Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Cloud Networking Survey Eine weitere Studie der Extreme Networks, Inc., ebenfalls aus dem Jahr 2020, kommt auch zu dem Schluss, dass der Einsatz von Cloud-Computing in Krankenhäusern und Kliniken Fahrt aufgenommen hat.41 Für die Studie wurden über 200 IT-Fachleute aus dem Gesundheitswesen in den Regionen Nordamerika, Europa, Asien, Südamerika und Mittelamerika zu Ihrer Meinung zum Aufstieg der Cloud in der Branche befragt.42 Laut der Studie hosten bereits 98% der Gesundheitsorganisationen mindestens eine Lösung in der Cloud. Bei diesen Lösungen handelt es sich vorwiegend um Anwendungen im Bereich E- Mail und Produktivität (62%) sowie Software für Personalmanagement und Personaleinsatz- planung (45%), gefolgt von elektronischen Akten (EMR/EHR),43 Patientenentertainment, medi- zinischen Geräten und anderen Anwendungen. Stand heute nutzen laut der Studie 14% der Organisationen Cloud-Management, 41% haben Pläne, das Infrastrukturmanagement in den nächsten 1-5 Jahren einzuführen. Studie Cloud Native 2020 Um ein umfassenderes Bild der Entwicklungen im Bereich Cloud-Computing zu erhalten, lohnt auch ein Blick auf die Bedeutung sog. Cloud-Native-Technologien innerhalb dieses Bereichs. Dabei handelt es sich – als Gegenentwurf zur Migration bestehender Lösungen in die Cloud – um die Entwicklung neuer, nativer Lösungen in der und für die Cloud. Mit diesem noch recht neuen Konzept beschäftigt sich unter anderem die Studie „Cloud Native 2020“.44 Die Studie basiert auf 374 Interviews mit obersten (IT-)Verantwortlichen von Unternehmen verschiedens- ter Branchen in der D-A-CH-Region. Diese Studie kommt ebenfalls zunächst zu dem Ergebnis, dass Cloud-Computing auf dem Vor- marsch und in vielen Bereichen bereits etabliert ist. So schätzt über die Hälfte der Befragten den Cloud-Reifegrad ihres Unternehmens als hoch oder sehr hoch ein. Die Relevanz von Cloud- Native-Methoden wird dabei ebenfalls hoch eingeschätzt. 39% der Befragten messen diesen Methoden bereits heute große Bedeutung bei, 67% gehen von einer großen Bedeutung in der näheren Zukunft (zwei bis drei Jahre) aus. Zudem geben 63% der Befragten an, bereits Cloud- Native-Lösungen einzusetzen, wobei aber nur etwa ein Drittel diese als bereits im Unterneh- men etabliert bezeichnet. Auch hinsichtlich der Bedenken, die die befragten Entscheider bzgl. Cloud-Computing im All- gemeinen und Cloud-Native im Besonderen äußern, deckt sich die Studie weitgehend mit den Erkenntnissen der bereits genannten Studien. So werden auch hier Sicherheitsbedenken und 41 Siehe Schwanke-Seer/Helling: Cloud-Networking im Gesundheitswesen; 24.11.2020. 42 Extreme Networks: Welcome to 2020! Survey says: Healthcare is Ready for Cloud Networking; 20.02.2020. 43 Mit EMR sind „Electronic Medical Records” gemeint, mit EHR “Electronic Health Records”. Beide Begriffe werden häufig synonym verwandt und beinhalten jedenfalls eine Art elektronische Patientenakte mit den wichtigsten Infor- mationen aus der Behandlung für medizinische Leistungserbringer. Die EHR kann als Art elektronische Gesundheits- akte darüber hinaus auch weitergehende Information zu Gesundheit und Fitness aufnehmen und auch in einer für den Patienten verständlichen Form aufbereiten. Vgl. hierzu Garrett/Seidmann: EMR vs EHR – What ist he Difference?; 2011. 44 IDG Research Services: Studie Cloud Native 2020; 2020. - 38 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme insbesondere Bedenken bzgl. des Verlusts, Diebstahls, missbräuchlicher Zugriffe und der In- tegrität von Daten an erster Stelle genannt. Interessanterweise wird der Datenschutz aber neben der Datenverfügbarkeit und der Belast- barkeit als einer der größten Vorteile von Cloud-Native-Anwendungen genannt. Fazit Wie die Markterkundung zeigt, wird bisher in Deutschland noch kein komplettes Cloud-KIS als Service genutzt. Allerdings beziehen Krankenhäuser schon heute eine größere Anzahl ergän- zender Services aus der Cloud. Es ist eine starke Tendenz zu einer immer intensiveren Cloud- Nutzung bis – jedenfalls im internationalen Kontext – hin zu einem KIS-as-a-Service erkennbar. Das belegen auch die in diesem Kapitel erwähnten nationalen und internationalen Studien. - 39 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Tabelle 2-3: KIS-Anbieter mit nennenswertem Marktanteil in Deutschland Anbieter                                KIS-Produkt(e)                      Verbreitung in der BRD (ca.)45      Anteil/KIS-    Cloud-Dienste Markt DE46 Dedalus Healthcare Group AG47           Orbis                               800 Installationen (gesamte KIS-           37,0 %  Orbis U wird als Grundstein eines Cloud-fähigen KIS entwi- Sparte d. Herstellers)                             ckelt. CompuGroup Medical SE & Co.             CGM medico,                         250 Installationen                         11,6 %  CGM Memory verspricht Rechtssicherheit bei der Speiche- KGaA48                                  CGM Clinical                        (CGM medico);                                      rung von Patientendaten in der CGM Medical Cloud (Ver- k. A. zu CGM Clinical verfügbar                    schlüsselung und Entfernung des Personenbezugs) Die Cloud-Lösung ist laut Hersteller DSGVO-konform49 und wird als Zusatzlösung zu anderen Produkten des Herstellers angeboten. Cerner Corporation50                    i.s.h.Med                           240 Installationen (i.s.h.Med);            11,1 %  Ambitionen (Kooperation mit AWS), Community Works als Soarian Clinical                    Installationen im einstelligen Be-                 Cloud-basierte Version des KIS-Produkts Millennium in reich (Soarian Clinical)                           USA. Nexus AG51                              Nexus                               260 Installationen                         12,0 % Meierhofer AG52                         M-KIS                               250 Kunden (M-KIS)                         11,6 %  M-KIS Next auf SOA-Basis modernisiert seit 2020 schritt- M-KIS Next                                                                             weise M-KIS hin zu Cloud- und KI-Einsatz. Deutsche Telekom Healthcare and         iMedOne                             230 Installationen                         10,6 %  Die Healthcare Cloud bietet speziell auf das Gesundheits- Security Solutions GmbH53                                                                                                      wesen ausgerichtete Cloud-Dienste. i-SOLUTIONS Health     GmbH   54        ClinicCentre                        97 Installationen                           4,5 % AMC Advanced Medical Communica-         CLINIXX KIS                         36 Installationen (Stand 2015)              1,6 %  Laut Hersteller bereits Cloud-fähig (Private Cloud deutsche tion Holding GmbH    55                                                                                                        Telekom). 45 Doelfs, Wohin steuert der KIS-Markt in Deutschland?, kma online, 16.06.2020. 46 Gerundete Angaben auf Basis der im Rahmen der Recherche verfügbaren, ggf. nicht ganz vollständigen Daten; 100% ≙ 2.164 Installationen in der BRD. 47 Quelle: https://www.dedalusgroup.de/. 48 Quelle: https://www.cgm.com/de/index.de.jsp. 49 Quelle: https://www.cgm.com/de/arzt_zahnarzt/cgm_zusatzloesungen_de/cgm_memory_de/cgm_memory_vorteile/vorteile.de.jsp. 50 Quelle: https://www.cerner.com/de/de/. S.a., insbes. zu Soarian Clinical: Mau, Nervöser KIS-Markt, kma Online, 11.04.2018, und Mau, KIS-Hersteller Cerner, kma Online, 18.03.2016. 51 Quelle: https://de-de.nexus-ag.de/home. 52 Quelle: https://www.meierhofer.com/de_de/home. 53 Quelle: https://www.telekom-healthcare.com/de. 54 Quelle: https://i-solutions.de/. 55 Quelle: https://www.amc-gmbh.com/de/. - 40 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 2.4 Herausforderungen und Motivationen 2.4.1 Herausforderungen und Motivationen aus der allgemeinen Situation und Entwicklung Krankenhäuser betreiben heute ihre KIS vor Ort im eigenen Rechenzentrum oder in einem Ser- vicerechenzentrum. Auch Hybridverfahren sind üblich, bei denen z.B. das administrative Infor- mationssystem in einem Rechenzentrum und das klinische Informationssystem vor Ort betrie- ben werden. Zu Beginn der Entwicklung der sogenannten „autonomen KIS“ Mitte der 80er Jahre und somit der ersten Inhouse-Verarbeitungen waren die dazu notwendigen Infrastruk- turen relativ einfach, denn diese Systeme basierten auf der mittleren Datentechnik,56 wurden also auf zentralen Servern mit angeschlossenen Bildschirmterminals betrieben. Nach und nach kamen dann Subsysteme für die großen Leistungsstellen wie Labor, Radiologie, Strahlenthera- pie, Pathologie und Operationsbereich als autonom betreibbare Abteilungsinformationssys- teme auf den Markt und in die Krankenhäuser. Mit Aufkommen der Client-Server-Architekturen von KIS ab etwa dem Jahr 1990 und der Implementierung entsprechender TCP/IP- Netzwerke begann der Einstieg in eine Entwicklung im Rahmen derer die technische IT-Infrastruktur immer komplexer wurde. Mit Zunahme der Heterogenität der Systeme wurde auch der Einsatz von integrierenden Kommunikationsservern notwendig.57 Bestand die Software der ersten autono- men KIS hauptsächlich aus administrativen Modulen, vor allen Dingen für die Patientenstamm- datenverwaltung, Fallverwaltung und Abrechnung sowie für die Finanzbuchhaltung, kamen da- nach immer mehr auch medizinische Funktionalitäten hinzu, sodass auch die Komplexität der Anwendungssoftware und der Umfang der damit einhergehenden Parametrisierung und Be- treuung immer höher wurde. Hinzu kamen sodann auch der Aufbau und Betrieb von Intranets mit internen Websites für dedizierte Zwecke und zunehmend auch der Anschluss an externe Infrastrukturen wie das Internet oder die Telematikinfrastruktur. Es konnte beobachtet werden, dass der personelle Ausbau der IT-Abteilungen nicht begleitend mit Blick auf die wachsende Breite und Tiefe der informatischen Artefakte vorgenommen wurde. Heute stehen viele Krankenhäuser vor der Herausforderung, hochkomplexe verteilte Informa- tionssysteme und Infrastrukturen mit minimaler Personalausstattung betreiben und weiterent- wickeln zu müssen. So sind IT-Abteilungen immer mehr in eine technisch-betreuende Funktion abgedrängt worden - mit dem Fokus der Aufrechterhaltung des Bestehenden - und immer weniger Treiber und Gestalter des digitalen Wandels im Krankenhaus. Daneben überfordern heute die hohen Investitionskosten in eigene Infrastruktur und Softwarelizenzen immer mehr die Krankenhäuser, die so schleichend von den Hard- und Softwareinnovationen abgekoppelt werden. Schon heute ist hier ein immenser Investitionsstau entstanden. Und auch in personeller Hinsicht ergeben sich Problemstellungen, da spezialisiertes Personal z.B. für die Netzwerkbe- treuung, Datenbankbetreuung, spezielle Aspekte der Anwendungs-Systeme u.v.a.m. nicht dop- 56 Als „mittlere Datentechnik“ wurden ab 1980 die ersten lokal betreibbaren Mehrbenutzersysteme bezeichnet, auf denen lokale Büroanwendungen und erste kleinere betriebliche Anwendungen außerhalb von Rechenzentren be- trieben werden konnten. 57 Der erste Kommunikationsserver in Deutschland - genannt HEIKO - wurde an der Universität Heidelberg 1985 entwickelt und betrieben. - 41 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme pelt vorgehalten werden kann, entstehen weitere Risiken durch möglichen Ausfall von Perso- nal. Hinsichtlich beider Aspekte könnten insgesamt Cloud-typische nutzungs- oder wertschöp- fungsbasierte Erstattungsmodelle mit kalkulierbaren laufenden Kosten Abhilfe schaffen. Vor diesem Hintergrund stellt der Betrieb eines KIS als Cloudlösung eine Chance dar, das ei- gene IT-Personal von rein technischer Betreuung, Skalierung und Ausbau der technischen Inf- rastruktur aber auch der Software-Konfiguration und des Integrationsmanagements von An- wendungssystemen zu entlasten und damit Ressourcen für die Kernaufgaben einer modernen IT-Abteilung wiederzugewinnen, nämlich die strategische Informationssystemplanung, die Be- treuung der Anwender, die Analyse von Prozessen und IT gestützte Prozessoptimierung und das Management des digitalen Fortschritts im Krankenhaus. Außerdem können agile und kos- tengünstige Skalierung und Ausbau und Anpassung an den technischen Fortschritt erfolgen. 2.4.2 Regulatorische Herausforderungen und Motivationen Neben den unter 2.4.1 genannten Chancen des Betriebs eines KIS als Cloudlösung geht der Wechsel auf Cloud-basierte Systeme ebenso wie die Implementierung weiterer digitaler Dienste in die Krankenhausabläufe zweifelsfrei mit regulatorischen, organisatorischen und fi- nanziellen Herausforderungen einher.58 Es gibt für Krankenhäuser und deren Betreiber aber auch von regulatorischer Seite Gründe und Motivationen, die für die Umsetzung weitergehen- der Digitalisierung trotz der genannten Herausforderungen sprechen. Auch hierbei können Cloud-Angebote helfen, beispielsweise indem die Kosten für bestimmte Vorhaben leichter auf mehr Schultern verteilt werden und vor allem kleinere Häuser die nötige IT-Infrastruktur und das erforderliche IT-Personal für komplexere Software-Unterstützung nicht alleine bereitstellen müssten. Förderung im Rahmen des Krankenhauszukunftsfonds So möchte der Bundesgesetzgeber mit dem am 29. Oktober 2020 in Kraft getretenen Kranken- hauszukunftsgesetz (KHZG) unter anderem die Digitalisierung in Krankenhäusern fördern.59 In der Begründung des Gesetzentwurfs heißt es dazu, es könnten „[…] durch zielgerichtete Inves- titionen in die Digitalisierung auch eine Modernisierung der stationären Notfallkapazitäten er- reicht sowie die IT-technische Vernetzung von Krankenhäusern untereinander sowie mit ande- ren Akteuren des Gesundheitswesens vorangetrieben werden“.60 Durch entsprechende Ände- rungen wurden im IT-Bereich die folgenden in § 19 Abs. 1 KHSFV aufgeführten Vorhaben nach § 14a KHG förderungsfähig: •   Technische Anpassung Notaufnahme (§ 19 Abs. 1 S. 1 Nr. 1 KHSFV) Anpassung d. technischen, insbes. informationstechnischen Ausstattung der Notauf- nahme eines Krankenhauses, das die Anforderungen für eine Teilnahme an der Basis- 58 Die finanziellen Herausforderungen gegenüber der vorläufigen Weiterführung der Legacy-Systeme ergeben sich u.a. aus den auch bei einer Cloud-Anwendung nötigen Investitionen, z.B. für die Migration. Diese dürften sich jedoch längerfristig amortisieren. 59 Gesetze für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz – KHZG) vom 29.10.2020, BGBl. I S. 2208. 60 Begründung zum Fraktionsentwurf des KHZG von CDU/CSU und SPD, Bundestags-Drucksache 19/22126, S. 28. - 42 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme notfallversorgung, erweiterten Notfallversorgung, umfassenden Notfallversorgung o- der für das Modul Notfallversorgung Kinder61 erfüllt, an den jeweils aktuellen Stand der Technik •    Einrichtung Patientenportal (§ 19 Abs. 1 S. 1 Nr. 2 KHSFV) Einrichtung von Patientenportalen für digitales Aufnahme- und Entlassmanagement, die den digitalen Austausch zwischen Leistungserbringern und Leistungsempfängern sowie zwischen Leistungserbringern, Pflege- und Rehabilitationseinrichtungen und Kostenträgern vor, während und nach der Behandlung ermöglichen •    Einrichtung digitale Dokumentation (§ 19 Abs. 1 Nr. 3 KHSFV) Einrichtung einer durchgehenden, strukturierten elektronischen Dokumentation von Pflege- und Behandlungsleistungen; Einrichtung von Einrichtung von Systemen, die au- tomatisierte, sprachbasierte Dokumentation von Pflege- und Behandlungsleistungen unterstützen •    Einrichtung Entscheidungsunterstützungssystem (§ 19 Abs. 1 S. 1 Nr. 4 KHSFV) Einrichtung teil- oder vollautomatisierter klinischer Entscheidungsunterstützungssys- teme zur Unterstützung klinischer Leistungserbringer bei Behandlungsentscheidungen, mit dem Ziel, die Versorgungsqualität zu steigern •    Einrichtung Medikationsmanagement (§ 19 Abs. 1 S. 1 Nr. 5 KHSFV) Einrichtung eines durchgehenden digitalen Medikationsmanagements zur Erhöhung der Arzneimitteltherapiesicherheit, das Informationen zu allen arzneibezogenen Be- handlungen während dem Behandlungsprozess zur Verfügung stellt; inkl. robotikba- sierte Stellsysteme zur Ausgabe von Medikation •    Einrichtung digitaler Kommunikationsprozess (§ 19 Abs. 1 S. 1 Nr. 6 KHSFV) Einrichtung eines krankenhausinternen digitalen Prozesses zur Anforderung von Leis- tungen, der Leistungsanforderung und Rückmeldung zum Verlauf der Behandlung in elektronischer Form ermöglicht, mit dem Ziel, krankenhausinterne Kommunikations- prozesse zu beschleunigen •    Maßnahmen zur Leistungsabstimmung (§ 19 Abs. 1 S. 1 Nr. 7 KHSFV) Wettbewerbsrechtlich zulässige Maßnahmen zu erforderlicher Abstimmung des Leis- tungsangebots mehrerer Krankenhäuser zur Sicherstellung einer ausgewogenen ge- meinsamen Angebotsstruktur, die flächendeckende Versorgung sicherstellt und Spezi- alisierung ermöglicht; dazu zählt die Bereitstellung von sicheren Cloud-Computing- Systemen. Hier handelt es sich um die einzige Stelle, an der Cloud-Computing als Tech- nologie in der KHSFV ausdrücklich genannt wird. Gleichwohl ist denkbar, dass Cloud- Anwendungen auch bei der Umsetzung der übrigen förderungsfähigen IT-Vorhaben zum Einsatz kommen, in manchen Bereichen, wie dem nachfolgenden Punkt der onli- nebasierten Versorgungsnachweissysteme sogar naheliegend. 61 Nach § 136c Abs. 4 SGB V. - 43 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme •     Einrichtung onlinebasiertes Versorgungsnachweissystem (§ 19 Abs. 1 S. 1 Nr. 8 KHSFV) Einführung und Weiterentwicklung eines onlinebasierten Versorgungsnachweissystems für Betten zur Verbesserung der Zusammenarbeit zwischen Krankenhäusern und ande- ren Versorgungsbereichen •     Anlagen, Systeme, Verfahren und Maßnahmen zur Unterstützung von Ärzten (§ 19 Abs. 1 S. 1 Nr. 9 KHSFV) Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer, kom- munikationstechnischer und robotikbasierter Anlagen, Systeme oder Verfahren oder räumlicher Maßnahmen, die erforderlich sind, um ÄrztInnen bei der Behandlung von PatientInnen, insbesondere im Rahmen von Operationen, zu unterstützen oder um te- lemedizinische Netzwerkstrukturen zwischen Krankenhäusern oder zwischen Kranken- häusern und ambulanten Einrichtungen aufzubauen und den Einsatz telemedizinischer Verfahren in der stationären Versorgung von Patientinnen und Patienten zu ermögli- chen •     Anlagen, Systeme oder Verfahren zur Vermeidung von Störungen (§ 19 Abs. 1 S. 1 Nr. 10 KHSFV) Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer oder telekommunikationstechnischer Anlagen, Systeme oder Verfahren um nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermei- dung von Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit der infor- mationstechnischen Systeme, Komponenten oder Prozesse des Krankenhausträgers zu treffen, die für die Funktionsfähigkeit des Krankenhauses und die Sicherheit verarbei- teter Patienteninformationen maßgeblich sind; nur förderungsfähig, wenn nicht ohne- hin nach § 12a Abs. 1 S. 4 Nr. 3 KHG i. V. m. § 11 Abs. 1 Nr. 4 lit. A förderungsfähig KHZG-Förderrichtlinie Die Anforderungen an die einzelnen förderungsfähigen Vorhaben wurden vom Bundesminis- terium für Gesundheit (BMG) und dem Bundesamt für soziale Sicherung (BAS) in der am 30. November 2020 veröffentlichten Förderrichtlinie konkretisiert. Dabei sind für jeden Förder- 62 tatbestand des § 19 Abs. 2 KHSFV funktionale Anforderungen als Muss- und Kann-Kriterien definiert. Die Muss-Kriterien stellen dabei die zwingend zu erfüllenden Mindestanforderungen dar, die Kann-Kriterien gehen - entsprechend ihrer optionalen Natur - darüber hinaus. Bzgl. des Cloud-Computing (insbes. Fördertatbestand nach § 19 Abs. 1 S. 1 Nr. 7 KHSFV) stellt die Förderrichtlinie zunächst klar, dass der Aufbau von IT-Strukturen, welche mittels Cloud- Computing Systemen einrichtungs- und trägerübergreifend zur Verfügung stehen, gefördert werden kann. Das soll der Erhöhung der Prozessqualität und der Reduzierung von parallelen IT-Strukturen dienen. Deshalb müssen förderungsfähige Cloud-Computing Systeme zu einer einrichtungsübergreifenden Nutzung von IT-Ressourcen führen und – eine wichtige Ergänzung - so genutzt werden können, dass die Versorgung von Patientinnen und Patienten auch bei 62 Richtlinie zur Förderung von Vorhaben zur Digitalisierung der Prozesse und Strukturen im Verlauf eines Kranken- hausaufenthaltes von Patientinnen und Patienten vom 30.11.2020 in der Version 02 (hier kurz: KHZG-Förderrichtlinie genannt). - 44 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Störungen der Telekommunikationsinfrastruktur im notwendigen Umfang sichergestellt ist.63 Immerhin sind Cloud-Lösungen auch für die Fördertatbestände 2-6 sowie 8-10 für die einrich- tungsübergreifende Kooperation zur Abstimmung des Leistungsangebots möglich. Damit steht den Krankenhäusern offen, für bestimmte gemeinsame Vorhaben auch in Cloud-Lösun- gen zu investieren. In Hinblick auf den Datenschutz enthält die Förderrichtlinie wenig konkrete Anforderungen an förderungsfähige Vorhaben. Vor dem Hintergrund der gegenwärtig zersplitterten Daten- schutzlage64 dürfte es auch nur in begrenztem Umfang Sinn machen, detaillierte materielle Vorgaben in dieser Hinsicht für die förderfähigen Vorhaben zu machen. Dennoch wird in der Förderrichtlinie mehrfach darauf hingewiesen, dass die einschlägigen datenschutzrechtlichen Vorschriften und Grundsätze einzuhalten sind. Bspw. werden in den Ausführungen zu § 19 Abs. 1 S. 1 Nr. 7 KHSFV einige Risiken für die Integrität, Verfügbarkeit, Vertraulichkeit und Au- thentizität verarbeiteter oder gespeicherter Daten genannt, die im Kontext des Cloud-Compu- ting entstehen und denen unter Berücksichtigung etwaiger Zugriffsmöglichkeiten Rechnung zu tragen ist.65 Rechnungsabschläge ab 2025 bei mangelnder Digitalisierung Der durch die Förderungsfähigkeit gesteckte finanzielle Anreiz zur Umsetzung von Digitalisie- rungsvorhaben hat allerdings auch eine Kehrseite. Denn § 5 Abs. 3h KHEntgG und § 5 Abs. 6 BPflV sehen ab dem 1. Januar 2025 einen Abschlag von bis zu 2 Prozent des Rechnungsbetrags für jeden voll- und teilstationären Fall vor, sofern ein Krankenhaus nicht sämtliche in § 19 Abs. 1 S. 1 Nr. 2 bis 6 KHSFV aufgeführten digitalen Dienste bereitstellt. Es werden also nicht nur diejenigen unterstützt, die Digitalisierung in ihren Krankenhäusern vorantreiben, sondern auch diejenigen bestraft, die dies unterlassen. Um einen derartigen Malus in Form eines Rechnungsabschlags zu entgehen, müssen somit die oben genannten Vorhaben bis 01.01.2025 umgesetzt und die entsprechenden untenstehenden Dienste bereitgestellt werden. •   Patientenportal mit digitalem Aufnahme- und Entlassmanagement (Nr. 2) •   durchgehende strukturierte elektronische Dokumentation (Nr. 3) •   teil- oder vollautomatisiertes klinisches Entscheidungsunterstützungssystem (Nr. 4) •   durchgehendes digitales Medikationsmanagement (Nr. 5) •   krankenhausinterner digitaler Prozess zur Anforderung von Leistungen (Nr. 6) Fazit Der Gesetzgeber unterstreicht damit das Ziel, die Digitalisierung im Gesundheitssektor voran- zutreiben und schafft durch Fördermaßnahmen Anreize dafür. Gleichzeitig werden Kranken- häuser vor erhebliche Herausforderungen gestellt, da die Umsetzung bestimmter Maßnahmen obligatorisch ist und bei mangelnder Umsetzung spürbare Strafen drohen. Das Ausmaß dieser Herausforderungen scheint im Lichte der erheblichen Anforderungen an die einzelnen Digita- 63 KHZG-Förderrichtlinie, S. 29 f. 64 S. dazu Kap. 3, S. 49 ff. 65 KHZG-Förderrichtlinie, S. 29. - 45 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme lisierungsvorhaben – insbesondere bzgl. des Schutzes personenbezogener Daten – umso grö- ßer. So wird die Einhaltung datenschutzrechtlicher Vorschriften im Gesetzestext nochmals ex- plizit als Voraussetzung der Förderungsfähigkeit genannt.66 Die diesbezügliche Rechtslage ist aufgrund der verschiedenen einschlägigen Rechtsvorschriften auf EU-, Bundes- und Landes- ebene überaus unübersichtlich ist. Der rechtliche Rahmen wird in Kapitel 3 eingehend betrach- tet. Auf Chancen und Risiken für Krankenhäuser, die abseits der hier aufgeführten regulatori- schen Anreize und Herausforderungen bestehen, soll im Folgenden genauer eingegangen wer- den. 2.5 Chancen und Risiken für Krankenhäuser Die Chancen des Einsatzes von Cloudlösungen für die Krankenhäuser unterscheiden sich nicht von jenen für Unternehmen anderer Branchen. Von Armbrust et al67 werden die nachfolgend gezeigten Hindernisse/Risiken und Chancen angegeben. Tabelle 2-4:        Quick Preview of Top 10 Obstacles to and Opportunities for Growth of Cloud Computing Obstacle                              Opportunity 1         Availability of ServiceUse            Multiple Cloud Providers; Use Elasticity to Prevent DDOS 2         Data Lock-In                          Standardize APIs; Compatible SW to enable Surge Computing 3         Data Confidentiality and Auditability Deploy Encryption, VLANs, Firewalls; Geographical Data Storage 4         Data Transfer Bottlenecks             FedExing Disks; Data Backup/Archival; Higher BW Switches 5         Performance Unpredictability          Improved VM Support; Flash Memory; Gang Schedule VMs 6         Scalable Storage                      Invent Scalable Store 7         Bugs in Large Distributed Systems     Invent Debugger that relies on Distributed VMs 8         Scaling Quickly                       Invent Auto-Scaler that relies on ML; Snapshots for Conservation 9         Reputation Fate Sharing               Offer reputation-guarding services like those for email 10        Software Licensing                    Pay-for-use licenses; Bulk use sale Als Vorteile von Cloud-Lösungen - die auch für Krankenhäuser ausschöpfbar sind - werden im Allgemeinen genannt: •     Wirtschaftlichkeit des Betriebs, „Pay per Performance“ •     Senkung der Grenz- und Transaktionskosten •     Kostentransparenz •     Keine Investitionskosten, keine Kapitalbindung •     Partizipation am technischen/softwaretechnischen Fortschritt bzw. Innovationen, im- mer auf dem Stand der aktuellen Technik •     Skalierbarkeit der Infrastruktur •     Skalierbarkeit der Softwarefunktionalitäten / Softwarekonfigurationsflexibilität / Soft- wareorchestrierung •     Flexible Auswahl der Anbieter für Systeme, Module und Funktionalitäten (hinsichtlich Software bei SOA-basierter Cloud-Software-Architektur) 66 Vgl. § 19 Abs. 2 Nr. 5 KHSFV. 67 Armbrust: Above the Clouds: A Berkeley View of Cloud Computing, S. 3. - 46 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme •    Nutzung der spezialisierten Expertise des Cloud-Betreibers auf allen Systemebenen (Netze, Betriebssystem, Datenbanken, sonstige Middleware, Konfiguration und Para- metrierung, Datenschutz und -sicherheitsmechanismen) •    Konzentration des eigenen Personals auch betriebsbezogene Analyse, Lösungskonzep- tion und Lösungseinführung und -betreuung •    Schnellere Einführung neuer Systeme, Module und Funktionalitäten, da Konzentration auf die fachlogischen und internen Prozess- und Unterstützungsaspekte •    Ubiquitäre Nutzbarkeit der Systeme/Anwendungssoftware unabhängig von Raum und Zeit •    Besserer Gesamt-Service für die Endanwender (aus der Summe der externen und inter- nen Kompetenzen) •    Garantierte höchste Verfügbarkeit •    Erleichterung der einrichtungsübergreifenden Integration und Kooperation •    Bessere Einbeziehung der Kunden durch spezielle interoperable Kundenportale bzw. Kundenfunktionalitäten als Modul des KIS •    Stammdaten- und Knowledge-Sharing in einer Community-Cloud (Beispiel System- stammdaten-as-a-Service) Auf der anderen Seite ergeben sich gewisse Risiken, da die Abhängigkeit von einem Dritten oder mehreren Dritten wächst. So wie bei allen verteilten Systemen determiniert das schwächste Glied in der Kette die Reißfestigkeit. Wesentlich sind auch die Risiken durch die Offenbarung von Geheimnissen gegenüber einem Dritten, die so aber auch von der Auftrags- datenverarbeitung her bekannt sind. Bei einer Public Cloud, die im Sinne der Informatik für den Nutzer vollständig transparent68 ist (es ist nicht bekannt, wo etwas läuft, von wem Software kommt usw.), besteht im Grunde keine direkte Beziehung mehr zwischen nachgeordneten Res- sourcengebern und Kunden, was ggf. die vertragliche Durchsetzung von gewissen zugesicher- ten Eigenschaften bzw. die In- oder Mithaftungsnahme im Schadensfalle erschwert. Ebenso ist es denkbar, dass vor allem bei Nicht-Migrierbarkeit der Unternehmensdaten (Stichwort Daten- portabilität) ein Wechsel der Lösung oder von Lösungsbausteinen zu anderen Softwarepro- dukten oder Cloud-Anbieter fast unmöglich wird und somit eine langfristige nur aufwändig aufzulösende Abhängigkeit entsteht. Auch werden Daten im Rahmen des Loggings oder zu Backupzwecken kopiert und an weiteren Orten archiviert, deren Lokalisation sich ebenfalls dem Nutzer bzw. der nutzenden Organisation entzieht, im Extremfall kommt es zu einer nicht über- schaubaren Proliferation vertraulicher Daten. Daher müssen bei einer Cloud-Nutzung hohe An- forderungen an die vertraglichen Regelungen und technisch/organisatorischen Maßnahmen gestellt werden, damit die Compliance nicht gefährdet wird. 2.6 Fragestellungen des vorliegenden Gutachtens Im Zusammenhang mit der Migration von KIS von einer heterogenen, aus proprietären Syste- men bestehenden Anwendungslandschaft hin zu einer – idealerweise agilen und adaptiven – 68 Der Transparenzbegriff in der Informatik und für verteilte Systeme bedeutet, dass man durch etwas „hindurch- schauen“ kann, ohne Details kennen zu müssen, also „das Verbergen der Separation der einzelnen Komponenten eines verteilten Systems vor dem Benutzer und dem Applikationsprogrammierer, sodass das System als Ganzes wahrgenommen wird und nicht als Sammlung voneinander unabhängiger Komponenten“; Coulouris/Dolli- more/Kindberg: Verteilte Systeme, S. 42 ff. - 47 -