MenüZurück
Wird geladen.

05.06.2023

00:04

Bei einer Partnerschaft mit Cloud-Anbietern aus den USA besteht in europäischen Kliniken die Sorge, dass Daten entgegen den Beteuerungen des Unternehmens in die USA abfließen. IMAGO/MASKOT

Gesundheitsdaten

Bei einer Partnerschaft mit Cloud-Anbietern aus den USA besteht in europäischen Kliniken die Sorge, dass Daten entgegen den Beteuerungen des Unternehmens in die USA abfließen.

Köln Immer mehr Krankenhäuser schließen sich zusammen, um gemeinsame Projekte zu realisieren. So plant das Universitätsklinikum Tübingen gemeinsam mit anderen Krankenhäusern den Wechsel des Krankenhausinformationssystems (KIS). In Bayern soll ein gemeinsames Patientenportal für 110 Kliniken entwickelt werden. Im Saarland ist eine Versorgungsplattform für alle Kliniken des Landes in Planung.

Solche Großprojekte sind kosten- und datenintensiv. Bei der großen Zahl von Partnerkliniken bietet es sich an, die Daten nicht mehr auf lokalen Servern in den jeweiligen Kliniken zu speichern, sondern in einer Cloud.

Eine Frage, die viele Klinik-ITler beschäftigt: Können die Cloud-Dienste eines US-Unternehmens mit europäischer Niederlassung zweifelsfrei genutzt werden? Die Sorge bei der Partnerschaft mit einem US-Anbieter ist, dass Daten entgegen den Beteuerungen des Unternehmens in die USA abfließen, etwa weil eine Regierungsbehörde sie anfordert.

Atos-Gruppe betreibt eigene Cloud

„Cloud-Dienste eines amerikanischen Unternehmens würde ich derzeit nicht in Anspruch nehmen“, sagt Martin von Hummel, Geschäftsführer der privaten Atos-Gruppe. Es bliebe ein komisches Gefühl, weil man keinen Überblick über die Datenströme hätte. Atos lässt derzeit ein KIS entwickeln, das in den 13 Kliniken des Unternehmens baugleich ausgerollt werden soll.

Die Daten der Atos-Patienten sollen in der Private Cloud eines baden-württembergischen Rechenzentrumsbetreibers gespeichert werden. Im Gegensatz zu einer Public Cloud, bei der die IT-Ressource von einem Drittanbieter zur Verfügung gestellt wird, werden Private Clouds vom jeweiligen Unternehmen, in diesem Fall der Atos-Gruppe, selbst betrieben.

Ein IT-Leiter, der an einem Projekt bezogen auf das Krankenhauszukunftsgesetz (KHZG) mit einem Budget von mehreren Millionen Euro beteiligt ist, äußert sich ebenfalls kritisch über die Dienste eines US-Cloud-Unternehmens. „Man schaut eher auf europäische und deutsche Unternehmen“, sagt er gegenüber Handelsblatt Inside. „Die meisten Anbieter, die wir im Fokus haben, sind aber bereits in europäischen Cloud-Strukturen verwurzelt.“

Maximilian Greschke ist Gründer des Berliner Start-ups Recare, das eine Nachsorgeplattform für Krankenhauspatienten entwickelt. Im Januar gab das Unternehmen bekannt, nicht mehr mit dem Ableger eines amerikanischen Cloud-Anbieters zusammenzuarbeiten, sondern stattdessen einen deutschen Anbieter als Partner gewonnen zu haben. „Eine aus unserer Sicht nichtzutreffende Überlegenheit im Datenschutz war das primäre Differenzierungsmerkmal, das Wettbewerber gegen uns ausgespielt haben“, begründet Greschke den Wechsel des Cloud-Anbieters.

Keine einheitlichen Cloud-Vorgaben

Die Skepsis der Klinikverantwortlichen gegenüber US-Cloud-Anbietern rührt auch daher, dass es keine bundesweit einheitlichen IT-Sicherheitsrichtlinie für Cloud Computing gibt. Zwar begrüßte das Bundesgesundheitsministerium (BMG) im Herbst vergangenen Jahres eine entsprechende Initiative verschiedener Akteure, ein Eckpunktepapier hat das Ministerium seither aber nicht veröffentlicht.

Auch verschiedene Landesdatenschutzbeauftragte haben keine allgemeingültigen Richtlinien formuliert. In Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Ansprechpartner für Kliniken in Datenschutzfragen. Jan Wacke, leitender Beamter beim LfDI, erinnert auf Anfrage von Handelsblatt Inside an die Konferenz der unabhängigen Datenschutzbehörden des Bundes (DSK) im Januar 2023.

Dort kamen die Delegierten zu dem Schluss, dass die bloße Gefahr einer Datenübermittlung von einem Unternehmen an die Muttergesellschaft im Drittland nicht ausreiche, um auch von dem tatsächlichen Datentransfer in ein Drittland im Sinne der Artikel 44 ff. der Datenschutz-Grundverordnung (DSGVO) auszugehen. Im Zweifel entscheide der Einzelfall, schreibt Wacke.

Auch in Bayern gibt es keinen Orientierungsrahmen. „Allgemein hängt die datenschutzrechtliche Bewertung der Nutzung von Cloud-Diensten von den konkreten rechtlichen und tatsächlichen Rahmenbedingungen im Einzelfall ab“, schreibt Kai Engelbrecht, Ministerialrat beim Bayerischen Landesbeauftragten für den Datenschutz, auf Anfrage von Handelsblatt Inside.

EU formuliert neuen Rahmen für die Zusammenarbeit

Ein transatlantisches Abkommen könnte Klarheit bei der Zusammenarbeit mit US-Cloud-Anbietern schaffen. Die Europäische Kommission hat im Dezember eine Angemessenheitsentscheidung zum EU-U.S. Data Privacy Framework veröffentlicht. Sobald die Maßnahmen auf US-Seite abgeschlossen sind, tritt die Angemessenheitsentscheidung in Kraft. Dadurch wird anerkannt, dass die USA ein Datenschutzniveau bieten, das dem der EU gleichwertig ist. Eine individuelle Prüfung des Einzelfalls und des konkreten US-Dienstleisters wäre dann nicht mehr erforderlich, schreibt das Bayerische Landesamt für Datenschutzaufsicht.

Eine neue transatlantische Vereinbarung könnte die Sorgen über einen Datenabfluss von Klinikverantwortlichen schmälern. Bis es so weit ist, werden deutsche und europäische Cloud-Unternehmen vom schlechten Image ihrer US-Wettbewerber profitieren.

Handelsblatt Inside Digital Health

Ihnen gefällt dieser Beitrag aus unserem exklusiven Fachbriefing?

Empfehlen Sie Handelsblatt Inside Digital Health weiter!

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×