Blog

Microsoft und das medizinische Berufsgeheimnis ….

Microsoft, E-Mail und medizinisches Berufsgeheimnis

Was Sie über Datenschutz und Sicherheit wissen müssen Juni 2026

Inhalt

Kann Microsoft Ihre E-Mails lesen?

Kurze Antwort: Technisch ist das möglich.

Wenn Sie Outlook, Exchange oder Microsoft 365 verwenden, befinden sich Ihre E-Mails auf Microsoft-Servern. Theoretisch haben sie Zugang. So funktioniert es:

Automatische Scans Microsoft scannt alle E-Mails mit Defender for Office 365, um Spam, Malware und Phishing zu verhindern. Laut eigener Dokumentation suchen Mitarbeiter manchmal auch nach Sicherheitsüberprüfungen.

KI-Zugriff über Copilot Der AI Assistant Copilot in Microsoft 365 hat standardmäßig Zugriff auf Ihr gesamtes Postfach, es sei denn, Sie deaktivieren es. Copilot kann E-Mails zusammenfassen, durchsuchen und analysieren.

CLOUD-Gesetz Dieses Gesetz gibt US-Behörden das Recht, Daten von US-Unternehmen wie Microsoft anzufordern, unabhängig davon, wo sich diese Daten befinden. Selbst wenn sich Ihre E-Mails in einem europäischen Rechenzentrum befinden, können die USA sie beanspruchen. Das CLOUD Act ist nicht das einzige Gesetz, das dies ermöglicht. Seit den 1980er Jahren haben US-Gesetze wie der Stored Communications Act und FISA der Regierung diese Befugnisse übertragen.

Lockbox für Kunden Für Unternehmen, die Microsoft 365 verwenden, gibt es Customer Lockbox: Microsoft-Mitarbeiter können nur mit Zustimmung des Kunden auf Daten zugreifen. Dies gilt jedoch nicht, wenn die US-Regierung einen Befehl erteilt.

Macht Microsoft das wirklich?

Microsoft sagt, dass es E-Mails standardmäßig nicht liest. Menschen beobachten nur in Ausnahmefällen, zum Beispiel zur Sicherheitsüberprüfung oder wenn das Gesetz es vorschreibt.

Aber in der Praxis ist es passiert:

  • Defender für Office 365 scannt immer E-Mails, und manchmal achten Mitarbeiter auf Recherchen.
  • Copilot-Bug (2026): Ein Fehler machte es Copilot möglich, vertrauliche, sichere E-Mails zu lesen, auch wenn Organisationen sie blockiert hatten.
  • CLOUD-Gesetz: Microsoft hat bestätigt, dass sie Daten übergeben müssen, wenn die USA dies verlangen.
  • DSA-Skandal (2026): Microsoft teilte interne Dokumente mit einer US-Kommission, einschließlich Namen und E-Mail-Adressen niederländischer Beamter, ohne sie zu anonymisieren.
  • Diagnosedaten: Untersuchungen zeigen, dass Microsoft Metadaten darüber sammelt, wer in Teams anruft oder mit wem chattet, auch bei niederländischen Regierungen.

Jüngste Ereignisse

Namen niederländischer Beamter an die USA durchgesickert

Im Mai 2026 stellte sich heraus, dass Microsoft interne Dokumente wie E-Mails, Protokolle und Einladungen zu einer US-Kommission übergeben hatte. Darin stand der Namen und Kontaktdaten niederländischer Beamter ACM und die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens), die am europäischen Gesetz über digitale Dienste (European Digital Services Act, DSA) arbeiten.

Die US-Kommission hatte Microsoft gezwungen, diese Dokumente durch eine Vorladung zu teilen. Microsoft stimmte zu, wird die personenbezogenen Daten jedoch nicht anonymisieren.

Staatssekretäre Aerdts (Digital Affairs) und Van der Burg (Inneres) nannten es äußerst besorgniserregend.

Quellen: Freie Niederlande, NIS, Interne Governance

Copilot liest vertrauliche E-Mails

Im Februar 2026 entdeckte Microsoft einen Fehler in Copilot: KI könnte vertrauliche E-Mails lesen und zusammenfassen, Auch wenn sie als vertraulich gekennzeichnet wurden und sollte außerhalb der Reichweite von Copilot liegen.

Der Bug war ab dem 21. Januar 2026 aktiv. Infolgedessen konnte Copilot E-Mails in den Ordnern "Konzepte" und "Gesendete Elemente" anzeigen, einschließlich Nachrichten mit Sicherheits-Tags.

Quellen: TechCrunch, CyberNews

CLOUD-Gesetz: Die USA können Daten verlangen

Im Jahr 2025 bestätigte Microsoft offiziell: Nach dem CLOUD Act müssen sie den US-Behörden Kundendaten zur Verfügung stellen, wenn es eine rechtliche Anordnung dafür gibt, unabhängig davon, wo sich diese Daten befinden.

Selbst wenn sich Ihre E-Mails in einem europäischen Rechenzentrum befinden, können die USA sie beanspruchen, weil Microsoft ein amerikanisches Unternehmen ist.

Quellen: Niederländische Cloud Community, Intermax

Datenschutzrisiken in Bildung und Verwaltung

Eine Studie der Privacy Company (im Auftrag von Justice und SURF) ergab Risiken bei der Nutzung von Microsoft Teams, OneDrive und SharePoint durch Regierung und Universitäten.

Microsoft sammelte Diagnosedaten zur individuellen Nutzung: wer wen anruft oder mit wem plaudert, welche Dokumente geöffnet werden, etc. Diese Risiken blieben auch nach Vereinbarungen zum Datenschutz bestehen.

Der Bericht kam zu dem Schluss, dass Microsoft weitere Anpassungen vornehmen muss. Wenn die europäischen Regulierungsbehörden die Risiken noch höher einschätzen, dürfen niederländische Organisationen möglicherweise überhaupt keine US-Cloud-Dienste mehr nutzen.

Quelle: Sicherheit.NL

Mit Facebook geteilte Daten

Im Jahr 2020 wurde Microsoft wegen angeblicher Weitergabe von Kundendaten wie E-Mails, Kalendern und Dokumenten an Dritte wie Facebook über Microsoft 365 verklagt. Auch wenn weder der Kunde noch seine Kontakte einen Facebook-Account hatten.

Microsoft dementierte und sagte, es habe einen robusten Datenschutz. Der Fall zeigt jedoch, dass Kundendaten kommerzielle Dritte auf intransparente Weise erreichen können.

Quelle: AlternativeTo/Das Register

Verwundbarkeit nach US-Recht

Von den USA durchgesetzte anthropische KI-Modelle (Juni 2026) Im Jahr 2026 erzwang die US-Regierung den Zugriff auf die KI-Modelle und Kundendaten von Anthropic, einem führenden KI-Unternehmen. Dies zeigt, dass nicht nur traditionelle Cloud-Daten, sondern auch die fortschrittlichsten KI-Systeme dem rechtlichen Zwang der USA unterliegen. Für europäische Nutzer bedeutet dies, dass ihre Interaktionen mit diesen Systemen auch in die Hände der US-Behörden fallen können.

Trump und der CLOUD Act: Jahrzehntelange Gesetzgebung in Aktion Was Trump tut, ist keine Überraschung. Der CLOUD Act (2018) ist nur das neueste in einer langen Reihe von US-Gesetzen, die die Regierung befähigen, Daten von US-Unternehmen zu verlangen. Seit den 1980er Jahren haben Gesetze wie der Stored Communications Act (1986) und der Foreign Intelligence Surveillance Act (FISA, 1978) der US-Regierung diese Möglichkeit gegeben. Unter der Trump-Administration (2017-2021) wurden diese Befugnisse aktiv und widerwillig genutzt, um Daten von Technologieunternehmen anzufordern. Das ist keine neue Politik, sondern eine Jahrzehnte der bestehenden Praxis Das ist etwas, was jeder amerikanische Präsident tun kann und wird.

FISA-Gericht und Massendatenerhebung Das Foreign Intelligence Surveillance Court (FISA-Gericht) erlässt jedes Jahr Tausende von Datenerhebungsanordnungen. Im Jahr 2023 wurde bekannt, dass Microsoft eines der am besten geeigneten Unternehmen für FISA-Anfragen ist. Dies betraf nicht nur bestimmte Verdächtige, sondern auch die Sammlung von Massendaten, die unbeabsichtigt die europäischen Bürgerinnen und Bürger erfassten.

Executive Order 12333 (Exekutiver Erlass 12333) (1981) Diese Exekutivanordnung, die 1981 von Präsident Reagan unterzeichnet wurde, gibt US-Geheimdiensten die Befugnis, ausländische Kommunikation abzufangen. Im Rahmen dieser Anordnung wurden auch Daten von europäischen Bürgern über US-amerikanische Technologieunternehmen erhoben. Trump hat diese Befugnisse nicht eingeführt, aber er hat sie während seiner Amtszeit aktiv genutzt.

Schlussfolgerung: ein strukturelles Problem Diese Beispiele zeigen, dass es nicht darum geht, ob die USA auf Ihre Daten zugreifen können, sondern wann. Jeder US-Präsident, ob Biden, Trump oder ein zukünftiger Führer, hat die rechtliche Autorität und die Ressourcen, um Daten von US-Tech-Unternehmen zu verlangen. Für die Niederlande und Europa bedeutet dies strukturelle Verwundbarkeit Sie kann nicht allein durch technische Maßnahmen gelöst werden.

Weitere Fälle, in denen Microsoft mit europäischen Daten unsicher umgegangen ist

LinkedIn fein in Irland (2022) LinkedIn, im Besitz von Microsoft, wurde von der irischen Regulierungsbehörde DPC wegen der Weitergabe personenbezogener Daten von 500 Millionen Nutzern mit einer Geldstrafe von 4,5 Millionen Euro belegt. Unter diesen Nutzern befanden sich auch viele Europäer, darunter Niederländer.

Microsoft 365 an deutschen Schulen (2022-2024) verboten Mehrere deutsche Staaten, darunter Hessen und Baden-Württemberg, haben die Verwendung von Microsoft 365 in Schulen verboten, weil es nicht mit der DSGVO übereinstimmte. Der Grund: Die Daten könnten von US-Behörden über den CLOUD Act abgerufen werden, und Microsoft konnte nicht garantieren, dass europäische Daten in Europa verbleiben würden.

Geldstrafe in Frankreich (2022) Die französische Regulierungsbehörde CNIL verhängte eine Geldstrafe von 60 Millionen Euro gegen Microsoft wegen der Installation von Cookies auf französischen Geräten ohne deren Zustimmung. Dies gilt auch für Windows 10-Benutzer.

Dänemark suspendiert Microsoft 365 (2023) Die dänische Regierung hat die Nutzung von Microsoft 365 in einigen öffentlichen Verwaltungen nach einer Risikoanalyse ausgesetzt. Der Grund: Der CLOUD Act machte es unmöglich zu garantieren, dass sensible Regierungsdaten nicht in die Hände der US-Behörden gelangen würden.

Forschung in Italien (2023) Die italienische Regulierungsbehörde Garante leitete eine Untersuchung gegen Microsoft ein, da Daten italienischer Nutzer ohne Erlaubnis an Dritte weitergegeben wurden. Dabei ging es insbesondere um die gemeinsame Nutzung von Telemetriedaten mit Werbenetzen.

Warnmeldungen des niederländischen AP (2023-2026) Die niederländische Datenschutzbehörde hat wiederholt vor der Verwendung von Microsoft 365 im niederländischen Gesundheitswesen und in der niederländischen Regierung gewarnt. Im Jahr 2023 veröffentlichte der AP ein Handbuch, in dem hervorgehoben wird, dass der Standard Microsoft 365 die Anforderungen für die Verarbeitung spezieller personenbezogener Daten wie Gesundheitsdaten nicht erfüllt.

Schrems-II-Urteil (2020 und Folgen) Nach dem Urteil des Europäischen Gerichtshofs in der Rechtssache Schrems II im Jahr 2020, mit dem das Privacy Shield für ungültig erklärt wurde, erwiesen sich die Standardvertragsklauseln als unzureichend für Datenübertragungen in die USA. Microsoft wurde als eines der Unternehmen genannt, das dies für europäische Kunden zu großen Problemen führte. Viele niederländische Unternehmen mussten ihre Verträge mit Microsoft überprüfen oder nach Alternativen suchen.

PRISM-Programm (2013, aber immer noch relevant) Microsoft war eines der ersten Unternehmen, das am PRISM-Programm der NSA teilnahm, das 2013 von Edward Snowden vorgestellt wurde. Die Daten europäischer Nutzer, einschließlich der niederländischen, wurden an die US-Geheimdienste weitergegeben. Obwohl dies schon seit einiger Zeit der Fall ist, bleibt es ein wichtiger Grund für das Misstrauen gegenüber dem Umgang von Microsoft mit europäischen Daten.

Medizinisches Berufsgeheimnis und Microsoft-E-Mail

Wenn ein Praktiker eine Terminbestätigung per Standard-Microsoft-E-Mail sendet, berührt er mehrere Regeln:

  • Ärztliches Berufsgeheimnis: Ärzte, Psychologen, Krankenschwestern usw. dürfen nicht über Patienten erzählen.
  • DSGVO/DSGVO: Datenschutzgesetz, das Gesundheitsdaten zusätzlich schützt.
  • WGBO: Gesetz über die medizinische Behandlung.
  • KNMG-Richtlinien: Regeln für Ärzte.

Ist eine Terminbestätigung bereits vertraulich?

Ja, ja. Auch ohne Diagnose oder Beschwerde offenbart ein Termin mit einem Arzt bereits Informationen:

  • Dass es eine Behandlungsbeziehung gibt
  • Der Name des Arztes (und damit die Art der Betreuung, z.B. Psychiater, Kardiologe)
  • Datum und Uhrzeit des Termins
  • Oft ist der Name der Praxis oder Institution

Gemäß der DSGVO sind Gesundheitsdaten personenbezogene Daten im Zusammenhang mit der körperlichen oder geistigen Gesundheit. Eine Terminbestätigung ist enthalten, auch wenn darin keine medizinischen Details enthalten sind.

Das KNMG bestätigt: Medizinische Informationen können auch daraus abgeleitet werden, dass eine Kommunikation an oder von einer bestimmten E-Mail-Adresse (wie psychiater@psychiater.nl) erfolgt ist.

Was das Gesetz sagt

DSGVO (Datenschutz-Grundverordnung):

  • Gesundheitsdaten sind besondere personenbezogene Daten. Die Verarbeitung ist nur in bestimmten Fällen erlaubt, zum Beispiel für die Gesundheitsversorgung.
  • Daten müssen sicher gespeichert und übertragen werden. Unverschlüsselte E-Mails erfüllen diese Anforderung nicht.

Ärztliches Berufsgeheimnis (BIG-Gesetz, Bürgerliches Gesetzbuch, Strafrecht):

  • Ärzte, Psychologen, Krankenschwestern usw. dürfen nicht ohne Erlaubnis von Patienten erzählen.
  • Verstöße sind strafbar.

KNMG-Richtlinie:

Verwenden Sie nur gewöhnliche E-Mails, wenn in Ihrer E-Mail (oder im Anhang) keine vertraulichen personenbezogenen Daten enthalten sind. Verwenden Sie ansonsten sichere E-Mails.

Das medizinische Berufsgeheimnis hat Vorrang vor der DSGVO: Zuerst müssen Sie prüfen, ob Sie nicht gegen das Berufsgeheimnis verstoßen, dann nur, wenn Sie die DSGVO einhalten.

Rechtsprechung (zuletzt)

  • Oberster Gerichtshof (2024): Ein Leistungserbringer darf weder ohne Erlaubnis noch indirekt Zugang zu einer medizinischen Akte gewähren.
  • Streitbeilegungsausschuss für Pflege (2025): Selbst die Konsultation zwischen den Praktizierenden ohne die Zustimmung des Patienten ist unvorsichtig.
  • Behörde für personenbezogene Daten: Der E-Mail-Verkehr zwischen Arzt und Patient muss verschlüsselt werden.

Schlussfolgerung: kann oder auch nicht

Nein, nicht in den meisten Fällen.

Das Versenden einer Terminbestätigung per Standard-Microsoft-E-Mail (ohne zusätzliche Sicherheit) stellt einen Verstoß gegen Folgendes dar:

  1. Medizinisches Berufsgeheimnis (Sie teilen vertrauliche Informationen über einen unsicheren Kanal)
  2. DSGVO (Gesundheitsdaten müssen sicher verarbeitet werden)

Ausnahmen:

  • Wenn die E-Mail Ende-zu-Ende verschlüsselt ist
  • Wenn der Patient seine ausdrückliche Einwilligung erteilt hat und sich der Risiken bewusst ist
  • Wenn die E-Mail keine rückverfolgbaren Gesundheitsdaten enthält (aber: ein Termin mit einem Praktiker ist oft bereits nachvollziehbar)

Zusätzliches Risiko mit Microsoft: Nach dem CLOUD Act und anderen US-Gesetzen kann die US-Regierung Microsoft zwingen, E-Mails herauszugeben, auch wenn sie sich in Europa befinden. Dies macht Standard-Microsoft-E-Mails für die medizinische Kommunikation noch unsicherer. Es geht nicht darum, ob dies geschehen kann, sondern wann es geschehen wird.

Das KNMG und der AVG Helpdesk for Care sind klar: Verwenden Sie für diese Art der Kommunikation sichere E-Mails (Ende-zu-Ende-verschlüsselt) oder eine pflegespezifische Messaging-Plattform, nicht normale E-Mails über einen kommerziellen Cloud-Anbieter.

Quellen

Microsoft und E-Mail-Datenschutz

DSA-Skandal (Mai 2026)

CLOUD Act und US-Recht

Medizinisches Berufsgeheimnis und DSGVO

Dieses Dokument basiert auf öffentlichen Quellen und ist keine Rechtsberatung. Bei spezifischen Fragen wenden Sie sich an einen Fachanwalt.

Entdecke mehr von Data-Pro BV

Report dich für ein Subscription an, um die neuesten Beiträge per E-Mail zu erhalten.

Schlagwörter: , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Schreibe einen Kommentar