Wie die Cloud gut Wetter macht

Wenn Cloudtechnologien und Software-as-a-Service(SaaS)-Lösungen erfolgreich in der Medizin Fuß fassen sollen, muss eine kritische Auseinandersetzung mit den offenen Fragen stattfinden. Wichtige Impulse dafür möchten wir in der VIEW setzen. Wir sprachen darum mit Bernd Schütze – und erhielten ebenso ungeschminkte wie profunde und für die Praxis wertvolle Antworten. Bernd Schütze leitet die Arbeitsgruppe Datenschutz und IT-Sicherheit im Gesundheitswesen in der GMDS¹ , ist studierter Mediziner, Informatiker und Jurist und absolvierte eine Zusatzausbildung zum Datenschützer.

Herr Schütze, wie definieren Sie Cloud-Lösungen?

Bernd Schütze: Die Cloud ist in erster Linie ein Marketingbegriff, mit dem im Kern die Datenverarbeitung in einem oder mehreren Rechenzentren gemeint ist. Ohne Rechenzentrum keine Cloud. Hinzu kommt noch eine Software, die dem Rechenzentrum sozusagen Leben einhaucht, indem sie die Funktionen für die dezentrale Nutzung bereitstellt. Also für die Vernetzung sorgt und dafür, dass Daten ausgeglichen transformiert werden oder, dass eine mandantenabhängige Verteilung stattfinden kann. Die Idee hinter der Cloud ist, dass sich Einrichtungen Ressourcen beliebig hinzukaufen bzw. -mieten können, statt selbst die Ressourcen aufzubauen und zu betreiben. 

Bisher war die Cloud in der Medizin verpönt. Ist das noch so oder hat sich der Ruf der Cloud in puncto Sicherheit mittlerweile verbessert?

Bernd Schütze: Ja und nein. Grundsätzlich müssen wir uns im Gesundheitswesen den Ort des Rechenzentrums und der Datenverarbeitung genau ansehen. Die Sozialgesetzgebung sieht für Krankenhäuser strenge Rechtsgrundlagen vor. Davon abgesehen ist eine Cloud nicht per se sicherer als die Verarbeitung im eigenen Rechenzentrum. In unserem Kontext sprechen wir von einer externen, also ausgelagerten Cloud. Das heißt, das Rechenzentrum wird nicht von den eigenen Leuten betrieben, sondern da ist fremdes Personal an einem unter Umständen unbekannten Ort involviert, was zunächst einmal weniger Sicherheit bei der Verarbeitung bedeutet, denn man gibt einen Teil seiner Kontrollmöglichkeiten ab.
Dennoch kann Outsourcing aus Sicht der IT-Sicherheit ein Vorteil sein, da größere Anbieter ganz andere personelle Möglichkeiten haben und IT-Sicherheitsmannschaften aufstellen können, die nichts anderes machen, als sich um aktuelle Sicherheitsmeldungen zu kümmern. Krankenhäuser haben wegen des Fachkräftemangels und der Budgetknappheit oft Schwierigkeiten, IT-Sicherheitsbeauftragte und weiteres Fachpersonal aus dem Umfeld der IT-Sicherheit zu finden, die sich exklusiv um dieses Thema kümmern können.

Aber IT-Sicherheit ist nur ein Aspekt bei der Frage nach der Cloud. Eine andere ist, wie cloudbasierte SaaS-Lösungen in den Workflow integriert werden können. Dafür braucht es ein sehr gutes Wissen darüber, wie in den einzelnen Krankenhäusern gearbeitet wird. Und da punktet die eigene IT-Mannschaft um Längen. Denn Krankenhäuser sind nicht alle gleich, auch wenn viele medizinische Prozeduren standardisiert sind. Die Prozesse in den jeweiligen Krankenhäusern sind es längst nicht.

Die Hersteller können zwar gut den Durchschnitt der Kundinnen und Kunden und deren Anforderungen abbilden, sie können jedoch mit ihren eher allgemeinen SaaS-Lösungen nicht auf die individuellen Besonderheiten einzelner Kunden eingehen. In der Praxis kann das dazu führen, dass sich Einrichtungen an eine in der Cloud liegende SaaS-Durchschnittslösung anpassen müssen, die nicht vollständig die individuellen Bedürfnisse des eigenen Krankenhauses abdeckt. Die pauschale Aussage von Herstellern, dass sie die Software besser betreiben können, stimmt also längst nicht immer und muss von Fall zu Fall betrachtet werden. Auch das Argument, dass IT-Systeme mittlerweile zu komplex sind, um sie inhouse zu betreiben, ist pauschal nicht richtig. 

Welche Fragen sollten sich Gesundheitseinrichtungen also stellen, um eine für sie passende Antwort auf die Frage nach den Mehrwerten einer Cloud zu erhalten?

Bernd Schütze: Ein wichtiger Punkt bei der Beurteilung, ob die extern betriebene Cloud Vorteile gegenüber dem On-Premises-Betrieb hat, ist sicherlich die Größe der eigenen IT-Mannschaft. Kleine Häuser mit knapp besetzten IT-Abteilungen können von Lösungen in der Cloud profitieren. Hier sind ohnehin viele Dienstleistungen outgesourct und die Cloud ist der konsequente, nächste Schritt. Unikliniken, mit ca. 50-100 Mitarbeitenden in der IT, können hingegen selbstbewusst und mit Fug und Recht behaupten, dass sie mit dem Betrieb einer Software nicht überfordert sind. Da braucht es schon andere überzeugende Argumente für die Nutzung von SaaS-Lösungen aus der Cloud. 

Welche können das sein?

Bernd Schütze: Entscheidend ist die Frage nach der Verfügbarkeit. Es kam durchaus schon vor, dass die Cloud-Dienste großer Anbieter in Teilen der Welt nicht verfügbar waren. Wenn man als Hersteller von SaaS-Lösungen seine Software in der Cloud in diesem Teil der Welt hostet, hat man ein ernstes Problem. Stellen Sie sich vor, in mehreren deutschen Krankenhäusern fallen die PDMS-Systeme für einige Stunden aus! Eine Verfügbarkeit von 99,9 Prozent ist also nicht unbedingt eine gute Nachricht, wenn die 0,1 Prozent Restrisiko en Block auftreten.

Überhaupt muss die Frage gestellt werden, wie viele Anbieter eigentlich involviert sind und welcher Hersteller welche Leistung erbringt. Also konkret: Kommen Cloud und Software aus einer Hand, bestenfalls aus Deutschland? Das ist vorteilhaft, weil dann flexibler auf die hiesigen Anforderungen eingegangen werden kann, auch die „DSGVO-Verträglichkeit“ wäre dann gesichert. Außerdem gibt es dann vermutlich nur einen Vertragspartner, das macht es für die Krankenhäuser im Zweifel sicherer.
Anders bei SaaS-Anbietern, die lediglich die Software liefern, den Cloud-Service aber bei einem der großen amerikanischen Anbietern nutzen. Hier muss die Cloud so genutzt werden, wie sie angeboten wird, da werden keine Sonderregeln in die Verträge eingebaut. Außerdem fungiert der Softwarehersteller dann als Generalanbieter, die Gesundheitseinrichtung hat es aber letztlich trotz des einen Generalanbieters mit zwei Vertragspartnern zu tun. Das kann dann zum Problem werden, wenn sich rechtliche Rahmenbedingungen im eigenen Land ändern und bestimmte Cloudanbieter nicht mehr eingesetzt werden dürfen. Dann kommt die Frage auf, ob die Cloud einfach ausgetauscht werden kann oder ob das aufgrund der Verzahnung von Schnittstellen womöglich gar nicht geht. Dann wird es ebenfalls brenzlig.

Vielen Dank für das Gespräch!

¹ Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V.