DATENSOUVERÄNITÄTFEB 2026

Sovereign AI in der Medizin: Warum Datensouveränität kein Luxus ist, sondern Pflicht

Daniel Kleiboldt — Legal Engineer

Auf einen Blick

  • 01Sovereign AI = KI, bei der Daten und Modelle unter eigener Kontrolle bleiben
  • 02Drei Vorteile: Keine Drittland-Übertragung, keine Cloud-Act-Risiken, minimale Latenz
  • 03Umsetzung: Containerisierte Modelle, lokale GPU-Infrastruktur, Privacy-Proxies

Datensouveränität ist eines dieser Worte, die in Strategiepapieren gerne verwendet werden – oft ohne klare Definition. Im Gesundheitswesen ist der Begriff allerdings alles andere als abstrakt. Wenn Patientendaten in Cloud-Infrastrukturen verarbeitet werden, die außerhalb europäischer Jurisdiktion liegen, ist das nicht nur ein Compliance-Problem. Es ist ein Vertrauensproblem. Und es ist ein Sicherheitsproblem. Sovereign AI – souveräne KI – ist der Versuch, dieses Problem an der Wurzel zu lösen.

Das Problem: Abhängigkeit von nicht-europäischer Cloud-Infrastruktur

Die meisten KI-Modelle, die heute im Gesundheitswesen zum Einsatz kommen oder kommen könnten, laufen auf Cloud-Infrastruktur US-amerikanischer Anbieter: AWS, Microsoft Azure, Google Cloud. Das ist aus Sicht der Leistungsfähigkeit und Verfügbarkeit verständlich. Aus Sicht des Datenschutzes und der Datensouveränität ist es hochproblematisch.

  • US Cloud Act: US-amerikanische Behörden können von US-Unternehmen die Herausgabe von Daten verlangen – unabhängig davon, wo diese Daten physisch gespeichert sind. Ein "EU-Rechenzentrum" eines US-Anbieters bietet keinen vollständigen Schutz.
  • Schrems II: Der Europäische Gerichtshof hat mit dem Schrems-II-Urteil klargestellt, dass das US-Datenschutzniveau nicht dem europäischen entspricht. Der aktuelle EU-US Data Privacy Framework steht auf wackeligem Fundament – ein "Schrems III" ist nur eine Frage der Zeit.
  • Latenz und Verfügbarkeit: Für zeitkritische medizinische Anwendungen – etwa intraoperative Bildanalyse – kann die Abhängigkeit von einer Internetverbindung zu einer externen Cloud ein inakzeptables Risiko darstellen.
  • § 203 StGB: Die ärztliche Schweigepflicht stellt besondere Anforderungen an die Verarbeitung von Patientendaten durch Dritte. Wie das mit Cloud-KI zusammenhängt, haben wir in unserem Beitrag zu § 203 StGB und Cloud-KI ausführlich dargelegt.

Was ist Sovereign AI?

Sovereign AI bedeutet: Die Daten und das KI-Modell stehen unter der Kontrolle der Organisation, die sie einsetzt. Konkret heißt das:

  • Datensouveränität: Patientendaten verlassen die kontrollierte Infrastruktur der Einrichtung nicht – oder nur in anonymisierter Form.
  • Modellsouveränität: Das KI-Modell läuft auf eigener oder vertraglich abgesicherter europäischer Infrastruktur. Kein Drittstaaten-Zugriff, keine einseitige Abschaltmöglichkeit durch einen ausländischen Anbieter.
  • Operationelle Souveränität: Die Einrichtung behält die Kontrolle über Updates, Konfiguration und den Betrieb des Systems. Kein Vendor Lock-in, keine erzwungenen Modellwechsel.

Sovereign AI ist kein Anti-Cloud-Dogma. Es ist ein Architekturprinzip, das sicherstellt, dass die Entscheidungshoheit über Patientendaten dort bleibt, wo sie hingehört: bei der behandelnden Einrichtung.

Edge AI und On-Premise: KI vor Ort betreiben

Die technische Grundlage für Sovereign AI im Gesundheitswesen sind On-Premise- und Edge-AI-Lösungen. Die gute Nachricht: Die Hardware-Anforderungen sind in den letzten Jahren drastisch gesunken. Spezialisierte medizinische KI-Modelle – etwa für die radiologische Bildanalyse – können heute auf vergleichsweise bescheidener Hardware laufen.

In der Praxis sieht das so aus: Das KI-Modell wird als Container (Docker/Kubernetes) auf einem lokalen Server mit GPU-Beschleunigung betrieben. Die Patientendaten bleiben im Kliniknetzwerk. Die Inferenz – also die eigentliche KI-Analyse – findet vor Ort statt, ohne dass ein Byte Patientendaten das Haus verlässt. Updates des Modells werden kontrolliert eingespielt, nach Validierung durch die Klinik.

Der Aufwand ist überschaubar: Ein leistungsfähiger Server mit einer oder zwei NVIDIA-GPUs, ein containerisiertes Deployment und ein Team, das die Infrastruktur betreut. Viele Kliniken haben bereits vergleichbare Infrastruktur für PACS-Systeme oder andere rechenintensive Anwendungen.

Das Privacy-Proxy-Pattern: Anonymisieren vor dem Senden

Nicht jede KI-Anwendung lässt sich sinnvoll On-Premise betreiben. Große Sprachmodelle (LLMs) etwa erfordern erhebliche Rechenressourcen. Hier bietet das Privacy-Proxy-Pattern einen Mittelweg: Ein vorgeschalteter Dienst – der auf eigener Infrastruktur läuft – anonymisiert oder pseudonymisiert die Daten, bevor sie an ein externes KI-System gesendet werden.

Konkret: Patientennamen, Geburtsdaten, Adressen und andere identifizierende Merkmale werden durch Platzhalter ersetzt. Das externe KI-System verarbeitet nur anonymisierte Daten. Die Rückantwort wird lokal wieder mit den Originaldaten zusammengeführt. Der Schlüssel für die Zuordnung verlässt nie die eigene Infrastruktur.

Dieses Muster eignet sich besonders für administrative KI-Anwendungen: Arztbriefgenerierung, Zusammenfassungen, Kodierung. Es ist ein praktischer Kompromiss, der die Leistungsfähigkeit großer Cloud-Modelle nutzt, ohne Patientendaten preiszugeben. Es folgt dem Prinzip von Privacy by Design im Gesundheitswesen.

Wann Cloud akzeptabel ist

Sovereign AI bedeutet nicht, dass Cloud-Dienste kategorisch ausgeschlossen sind. Es gibt Szenarien, in denen die Cloud-Nutzung auch aus datenschutzrechtlicher Sicht vertretbar ist:

  • Anonymisierte Analysen: Aggregierte, vollständig anonymisierte Daten (keine Pseudonymisierung, sondern echte Anonymisierung) können für Forschung und Qualitätsmanagement in der Cloud verarbeitet werden.
  • Nicht-patientenbezogene Daten: KI für Logistik, Personalplanung oder Gebäudemanagement verarbeitet keine Patientendaten und kann bedenkenlos in der Cloud betrieben werden.
  • Europäische Cloud-Anbieter: Anbieter wie IONOS, OVHcloud oder die Sovereign Cloud-Initiativen (Gaia-X) bieten Infrastruktur, die vollständig unter europäischer Jurisdiktion steht – ohne US Cloud Act-Problematik.

Praktische Schritte zur Umsetzung

Der Weg zu Sovereign AI im Gesundheitswesen muss nicht mit einem Big-Bang-Projekt beginnen. Pragmatische erste Schritte:

  • Bestandsaufnahme: Welche KI-Systeme nutzen Sie bereits? Wo werden die Daten verarbeitet? Welche Datenflüsse existieren zu externen Diensten? Oft fehlt allein diese Transparenz.
  • Risikoklassifizierung: Nicht jedes System braucht On-Premise. Priorisieren Sie nach Sensitivität der verarbeiteten Daten und nach regulatorischem Risiko.
  • Infrastruktur aufbauen: Starten Sie mit einem dedizierten KI-Server für Ihre sensibelsten Anwendungen. Die Investition ist überschaubar und amortisiert sich durch reduzierte Cloud-Kosten und gewonnene Compliance-Sicherheit.
  • Privacy Proxy implementieren: Für Anwendungen, die auf externe Modelle angewiesen sind, implementieren Sie eine Anonymisierungsschicht. Open-Source-Tools wie Microsoft Presidio oder spezialisierte Healthcare-NLP-Lösungen bieten gute Ausgangspunkte.
  • Vertragliche Absicherung: Wo Cloud unvermeidbar ist, stellen Sie sicher, dass Ihre Verträge klare Regelungen zu Datenhoheit, Löschung, Subunternehmern und Jurisdiktion enthalten.
  • Kompetenz aufbauen: Sovereign AI erfordert Know-how im eigenen Haus. Investieren Sie in die Ausbildung Ihres IT-Teams – oder arbeiten Sie mit spezialisierten Partnern zusammen, die den Healthcare-Kontext verstehen.

Datensouveränität ist kein Luxus und kein Nice-to-have. Im Gesundheitswesen ist sie eine ethische und rechtliche Notwendigkeit. Sovereign AI gibt Einrichtungen die Werkzeuge an die Hand, um KI zu nutzen, ohne die Kontrolle über die sensibelsten Daten zu verlieren, die es gibt: die Gesundheitsdaten ihrer Patienten. Wer heute die Weichen richtig stellt, wird in einer zunehmend regulierten Welt nicht nur compliant sein – sondern auch vertrauenswürdig.

Häufig gestellte Fragen (FAQ)

Was bedeutet Sovereign AI im Gesundheitswesen?

Sovereign AI bedeutet, dass Patientendaten und das KI-Modell unter der Kontrolle der Einrichtung bleiben. Es umfasst drei Dimensionen: Datensouveränität (Daten verlassen nicht die eigene Infrastruktur), Modellsouveränität (kein Drittstaaten-Zugriff) und operationelle Souveränität (Kontrolle über Updates und Betrieb).

Warum ist US-Cloud-Infrastruktur für Gesundheitsdaten problematisch?

Der US Cloud Act erlaubt US-Behörden den Datenzugriff unabhängig vom Serverstandort. Das Schrems-II-Urteil hat bestätigt, dass das US-Datenschutzniveau nicht dem europäischen entspricht. Zudem verbietet § 203 StGB die Offenbarung von Patientengeheimnissen an US-Unternehmen.

Wie funktioniert Edge AI im Krankenhaus in der Praxis?

Das KI-Modell läuft als Container auf einem lokalen Server mit GPU-Beschleunigung. Die Patientendaten bleiben im Kliniknetzwerk und die Analyse findet vor Ort statt, ohne dass Daten das Haus verlassen. Viele Kliniken haben bereits vergleichbare Infrastruktur für PACS-Systeme.

Was ist das Privacy-Proxy-Pattern bei Cloud-KI?

Ein vorgeschalteter Dienst auf eigener Infrastruktur entfernt alle identifizierenden Merkmale und ersetzt sie durch Platzhalter, bevor Daten an ein externes KI-System gesendet werden. Nach der Antwort werden die Originaldaten lokal wieder eingefügt. Der Zuordnungsschlüssel verlässt nie die eigene Infrastruktur.

Wann ist Cloud-Nutzung für KI im Gesundheitswesen akzeptabel?

Cloud ist vertretbar bei vollständig anonymisierten Daten für Forschung, bei nicht-patientenbezogenen Anwendungen wie Logistik und Personalplanung, sowie bei europäischen Cloud-Anbietern unter europäischer Jurisdiktion ohne US-Cloud-Act-Problematik (z. B. IONOS, OVHcloud, Gaia-X).

Systematisch vorbereitet. In 90 Minuten.

Der KI-Compliance-Kurs für Ärzte und Praxisteams

Betreiberpflichten, KI-Literacy-Nachweis und 3 CME-Punkte — mit Fallbeispielen, Checklisten und konkretem Fahrplan für die Praxis.

Zum KursOder: Erstgespräch buchen →

Weiterlesen

RADIOLOGIEIhr neuer KI-Assistent in der Radiologie ist brillant. Und er schickt gerade unbemerkt Ihre Patientendaten nach Kalifornien.DATENSCHUTZ§ 203 StGB trifft Cloud-KI: Wenn der Arztbrief in ChatGPT zum Straftatbestand wirdARCHITEKTURPrivacy by Design für Healthcare-KI: Datenschutzarchitektur von Anfang an
Alle ArtikelZum Kurs