Die Daten, die sich in den Krankenhäusern ansammeln, werden überwiegend in eigenen Rechenzentren gespeichert. Dazu kommen viele Softwarelösungen, mit denen sie verarbeitet werden – ebenfalls vor Ort gespeichert, angepasst und selbst gewartet. Cloudlösungen böten die Möglichkeit, die Daten extern zu speichern und auch verschiedene Anwendungsmöglichkeiten über Software as a service dorthin auszulagern. Doch sie kommen bisher in Krankenhäusern und auch Arztpraxen kaum zum Einsatz.
Warum setzen sich cloudbasierte Lösungen nicht durch? Was sind die Vorteile? Wo liegen Probleme? Darüber diskutierten die Teilnehmer des Luncheon Roundtable-Gesprächs der Stiftung Münch im Juni.
Zu den Teilnehmern gehörten:
-
Dr. Stefan Brink, Datenschutzbeauftrager des Landes Baden-Württenberg
-
Dr. Jens Deerberg-Wittram, Geschäftsführer, RoMed-Kliniken
-
Maximilian Greschke, Geschäftsführer, Recare Deutschland GmbH
-
Prof. Dr. Jens Kleesiek, Mitglied des Vorstands Institute For Artificial Intelligence in Medicine, Universitätsmedizin Essen
-
Admir Kulin, Geschäftsführer, m.Doc GmbH
-
Dr. Henrik Matthies, CEO & Founder, honic
-
Eckhard Oesterhoff, Strategic Digital Solution Leader DACH, Philips
- Dr. Mani Rafii (Moderation)
-
Monika Rimmele, Partnerin, Dierks & Company
-
Dr. Ilias Tsimpoulis, Geschäftsführer, Doctolib
sowie von der Stiftung Münch Professor Boris Augurzky (Vorstandsvorsitzender), Eugen Münch (Stv. Vorstandsvorsitzender) und Annette Kennel (Geschäftsführerin).
Während sich Cloudlösungen[1] immer mehr durchsetzen und in unserem privaten Leben nicht mehr wegzudenken sind, setzen die Krankenhäuser nach wie vor überwiegend auf eigene Rechenzentren und „On premise“-Lösungen[2], bei denen mit schmalem Budget über die Jahre hinweg entwickelte Anwendungen weiter betrieben werden.
Entlastung der IT, Erhöhung der Datensicherheit und Verbesserung der Patientenversorgung
Für die Kliniken, so waren die meisten Teilnehmer der Runde überzeugt, wäre das Einsetzen von Cloudlösungen ein großer Vorteil. Denn die – auch an Kliniken immer knapper werdenden – IT-Spezialisten müssen sich um die Sicherheit der Daten und die Funktionalität aller Systeme und Anwendungen kümmern. Allein an einer Klinik mit rund 700 Betten kommen über 250 Software-Lösungen zum Einsatz – und diese sind in der Regel nicht in der Lage, miteinander zu kommunizieren. Also kümmern sich, so ein Diskussionsteilnehmer, noch zig Mitarbeiter um die Schnittstellen.
Hier können Cloudlösungen massiv entlasten: „Wenn es ein neues Update gibt, ein neue Version – alles läuft im Hintergrund“, so ein Diskutant. Der Cloudanbieter ist zudem für die Datensicherheit verantwortlich; die Kosten und der Arbeitsaufwand dafür würden also für die Klinik ebenfalls entfallen. Und die meisten Teilnehmer der Diskussion waren sich einig, dass die Datensicherheit besser gewährleistet wäre, als wenn dies in der Hand der Klinik liegt. „Das Auslagern der technischen Infrastruktur ist also in jedem Fall eine gute Idee“, so ein Teilnehmer. Gerade kleinere Kliniken würden von Cloudlösungen profitieren: „Wenn ich es schaffe, das KIS eines Grund- und Regelversorgers on cloud zu bringen, dann drehe ich die Verfügbarkeit von patientennotwendiger Software so hoch, wie ich es jetzt gar nicht kann.“
Für die Ärzte wären Cloudlösungen ebenfalls vorteilhaft, so die Überzeugung der Runde. Statt eines zerklüfteten Frontends stünde über browserbasierte Anwendungen überall ein einheitliches Interface mit einem anwenderorientieren „Look and Feel“ bereit. Damit können die technischen Hilfsmittel leicht verwendet werden und Ärzte müssten sich nicht an jedem Arbeitsplatz neu einlernen – in Zeiten eines Ärztemangels ein wichtiger Aspekt.
Außerdem stünden dann Daten bereit, um die Leistungserbringer zu unterstützen. Sie könnten damit bessere Arbeit erbringen, was zu höherer Arbeitszufriedenheit beiträgt. Und gleichzeitig die Versorgung der Patienten verbessert.
Diese hätten von Cloudlösungen ebenfalls viele Vorteile. „Patienten managen ihre Gesundheit immer mehr selbst“, so ein Diskutant. Sie haben ihre Daten in unterschiedlichen Apps auf unterschiedlichen Plattformen. Diese Daten müssten mit einbezogen werden können, wenn der Patient zur Behandlung ins Krankenhaus geht. So würde die Behandlung besser und effizienter. „Daten sollten den Patienten folgen und nicht in Silos von Krankenhäusern liegen oder sonst irgendwo. Basis ist ein Cloudprodukt“, so ein weiterer Teilnehmer der Runde.
So sahen die Teilnehmer überwiegend Vorteile bei den Cloudlösungen. „Eigentlich dachte ich, die Frage ob Cloud oder On-Prem stellt sich gar nicht“, so ein Diskutant, „Cloudbasierte Lösungen sind state-of-the-art; alles andere ist schwer zu pflegen, nicht sicher, skalierbar und modular ergänzbar.“
“Wir bauen in den Kliniken gerade die Zukunft auf Basis von Software der 1990er Jahre.“
Mit dem Krankenhauszukunftsgesetz (KHZG) stehen vier Milliarden Euro für die Digitalisierung der Krankenhäuser bereit. Doch, so die Diskussionsteilnehmer, die Ausschreibungen sind überwiegend basierend auf On prem-Lösungen. Man setze also auf existierende, konservative, rechenzentrumsbasierte Strukturen. Ein Teilnehmer kritisierte: „Wir bauen in den Kliniken gerade die Zukunft auf Basis von Software der 1990er Jahre.“ So würden Gelder, die für die Zukunft gedacht seinen, nicht in zukunftsfähige Lösungen investiert. Allerdings, so waren einige Diskutanten überzeugt, sei man mittlerweile schon weiter als vor fünf Jahren. Denn das Thema sei immerhin mittlerweile in den Köpfen: „Das KHZG schafft zumindest Awareness. Das ist fast eine größere Macht als die vier Milliarden, die da drinstecken.“
Doch wenn Cloudtechnologien so viele Vorteile bieten – wieso halten sie dann nicht Einzug in die Kliniken? Zum einen, so ein Teilnehmer der Diskussionsrunde, liege das an den Trägerstrukturen: Denn wurde in der Vergangenheit in Software und Anpassungen investiert, so müsse das Investment oft gerechtfertigt werden, in dem weiterhin mit den Lösungen des eigenen Rechenzentrums gearbeitet werde, so ein Teilnehmer der Diskussionsrunde. Zum anderen, so monierte er, gäbe es auch viele Kliniken, die aus Technologiefurcht und aus einer alten Kultur heraus On premise vorziehen, weil sie glauben würden, dies sei der sicherere Weg.
Doch so einfach sei es nicht, betonten einige Diskussionsteilnehmer. Denn Kliniken sind Teil der Kritischen Infrastruktur. „Was tue ich, wenn das Internet abrauscht?“, so ein Teilnehmer. Außerdem herrsche große Unsicherheit bezüglich der Sicherheit der Daten und bei der Frage des Datenschutzes. In den Kliniken sei das Hauptproblem die fehlende Interoperabilität der einzelnen Softwarelösungen. „Wenn sie das lösen, dann haben sie auch das Tor geöffnet für mehr Akzeptanz anderer Digitalisierungsprojekte“, betonte er. Ein anderer Teilnehmer schloss sich dem an und mahnte: „Nur wenn man alles von On prem in die Cloud schiebt, sind nicht automatisch alle Herausforderungen gelöst. Insbesondere die Interoperabilität muss mit bedacht werden.“
Einige Teilnehmer betonten, dass Deutschland immer mehr den internationalen Anschluss verliert: „Es geht nicht um Frage, ob wir irgendwann das Gesundheitswesen durch Cloudproviding beschicken oder nicht. Die Frage ist, wann und wie sperrig und deutsch wir uns dabei anstellen.“ Gerade große Unternehmen würden ihre neuen Softwarelösungen cloudbasiert entwickeln und könnten nicht auf deutsche Sonderwege Rücksicht nehmen. Für den Markt müsste daher sichergestellt werden, dass die Systeme angenommen werden können. Dann würden die Unternehmen diese auch anbieten.
Klare Datenformate und Interoperabilität, um Forschung nicht zu behindern
Bisher ist ein großer Unsicherheitsfaktor die Speicherung von Patientendaten. Diese müssen vor unerlaubten Zugriffen geschützt werden. Viele Kliniken haben die Befürchtung, dass dies in der Cloud nicht gewährleistet sein könnte und der Datenschutz dies auch nicht erlaube.
Die Patientendaten liegen also bisher an verschiedenen Standorten – und sind zudem nicht strukturiert, also auch nicht maschinell verfügbar. Hier tut sich ein weiteres Problem auf. Denn so sind die Daten nicht verfügbar für die Forschung und Entwicklung. Und auch das Trainieren von Künstlicher Intelligenz wird dadurch behindert, erläuterte ein Teilnehmer: „Wenn wir entsprechende Algorithmen haben, die mit den Daten an Standort a arbeiten, dann können die das nicht mit den Daten von Standort b oder c.“ Deshalb ist grundlegende Herausforderung, klare Datenformate zu erhalten und für Interoperabilität zu sorgen. „So, wie es jetzt ist, behindert es Forschung. Wir haben hier dringenden Aufholbedarf“, so ein weiterer Teilnehmer.
Mit der European Health Data Space-Verordnung wurde gerade ein europaweites, harmonisiertes Vorgehen im Umgang mit Daten geregelt. Es besagt, dass sämtliche Daten für die Forschung zur Verfügung stehen müssen. Da es eine Verordnung ist, muss sie also auch in Deutschland umgesetzt werden. Deshalb muss nun geregelt werden, wo die Daten künftig gespeichert werden und für Interoperabilität gesorgt werden.
Doch einige Teilnehmer der Runde sahen es kritisch, dass die großen Cloudanbieter, die auch über ausreichend Prozessorleistung zum Einsatz von KI verfügen, außerhalb Europas liegen. „Es gibt viele Daten, die wir da problemlos laufen lassen können, aber nicht Patientendaten, die müssen wir anders betrachten“, warnte er.
“Wir müssen regeln, welche Daten außerhalb Europas liegen dürfen und welche nicht”
So sei zwar AWS mit einer Niederlassung in Deutschland vertreten, aber als Tochter eines US-Unternehmens gesetzlich gezwungen, Daten offenzulegen, wenn sie vom Department of Justice nach dem US Cloud Act dazu aufgefordert werden. Und dies könne bei Veränderungen in der Regierung durchaus eingesetzt werden. Andere Hyperscaler[3] haben ihren Dienstsitz in Irland. „Da wird nie kontrolliert, die haben weniger Mitarbeiter als ein Späti und wollen auch gar nicht kontrollieren, weil das ihr Wettbewerbsvorteil ist“, erläuterte ein Diskutant. In der Konsequenz habe Europa kaum Möglichkeiten, Fehlverhalten zu sanktionieren: „Die Daten sind außerhalb unserer Kontrolle, unserer Regulatorik und unserer Werte.“ Er forderte, klare Regeln zu definieren, welche Daten überhaupt außerhalb Europas gespeichert werden dürfen und welche nicht. In dem Zusammenhang sei es eine Chance, dass die überwiegende Mehrheit der Daten noch On prem liegen.
Einige Teilnehmer des Gesprächs monierten, dass aufgrund hypothetisch möglicher Ausnahmesituationen lieber eine schlechtere Infrastruktur gewählt wird. Das sei letztlich eine Verschlechterung für die Sicherheit der Daten. Wiederum ein anderer Teilnehmer der Runde wies darauf hin, dass jedoch auch seltene Grenzfälle juristisch mit geregelt werden müssen: „Es geht nicht um Wahrscheinlichkeit. Das ist wirtschaftlich gedacht, aber rechtlich nicht maßgeblich.“
Einen europäischen Anbieter, der die Anforderungen an Sicherheit, Speicherkapazität und Prozessorleistung erfüllt, gibt es nicht. Einige Teilnehmer vertraten die Auffassung, dass man nicht warten könne, bis dieser aufgebaut wird. Damit würde Deutschland den Anschluss völlig verlieren. Es gäbe durchaus die Möglichkeit, im bestehenden Rechtsrahmen US-Hyperscaler zu nutzen. Dies sollte man nutzen, bis es eine europäische Alternative gibt.
„Wir sind auf einem guten Weg zu einem einheitlichen Datenschutzverständnis.“
Um die Patientendaten für die Forschung zu verwenden, ist die Einhaltung des Datenschutzes zwingend erforderlich. Die DSGVO ist zwar eine gesamteuropäische Regelung, jedoch in Deutschland anders implementiert als zum Beispiel und Finnland, Österreich oder Spanien. Dazu gibt es in Deutschland noch die Besonderheit, dass jedes Bundesland noch einmal individuelle Anforderungen und Interpretationen hat, die meistens kaum miteinander kombinierbar sind. Dies, so war die Mehrheit der Gesprächsrunde einig, erschwere die Forschung in Deutschland enorm.
Hier soll es nun Änderungen geben. Durch die Datenschutzkonferenz wurde die Möglichkeit der Harmonisierung geschaffen, aber, so einige Teilnehmer, es sei sicher noch ein langer Weg, bis alle 16 Bundesländer ein einheitliches Verständnis haben, wie man mit den Daten in der Versorgung umzugehen soll und wie sie für die Forschung genutzt werden können.
Ein Teilnehmer der Diskussion zeigte sich optimistisch: „Wir sind auf einem guten Weg zu einem einheitlichen Datenschutzverständnis.“ Durch Datenschutzgrundverordnung würde sich zur Hälfte damit beschäftigen, wie man unterschiedliche Aufsichtsbehörden in Europa zu einer einheitlichen Auffassung bekommt. Die Grundaussage sei aber, dass eine einheitliche Rechtsordnung nötig ist und diese sei nun geschaffen. Das Datenschutzgesetz ist nun europäisch dominiert und dies würde sich durchsetzen. Dass hätte auch zur Folge, dass sich bereits erste Unternehmen der Rechtsprechung des europäischen Datenschutzes unterwerfen. So würde zum Beispiel Microsoft bis Ende dieses Jahres den Nutzern von Office eine europazentrierte Datenschutzordnung anbieten.
Doch bisher gab es das „Cloudverbot“, das unter anderem in Bayern und Baden-Württemberg noch bis vor kurzem Bestand hatte und die Verarbeitung von Daten in der Cloud verbot. Hier sah ein Diskutant Veränderungsbedarf und eine Änderung der gesetzlichen Grundlage nötig. „Die Aussage, wir dürfen aus Gründen der Datensicherheit Daten nicht in der Cloud verarbeiten, ist nicht richtig. Denn die Sicherheit der Daten können wir in der Cloud besser garantieren als in einem kleinen Rechenzentrum.“
[1] Cloudbasierte Lösungen:
Nutzer greifen über ihren Internetzugang auf Daten und Anwendungen (Software as a service) zu, die nicht auf ihrem Server, sondern in der Cloud des Anbieters liegen. Dort werden sie gesichert und die Anwendungen aktuell gehalten. Updates von Software, neue Apps und die Möglichkeit, von verschiedenen Geräten aus auf die Anwendungen und Daten zuzugreifen, machen Cloudlösungen für die Anwender einfacher und kostengünstiger, als Daten und Software lokal vorzuhalten und zu pflegen. Die Verantwortung für Daten und Funktionalität der Software liegt beim Anbieter der Cloud.
[2] On Premise:
Bei On Premise werden Daten auf einem eigenen Rechenzentrum gespeichert. Software wird gekauft oder gemietet und ebenfalls im eigenen Rechenzentrum betrieben. Die Software kann auf die spezifischen Anforderungen des Kunden angepasst werden. Allerdings fallen Betriebs- und Wartungskosten an, der Kunde muss die Anpassung der Software auf neue Anforderungen selbst übernehmen. Zudem liegen sämtliche Risiken und Lasten beim Betreiber des Rechenzentrums. https://www.cloudcomputing-insider.de/was-ist-on-premises-a-623402/
[3] Hyperscaler:
„Hyperscaler sind Systeme, die durch Cloud-Computing entstehen, indem sie durch Tausende oder gegebenenfalls Millionen von Servern in einem Netzwerk (Grid Computing) verbunden und erweiterbar sind. Damit ist ein Netzwerk von Big Data gemeint, das hohe Zugriffe und fluktuierende Nutzung gleichermaßen ausgleichen kann.
Mit Hyperscalern soll eine massive Skalierung erzielt werden, die meist für Big Data oder Cloud Computing erforderlich ist. Solche Hyperscale-Infrastrukturen zielen auf eine horizontale Skalierbarkeit ab, mit der ein Maximum an Leistung, Durchsatz und Redundanz aufgebaut werden kann. Gleichzeitig sorgen sie für Fehlertoleranzen und einer Hochverfügbarkeit.“ (https://www.datacenter-insider.de/was-ist-ein-hyperscaler-a-693469/).
Zu den großen Hyperscaler- Anbietern gehören die Cloud-Anbieter IBM Google Cloud Platform, Microsoft Azure und Amazon Web Services (AWS).