FoundersDeck Compliance · für das Gesundheitswesen
DSGVO-konformes Monitoring & Verfügbarkeitsnachweise für Medizinsoftware
Uptime-Monitoring, Heartbeat-Checks und cookie-freie Status-Seiten — 100 % in Deutschland gehostet (Netcup, Nürnberg), kein CLOUD Act. Gebaut für Anbieter von Klinik- und Praxis-Software, die ihren Kunden Verfügbarkeit nachweisen müssen. Unterstützt deine NIS2- und DSGVO-Pflichten.
Stand: Juni 2026 · Erstellt von Engin Yildirim, Gründer von FoundersDeck
Warum Monitoring im Gesundheitswesen ein Compliance-Thema ist
NIS2-Pflichten
NIS2 hat das Gesundheitswesen frisch in den Pflichtenkreis gezogen: Verfügbarkeit sicherstellen und Sicherheitsvorfälle melden. FoundersDeck liefert die laufende Verfügbarkeitsüberwachung und Incident-Historie, die solche Nachweise unterstützen.
DSGVO & Auftragsverarbeitung
Wer Software für Praxen und Kliniken betreibt, verarbeitet Daten im Auftrag. Ein Monitoring-Tool, dessen Daten die EU verlassen, wird selbst zum AVV-Problem. Unser Auftragsverarbeitungsvertrag steht zum sofortigen Download bereit.
Schrems II & CLOUD Act
US-gehostete oder US-betriebene Monitoring-Tools unterliegen dem CLOUD Act und FISA 702 — ein Risiko, das genau dieser Käufer prüft. FoundersDeck ist ein deutsches Unternehmen mit ausschließlich deutscher Infrastruktur für alle Monitoring-Daten.
Rechtsgrundlagen & Quellen: BSI zu den NIS2-Pflichten, BSIG 2025 (NIS2UmsuCG, in Kraft seit 6.12.2025) und NIS2-Richtlinie (EU) 2022/2555.
Verlangt NIS2 von Software-Anbietern, Verfügbarkeit zu überwachen?
NIS2 schreibt kein bestimmtes Werkzeug vor, aber eine belegbare Aufrechterhaltung des Betriebs (§ 30 Abs. 2 Nr. 3 BSIG). Genau hier endet, was klassische Compliance-Tools leisten: GRC- und ISMS-Plattformen dokumentieren Richtlinien und Maßnahmen — sie messen aber nicht, ob dein Dienst tatsächlich erreichbar war. Diesen Verfügbarkeitsnachweis liefert kontinuierliches Monitoring.
Was GRC-/ISMS-Tools abdecken
Richtlinien, Risikoregister, Maßnahmen-Dokumentation, Audit-Vorbereitung. Sie halten fest, dass du Verfügbarkeit sicherstellen willst.
Was Monitoring ergänzt
Den laufenden, zeitgestempelten Nachweis, dass deine Systeme erreichbar waren — plus automatisch erkannte und klassifizierte Vorfälle als Grundlage für deine Melde- und Nachweispflichten.
Bin ich als Softwareanbieter von NIS2 betroffen?
Direkt betroffen bist du, wenn du Software nicht nur lieferst, sondern auch betreibst — als SaaS-, Cloud- oder Managed-Service-Anbieter — und mindestens 50 Mitarbeiter oder über 10 Mio. Euro Umsatz und Bilanzsumme erreichst (§ 28 BSIG). „Software-Hersteller" allein ist kein eigener NIS2-Sektor. Häufiger ist der zweite Fall: Du bist nicht direkt betroffen, aber deine NIS2-pflichtigen Klinik- und Praxiskunden müssen ihre Lieferkette absichern (§ 30 Abs. 2 Nr. 4 BSIG) und reichen die Pflicht vertraglich an dich weiter — über Sicherheitsanforderungen, Audits und Verfügbarkeitsnachweise. NIS2 erreicht dich dann über den Markt, nicht über die Behörde. Die genaue Einstufung ist im Einzelfall zu prüfen.
Welchen Verfügbarkeitsdruck das Gesundheitswesen erzeugt
Wer an die Telematikinfrastruktur (TI) anschließt oder sie beliefert, kennt den Maßstab: Die gematik definiert für TI-Dienste verbindliche Service-Level mit Verfügbarkeitszielen, deren Einhaltung monatlich über ein zentrales TI-Monitoring gemessen wird — Unterschreitungen sind mit Vertragsstrafen (Pönale) belegt. Über die NIS2-Lieferkettenpflicht setzt sich dieser Verfügbarkeitsdruck bis zu zuliefernder Software fort. Kontinuierliches Monitoring liefert den Nachweis, dass deine Systeme diesem Maßstab standhalten.
Quelle: gematik — Richtlinie zum Betrieb der TI (Service Level).
Was FoundersDeck mitbringt
- 100 % deutsche Infrastruktur. Alle Monitoring-Daten ausschließlich in Nürnberg (Netcup), niemals außerhalb der EU.
- Sofort-AVV. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zum direkten Download — ohne Sales-Call.
- NIS2 Art. 21 Unterstützung. Verfügbarkeitsüberwachung und automatische Incident-Erkennung als Grundlage für deine Melde- und Nachweispflichten.
- BSI-Grundschutz-Bezug. Verfügbarkeits- und Incident-Daten, die sich auf BSI-Grundschutz-Anforderungen abbilden lassen.
- Sub-Processor-Transparenz. Offen dokumentierte, EU-zentrierte Lieferkette — auditierbar.
- Cookie-freie Status-Seiten. Öffentliche Verfügbarkeitsnachweise ohne Tracking, die du deinen Klinik-Kunden zeigen kannst.
Für Medizinsoftware-Anbieter
Du betreibst Software für Praxen oder Kliniken?
Deine Klinik- und Praxis-Kunden erwarten Verfügbarkeit — und zunehmend Nachweise dafür. Mit FoundersDeck überwachst du deine eigene Plattform (Web-App, API, Worker, nächtliche Backups), zeigst eine cookie-freie Status-Seite und behältst eine vollständige Incident-Historie, die deine NIS2- und AVV-Nachweise gegenüber diesen Kunden unterstützt — alles auf deutscher Infrastruktur.
Für Kliniken & Praxen
Verfügbarkeit deiner Patienten-Systeme im Blick
Überwache Praxis- und Klinik-Anwendungen, Portale und Schnittstellen von deutscher Infrastruktur aus und werde sofort alarmiert, wenn ein System nicht mehr erreichbar ist. Keine Cookies, kein US-Cloud-Dienst, kein CLOUD Act — Monitoring, das zu den Anforderungen an den Umgang mit Patientendaten passt.
Worauf regulierte Käufer achten
Deutsche GmbH
Betreiber mit Sitz in Deutschland, ausschließlich deutsches und EU-Recht — nicht dem CLOUD Act unterworfen.
Nürnberg
Alle Monitoring-Daten ausschließlich bei der Netcup GmbH in Deutschland — kein Transfer außerhalb der EU.
AVV sofort
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zum direkten Download — ohne Sales-Call.
Aus unserer eigenen Erhebung (EU Jurisdiction Database, 57 geprüfte Entwickler-Tools): Nur 7 von 57 bieten einen Auftragsverarbeitungsvertrag zum Sofort-Download — FoundersDeck ist eines davon.
FoundersDeck vs. US-Monitoring-Tools für regulierte Käufer
Für Käufer im Gesundheitswesen ist die entscheidende Achse nicht der Funktionsumfang, sondern die Rechtshoheit über die Monitoring-Daten:
| Kriterium | FoundersDeck | UptimeRobot · Pingdom · BetterStack |
|---|---|---|
| Betreiber-Jurisdiktion | Deutsche GmbH, EU-Recht | US-eingetragen bzw. US-Infrastruktur |
| CLOUD-Act- / FISA-702-Exposition | keine | gegeben — auch bei „EU-Region“ |
| Datenstandort der Monitoring-Daten | ausschließlich Deutschland (Nürnberg) | USA / global |
| AVV nach Art. 28 DSGVO | Sofort-Download | teils — oft mit Drittland-Transfer |
| Healthcare- / NIS2-Framing | ja | nein |
Vollständige Jurisdiktions-Analyse von 60+ Tools: EU Jurisdiction Database.
Compliance-Tarif
Für Anbieter und Einrichtungen mit echten Nachweispflichten. Preis nach Bedarf, nicht nach Monitor-Anzahl.
Compliance
ab €99/Monat
- Alles aus den FoundersDeck-Tarifen
- Auftragsverarbeitungsvertrag (AVV) inklusive
- Verfügbarkeits- & Incident-Nachweise als Report
- Unterstützung beim NIS2-Incident-Reporting
- BSI-Grundschutz-Mapping
- Sub-Processor-Liste & garantierte deutsche Rechtshoheit
- Direkter Founder-Support
Enterprise
Auf Anfrage
- Vertragliches SLA
- Individuelle Reports & Audit-Begleitung
- Höhere Volumina & Sonderanforderungen
- Priorisierte Roadmap-Abstimmung
Reports, NIS2-Incident-Support und BSI-Mapping werden im Rahmen der Zusammenarbeit bereitgestellt — kein Self-Service-Modul.
Weiterführende Ressourcen
Vertiefende Analysen zu den rechtlichen und technischen Fragen, die regulierte Käufer im Gesundheitswesen prüfen:
- NIS2 für Medizinsoftware-Anbieter — welche Verfügbarkeits- und Meldepflichten 2026 gelten
- DSGVO-konformes Uptime-Monitoring 2026 — deutsche Alternativen ohne US CLOUD Act
- US CLOUD Act & FISA 702: warum US-gehostete Monitoring-Tools für Gesundheitsdaten ein Risiko sind
- AVV-Check: SaaS-Anbieter in 5 Minuten auf DSGVO prüfen
- Europäische Alternativen zu US-Monitoring-Tools
- EU Jurisdiction Database — 60+ Tools nach Jurisdiktion & CLOUD-Act-Exposition
Häufige Fragen
- Hilft FoundersDeck bei der NIS2-Umsetzung im Gesundheitswesen?
- FoundersDeck unterstützt deine NIS2-Pflichten, indem es die Verfügbarkeit deiner Dienste kontinuierlich überwacht, Vorfälle automatisch erkennt und klassifiziert und eine lückenlose Incident-Historie führt. Diese Daten sind eine Grundlage für deine Verfügbarkeits- und Meldepflichten. Die organisatorische NIS2-Konformität bleibt Aufgabe deines Unternehmens — FoundersDeck liefert dafür die technischen Nachweise.
- Bekomme ich einen Auftragsverarbeitungsvertrag (AVV)?
- Ja. Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO steht zum sofortigen Download bereit — ohne Sales-Call. So kannst du FoundersDeck als Sub-Processor sauber in deine eigene Auftragsverarbeitung gegenüber Praxen und Kliniken einbinden.
- Wo werden die Monitoring-Daten gespeichert?
- Ausschließlich in Nürnberg, Deutschland, auf Infrastruktur der Netcup GmbH. Keine Monitoring-Daten verlassen die EU. FoundersDeck ist ein deutsches Unternehmen und unterliegt nicht dem US CLOUD Act oder FISA 702.
- Ist das für Patientendaten geeignet?
- FoundersDeck überwacht die Erreichbarkeit und Verfügbarkeit deiner Systeme — es greift nicht auf Patientendaten zu und speichert keine. Überwacht werden Endpunkte, Antwortzeiten und Statuscodes. Die cookie-freien Status-Seiten enthalten kein Tracking. Damit passt das Monitoring zu den Anforderungen an den Umgang mit sensiblen Systemen, ohne selbst zur zusätzlichen Datenquelle zu werden.
- Wie unterscheidet sich das vom regulären FoundersDeck-Tarif?
- Das Produkt ist dasselbe; der Compliance-Tarif bündelt zusätzlich die Artefakte, die regulierte Käufer für Audits brauchen: AVV, Verfügbarkeits- und Incident-Nachweise als Report, Unterstützung beim NIS2-Incident-Reporting, BSI-Grundschutz-Mapping und direkten Founder-Support. Diese Leistungen werden im Rahmen der Zusammenarbeit bereitgestellt, nicht als Self-Service-Module.