope-Level-Metadata und Nachrichtenstruktur, nicht die Patientenakte.
HTTP-API-Muster: für Organisationen, die neuere Workflows bauen (Telemedizin-Plattformen, Patient-Engagement-Schichten auf einem bestehenden EHR), ruft das EHR oder die Middleware unsere API direkt mit strukturierten Nachrichtenvorlagen auf. Dieses Muster ist häufiger in europäischen Deployments, wo die EHDS-Interoperabilitätsstandards API-basierte Integration fördern.
Wie interagiert EHDS mit dem, was Sie liefern?
+
EHDS (Verordnung EU 2025/327) ist hauptsächlich ein Interoperabilitäts- und grenzüberschreitendes Zugriffsrahmenwerk, kein Verschlüsselungsmandat. Die meisten Bestimmungen gelten erst ab 26. März 2027, mit den wichtigsten Primärnutzungsfunktionen (Patientenzusammenfassungen, eRezepte/eDispensationen über Grenzen ausgetauscht) operativ bis 26. März 2029.
Was das für unsere Infrastruktur bedeutet: Wir ersetzen nicht Ihr EHR (die EHDS-Zertifizierung gilt dort), aber wir sind Teil des Sicherheitsperimeters, nach dem die Nationale Digitale Gesundheitsbehörde Ihres Mitgliedstaats während der Aufsicht fragen kann. Das Audit-Trail ist strukturiert, um sowohl Art. 32 DSGVO als auch die EHDS-Anforderungen für Sicherheit, Vertraulichkeit und Integrität zu erfüllen.
Was deckt das KHZG/KRITIS für Krankenhausverbünde ab?
+
Das Krankenhauszukunftsgesetz (KHZG) 2020 stellt €4,3 Mrd zur Verfügung, um die digitale Infrastruktur deutscher Krankenhäuser zu modernisieren, mit Fördertatbestand 10 (IT-Sicherheit) speziell für Maßnahmen zur Verbesserung der IT-Sicherheit. Mindestens 15% jeder KHZG-Förderung müssen in IT-Sicherheit fließen — was die E-Mail-Infrastruktur als förderfähigen Investitionsbereich qualifiziert.
Für KRITIS-pflichtige Krankenhäuser (ab 30.000 stationären Fällen pro Jahr unter der BSI-Kritisverordnung) sind die Anforderungen strenger: zweijährliche Audits nach §8a BSIG, Meldepflicht bei IT-Sicherheitsvorfällen an das BSI binnen 24h, Stand der Technik bei IT-Sicherheitsmaßnahmen. Unsere Infrastruktur ist mit dieser Schicht ausgerichtet — Audit-Trail strukturiert für §8a-Berichte, Bruchermittlung mit der für BSI-Meldungen erforderlichen technischen Tiefe, Stand-der-Technik-Verschlüsselungs-Mathematik dokumentiert für die Audit-Vorbereitung.
Was ist mit MFA und der vorgeschlagenen 2025 HIPAA Security Rule?
+
Für DSGVO unter Art. 32 ist die Erwartung der Industrie für Systeme, die besondere Kategoriendaten handhaben, bereits MFA — das hat der BfDI in mehreren Stellungnahmen konsequent klargestellt. Unsere Infrastruktur erzwingt MFA auf jedem Personalkonto, das Gesundheitsdaten berührt, als Standard — TOTP (Google Authenticator, Authy, 1Password etc.), FIDO2/WebAuthn-Sicherheitsschlüssel (YubiKey, Apple/Google Passkeys), oder SMS als Fallback für Personal ohne Zugriff auf andere Methoden.
Für US-Organisationen unter HIPAA: Die vorgeschlagene 2025-Aktualisierung klassifiziert MFA von „adressierbar" (die Covered Entity entscheidet basierend auf Risikobewertung) zu „erforderlich" (die Covered Entity muss implementieren) um. Ab Anfang 2026 ist die Regel noch im Vorschlag — die endgültige Annahme wird durch den regulatorischen Kommentarprozess erwartet — aber die Richtung ist klar.
Erzählen Sie uns von Ihrer Organisation
Praxisgröße, EHR, regulatorischer Perimeter (DSGVO + BDSG-neu, EHDS, KRITIS-pflichtig, HIPAA falls relevant), aktuelles E-Mail-Setup, und was speziell Sie dazu gebracht hat, die E-Mail-Infrastruktur zu überprüfen. Wir kommen mit einem dimensionierten Vorschlag, einem AVV und einem vorausgefüllten Sicherheitsfragebogen zurück.