Zum Hauptinhalt springen

§ 203 StGB in der Public Cloud: Azure, AWS und Google Cloud rechtskonform für Berufsgeheimnisträger

Tobias Jonas Tobias Jonas 10 min Lesezeit
§ 203 StGB in der Public Cloud: Azure, AWS und Google Cloud rechtskonform für Berufsgeheimnisträger

Die Frage erreicht uns fast wöchentlich: „Dürfen wir als Klinik, Praxis oder Kanzlei überhaupt in die Public Cloud?" Die kurze Antwort: Ja. Die ehrliche Antwort: Ja, aber nicht mit dem Standardvertrag, den Sie beim Self-Service-Checkout akzeptieren. Wer der ärztlichen Schweigepflicht oder einer anderen Verschwiegenheitspflicht nach § 203 StGB unterliegt, braucht mehr als eine Auftragsverarbeitungsvereinbarung. Und genau dieses „mehr" sieht bei Microsoft, AWS und Google jeweils völlig anders aus.

Warum die AVV nicht reicht

Seit der Reform des § 203 StGB im Jahr 2017 – das Gesetz trat am 9. November 2017 in Kraft – dürfen Berufsgeheimnisträger externe Dienstleister einbeziehen. Gemeint sind Ärzte, Heilberufe und die Verantwortlichen in Kliniken, aber auch Rechtsanwälte, Notare, Steuerberater und Wirtschaftsprüfer. Die Erlaubnis dazu steht in § 203 Absatz 3 Satz 2: Geheimnisse dürfen gegenüber „sonstigen mitwirkenden Personen" offenbart werden, soweit das für deren Tätigkeit erforderlich ist. Der Gesetzgeber hatte dabei ausdrücklich den Betrieb, die Wartung und die externe Speicherung von IT-Systemen vor Augen – also den Cloud-Fall.

Die entscheidende Bedingung folgt in Absatz 4: Die mitwirkende Person muss zur Geheimhaltung verpflichtet werden. Wer diese Verpflichtung versäumt, macht sich als Berufsgeheimnisträger selbst strafbar – das ist eine eigene Strafnorm, kein Kavaliersdelikt. Ein Rechenzentrum ist rechtlich nichts anderes als eine solche „sonstige mitwirkende Person".

Stellen Sie sich den Hyperscaler wie eine neue Mitarbeiterin vor: Bevor sie am ersten Tag Patientenakten sieht, unterschreibt sie eine Verschwiegenheitsverpflichtung, inklusive Belehrung über die strafrechtlichen Folgen. Nichts anderes verlangt das Gesetz vom Rechenzentrum. Nur dass die Unterschrift hier nicht im Personalbüro fällt, sondern über Vertragszusätze, die die Anbieter nicht offensiv bewerben.

Ein Hinweis zur Einordnung, weil er in der Praxis für Verwirrung sorgt: § 203 StGB benennt Berufe, keine Einrichtungen. Ein Krankenhaus als juristische Person ist nicht selbst „Berufsgeheimnisträger". In der Pflicht stehen die behandelnden Ärztinnen und Ärzte; das übrige Personal sind ihre berufsmäßig tätigen Gehilfen. Im Ergebnis fällt die Klinik damit trotzdem unter das Regime – nur eben abgeleitet über die dort tätigen Heilberufler.

Merksatz: Die AVV nach Art. 28 DSGVO schützt die Daten Ihrer Patienten und Mandanten. Die Verschwiegenheitsverpflichtung nach § 203 StGB schützt Sie – nämlich vor dem Strafrecht.

Beides braucht es. Und je nach Hyperscaler ist der Weg dorthin ein dokumentierter Prozess, ein Formular oder eine Einzelfallverhandlung. Wir gehen alle drei durch, so wie wir sie bei innFactory mit unseren Kunden umsetzen.

Microsoft Azure: der am weitesten formalisierte Weg

Microsoft hat für Deutschland eine eigene Zusatzvereinbarung geschaffen, die den Konzern ausdrücklich zur Verschwiegenheit verpflichtet. Sie taucht unter mehreren Namen auf, meint aber dasselbe Dokument: im Partner Center als „Professional Secrecy Amendment for Germany", auf Deutsch als „Datengeheimnis-Zusatzvereinbarung für Deutschland (November 2021)", im Dokument selbst als „Microsoft Customer Agreement – Zusatzvereinbarung für Berufsgeheimnisträger". Sie ergänzt das Microsoft Customer Agreement (MCA) und ist in der Partner-Center-Dokumentation für das CSP-Programm hinterlegt. Wichtig: Nur Direct-Bill-Partner und Indirect Provider können das Dokument direkt herunterladen. Als Kunde beziehen Sie es über Ihren CSP-Partner.

So sieht der Prozess bei uns konkret aus:

  1. Formales Angebot: Sie beauftragen, dass Ihre Azure-Kosten über innFactory bezogen werden. innFactory erstellt Ihnen gerne ein Angebot zum Bezug einer Azure Subscription ohne Zuschlag auf die regulären Listenpreise. Auch eine Onboarding- oder Managementgebühr existiert nicht.
  2. Partnerlink bestätigen: Sie verknüpfen Ihren Tenant mit innFactory als Partner.
  3. Subscription anlegen: innFactory provisioniert die Subscription über das indirekte CSP-Modell mit TD SYNNEX als Distributor.
  4. § 203 StGB Zusatzvereinbarung annehmen: Die Zusatzvereinbarung für Berufsgeheimnisträger wird im Rahmen der CSP-Nutzung in Textform geschlossen.
  5. Modified Abuse Monitoring beantragen: Für Azure OpenAI bzw. die „Foundry Models sold by Azure" reichen wir gemeinsam das Formular für Modified Abuse Monitoring ein und hinterlegen unsere Microsoft-Kontakte als Ansprechpartner.
  6. Optional: Sovereign Landing Zone ausrollen – also Policy-as-Code-Leitplanken für Datenresidenz, Verschlüsselung und Confidential Computing auf Basis von Microsofts Sovereign Public Cloud (Bicep oder Terraform).

Die Fristenfalle: Das MCA läuft unbefristet, die Zusatzvereinbarung nicht

Ein Detail aus dem ersten Absatz der Zusatzvereinbarung wird in der Praxis regelmäßig übersehen: Das MCA als Rahmenvertrag ist unbefristet. Die § 203 Zusatzvereinbarung ist es nicht. Im Wortlaut der deutschen Fassung heißt es, sie „läuft ab entweder (i) am Ablaufdatum des Microsoft Kundenvertrages oder (ii) am letzten Tag des Monats, 36 volle Kalendermonate nach der Annahme des Kunden, je nachdem, welches Datum das frühere ist." Eine Verlängerungsklausel enthält das Dokument nicht. Juristen nennen das Fristeninkongruenz: Der Hauptvertrag und sein Schutzschild laufen zeitlich nicht synchron.

Microsoft gestaltet das bewusst so. § 203 StGB ist nationales Strafrecht, und der Konzern will sich nicht zeitlich unbegrenzt strafrechtlich binden, sondern die Vereinbarung an Gesetzesänderungen, neue technische Maßnahmen und aktualisierte Vertragswerke anpassen können. Für Sie als Kunde heißt das operativ:

  1. Ablaufdatum dokumentieren, und zwar am Tag der Annahme, nicht irgendwann.
  2. Spätestens nach 30 bis 34 Monaten prüfen, ob eine neuere Fassung existiert und eine erneute Annahme erforderlich ist.
  3. Im Zweifel neu bestätigen lassen, bevor die Vereinbarung ausläuft.

Läuft die Zusatzvereinbarung unbemerkt aus, fehlt die vertragliche Verschwiegenheitsbindung von Microsoft, während die Dienste einfach weiterlaufen. Das strafrechtliche Risiko und die Audit-Risiken gegenüber Kammern und Aufsichtsbehörden liegen dann wieder vollständig bei Ihnen. Als CSP-Partner überwachen wir diese Fristen für unsere Kunden mit, denn gerade im CSP-Umfeld ist das ein klassischer blinder Fleck.

So weisen Sie die Annahme nach

Die zweite Frage, die in jedem Audit kommt: Wie belegen Sie eigentlich, dass die Zusatzvereinbarung angenommen wurde? Einen einzelnen unterschriebenen Annahmebeleg gibt es nicht. Der Nachweis erfolgt mittelbar, aber rechtlich belastbar, über drei Bausteine:

  1. Nachweis der MCA-Annahme: Export oder Screenshot aus dem Microsoft Admin Center, Azure Portal oder Partner Center mit Datum, Tenant-ID und annehmender Organisation. Ohne MCA-Annahme keine Zusatzvereinbarung.
  2. Gültige Fassung der Zusatzvereinbarung: Die zum Annahmezeitpunkt gültige PDF-Version mit Versionsdatum, abgelegt als Inhaltsnachweis. Das Dokument wird nicht unterschrieben; es dokumentiert, was Bestandteil des MCA war.
  3. Nutzung und Bestellung: Die erste Bestellung von Cloud-Diensten nach der Annahme sowie laufende Rechnungen gelten als Annahme durch schlüssiges Handeln.

Wer diese drei Belege zusammen ablegt, ist prüfungsfest aufgestellt. Wir legen diese Dokumentation beim Onboarding standardmäßig gemeinsam mit unseren Kunden an.

Modified Abuse Monitoring: der übersehene KI-Baustein

Schritt 5 des Prozesses verdient einen genaueren Blick. Azure protokolliert für das Abuse Monitoring standardmäßig auffällige Prompts und Completions und legt sie in einem gesonderten, nach Kunden getrennten Datenspeicher ab. Die Prüfung läuft dabei zunächst automatisiert; eine menschliche Sichtung durch autorisierte Microsoft-Mitarbeiter erfolgt nur, wenn die automatische Bewertung nicht eindeutig ist – und für Dienste im Europäischen Wirtschaftsraum durch Personal innerhalb des EWR. Auch wenn also nicht jeder Prompt von einem Menschen gelesen wird: Für Mandanten- oder Patientendaten ist schon die Speicherung mit möglicher Human Review ein Problem, das keine AVV der Welt löst.

Erst das genehmigte Modified Abuse Monitoring schaltet diese Speicherung und die menschliche Überprüfung ab (eine automatisierte Bewertung ohne Speicherung kann weiterhin stattfinden). Der Antrag läuft pro Subscription, nicht pro Tenant. Wichtig – und ein Punkt, der sich zuletzt verschärft hat: Modified Abuse Monitoring ist inzwischen nur noch Kunden und Partnern zugänglich, die von einem Microsoft-Account-Team betreut werden oder über ein berechtigtes Programm laufen. Wer ohne diesen Zugang beim Self-Service startet, qualifiziert sich unter Umständen gar nicht erst. Genau hier zahlt sich ein CSP-Partner mit direkten Microsoft-Kontakten aus: Wir kennen den Weg über das Account-Team, begleiten den Antrag bis zur Aktivierung und rechnen dafür erfahrungsgemäß mit einigen Werktagen. Eine verbindliche Bearbeitungsdauer nennt Microsoft übrigens nicht – wer Ihnen eine feste Zusage macht, kennt den Prozess nicht.

Ein Namenshinweis, damit Sie die richtige Dokumentation finden: Microsoft hat die Azure-OpenAI-Dienste 2025 unter „Microsoft Foundry" bzw. „Models sold by Azure" neu geordnet, die Inhaltsfilter heißen jetzt „Guardrails". Der Mechanismus dahinter bleibt derselbe.

Die optionale Sovereign Public Cloud setzt darauf noch eine Schicht: Microsofts Souveränitätsangebot für die europäischen Rechenzentrumsregionen kombiniert die EU Data Boundary (seit Februar 2025 vollständig umgesetzt) mit operativer Transparenz über den „Data Guardian" (Zugriffe durch in Europa ansässiges Personal, manipulationssicher protokolliert) und kundenverwalteten Schlüsseln in eigenen HSMs (External Key Management). Als Betriebsmodell dient die Sovereign Landing Zone, eine auf Souveränität zugeschnittene Variante der Azure Landing Zone – verfügbar als Bicep- und Terraform-Implementierung. Das Angebot wurde im Juni 2025 vorgestellt und rollt seither über die europäischen Regionen aus. Für Häuser mit hohen Schutzanforderungen ist das der konsequente nächste Schritt; für den Einstieg genügen die Schritte eins bis fünf. Wie so ein souveräner Aufbau aussieht, zeigen wir am Beispiel unseres souveränen KI-Hubs auf STACKIT und in unserem Beitrag zu Azure Landing Zones.

AWS: Zusatzvereinbarung über den Partnerkanal

Bei AWS gibt es keine öffentlich verlinkte § 203-Standardvereinbarung, wie sie Microsoft bereitstellt – die vorhandenen AWS-Zusätze adressieren die deutsche Verschwiegenheitspflicht nicht spezifisch. Der Weg führt deshalb über eine individuelle Vereinbarung, die wir über unseren Distributionskanal anstoßen. Der Prozess:

  1. AWS Account anlegen oder einen Bestandsaccount nutzen, das funktioniert genauso.
  2. Billing Transfer zu innFactory bzw. TD SYNNEX einrichten, damit der Account im Partnermodell geführt wird.
  3. Zusatzvereinbarung anfragen: Wir stoßen über unsere Ansprechpartner bei TD SYNNEX und AWS die Verschwiegenheits-Zusatzvereinbarung an.
  4. Vereinbarung schließen: Sie schließen die Zusatzvereinbarung direkt mit AWS.
  5. Bedrock-Modelle prüfen: Seit Oktober 2025 hat AWS den Zugang zu Amazon Bedrock vereinfacht – die serverlosen Modelle einer Region sind heute in der Regel automatisch verfügbar, der frühere manuelle Freischalt-Schritt entfällt. Für einzelne Modelle bleibt aber eine Hürde: Die Anthropic-Modelle etwa verlangen vor der ersten Nutzung ein einmaliges Use-Case-Formular. Prüfen Sie das früh, damit das gewünschte Modell zum Projektstart bereitsteht.

Der letzte Punkt ist die typische Stolperfalle: Teams schließen die Vereinbarung, starten das Projekt und stellen dann fest, dass für das gewünschte Modell noch das Use-Case-Formular fehlt. Planen Sie die Modell-Freigabe als eigenen Schritt ein, nicht als Selbstverständlichkeit.

Google Cloud: möglich, aber ohne Zeitgarantie

Google ist der Weg mit den meisten Unbekannten. Öffentlich zugänglich ist nur das allgemeine Cloud Data Processing Addendum, das die datenschutzrechtliche Auftragsverarbeitung nach DSGVO regelt. Für die berufsrechtlichen Anforderungen nach § 203 StGB existiert darüber hinaus ein eigenes Addendum, öffentlich einsehbar ist es jedoch nicht. Der Ablauf: Sie fordern das Dokument über eine Vertraulichkeitsvereinbarung (NDA) an, prüfen es mit Ihrer Rechtsberatung, und Google bearbeitet die Anfrage anschließend nach dem Best-Effort-Prinzip. Wir haben Ansprechpartner bei Google und begleiten den Prozess, aber eine belastbare Zeitspanne bis zum Abschluss können wir nicht nennen. Das sollte auch niemand versprechen, der den Prozess kennt.

Das ist keine Disqualifikation von Google Cloud oder Vertex AI. Es bedeutet nur: Wer auf Google setzt und unter § 203 StGB fällt, sollte die Vertragsanbahnung früh starten und die Projektplanung nicht von einem festen Vertragsdatum abhängig machen.

Die drei Wege im Überblick

Microsoft AzureAWSGoogle Cloud
VertragsbasisZusatzvereinbarung für Berufsgeheimnisträger über CSPIndividuelle Zusatzvereinbarung über Partnerkanal (TD SYNNEX/AWS)Addendum für berufsrechtliche Anforderungen, Anforderung per NDA
FormalisierungsgradHoch, dokumentierter ProzessMittel, etablierter KanalEinzelfall, Best Effort
Laufzeit-BesonderheitZusatzvereinbarung endet spätestens 36 Monate nach Annahme, aktive Erneuerung nötigNach VereinbarungNach Vereinbarung
KI-BesonderheitModified Abuse Monitoring pro Subscription beantragen (nur für betreute Kunden)Bedrock-Modelle automatisch, Use-Case-Formular für einzelne Modelle§ 203-Zusage vor Vertex-Einsatz individuell klären
ZeithorizontPlanbarPlanbar mit PufferNicht zusagbar

Fazit: In vier Schritten zur rechtskonformen Cloud

Alle drei Hyperscaler lassen sich unter Berücksichtigung des § 203 StGB nutzen, aber keiner davon „einfach so" per Kreditkarte und Standardvertrag. Unsere Faustregel:

  1. Erst der Vertrag, dann die Daten. Keine Patienten- oder Mandantendaten in die Cloud, bevor die Verschwiegenheits-Zusatzvereinbarung geschlossen ist.
  2. Fristen und Nachweise managen. Ablaufdaten dokumentieren, die drei Nachweisbausteine ablegen und die Erneuerung rechtzeitig anstoßen. Eine ausgelaufene Zusatzvereinbarung ist so gut wie keine.
  3. KI-Dienste separat prüfen. Abuse Monitoring, Datenretention und Modell-Freigaben sind eigene Baustellen neben dem Rahmenvertrag – bei Azure das Modified Abuse Monitoring, bei AWS das Use-Case-Formular für einzelne Bedrock-Modelle.
  4. Über den Partnerkanal gehen. Die Zusatzvereinbarungen laufen bei allen drei Anbietern über Partner- und Distributionsstrukturen. Ein CSP- und Cloud-Partner mit direkten Ansprechpartnern verkürzt den Weg erheblich.

Wer diesen Unterbau sauber legt, kann anschließend die führenden KI-Modelle datenschutz- und berufsrechtskonform nutzen: GPT über Azure OpenAI, Claude über Amazon Bedrock oder Google Vertex AI, Gemini über Vertex AI. Die Modelle laufen dann innerhalb Ihrer abgesicherten Cloud-Umgebung statt über einen öffentlichen Endpunkt. Auf dieser Basis lässt sich ein eigener KI-Hub wie CompanyGPT im eigenen Azure-Tenant betreiben, bei dem die Daten die kontrollierte Umgebung gar nicht erst verlassen. Und selbst Desktop-Werkzeuge wie Claude Cowork und Claude Code lassen sich per zentral verteiltem Konfigurationsprofil auf Ihre eigenen, konformen Modell-Endpunkte umleiten – wie das konkret funktioniert, zeigen wir im Beitrag Claude Cowork & Claude Code datenschutzkonform mit CompanyGPT.

Wichtiger Hinweis: Dieser Beitrag beschreibt die Prozesse nach unserem Kenntnisstand zum Veröffentlichungszeitpunkt. Vertragsangebote, Formulare, Laufzeiten und Programme der Hyperscaler ändern sich regelmäßig. Prüfen Sie insbesondere die jeweils aktuelle Fassung der Zusatzvereinbarungen sowie die Verfügbarkeit und Bedingungen des Modified Abuse Monitoring bei Azure immer zum aktuellen Zeitpunkt. Der Gesetzestext des § 203 StGB ist öffentlich einsehbar. Dieser Artikel ersetzt keine Rechtsberatung – die berufsrechtliche Bewertung gehört in die Hände Ihrer Rechtsberatung.


Sie planen Cloud- oder KI-Workloads mit Daten, die unter das Berufsgeheimnis fallen? innFactory erstellt Ihnen gerne ein Angebot zum Bezug einer Azure Subscription ohne Zuschlag auf die regulären Listenpreise und ohne Onboarding- oder Managementgebühr. Sprechen Sie uns unverbindlich an.

Tobias Jonas
Geschrieben von Tobias Jonas CEO

M.Sc. Informatik, Schwerpunkt KI & Cloud. Vertritt die innFactory nach außen und entwickelt die Strategie. Begleitet als technischer Lead viele Projekte operativ.

LinkedIn