Die Speicherung von Gesundheitsdaten in der Cloud fördert die Zusammenarbeit und Kommunikation zwischen Kliniken. Anderseits ist die Sorge groß, dass die Daten missbraucht oder „abgezapft“ werden. In der Kritik stehen dabei oft die USA und ihre großen Cloud-Provider.

Viele Krankenhäuser in Deutschland bilden Verbundsysteme oder tun sich für einzelne Projekte zusammen. Das Universitätsklinikum Tübingen arbeitet laut Handelsblatt zum Beispiel mit anderen Kliniken an einem neuen Krankenhausinformationssystem (KIS). In Bayern soll ein Patientenportal für 110 Kliniken entstehen, im Saarland eine Plattform für alle Krankenhäuser des kleinen Bundeslandes. Solche Projekte sind nicht nur teuer, sondern wegen bisheriger Gesetze, die das Verlassen von Patientendaten in öffentlichen Krankenhäusern verbieten, auch recht aufwendig.

Angst vor der Cloud oder der amerikanischen Cloud?

Viele Krankenhäuser und Arztpraxen speichern ihre Daten immer noch lokal, weil sie befürchten, dass die Cloud nicht sicher ist und die amerikanischen Hyperscaler die Daten an dortige Unternehmen oder Behörden weiterleiten könnten. Daher sehen viele Verantwortliche in Deutschland eine deutsche oder europäische Cloud als sicherer an und entscheiden entsprechend. Die 1991 in Heidelberg gegründete ATOS-Krankenhausgruppe, die sich mit zehn stationären und 15 ambulanten Standorten als eines der führenden überregionalen Verbundsysteme für Kliniken in Deutschland sieht, entwickelt deshalb derzeit eine eigene Private Cloud.

Eine amerikanische Public Cloud käme für Martin von Hummel, Geschäftsführer der privaten Krankenhausgruppe gar nicht in Frage. Kritisch zu US-Cloud-Anbietern äußerte sich auch ein IT-Leiter, der mit Blick auf das Krankenhauszukunftsgesetz (KHZG) an einem Millionenprojekt beteiligt ist. „Man schaut eher auf europäische Unternehmen“, zitiert ihn Handelsblatt Inside. Die meisten Anbieter, die man im Fokus habe, seien aber bereits „in europäischen Cloud-Strukturen verwurzelt“.

Ein Berliner Startup namens Recare, das eine Nachsorgeplattform für Krankenhauspatienten entwickelt hat, gab im Januar bekannt, nicht mehr mit dem „Ableger“ eines US-Unternehmens zusammenzuarbeiten und stattdessen einen deutschen Anbieter als Partner gewonnen zu haben.

Warum die Sorgen und woran es hakt bei US-Anbietern

Das Problem mit den amerikanischer Cloud-Anbietern ist immer wieder auf den einstigen US Patriot Act beziehungsweise den darauffolgenden US Freedom Act zurückzuführen. Der zwingt nämlich dortige Unternehmen im Zweifel zur Herausgabe der in Europa oder in den USA gehosteten Daten an Bundesbehörden wie die NSA oder CIA. Und nachdem es Datenschützern rund um den jungen österreichischen Anwalt Max Schrems 2015 und 2020 gelungen ist, mit Safe Harbor und dem EU-US Privacy Shield zweimal wichtige transatlantische Vereinbarungen vor dem Europäischen Gerichtshof zu kippen, gibt es nach wie vor noch kein neues Abkommen.

Die EU-Kommission hat aber Dezember 2022 eine Angemessenheitsentscheidung zum EU-U.S. Data Privacy Framework veröffentlicht. Und sobald die USA Maßnahmen ergreifen, um ein der EU gleichwertiges Datenschutzniveau zu erreichen, soll diese Angemessenheitsentscheidung in Kraft treten. Wie das Bayerische Landesamt für Datenaufsicht schreibt, wäre dann eine individuelle Prüfung des Einzelfalls und des konkreten US-Dienstleisters nicht mehr erforderlich.

Bund und Länder signalisieren Offenheit gegenüber der Cloud

Derweil hat sich in manchen Bundesländern und im Bund schon viel getan, was die Lockerung der strengen Datenschutzregeln und anderen Auflagen in Bezug auf die Cloud und die Auftragsvergabe an externe IT-Dienstleister angeht. In Bayern ist es zum Beispiel nach Änderung des Krankenhausgesetztes im Juni 2022 mittlerweile möglich, dass auch öffentliche Krankenhäuser ihre Patientendaten in von Dritten betriebenen Rechenzentren hosten lassen können. Das Berliner Pendant erlaubt sei Oktober 2022, dass IT-Dienstleister Gesundheitsdaten verarbeiten können.

Das Bundesgesundheitsministerium (BMG) hat auf Anfrage von Handelsblatt Inside auch schon signalisiert, einheitliche IT-Sicherheitsrichtlinien für Cloud-Computing zu begrüßen. Jedoch legen die 16 Bundesländer die Datenschutzbestimmungen für den Gesundheitsbereich unterschiedlich aus.

Sie wehren sich zum Teil auch gegen Vorgaben oder ein Machtwort des Bunds, weil das Krankenhauswesen Ländersache sei.

Während die Berliner Datenschutzbeauftragte Maja Smoltczyk nichts gegen eine Vereinheitlichung der Regeln hätte, hält ihr bayerischer Amtskollege Thomas Petri dies für zweifelhaft. Und die nordrhein-westfälische Datenschutzbeauftragte wollte sich zu einer bundeseinheitlichen Cloud-Regelung im Gesundheitsbereich gar nicht äußern.

Die Autoren eines Arbeitspapieres „Boosting eHealth Governance“ betrachten die gängige Praxis, Gesundheitsdaten lokal zu speichern, als rückwärtsgewandt und fordern ein klares politisches Bekenntnis für die Speicherung und Verarbeitung von medizinischen Daten in der Cloud. Denn Cloud-Lösungen sind dem Politikberater und Koordinator der Initiative Nikolaus Huss zufolge allemal „kostengünstiger, schneller und adaptierbarer“. Das BMG hält sich mit solchen Aussagen noch zurück, setzt aber in einem Schreiben „große Hoffnungen auf die baldige Verfügbarkeit von souveränen Cloud-Lösungen als mögliche Game Changer“.

Aber ob mit oder ohne amerikanische Cloud-Anbieter, das ist hier die Frage. Eine neue transatlantische Vereinbarung würden die Sorgen über Datenabfluss auf die andere Seite des Großen Teiches jedenfalls schmälern. Bis es aber so weit ist, dürften deutsche und europäische Cloud-Unternehmen vom schlechten Image der US-Mitbewerber profitieren.

Quelle Titelbild: Adobe Stock / metamorworks