SAP-Cloud und EU-Vorlagen: Neuer Schub für Datensicherheit in Kliniken

Standardisierte Vorlagen und zertifizierte Cloud-Infrastrukturen sollen die wachsende Cyber-Bedrohungslage eindämmen. Diese Schritte kommen zur rechten Zeit, denn Audits zeigen: Regelverstöße und KI-getriebene Schwachstellen erreichen Rekordniveau.

Neue Werkzeuge für Compliance und souveräne Cloud

Am heutigen Donnerstag gab SAP bekannt, dass seine Cloud-Infrastruktur in den deutschen Rechenzentren in Walldorf und St. Leon-Rot die IT-Grundschutz-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten hat. Diese Bestätigung ist besonders für Kliniken und Pharmaunternehmen relevant, die höchste physische und technische Sicherheitsstandards benötigen. Die Zertifizierung betrifft SAPs Sovereign Cloud-Angebote, die verschiedene Bereitstellungsmodelle umfassen.

Da die Anforderungen an die Dokumentation sensibler Daten stetig wachsen, bietet dieses kostenlose Paket eine rechtssichere Unterstützung für Datenschutzbeauftragte. Erstellen Sie Ihre Datenschutz-Folgenabschätzung effizient mit geprüften Mustern und Checklisten. Rechtssichere Muster-DSFA jetzt kostenlos herunterladen

Parallel dazu stellte der Europäische Datenschutzausschuss (EDPB) gestern eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen (DSFA) vor. Ziel ist es, die GDPR-Compliance in der EU zu vereinheitlichen und zu vereinfachen. Die Nutzung der Vorlage ist zwar nicht verpflichtend, wird aber für Organisationen mit sensiblen Daten wie Patientendaten empfohlen. Eine öffentliche Konsultation dazu läuft bis zum 9. Juni 2026.

Zudem startete der EDPB gestern eine koordinierte Durchsetzungsaktion. Sie konzentriert sich auf die Transparenz- und Informationspflichten nach den GDPR-Artikeln 12 bis 14. 25 nationale Aufsichtsbehörden werden sektorübergreifend Untersuchungen durchführen. Für die Gesundheitsbranche bedeutet das: Die Art und Weise, wie Betroffene über die Verarbeitung ihrer Daten informiert werden, rückt stärker in den Fokus – besonders in komplexen Datenökosystemen mit vielen Partnern.

Die wachsende Bedrohung durch KI-Schwachstellen

Die Dringlichkeit dieser Maßnahmen unterstreichen neue Erkenntnisse zu den Fähigkeiten Künstlicher Intelligenz. Forschungen am unveröffentlichten KI-Modell Claude Mythos Preview zeigten im April 2026, dass das System tausende kritische Schwachstellen in großen Betriebssystemen und Webbrowsern finden konnte. Berichten des UK AI Security Institute zufolge schaffte es das Modell in mehreren Versuchen, einen simulierten 32-stufigen Angriff auf ein Firmennetzwerk erfolgreich abzuschließen.

Als Antwort auf diese Bedrohungen veröffentlichten das SANS Institute und die Cloud Security Alliance (CSA) gestern einen neuen Sicherheitsrahmen mit dem Titel "The AI Vulnerability Storm". Der Bericht zeigt: Die durchschnittliche Zeit zwischen der Bekanntgabe einer Schwachstelle und ihrer Ausnutzung ist auf weniger als einen Tag gesunken – 2019 lag sie noch bei über zwei Jahren. Für Kliniken und Pharmaunternehmen zwingt diese komprimierte Timeline zur Einführung automatisierter Patch-Management-Systeme.

Die Verwundbarkeit standardisierter IT-Umgebungen betonte auch Microsofts "Patch Tuesday" im April 2026, der 167 Schwachstellen behob, darunter zwei aktiv ausgenutzte Zero-Day-Lücken. Ein BSI-Update warnte zudem vor länger bekannten Schwachstellen im Linux-Kernel. Da viele Medizingeräte und Laborsysteme auf Linux-Distributionen basieren, sind diese Updates für technische Betreiber im Gesundheitswesen kritisch.

Vollzugs-Trends und die Folgen der NIS2-Haftung

Die Aufsichtsbehörden in Deutschland melden ein Rekordjahr bei Datenschutz-Beschwerden und Verletzungsmeldungen. Die Landesdatenschutzbeauftragten von Baden-Württemberg und Hessen veröffentlichten im Frühjahr 2026 ihre Tätigkeitsberichte für 2025. In Baden-Württemberg stiegen die Beschwerden um 90 Prozent auf über 7.600, die Meldungen von Datenschutzverletzungen um 20 Prozent. In Hessen gab es 58 Prozent mehr Beschwerden (über 6.000 Fälle). Die Behörden führen den Anstieg auch auf den Einsatz Künstlicher Intelligenz zurück, die die Hürde für das Einreichen von Beschwerden senkt.

Der regulatorische Druck wird durch die NIS2-Richtlinie verschärft. Obwohl die Registrierungsfrist für betroffene Unternehmen der 6. März 2026 war, haben Schätzungen zufolge erst weniger als 5.000 der etwa 29.000 betroffenen Organisationen in Deutschland dies getan. Das ist besonders für den Gesundheitssektor brisant, denn das novellierte BSI-Gesetz macht Cybersicherheit seit dem 5. Dezember 2025 zur persönlichen Haftungsfrage für das Management. Geschäftsführer und Vorstände riskieren bei schweren Verstößen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Angesichts der neuen Haftungsrisiken durch NIS2 und das EU-KI-Gesetz müssen Unternehmen ihre Compliance-Strategien jetzt dringend anpassen. Dieser kostenlose Leitfaden bietet Ihnen einen kompakten Überblick über alle neuen Pflichten und Fristen für den rechtssicheren Einsatz von KI-Systemen. EU AI Act Umsetzungsleitfaden kostenlos sichern

Datenhoheit und vernetzte Produkte

Gleichzeitig gewinnt die Bewegung hin zu Datenhoheit an Fahrt. Am 26. März 2026 verabschiedete der Deutsche Bundestag das Umsetzungsgesetz zum EU Data Act (DADG). Die Regelung betrifft Hersteller vernetzter Produkte und Cloud-Dienstleister – also auch viele moderne Medizingeräte und Diagnosetools. Die Bundesnetzagentur (BNetzA) wurde als primäre Aufsichtsbehörde benannt und kann Bußgelder verhängen.

Dienstleister passen ihre Angebote an diese regionalen Anforderungen an. So kündigte Cisco gestern an, für seine Webex-Suite in den kommenden Monaten Data Residency im Vereinigten Königreich anzubieten. Für internationale Pharmaunternehmen, die in mehreren Rechtsgebieten tätig sind, werden solche lokalen Datenverarbeitungsoptionen immer wichtiger.

Ebenfalls heute führten der Bundesverband Digitale Wirtschaft (BVDW) und Nexida die "IAB Diligence Platform" in Deutschland ein. Diese Plattform bietet standardisierte GDPR-Due-Diligence-Prüfungen und soll überflüssige Audit-Prozesse in digitalen Ökosystemen reduzieren. KI hilft dabei, relevante Compliance-Dokumente zu identifizieren.

Ausblick: KI-Gesetz und anonyme Altersverifikation

Während sich globale Unternehmen auf verschärfte US-Regeln zum Kinderschutz im Internet (COPPA) vorbereiten müssen, bleibt der Fokus in Europa auf der Umsetzung des EU-KI-Gesetzes. Gestern stellte die Europäische Kommission eine technisch ausgereifte Altersverifikations-App vor, die von Einheiten der Deutschen Telekom entwickelt wurde. Die App nutzt Zero-Knowledge-Proofs und ermöglicht eine anonyme Verifizierung ohne Übertragung personenbezogener Daten. Diese Technologie könnte künftig auch in sicheren Patientenportalen oder Telemedizin-Diensten Anwendung finden.

Für das restliche Jahr 2026 werden die Ergebnisse der EDPB-Durchsetzungsaktionen und nationaler Untersuchungen zu neuen Technologien wie Smart Glasses die nächste Phase der Compliance-Anforderungen prägen. Organisationen sollten diese Phase nutzen, um ihre technischen Maßnahmen an die sich entwickelnden Standards von Data Act und NIS2-Rahmenwerk anzupassen.

de | boerse | 69171083 |