23 Jahre aus Stockholm
Lösungen · Gesundheitswesen

E-Mail-Infrastruktur für Gesundheitsorganisationen unter DSGVO Art. 9, §22 BDSG-neu und dem EHDS-Regime

Gesundheits-E-Mail ist die Workload, in der Fehler am meisten kosten. Die Aufsichtsbehörden — der BfDI in Deutschland, die FMA in Österreich, der EDÖB in der Schweiz — verzeichnen jährlich hunderte E-Mail-bezogene Vorfälle mit Patientendaten. Ein vergessenes BCC legt 912 Patientenakten offen, ein falscher Autocomplete sendet eine Diagnose an den falschen Kollegen, ein erfolgreicher Phishing-Angriff macht ein Konto zur Brücke für 9.850 Patienten. Jeder begann mit einer Routine-E-Mail. Die Infrastruktur, die Patientenkommunikation handhabt, muss annehmen, dass Fehler passieren und standardmäßig verschlüsseln statt sich auf das Urteil des Personals zu verlassen.

Die regulatorische Landschaft 2026

DSGVO Art. 9 regiert Gesundheitsdaten seit 2018. EHDS ist gerade in Kraft getreten. E-Mail zwischen Behandler und Patient wird von beiden reguliert.

In der Europäischen Union klassifiziert Artikel 9 der DSGVO Gesundheitsdaten seit Mai 2018 als besondere Kategorie und erfordert verstärkte Rechtsgrundlagen für ihre Verarbeitung. E-Mail ist als Kommunikationskanal erlaubt — Artikel 28 rahmt die Verantwortlicher-Auftragsverarbeiter-Beziehung zwischen Gesundheitseinrichtung und E-Mail-Anbieter — aber die Infrastruktur muss die geeigneten technischen und organisatorischen Maßnahmen nach Art. 32 implementieren. Für Deutschland speziell verstärken §22 BDSG-neu sowie die spezifischen Anforderungen der Datenschutzkonferenz (DSK) und der jeweiligen Landesdatenschutzbeauftragten diese Schicht mit nationalen Anforderungen.

Gesundheitsdaten unter der DSGVO sind weiter gefasst, als die meisten Kliniker zunächst erwarten. Sie umfassen nicht nur Diagnosen und Behandlungen, sondern auch jede identifizierbare Gesundheitsinformation, die mit der Versorgung, Zahlung oder Behandlung des Patienten verbunden ist. Eine E-Mail-Adresse, die mit einer Patientenakte verknüpft ist, ein Name kombiniert mit einem Termin in einer Facharztpraxis — alle sind Gesundheitsdaten nach DSGVO Art. 4(15). Sogar E-Mail-Betreffzeilen und Nachrichten-Header können Gesundheitsdaten enthalten. Ein Betreff „Diabetes-Testergebnisse von Hans Müller" ist eine unzulässige Offenlegung, bevor die E-Mail überhaupt geöffnet wird, weil Header nicht Ende-zu-Ende verschlüsselt sind und TLS sie nur während des Transits zwischen Servern schützt, nicht im Postfach des Empfängers.

Am 26. März 2025 trat der Europäische Gesundheitsdatenraum (EHDS) Verordnung (EU) 2025/327 in Kraft. Die EHDS ersetzt nicht die Schutzbestimmungen des Art. 9 DSGVO für Gesundheitsdaten; sie ergänzt sie durch einen sektoralen Rahmen für die Primärnutzung (Gesundheitsversorgung) und Sekundärnutzung (Forschung, Innovation) elektronischer Gesundheitsdaten in der gesamten EU. Die EHDS-Verordnung gilt ab 26. März 2027, mit den wichtigsten Primärnutzungsbestimmungen operativ ab 26. März 2029. Bis Juni 2025 musste jeder EU-Mitgliedstaat eine Nationale Digitale Gesundheitsbehörde ernennen; bis Januar 2026 mussten EHR-Anbieter ihre Systeme für Interoperabilität und Sicherheits-Compliance zertifizieren.

Für Deutschland sind das die Gematik (für Telematikinfrastruktur) und das BfArM (für Software als Medizinprodukt), mit zusätzlichen Anforderungen aus dem Patientendaten-Schutz-Gesetz (PDSG 2020) und dem Krankenhauszukunftsgesetz (KHZG 2020), das die digitale Infrastruktur in deutschen Krankenhäusern finanziert. Die DSGVO Art. 32 kombiniert mit §22 BDSG-neu, dem PDSG und den KRITIS-Anforderungen für Krankenhäuser ab 30.000 stationären Fällen pro Jahr (BSI-Kritisverordnung) machen Gesundheits-E-Mail in DACH zur am stärksten regulierten E-Mail-Kategorie der Wirtschaft. Für Schweizer Kliniken: das revidierte Datenschutzgesetz (DSG) seit 1. September 2023, EDÖB-Aufsicht.

Die Strafen sind in allen Regimen schwerwiegend. DSGVO erlaubt Bußgelder bis zu €20M oder 4% des globalen Jahresumsatzes. Der BfDI und die Landesdatenschutzbeauftragten haben konsequent fünf- bis sechsstellige Sanktionen gegen Gesundheitseinrichtungen für unsichere E-Mail-Brüche verhängt. EHDS fügt eine zusätzliche Bußgeld-Schicht hinzu: bis zu €10M oder 2% für geringfügige Verstöße, bis zu €20M oder 4% für schwere.

Modellierung der Gesundheitsdaten-Exposition

Was eine Gesundheitsorganisation jährlich an E-Mail-bezogenen Datenpannen verliert

Bewegen Sie die Schieberegler. Die Mathematik approximiert die dokumentierten Pro-Datensatz-Bruchkosten im Gesundheitswesen (€400 bis ~€2.000) kombiniert mit der Pro-Personal-Konto-Expositionsrate, die das BfDI-Archiv vorschlägt.

1K (Kleine Praxis)2M (Klinikverbund)
5 (Kleine Klinik)5K (Multi-Klinik)
€100 (nur Meldung)€2.500 (mit Klage)
KlartextTLS-oppVerschl. PortalAuto-Verschl. + DLP

Multiplikatoren: Klartext + Portal = 1,0×; TLS opportunistisch (Office 365 + AVV) = 0,55×; Verschlüsseltes Portal mit AVV = 0,20×; Auto-Verschl. + DLP + Audit + MFA = 0,05×.

Jährliche erwartete Exposition
€600K
Klartext + Portal Exposition
Personal mit Gesundheitsdaten 75
Erwartete Bruchereignisse/Jahr ~2,3
Ø Datensätze pro Ereignis ~650
Datensätze pro Jahr offengelegt ~1.495

Wechseln Sie zu Auto-Verschl. + DLP + Audit + MFA, und die Exposition sinkt um ~95%. Die Erwartung des Art. 32 DSGVO ist, dass das System, nicht das Personal, unzulässige Offenlegungen verhindert.

Drei Gesundheits-E-Mail-Muster

Wie Gesundheitsorganisationen Patientendaten per E-Mail tatsächlich handhaben

Die meisten Gesundheitsorganisationen landen in einer von drei Konfigurationen.

Muster 1 — Klartext + Portal

Verbraucher-E-Mail + Portal-Anmelde-Benachrichtigungen

Das häufigste Muster in kleinen Praxen. Personal nutzt Verbraucher-Gmail/Yahoo (ohne AVV), Patientenkommunikation läuft durch einen Portal-Workflow mit generischer Benachrichtigung. Das Portal ist AVV-abgedeckt, aber jede E-Mail außerhalb ist ein DSGVO-Risiko.

Praktische Nutzung
~1-5 Kliniker
Bricht bei
Jeder E-Mail außerhalb des Portals
BfDI-Sicht
Unzureichend nach Art. 32
Ehrliche Bewertung

Akzeptabel nur, wenn die Disziplin perfekt ist. In der Praxis bricht die Disziplin binnen Monaten.

Muster 2 — M365 / Workspace + AVV

TLS-opportunistische Verschlüsselung mit AVV

Microsoft 365 Business oder Google Workspace, beide unterzeichnen AVVs nach Art. 28 mit Gesundheitskunden. TLS zwischen Servern wenn beide unterstützen; Fallback auf Klartext sonst.

Praktische Nutzung
5-500 Kliniker
Schwäche
TLS-Fallback + Betreff-Exposition
BfDI-Sicht
Akzeptabel mit Risikobewertung
Ehrliche Bewertung

Der DSGVO-konforme Default für die meisten Praxen. Verbleibende Exposition: Betreffzeilen, TLS-Fallback-Lücke, und die Unfähigkeit, DLP automatisch zu erzwingen.

Muster 3 — Auto-Verschl. + DLP + Audit

Jede E-Mail als Gesundheitsdaten angenommen, unabhängig verschlüsselt

Die Architektur für Organisationen, wo Disziplin nicht angenommen werden kann. DLP scannt nach Versichertennummer, Rentenversicherungsnummer, ICD-10-Codes; MFA erzwungen; Audit-Logs erfüllen Art. 32; Bruchermittlung innerhalb 72h Frist nach Art. 33.

Praktische Nutzung
500+ Kliniker
Breakeven
50+ klinisches Personal
BfDI-Sicht
Geeignete technische Maßnahmen
Ehrliche Bewertung

Wo die Mathematik funktioniert für Organisationen mit 50+ klinischem Personal. KRITIS-pflichtige Krankenhäuser, Universitätskliniken, Helios, Asklepios, Sana operieren auf dieser Skala.

Gesundheitsdaten-Handhabung nach Nachrichtenkomponente

Wo Gesundheitsdaten in einer E-Mail enden und wie jede Verschlüsselungsmethode damit umgeht

Nachrichtenkomponente TLS (nur Transit) PGP / S/MIME Portal-Zustellung AH Auto-Verschl.
Betreffzeile Nur im Transit; im Postfach sichtbar Gar nicht verschlüsselt Nur generische Benachrichtigung Auto-gereinigt bei Erkennung
Nachrichtenkörper Klartext im Postfach Ende-zu-Ende verschlüsselt Hinter Portal-Auth E2E verschlüsselt
Anhänge Empfänger speichert Klartext Verschlüsselt Hinter Portal-Auth Verschlüsselt + protokolliert
Absender-/Empfängerfelder Immer sichtbar (RFC 5321) Immer sichtbar Portal-intern Sichtbar
BCC-Disziplin Verlässt sich auf Personal Verlässt sich auf Personal Portal handhabt Listentrennung BCC erzwungen bei Multi-Empfänger
Audit-Trail (Art. 32) Nur Mailserver-Logs Nur Mailserver-Logs Portal-Zugriffslogs Zustellung und Lesebestätigung
TLS-Fallback Stiller Fallback auf Klartext Unabhängig von TLS Nicht zutreffend Routet über sicheres Portal

Vergleich verifiziert gegen BfDI-Dokumentation zu technischen Maßnahmen nach Art. 32 DSGVO, BSI-Empfehlungen für Krankenhäuser, Paubox HIPAA-E-Mail-Leitfaden 2026, und HHS Office for Civil Rights Bruchberichtsarchiv 2023-2025.

Was wir für ein Gesundheits-Engagement liefern

Die Plattformteile, die Art. 32 DSGVO, §22 BDSG-neu und das EHDS-Regime zusammen erfüllen

Was wir liefern, ist die regulierte Sendeschicht unter Ihrem EHR, Patientenportal und klinischen Kommunikationssystemen. Wir ersetzen nicht Compugroup Medical, Dedalus, Telekom Healthcare Solutions, doctolib; wir ersetzen das SMTP-Relay darunter plus die Verschlüsselungs-, Audit- und Bruchermittlungs-Workflows, die Art. 32 DSGVO, §22 BDSG-neu und das PDSG verlangen.

  • AVV-Rahmen nach Art. 28 DSGVO, unterschriftsbereit Vorgefertigter AVV ausgerichtet auf Art. 28 DSGVO, erlaubte Ausnahmen dokumentiert, Bruchmeldung innerhalb 72h wie Art. 33 verlangt. Für DACH-Spezifika: §22 BDSG-neu Hinweise, KRITIS-Konformitätsbescheinigung, PDSG-Alignment. Für Österreich: DSG. Für Schweiz: revidiertes DSG mit EDÖB-Aufsicht.
  • Auto-Verschlüsselung bei Gesundheitsdaten-Erkennung Das ausgehende DLP scannt nach DSGVO-Identifikatoren (Versichertennummer, Rentenversicherungsnummer, Krankenversicherten-ID), AT/CH-Äquivalenten, und klinischen Mustern (ICD-10-Codes, gängige Diagnoseterminologie). Erkennung löst automatische Verschlüsselung aus.
  • Betreffzeilen-Bereinigung Unser DLP scannt den Betreff unabhängig vom Körper; bei Erkennung wird der Betreff durch einen neutralen Platzhalter ersetzt („Sichere Nachricht von Dr. Müllers Praxis — Anmelden zum Lesen").
  • Auditkontrollen nach Art. 32 DSGVO Per-Nachricht Audit-Trail: Absender, Empfänger (einschließlich BCC), Zeitstempel, Nachrichten-ID, Verschlüsselungsmethode, Zustellstatus, Lesebestätigungen, Aufbewahrung für den von Ihrer Organisation spezifizierten Zeitraum. Export-fertig für jede BfDI- oder Health Data Access Body-Anfrage.
  • Mehrfaktor-Authentifizierungs-Durchsetzung MFA auf jedem Personalkonto, das Gesundheitsdaten berührt, mit TOTP, FIDO2/WebAuthn-Sicherheitsschlüsseln, oder SMS als Fallback. Authentifizierungsfehler werden protokolliert; wiederholte Fehler lösen Kontosperrung aus.
  • BCC-Disziplin auf der Relay-Ebene Das häufigste Bruchmuster sind Multi-Empfänger-E-Mails ohne BCC. Wenn unser System mehrere Empfänger auf An:- oder CC:-Zeile in einer Patientennachricht erkennt, werden die Empfänger stillschweigend nach BCC verschoben.
  • Bruchermittlung innerhalb der 72h-Frist nach Art. 33 Unser Workflow markiert verdächtige Muster, fehlgeleitete Nachrichten und Authentifizierungsanomalien nahezu in Echtzeit. Die technischen Bruchdaten sind strukturiert für die direkte Einbindung in die Benachrichtigung an Ihre zuständige Behörde (BfDI, Landesdatenschutzbeauftragte, FMA, EDÖB).
  • Nur-EU-Routing in Stockholm und Frankfurt Primärinfrastruktur in Stockholm, Sekundär in Frankfurt. Die Schrems-II-Fragen, die jede US-geroutete Mail mit Art.-9-Daten komplizieren, gelten nicht. Für deutsche Krankenhäuser erfüllt das die BfArM-Erwartungen und die §22 BDSG-neu-Anforderungen.
Pricing-Szenarien

Wie Gesundheits-Engagements typischerweise dimensioniert werden

Kleine Klinik / Facharztpraxis

SMTP Relay Pro + AVV · €749/Monat

20 dedizierte IPs, AVV inklusive, Auto-Verschlüsselung + Betreff-Bereinigung, MFA-Durchsetzung, Auditkontrollen. Die Konfiguration für Kliniken mit ~5-50 Klinikern (Terminerinnerungen, Laborergebnisse, Abrechnungs-Comms).

SMTP Relay ansehen
Arztgruppe / Multispezialitätsklinik · Häufigster

PowerMTA Pro + Managed Deliverability · €2.699/Monat

PowerMTA Pro (€1.499) + Managed Deliverability (€1.200). 20 dedizierte IPs, 150K Nachrichten/h, benannter Compliance-Ingenieur, voller Audit- und DLP-Stack, Bruchermittlung innerhalb 72h-Frist, AVV-Rahmen mit Unterauftragsverarbeiter-Register. Typische Setting-Stufe für Arztgruppen mit 50-500 Klinikern.

Managed Deliverability ansehen
Klinikverbund / Universitätsklinikum

Custom · ab €5.999/Monat

Multi-Server-Architektur über Stockholm + Frankfurt, dedizierter IP-Raum, benannter SLA mit Sub-30-Minuten-Antwort auf gesundheitsdatenbezogene Vorfälle, KRITIS-Audit-Unterstützung, Integration mit Compugroup/Dedalus/doctolib SMTP-Gateways, Nationale Digitale Gesundheitsbehörde-Verbindung für europäische Organisationen.

Gespräch eröffnen
Häufige Fragen aus dem Compliance-Bereich Gesundheitswesen

Was Gesundheitsorganisationen vor Vertragsabschluss fragen

Was deckt Ihr AVV ab und wie sieht die Unterauftragsverarbeiter-Situation aus?

+

Unser AVV ist mit den nach Art. 28 DSGVO geforderten Begriffen ausgerichtet: Wir verarbeiten Gesundheitsdaten nur wie vom AVV erlaubt, implementieren geeignete Maßnahmen nach Art. 32, melden Brüche innerhalb der vom AVV spezifizierten Frist (Standard 24h nach Entdeckung), machen Daten für das Recht auf Auskunft nach Art. 15 verfügbar, dokumentieren jede Unterauftragsverarbeiter, und geben oder zerstören Daten beim Vertragsende zurück, sofern nicht gesetzlich erforderlich.

Unterauftragsverarbeiter: Unsere Infrastruktur läuft auf Bare-Metal-Servern in unseren Stockholm- und Frankfurt-Einrichtungen, beide direkt betrieben (nicht auf AWS, nicht auf Azure, nicht auf Google Cloud). Die Unterauftragsverarbeiter-Liste ist kurz: DNS, die Netzwerkanbieter in jedem Rechenzentrum. Jeder Unterauftragsverarbeiter hat einen AVV mit uns.

Wie funktioniert der Terminerinnerungs-Fluss, wenn ein Patient unverschlüsselter E-Mail zustimmt?

+

Die DSGVO erlaubt ausdrücklich, dass der Verantwortliche alternative Kommunikationsmittel akzeptiert, wenn der Betroffene dies ausdrücklich verlangt. Der BfDI und die Landesdatenschutzbeauftragten haben in mehreren Stellungnahmen klargestellt, dass der Patient unverschlüsselte E-Mail-Erinnerungen erhalten kann, sofern er über die Risiken informiert wurde.

Was wir liefern: ein Pro-Patient-Einwilligungs-Flag in der Datenbank. Bei aktiviertem Flag behandelt unser DLP die Erinnerungen dieses Patienten anders — Terminerinnerungen, Abrechnungsbenachrichtigungen und ähnliche Kommunikation niedriger Sensibilität können als Klartext fließen (mit generischem Betreff ohne Gesundheitsdaten), während klinische Kommunikation (Laborergebnisse, Rezeptdetails, Diagnoseinformationen) trotzdem automatische Verschlüsselung auslöst.

Was passiert, wenn eine E-Mail mit Gesundheitsdaten fehlgeleitet wird?

+

Das 24-48-Stunden-Fenster zählt am meisten. Erkennung: Unser DLP markiert Multi-Empfänger-Nachrichten, ungewöhnliche Empfänger-Domains (Verbraucher-Gmail/Hotmail wenn das Patientenprofil Office 365 zeigt), und Adressen, die mit Personal- oder Anbieterkonten in einer klinischen Nachricht übereinstimmen. Wenn das Flag auslöst, wird die Nachricht in der Ausgangswarteschlange gehalten und Absender plus unmittelbarer Vorgesetzter werden binnen 60 Sekunden benachrichtigt.

Wenn eine Nachricht doch durchgeht, beginnt der Art.-33-Uhr-Workflow: sofortige Benachrichtigung an Ihren Datenschutzbeauftragten, vorab gefüllte Bruchbewertungsvorlage mit den technischen Fakten, Anfrage zur Löschung beim Empfänger (rechtlich schwach, aber wert, sie zu tun), und der Art.-33-Uhr beginnt — Meldung an die zuständige Aufsichtsbehörde (BfDI für föderale Themen, Landesdatenschutzbeauftragte für die Mehrheit der Fälle) innerhalb 72h.

Wie integriert dies mit unserem EHR (Compugroup, Dedalus, doctolib, Telekom Healthcare)?

+

Zwei Integrationsmuster. SMTP-Relay-Muster: Compugroup/Dedalus/doctolib/Telekom Healthcare authentifiziert an unser SMTP-Relay, das EHR bleibt die Quelle der Patientenkommunikation, unsere Infrastruktur handhabt Verschlüsselung, DLP, Audit und Zustellung. Der klinische Kontext des EHRs wird uns nicht offengelegt; wir sehen Envelope-Level-Metadata und Nachrichtenstruktur, nicht die Patientenakte.

HTTP-API-Muster: für Organisationen, die neuere Workflows bauen (Telemedizin-Plattformen, Patient-Engagement-Schichten auf einem bestehenden EHR), ruft das EHR oder die Middleware unsere API direkt mit strukturierten Nachrichtenvorlagen auf. Dieses Muster ist häufiger in europäischen Deployments, wo die EHDS-Interoperabilitätsstandards API-basierte Integration fördern.

Wie interagiert EHDS mit dem, was Sie liefern?

+

EHDS (Verordnung EU 2025/327) ist hauptsächlich ein Interoperabilitäts- und grenzüberschreitendes Zugriffsrahmenwerk, kein Verschlüsselungsmandat. Die meisten Bestimmungen gelten erst ab 26. März 2027, mit den wichtigsten Primärnutzungsfunktionen (Patientenzusammenfassungen, eRezepte/eDispensationen über Grenzen ausgetauscht) operativ bis 26. März 2029.

Was das für unsere Infrastruktur bedeutet: Wir ersetzen nicht Ihr EHR (die EHDS-Zertifizierung gilt dort), aber wir sind Teil des Sicherheitsperimeters, nach dem die Nationale Digitale Gesundheitsbehörde Ihres Mitgliedstaats während der Aufsicht fragen kann. Das Audit-Trail ist strukturiert, um sowohl Art. 32 DSGVO als auch die EHDS-Anforderungen für Sicherheit, Vertraulichkeit und Integrität zu erfüllen.

Was deckt das KHZG/KRITIS für Krankenhausverbünde ab?

+

Das Krankenhauszukunftsgesetz (KHZG) 2020 stellt €4,3 Mrd zur Verfügung, um die digitale Infrastruktur deutscher Krankenhäuser zu modernisieren, mit Fördertatbestand 10 (IT-Sicherheit) speziell für Maßnahmen zur Verbesserung der IT-Sicherheit. Mindestens 15% jeder KHZG-Förderung müssen in IT-Sicherheit fließen — was die E-Mail-Infrastruktur als förderfähigen Investitionsbereich qualifiziert.

Für KRITIS-pflichtige Krankenhäuser (ab 30.000 stationären Fällen pro Jahr unter der BSI-Kritisverordnung) sind die Anforderungen strenger: zweijährliche Audits nach §8a BSIG, Meldepflicht bei IT-Sicherheitsvorfällen an das BSI binnen 24h, Stand der Technik bei IT-Sicherheitsmaßnahmen. Unsere Infrastruktur ist mit dieser Schicht ausgerichtet — Audit-Trail strukturiert für §8a-Berichte, Bruchermittlung mit der für BSI-Meldungen erforderlichen technischen Tiefe, Stand-der-Technik-Verschlüsselungs-Mathematik dokumentiert für die Audit-Vorbereitung.

Was ist mit MFA und der vorgeschlagenen 2025 HIPAA Security Rule?

+

Für DSGVO unter Art. 32 ist die Erwartung der Industrie für Systeme, die besondere Kategoriendaten handhaben, bereits MFA — das hat der BfDI in mehreren Stellungnahmen konsequent klargestellt. Unsere Infrastruktur erzwingt MFA auf jedem Personalkonto, das Gesundheitsdaten berührt, als Standard — TOTP (Google Authenticator, Authy, 1Password etc.), FIDO2/WebAuthn-Sicherheitsschlüssel (YubiKey, Apple/Google Passkeys), oder SMS als Fallback für Personal ohne Zugriff auf andere Methoden.

Für US-Organisationen unter HIPAA: Die vorgeschlagene 2025-Aktualisierung klassifiziert MFA von „adressierbar" (die Covered Entity entscheidet basierend auf Risikobewertung) zu „erforderlich" (die Covered Entity muss implementieren) um. Ab Anfang 2026 ist die Regel noch im Vorschlag — die endgültige Annahme wird durch den regulatorischen Kommentarprozess erwartet — aber die Richtung ist klar.

Erzählen Sie uns von Ihrer Organisation

Praxisgröße, EHR, regulatorischer Perimeter (DSGVO + BDSG-neu, EHDS, KRITIS-pflichtig, HIPAA falls relevant), aktuelles E-Mail-Setup, und was speziell Sie dazu gebracht hat, die E-Mail-Infrastruktur zu überprüfen. Wir kommen mit einem dimensionierten Vorschlag, einem AVV und einem vorausgefüllten Sicherheitsfragebogen zurück.