Sie werden hitzig und kontrovers diskutiert. Doch Fakt ist auch, dass ohne Cloud-Lösungen schon heute viele nützliche digitale Anwendungen im Gesundheitswesen gar nicht möglich wären – eine Tatsache, die sich in Zukunft noch weiter verstärken wird. Daher müssen wir jetzt daran arbeiten, Gesundheitsdaten sicher und effizient über die Cloud zu managen, vor allem auch hierzulande.
Wer schon einmal den Himmel beobachtet hat, weiß: Wolke ist nicht gleich Wolke. Manchmal kündigen sie einen bevorstehenden halben Weltuntergang an und manchmal verschwinden sie wie von Zauberhand ohne einen Regentropfen, was entweder ein Zeichen für Erwärmung ist (warme Luft kann mehr Wasserdampf aufnehmen) oder auf das Konto von kräftigen Winden geht, die die Wolken woanders zum Entladen hinschicken.
So ähnlich verhält es sich auch mit der digitalen Cloud, der Wolke, die irgendwo da oben „schwebt“ und in die wir neuerdings unsere Daten schicken. Für manche ist sie der Cumulonimbus (Gewitterwolken), der in Form von Starkregen und Sturm Unheil bringt. Andere sehen in ihr eine harmlose Schäfchenwolke. Beide Seiten haben mit Blick auf die digitale Cloud Recht. Grundsätzlich ist sie eine geniale Erfindung, ohne die ein rasantes Voranschreiten der Digitalisierung nicht möglich wäre. Dennoch gilt es, sie mit Bedacht einzusetzen und vor allem Sicherheitsstandards genau zu prüfen, damit es mit Blick auf IT- und Datensicherheit nicht doch noch donnert und grollt.
KHZG und neue Lösungen bringen Cloud auf die Agenda
Zum Einsatz kommen soll sie jedoch, wenn man in den Texten unseres Gesetzgebers zwischen den Zeilenliest. Er hat beispielsweise schon mit den Muss-Kriterien des KHZG die Cloud eindeutig auf die Agenda deutscher Akutkliniken gebracht. Denn neue Services wie die Videosprechstunde und weitere Kommunikationstools sind überhaupt erst mit der Cloud performant und effizient einzusetzen. Und wenn wir hier einmal an die Monate seit Ausbrauch des Corona-Virus zurückdenken, wollen wir solche, für die Versorgung gewinnbringende Lösungen doch nicht mehr missen, oder? Und hier spreche ich noch gar nicht von möglichen Skalierungsproblemen oder den klassischen „Falschenhälsen“, die bei isolierten, lokalen und eventuell von einzelnen Server abhängigen Services automatisch entstehen. Aber ich bin sicher, Corona hat uns hier einige Szenarien einer möglichen Überlastung und damit auch neue Erfahrungen beschert.
Und trotzdem gibt es nicht nur die eine Großwetterlage in Sachen Cloud in Deutschland. Wie beim „echten“ Wetter, kann in Schleswig-Holstein die Sonne scheinen, während sich in Bayern ein Gewitterzusammenbraut. Mehr noch: Die förderalen Strukturen unterstützen eine Vielzahl lokaler „Wetterkapriolen“ in Form von Landesdatenschutz und/oder krankenhausspezifischen Gesetzen. Insbesondere die Datenschutzregeln einiger Bundesländer lassen einen effizienten Einsatz von Cloud-Lösungen schlicht und ergreifend nicht zu. Es gibt Länder, in denen dürfen Patientendaten die Kliniken de facto nicht verlassen. Die dortigen Datenschutzgesetze stammen nämlich noch aus den Neunziger, also zu einer Zeit, in der das Internet langsam kommerzialisiert wurde und Mikrofilme noch das Langzeitspeichermedium der Wahl waren. Ist das zeitgemäß oder innovtionsfördernd? Ein Blick auf die Ausformulierungen des KHZG reicht für ein klares Nein. Daher wird es in vielen Ländern nun endlich Zeit für ein Gesetzesupdate.
Cloud-Lösungen zu unsicher
Als Totschlagargument gegen Cloud-Lösungen wird immer wieder ihre vermeintliche Unsicherheit angeführt. Also lassen Sie uns über Sicherheit sprechen. Gesundheitsdaten sind ganz klar attraktive Angriffsziele für Hacker. Doch wo ist die Gefahr größer, in einer Klinik oder Arztpraxis, in der die Betreiber, in der Regel keine Spezialisten, selbst für die IT-Sicherheit verantwortlich sind oder bei einem professionellen Cloud-Dienstleister, dessen Kerngeschäft Daten-, Informations- und IT-Sicherheit sind?
Außerdem muss klar sein, dass es eine hundertprozentige Sicherheit nicht gibt. Cyberkriminalität ist das moderne Wettrüsten unserer Zeit. Und wenn wir schon diesen Vergleich heranziehen, ist auch klar, dass ein solcher Kampf mit einer starken Gemeinschaft eher zu gewinnen ist, als wenn man allein auf weiter Flur steht. Das heißt im Umkehrschluss, eine Cloud kann durchaus einen hohen, vielleicht sogar einen höheren Grad an IT-Sicherheit bieten als eine Insellösung in einer einzigen Klinik oder Praxis. Denn wenn wir ehrlich sind, wissen wir, dass sich nur die wenigsten Häuer eine performante Infrastruktur oder KI Lösungen leisten können, die genau die Sicherheitsstandards zu Grunde legt, die die schützenswerten Daten des Gesundheitswesens verlangen. Als Gegenargument kommt dann in der Regel, dass ein Sicherheitsvorfall in einer kleinen Praxis oder lokal begrenzt in einer kleinen Klinik auch einen geringeren Schaden anrichtet. Definitiv. Nur sind sie für Hacker leichte Beute, was Angriffe attraktiv macht und damit auch die Frequenz solcher Angriffe tendenziell erhöht.
Und dann ist da auch noch der Effizienzvorteil, der gewonnen wird, wenn Infrastruktur über die Cloud verfügbar gemacht wird. Hier kann in Zukunft ein Miteinander und eine neue Art der Kollaboration entstehen. Nämlich dann, wenn über eine professionelle Cloud, in der Big Data- und Forschungskompetenzen gebündelt und ausgebaut werden können, eine Value-basierte und personalisierte Medizin vorangetrieben wird. Und vor allem: Die Patientin oder der Patient kann bundes-,europa- und sogar weltweit rund um die Uhr auf ihre/seine Daten zugreifen. Das ermöglicht eine individuelle Behandlung mit den individuell präferierten Behandlern – unabhängig von lokalen Restriktionen.
ENISA sieht Gesundheitswesen als Cloud-Vorbild
Weil die Cloud auch im Gesundheitswesen immer mehr an Bedeutung gewinnt, hat die EU-Agentur für Cybersicherheit ENISA nun speziell deren Sicherheit für das Gesundheitswesen betrachtet und daraus konkrete Sicherheitshinweise abgeleitet – mit einer bemerkenswerten Erkenntnis: Die erhöhten Sicherheitsanforderungen für die Verarbeitung von Gesundheitsdaten in einer Cloud können ein Beispiel dafür sein, wie sich auch sensible, kritische Daten im Rahmen von Cloud-Diensten schützen lassen. Damit wird das Gesundheitswesen zum Vorbild und Vorreiter für die Absicherung von Cloud-Services, bei denen besonders schutzbedürftige Daten verarbeitet werden sollen.
Diesen potenziellen europäischen Vorsprung müssen wir ausbauen. Denn es gibt auch hierzulande genügend gute Cloud-Anbieter, sodass wir weder die Daten unserer Patienten noch die unserer Kliniken jenseits des Atlantiks speichern müssen. Im Gegenteil: Wir sollten den Schub des KHZG und vieler anderer Gesetze nutzen, um den Ausbau von Cloud-Lösungen „made in Germany“ oder „made in Europe“ im Gesundheitswesen voranzutreiben. Die Guidelines hierfür hat die ENISA in ihrem Bericht erarbeitet. Nun ist es an den Akteuren, diese Erkenntnisse auch im Bereich der kritischen Infrastruktur in die Tatumzusetzen und die ihnen zugedachte Vorreiterrolle anzunehmen.
Ich sehe hier eine große Chance und auch einen starken Mehrwert für Patient und Gesundheitswesen, wenn wir die Möglichkeiten, die Cloud-Lösungen bieten, auch annehmen und nutzen. Ich sage nicht, dass wir das heute auf allen Ebenen schon können. Es gibt definitiv noch einige Hausaufgaben zu erledigen –vom Gesetzgeber und den Leistungserbringern, von einer Anpassung der Datenschutzrichtlinien, bis hin zur Ausbildung entsprechender Fachkräfte bis ins Top-Management hinein. Nur sollten wir heute schon offen sein, für diese Möglichkeiten. Denn wir haben ja gelernt, dass mit einer Schäfchenwolke nicht zwangsläufig das große Gewitter auf uns herabprasseln muss. Denn das Gute ist: Wir haben es derzeit noch selbst in der Hand, aus welcher Richtung der nötige Wind bläst und können entsprechend unsere Segel setzen und sogar Windräder bauen.