Trotz verschärfter Rechtslage kann die Public Cloud im Gesundheitssektor zum Erfolgsfaktor werden. Ein Praxisbeispiel zeigt, wie der Spagat zwischen Compliance und Modernisierung gelingt und welche Auswahlkriterien entscheidend sind.
Fachkräftemangel, steigende Kosten kombiniert mit unsicherer Finanzierung, eine statische Infrastruktur, die dringend notwendige Digitalisierung, und dies alles bei einem gleichzeitig hohen Anforderungsniveau durch die KRITIS-Verordnung – das Gesundheitswesen kämpft mit enormen Herausforderungen. Seit kurzem kommt eine weitere hinzu: Paragraf 393 aus dem Sozialgesetzbuch Fünftes Buch (V) verpflichtet Krankenhäuser, Krankenkassen sowie deren IT-Dienstleister, für Cloud-Lösungen ein C5-Testat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vorzulegen. Außerdem gilt es, die Datenverarbeitung auf Deutschland, die EU und wenige andere Länder zu beschränken. Anforderungen, die über die Datenschutzgrundverordnung (DSGVO) hinausgehen und von den betroffenen Organisationen neue Zertifizierungsprozesse sowie ein Umdenken bei der Auswahl des Cloud-Anbieters erfordern.
Gleichzeitig müssen die Institutionen im Gesundheitswesen ihre IT-Infrastruktur modernisieren, flexibler werden und Kosten senken. Um diesen Spagat zu schaffen, fragen sich viele IT-Verantwortliche: Schließt die verschärfte Rechtslage die Public Cloud aus – oder gibt es Wege, beide Anforderungen zu erfüllen?
Große Akteure im Gesundheitswesen verarbeiten enorme Datenmengen. Bei der AOK Niedersachsen sind es zum Beispiel jährlich mehr als 20 Millionen Dokumente, darunter Bescheide, Leistungsabrechnungen oder Informationsschreiben. Vier von fünf Dokumenten verschickt die Krankenkasse per Post. Der klassische Versand ist notwendig, da einige Informationen digital nicht abgebildet werden können oder dürfen oder weil es an einer konsequenten digitalen Umsetzung zwischen den Beteiligten im Gesundheitswesen hapert. Insgesamt handelt es sich um jährlich etwa 16 Millionen Sendungen, die gedruckt, kuvertiert und frankiert werden müssen.
Bei Sonderaktionen an alle Versicherten – wobei in der Spitze bis zu 2,3 Millionen Dokumente nahezu zeitgleich verschickt werden müssen – stößt die Skalierbarkeit eines eigenen Rechenzentrums vor Ort an seine Grenzen. Es kann zu Leistungsengpässen führen, die die Verfügbarkeit des Services beeinträchtigten. Für eine Krankenkasse, bei der viele Sendungen Terminsachen sind, ist dies ein kritisches Risiko.
Der logische Schritt: die Migration der Managed-Services in die Cloud. Doch in welche? Eine Private Cloud bietet zwar mehr Kontrolle, bringt aber häufig ähnliche Skalierungsprobleme wie On-Premises-Lösungen mit sich, da neue Kapazitäten weiterhin vorausgeplant, und Hardware beschafft werden muss. Eine Public Cloud dagegen verspricht genau das, was fehlt: Ressourcen auf Abruf, Skalierung innerhalb von Stunden statt Wochen, keine Vorlaufzeiten für Lastspitzen.
Doch im Gesundheitswesen stellt sich sofort die Frage: Lässt sich das mit den strengen Anforderungen an Datenschutz und Compliance vereinbaren? Passen sensible Gesundheitsdaten und Public Cloud zusammen? Im Prinzip ja – aber nicht jede Public Cloud erfüllt die Anforderungen.
Der Weg in die Public Cloud sollte daher nicht mit der Technologieauswahl beginnen, sondern mit intensiven internen Abstimmungen. Datenschutzbeauftragter, Rechtsabteilung und Fachbereiche müssen eng zusammenarbeiten, um alle rechtlichen und organisatorischen Fragen vorab zu klären. Welche Anforderungen muss ein Cloud-Anbieter erfüllen? Welche Vertragsklauseln sind unverzichtbar? Wie lässt sich die Kontrolle über Sozialdaten sicherstellen? Erst wenn diese Grundlagen feststehen, kann der Auswahlprozess beginnen. Diese Reihenfolge ist für den Projekterfolg entscheidend, um Anbieter gezielt prüfen zu können.
§ 393 SGB V verlangt seit März 2024 ein C5-Testat des BSI und beschränkt die Datenverarbeitung auf Deutschland, die EU und wenige weitere Länder. § 80 SGB X regelt die Verarbeitung von Sozialdaten durch externe Dienstleister und fordert, dass der Auftragnehmer nur nach Weisung handelt. Die DSGVO schützt personenbezogene Daten und verlangt Transparenz. Eine Public Cloud muss alle drei Vorgaben nachweislich erfüllen.
Wo stehen die Server physisch? Verlassen Daten deutsches Territorium? Verantwortliche benötigen die Gewissheit, dass Sozialdaten ausschließlich in deutschen Rechenzentren verarbeitet werden – ohne Hintertüren durch ausländische Gesetze wie den US Cloud Act. Wer hat Zugriff auf die Systeme? Ein entscheidender Sicherheitsaspekt ist zudem das External Key Management: Die Hoheit über die Entschlüsselung muss beim Gesundheitsunternehmen liegen, der Cloud-Provider darf keinen Zugriff darauf haben.
Um einen Vendor-Lock-in auszuschließen, sollten Cloud-Lösungen idealerweise auf offenen Standards basieren. So ist ein Wechsel des Anbieters technisch einfach möglich. Gleichzeitig muss die Cloud-Lösung schnell skalieren, um Lastspitzen innerhalb von Stunden abzufangen.
Die Bereitstellung der Services wurde für uns ein Leuchtturmprojekt, um Cloud-Dienste einzusetzen. Und wir haben den Schritt in dieser Zeit nicht bereut.
Christoph Meyer, Leiter Solutionmanagement bei AOK Niedersachsen
Die AOK Niedersachsen wollte ihr Dokumentenmanagement des Anbieters Binect flexibler gestalten. Die Wahl fiel auf die T Cloud Public mit Rechenzentrumsstandorten in Deutschland, sodass Sozialdaten zu keinem Zeitpunkt das Bundesgebiet verlassen. Seit über drei Jahren läuft die Lösung stabil. Die Lösungszeiten hätten sich von Tagen auf Stunden verkürzt, berichtet Sebastian Angerstein, Leiter IT Projekt- und Solutionmanagement bei der AOK Niedersachsen. Und auch die User Experience habe sich deutlich verbessert. Außerdem: Die Service-Verfügbarkeit wurde deutlich optimiert. Updates lassen sich schnell ausrollen, Skalierung erfolgt auf Knopfdruck. Das Pay-as-you-use-Modell bringt Kostenvorteile und Transparenz über die tatsächlichen Kosten. „Die Bereitstellung der Services wurde für uns ein Leuchtturmprojekt, um Cloud-Dienste einzusetzen. Und wir haben den Schritt in dieser Zeit nicht bereut“, sagt Christoph Meyer, verantwortlich für den Bereich Solutionmanagement bei der AOK Niedersachsen.
Was andere Organisationen von dem Projekt lernen können: Eine Public Cloud und das Gesundheitswesen schließen sich nicht aus. Die Erfüllung der umfangreichen Vorschriften kann mithilfe zertifizierter Cloud-Lösungen aus Deutschland sogar erleichtert werden. Entscheidend für den Erfolg sind dabei die frühe Einbindung der Compliance-Abteilungen, die Wahl offener Standards (Open Source) und ein Fokus auf Anbieter mit C5-Typ-2-Testat.
