Georg Thieme Verlag KG

Klinik-Daten in die Cloud?Auf dem Prüfstand: interne versus externe Datenverarbeitung

Der Krankenhaus-IT-Experte Nils Alwardt verantwortet bei Vivantes, dem größten kommunalen Krankenhausunternehmen Deutschlands, die IT von insgesamt neun Krankenhäusern. Er findet: „Cloud-Lösungen sind eine echte Option für die Zukunft.“ Im Gespräch mit kma Online erklärt er, wieso externe Cloud-Datenhaltung per se weder preiswerter noch unsicherer ist als interne Rechenzentren.

Cloud
thodonal/stock.adobe.com

Symbolfoto

Nils Alwardt
Privat

Nils Alwardt, Ressortleiter IT und Digitalisierung bei Vivantes.

Daten in die Cloud? Ja oder nein? Mit dieser Frage beschäftigen sich dieser Tage viele Klinik-CIOs. Der Blick auf die deutsche Kliniklandschaft zeigt jedoch einen eindeutigen Trend: Bei den Daten wird hierzulande weiterhin auf klinikinterne Verarbeitung und unternehmenseigene Cloud-Lösungen anstelle von externen Diensten gesetzt. Wie kommt das?

Rund 90 Prozent der deutschen Kliniken nutzen für ihre Datenverarbeitung nach wie vor eigene Rechenzentren, schätzt Nils Alwardt, Ressortleiter IT und Digitalisierung bei Vivantes, auf Basis seiner Erfahrungen: „Die Datenverarbeitung ihres klinischen Informationssystems (KIS) bewerkstelligen deutsche Krankenhäuser in den allermeisten Fällen intern.“

KI und Analytics als Treiber für externe Cloud-Dienste

Externe Cloud-Dienste finden ihm zufolge bislang nur sukzessive ihren Weg in die Kliniken: „über Themen wie künstliche Intelligenz (KI) und Analytics-Zwecke beispielsweise.“ Auch das Vivantes-Netzwerk mit neun Krankenhäusern, darunter drei Häuser der Maximalversorgung, 13 MVZ mit 60 Facharztpraxen, 18 Pflegeheimen und einem Hospiz, tastet sich als kommunaler Krankenhausträger des Landes Berlin, derzeit nur punktuell an progressive, ausgelagerte Cloud-Lösungen heran.

Gute Basis ist dafür, dass das Vivantes-Netzwerk bereits seit zwei Jahrzehnten mit zentraler IT aufgestellt ist. „Das Land Berlin hat vor 21 Jahren die kommunalen Krankenhäuser in Berlin unter dem Dach „Vivantes“ zusammengefasst – und in diesem Zuge IT und Rechenzentren schrittweise in einer internen Cloud zentralisiert“, berichtet der Klinik-IT-Leiter, der mit dem KIS ORBIS von Dedalus die meisten klinischen Prozesse und das PACS für Vivantes umsetzt. Mit der Zentralisierung sind auch die Klinikdaten von den einzelnen Häusern in eine einrichtungsübergreifende IT-Struktur im Krankenhauskonzern gewandert.

„Bundes- und Landesdatenschutzgesetze setzen der Überführung von Daten in externe Clouds aktuell enge Grenzen“

Die Überlegung, die klinischen Daten in eine externe Cloud zu überführen, stand bei Vivantes jedoch bisher nicht im Raum. Der Grund: „Berlin schließt das Outsourcing der Daten per Landeskrankenhausgesetz de facto aus, weil es in den Landeskrankenhausgesetzen spezielle Datenschutzregelungen zur Auftragsdatenverarbeitung gibt, die eine Platzierung von Systemen mit Patientendaten außerhalb von Krankenhäusern quasi nicht zulassen“, erläutert Alwardt die Hürden für das mögliche, klinische Datenoutsourcing. Auch das deutsche Bundesdatenschutzgesetz setze der Überführung von klinischen Daten in eine externe Cloud derzeit noch sehr enge Grenzen.

Kleinere IT-Anwendungsfälle sind bei Vivantes jedoch bereits in die Cloud gewandert: „Spezialsoftware und solche Systeme, die nicht mit Patientendaten arbeiten, wie beispielsweise unser Intranet und Internetauftritt, konnten wir schon auf externe Cloud-Lösungen umstellen“, betont der Vivantes-Experte.

Diese externen Cloud-Inseln machen zwar bislang nur einen kleinen Anteil der Klinik-IT aus, dennoch sind sie dem Experten zufolge wichtig: „KI-Lösungen stellen immer höhere Ansprüche an die Rechenleistung. Dazu kommen stetig steigende, technische Sicherheitsanforderungen. Das können große, spezialisierte Cloud-Partner oft besser leisten, als eine hauseigene Krankenhaus-IT. Es wäre gut, wenn sich die klinische Datenhaltung und -verarbeitung dahingehend entwickeln und verändern würde. Darüber hinaus werden Aktualisierungszyklen oftmals kürzer und ermöglichen damit den schnelleren Rollout von Innovationen“, prognostiziert Alwardt.

Der IT-Ressortleiter bei Vivantes wünscht sich deshalb, dass an den regulativen Rahmenbedingungen wie z.B. dem Berliner Landeskrankenhausgesetz gearbeitet wird: „Wir müssen den Datenschutz natürlich auf hohem Niveau halten – insbesondere für die Patienten, aber auch für unsere Mitarbeitenden. Doch die Rahmenbedingungen schränken uns aktuell zu sehr ein, wenn es um die Nutzung von neuen Technologien geht“, so sein Credo.

Sind klinische Daten in der Cloud unsicher?

Den vielgehörten Einwand, klinische Daten seien in externen Clouds grundsätzlich unsicherer, lässt der Klinik-IT-Experte nicht gelten: „Dies wird oft von Unternehmen als Argument für interne Datenhaltung angeführt. Man muss jedoch bedenken, dass Großkonzerne ganz andere finanzielle Möglichkeiten besitzen, um in IT-Sicherheit zu investieren als beispielsweise ein kleines Krankenhaus.“

„IT-Systeme sind nicht per se am sichersten, nur weil sie auf dem eigenen Klinikgelände betrieben werden“

Daher sei Cloud-Datenhaltung nicht per se unsicher, teils sogar sicherer als der Eigenserver-Betrieb, findet man bei Vivantes – unter bestimmten Voraussetzungen: So benötigt jede externe Cloud einen ordentlichen Prüfprozess, um sicherzustellen, dass die Daten aus IT-Sicherheitssicht geschützt sind. „Um zu vermeiden, dass ein Rechenzentrum gehackt und angegriffen werden kann, braucht es bindende Zertifizierungsprozesse und Sicherheitsstandards, denen sich die Partner unterziehen müssen.“ Eine stabile IT-Sicherheit lässt sich demnach sowohl bei interner Datenhaltung als auch über eine externe Cloud erzielen.

Hat Cloud-Datenhaltung auch Nachteile?

Auch mit anderen Vorurteilen räumt Nils Alwardt auf: zum Beispiel der weitverbreiten Ansicht, dass Cloud-Datenhaltung automatisch kostengünstiger sei. Dies stimme so nicht, resümiert der IT-Ressortleiter: „Cloud-Dienste sind dann vielfach preiswerter, wenn es darum geht, hohe Rechenleistungen einzukaufen, z.B. für den Einsatz von KI.“ Kosten und Nutzen seien jeweils gegeneinander abzuwägen.

Interne Lösungen: frei von den Geschäftsinteressen Dritter

Andererseits seien Kliniken, die ihre Datenverarbeitung ausschließlich intern praktizieren, grundsätzlich immer „Herr ihrer Daten“, gibt Alwardt zu bedenken: „Bei extern betriebenen Systemen gilt es sicher zu stellen, dass keine Verwertung von Daten für andere Zwecke erfolgt.“ Krankenhäuser, die zukünftig externe Cloud-Dienste nutzen wollen, müssten somit zuallererst ausschließen können, dass ihre Cloud-Partner andere Geschäftsinteressen verfolgen.“

Doch bevor es soweit ist, muss sich erst politisch einiges bewegen, stellt der Experte bei Vivantes klar und fügt erklärend hinzu: „Derzeit können die zwei größten Cloud-Player – Amazon Web Services und Microsoft Azure – in Deutschland gar nicht zum Einsatz kommen bzw. nur sehr eingeschränkt im Zusammenspiel mit Verschlüsselungs- und Pseudonymisierungstechnologien. Nur so lässt sich sicherstellen, dass kein Fremdzugriff erfolgen kann.“

Der Hintergrund: mit dem gerichtlichen EuGH-Entscheid „Schrems II“ wurden nicht nur US-amerikanische Firmen als mögliche Cloud-Partner abgewiesen, sondern sogar Rechenzentren in Deutschland, die ihren Firmensitz in den USA haben.

SCHREMS II-Urteil hindert deutsche Kliniken am Datenoutsourcing

„Das Schrems II-Urteil ist natürlich berechtigt und hat gute Gründe: Es geht um den Schutz unserer Daten vor amerikanischem Zugriff“, erklärt Alwardt. Wichtig sei es nun für Europa, mit Amerika auf höchster politischer Ebene eine Vereinbarung zu treffen, die einen ebensolchen möglichen Datenmissbrauch ausschließt, betont der Experte. Eine Initiative für ein neues Datenschutzabkommen, welches das Urteil berücksichtigt und die Unsicherheit durch Rechtsicherheit auf politischer Ebene ausräumt, sei bereits in Vorbereitung: Unter der Bezeichnung „Trans-Atlantic Data Privacy (TADAP) Framework“ wird aktuell am vertrauenswürdigen Datenaustausch zwischen den USA und der EU gearbeitet. Die Neuregelung nimmt die Privatsphäre und Freiheitsrechte des Einzelnen nach europäischem Standard in den Blick.

Personenbezogene Daten aus der Europäischen Union dürfen nach Schrems II, einem Urteil des EU-Gerichtshofs (EuGH) seit Mitte Juli 2020 nur noch unter ganz bestimmten Bedingungen in die USA und Drittländer jenseits der EU-Grenzen exportiert werden – nämlich dann, wenn die Datenschutzanforderungen gemäß der europäischen Datenschutzgrundverordnung (DSGVO) eingehalten werden.

Mit dem Schrems II-Urteil wurde das Privacy Shield-Abkommen außer Kraft gesetzt, welche den außereuropäischen Datentransfer bis Mitte 2020 ermöglicht hatte.

Mit dem Framework des European Health Data Space (EHDS) wird derzeit zudem die Umsetzung einer europäischen Patientenakte ab 2025 angestrebt, welche die grenzüberschreitende Pflege und Forschung durch optimale Datennutzung von rund 450 Millionen Menschen in Europa verbessern soll. Alwardt hält diese Bemühungen zwar für nützlich, wendet jedoch ein: „Wir sollten zuerst die elektronische Patientenakte (ePA) in Deutschland flächendeckend und funktionsfähig installieren, bevor wir uns mit möglichen Parallelprojekten anderer EU-Länder zusammenschließen“, so sein Fazit.

Unabhängig vom erfolgreichen Abschluss der ePA hierzulande, muss die Datenfreigabe gemäß originärem Datenschutzrecht ohnehin immer grundsätzlich von Patientenseite kommen oder auf einer entsprechenden Rechtsgrundlage basieren. Erst dann können grenzüberschreitende Pflege- und Forschungspotenziale ausgeschöpft werden und in die praktische Umsetzung kommen. Indem sie ihren technischen IT-Betrieb für externe Cloud-Dienste öffnen, könnten die deutschen Kliniken dafür jedoch den Weg bereiten.

2022. Thieme. All rights reserved.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!