Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 4.10.1    Administration/Cloud-Management ................................................................................ 252 4.10.2    Compliance-Aspekte............................................................................................................... 253 4.10.3    OH-KIS konforme Mandantentrennung.......................................................................... 254 4.10.4    Versions- und Patchmanagement ..................................................................................... 256 4.10.5    Technische Revision ................................................................................................................ 256 4.10.6    Datenübertragbarkeit ............................................................................................................. 257 4.10.7    Migration und Migrationsunterstützung ........................................................................ 258 4.10.8    Archivfunktion und Archive .................................................................................................. 258 4.11   Potenziale und Chancen durch Cloud-KIS ............................................................................... 260 4.11.1    Modularisierung und Best of Breed-Ansatz ................................................................... 260 4.11.2    Förderung von Innovation und Wettbewerb................................................................. 261 4.11.3    Wirtschaftliche Effekte............................................................................................................ 261 4.12   Digitale Ökosysteme......................................................................................................................... 262 5   Vereinbarkeit von Recht und Technik................................................................................................. 266 5.1    Einführung ............................................................................................................................................ 266 5.2    Rechtliche Anforderungen und Herausforderungen............................................................ 267 5.2.1     Herausforderungen durch unterschiedliche Anforderungen der Landeskrankenhausgesetze.......................................................................................... 268 5.2.2     Herausforderungen durch zusätzliche Anforderungen bei einem Bezug der Auftragsverarbeitung zu unsicheren Drittstaaten ............. 269 5.2.3     Herausforderungen durch die Schweigepflicht der Heilberufe.............................. 271 5.2.4     Herausforderungen bzgl. der Übermittlung von Leistungsdaten nach dem SGB V ....................................................................................... 272 5.3    Resultierende technische Herausforderungen und Umsetzungsmöglichkeiten ....... 272 5.3.1     Anonymisierung, Pseudonymisierung oder Verschlüsselung ................................. 272 5.3.2     Bare-Metal-Server .................................................................................................................... 276 5.4    Bewertung der Vereinbarkeit der Anforderungen für den Krankenhaus-Bereich..... 278 5.4.1     Basisanforderungen nach Art. 28 DSGVO....................................................................... 278 5.4.2     Verschärfte Erforderlichkeitsprüfung gemäß der Schweigepflicht (§ 203 StGB) ........................................................................ 278 5.4.3     Unsichere Drittstaaten und schwierige Bundesländer ............................................... 279 6   Lösungsvorschläge..................................................................................................................................... 281 6.1    Vorschläge für Schaffung einer einheitlicheren und Cloud-freundlicheren Rechtslage ................................................................................................ 281 6.1.1     Angleichung der Regeln zur Auftragsverarbeitung in den Landeskrankenhausgesetzen ................................................................................. 281 -6-

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 6.1.2      Vereinheitlichung der Regeln zur Auftragsverarbeitung im SGB V ...................... 282 6.1.3      Abschaffung von Öffnungsklauseln für Sonderregelungen der Kirchen ............ 282 6.1.4      Rechtliche Vorgaben zur Interoperabilität von KIS und KIS-Modulen ................ 283 6.1.5      Stimulierung der Cloudifizierung von KIS....................................................................... 285 6.2    Vorschläge zur Ausrichtung der technischen KIS-Architekturen auf die Cloud ....... 286 6.3    Vorschläge für mehr Cloud-Souveränität in Deutschland und Europa ......................... 289 6.3.1      Entwicklung und Stärkung originär europäischer Cloud-Angebote .................... 289 6.3.2      Cloud nach dem Treuhandmodell ..................................................................................... 289 7   Abkürzungsverzeichnis............................................................................................................................. 292 8   Abkürzungen der Bundesländer ........................................................................................................... 300 9   Glossar ............................................................................................................................................................ 301 10 Quellenverzeichnis ..................................................................................................................................... 317 Es wird darauf hingewiesen, dass keine Gewähr dafür übernommen werden kann, dass sich Aufsichtsbehörden oder Gerichte in jedem Fall den im Gutachten vertretenen Rechtsauffassun- gen anschließen. -7-

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 1 Executive Summary Die IT-Welt wandelt sich, viele Unternehmen sind einerseits mit dem eigenständigen Betrieb der immer komplexer werdenden Infrastrukturen und Middleware-Software überfordert, an- dererseits wachsen eCommerce, elektronische Verkaufsplattformen und Enterprise Informati- onssysteme immer mehr zusammen. Die Zeit der Cloud-Systeme und -Anwendungen ist an- gebrochen. Die Legacy-Dinosaurier – also die großen softwaremonolithischen Altsysteme – sterben aus und machen Herden von agilen, intelligent kollaborierenden Software-Kleintieren – den Microservices – Platz. Systemgrenzen verschwimmen, IT-Ressourcen und Software wer- den nicht mehr gekauft, sondern bedarfsgerecht bezogen und wieder abgestoßen. Kapitalbin- dung war gestern. Das Vor-Ort-Personal kann sich auf die strategischen und anwendungsbe- zogenen Aspekte konzentrieren, die Betreuung und technologische Weiterentwicklung der Inf- rastruktur und Software übernimmt der Servicepartner. Mit kalkulierbaren laufenden Kosten orientiert an der Ressourcennutzung oder der betrieblichen Wertschöpfung (z.B. Anzahl abge- wickelter Vorgänge, Fälle) erhält man die neuesten Innovationen zeitnah ins Unternehmen. Die Vorteile des Cloud-Computings für ein Unternehmen, aber auch die Möglichkeit des Auf- baus Cloud-basierter regionaler, nationaler oder weltumspannender digitaler Ökosysteme, sind auch im Krankenhauswesen von großem Interesse, wenngleich hier eher in einem regio- nalen Kontext. Dies sowohl für die einzelnen Krankenhäuser, deren IT-Personal durch die sich schnell wandelnden Technologien und die große Themenvielfalt zunehmend überfordert wird, als auch für die Hersteller von Krankenhausinformationssystemen (KIS), bei denen die Größe und Komplexität der Legacy-Software zu abnehmender Handhabbarkeit, zunehmendem Inno- vationstau und damit sinkender Wettbewerbsfähigkeit führt, und für die Dienstleistungsre- chenzentren, die heute Legacy-KIS im Auftrag von Krankenhäusern betreiben. Cloud-Compu- ting für Krankenhäuser bildet sich in Form der Nutzung von Cloud-KIS ab. Ein Cloud-KIS ist die Summe aller über eine Cloud beziehbaren Plattform- und Software- Ressourcen zur Verarbeitung aller notwendigen Daten zur Unterstützung aller administ- rativen, logistischen und medizinischen Vorgänge bis hin zum Controlling, dem Quali- tätsmanagement sowie dem strategischen Management von Krankenhäusern. Der Einsatz von Cloud-KIS hat für Krankenhäuser vielfältige Vorteile; hierzu zählen u.a. die Hochverfügbarkeit, das hohe Sicherheitsniveau, die passgenau Orchestrierung der Anwen- dungsumgebung, ressourcennutzungs- oder wertschöpfungsorientierte Kostenmodelle, die sukzessive Hinzunahme von Funktionalitäten, die Möglichkeit aus verschiedenen alternativen Modulen zu wählen, die Schaffung von Freiräumen für das Vor-Ort-IT-Personal für die Kon- zentration auf fachliche und strategische Belange der IT im Krankenhaus, der Abbau von Her- stellerabhängigkeit, Wegfall der Notwendigkeit zur Installationen und zum Management von Clients sowie die einfache Integration von „Fremdsoftware“ in Form von “KIS-Plugins” und Ei- genentwicklungen. Für Cloud-KIS können vor dem Hintergrund bestehender Cloud-Plattformen und -Technolo- gien zwei wesentliche Fragekomplexe adressiert werden: -8-

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 1. Wie sollte die Software-technische Architektur eines Cloud-KIS beschaffen sein, um die Vorteile des Cloud-Computings ausschöpfen zu können, ab wann könnten Cloud-KIS verfügbar sein? Welche weiteren technischen Aspekte spielen eine Rolle? 2. Welche Regelungen zum Datenschutz sind hierbei zu beachten? Welche Folgerungen ergeben sich aus der ärztlichen Schweigepflicht? Ermöglichen diese rechtlichen Rah- menbedingungen bestimmte Einsatzszenarien oder wird die Nutzung von Cloud-KIS durch sie eingeschränkt? Damit verbunden ist dann auch die Frage, inwieweit gewisse Bereitstellungmodelle auf Basis weitergehender technischer Absicherungen möglich sind. Diese Fragen werden im Detail in der vorliegenden Expertise behandelt. Wesentliche Befunde sind nachfolgend zusammengefasst: Zu 1.: Architektur von Cloud-KIS und technische Aspekte a) Im weitesten Sinne ist der Betrieb von Legacy-KIS des alten Stils auf skalierbaren Infrastruk- turen oder Plattformen auch schon Cloud-Computing. b) Legacy-KIS sind in der Regel keine Webanwendungen, sondern klassische Client-Server- Anwendungen. Bei RZ-Betrieb durch einen Servicepartner erfolgt die Verarbeitung der „fet- ten Clients“ auch im Rechenzentrum und die Benutzung wird mittels Terminalserver bzw. virtualisiertem Desktop auf die Arbeitsrechner gebracht. c)  Legacy-Anwendungen können die skalierenden Infrastruktur- und Plattform-Potenziale des Cloud-Computing nur in eingeschränktem Maße ausschöpfen, zudem handelt es sich um große Software-Monolithen. d) Aufgrund des technologischen Wandels und der schwindenden Verfügbarkeit alter Tech- nologien werden Legacy-KIS zunehmend verrotten; dieser Prozess hat bereits begonnen. e) Die Zielprojektion für ein Cloud-KIS ist es, dass für Krankenhäuser bzw. stationäre Einrich- tungen jeglicher Art ein skalierbares Set an domänenspezifischen Software-Funktionalitä- ten zur Verfügung gestellt wird, die je nach Einrichtung und Bedarf bezogen und genutzt werden können. f)  Ein modulares Cloud-KIS ist eine Cloud Native Anwendung, also eine spezifisch für die Cloud entwickelte Anwendung. Ein solches Cloud-KIS stellt eine nutzer- und nutzen- zentrierte webbasierte Softwarelandschaft bestehend aus domänenspezifischen, voneinan- der weitgehend unabhängigen fachlichen und systemtechnischen Microservice-Modulen dar, die von verschiedensten Softwareherstellern stammen können und mittels semanti- scher Interoperabilität auf Basis geeigneter Mechanismen zusammenarbeiten. Dies bedeu- tet eine radikale Abkehr von heterogenen, aus abgeschlossenen minimal-interoperablen proprietären Informationssystemen bestehenden, nicht skalier- und orchestrierbaren KIS, wie sie heute allerorten betrieben werden. g) Cloud-KIS können Basis zur Entwicklung von regionalen digitalen Ökosystemen im Gesund- heitswesen sein und auch die einrichtungsübergreifende Leistungsabstimmung und Ko- operation sowie die Abwicklung einrichtungsübergreifender Behandlungsprozesse unter- stützen. Auf jeden Fall sind sie zentrale Elemente eines solchen Ökosystems. -9-

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme h) Eine schrittweise Migration von Legacy-KIS hin zu Cloud Native Anwendungen bzw. Cloud Native KIS ist gut möglich. So können neue Funktionalitäten als Cloud Native Anwendun- gen entwickelt und interoperabel mit dem Legacy-KIS betrieben werden. Der Einbau ent- sprechender Aufrufschnittstellen in die Legacy-Systeme ist einfach zu bewerkstelligen und eine Notwendigkeit für den Migrationsprozess. i) Mit dem Krankenhauszukunftsgesetz (KHZG) wurde eine große Chance dahingehend ge- schaffen, dass für die im neuen § 19 Krankenhausstrukturfonds-Verordnung (KHSFV) be- nannten Fördergegenstände die Legacy-KIS um Cloud Native Module erweitert werden und damit die ersten Schritte in Richtung Migration erfolgen können. j) Bei Förderprogrammen zur Digitalisierung im Krankenhaus sollten zukünftig Förderkrite- rien die Pflicht zur Implementierung als Cloud-fähige Lösung beinhalten, Krankenhäuser sollten bei Ausschreibungen auf die Perspektiven und Planungen des Herstellers bezüglich der „Cloudifizierung“ dessen Legacy-Systems achten. k) Ein großes Potenzial für eine „Cloudifizierung“ von digitalen Lösungen bzw. der Realisie- rung von Cloud Native Anwendungen liegt im Krankenhaus- bzw. Gesundheitswesen in den über viele Jahrzehnte entwickelten Interoperabilitäts- und Semantikstandards – hier vor allem den Standards von HL7 und IHE und DICOM und SNOMED. So kann der HL7- Standard FHIR bzw. die im Rahmen dessen spezifizierten Ressourcen direkt auch für Ent- wurf und Interoperabilität von Microservices eingesetzt werden, CDA-Dokumente als Per- sistenzobjekte können als strukturierte und formalisierte Dokumente für die justitiable Do- kumentenspeicherung und den Austausch dienen, ebenso für Aggregationsobjekte wie z.B. Gesundheitspässe, Medikationsplan, Impfbuch usw. l) Die Kenntnisnahme der hoch schutzwürdigen medizinischen Daten durch den Provider ist so weit wie technisch praktikabel zu verhindern bzw. zu erschweren. Gleichzeitig sind hierzu auch vertragliche Regelungen zu treffen und deren Umsetzung regelmäßig zu überprüfen. Kryptographische Verfahren, verteilte Geheimnisse und Trennung der Verwaltung von identifizierenden und medizinischen Daten in verschiedene Anbieter-Plattformen sind mögliche Ansätze. Hier besteht aber weiterer Forschungsbedarf. m) Wissensgewinnung und Wissensentwicklung können in der Medizin zunehmend nur noch gemeinsam und multizentrisch erfolgen. Cloud-KIS bieten die Chance, Community-Platt- formen aufzubauen, die verzahnt mit Cloud-KIS einen solchen gemeinsamen Wissensent- wicklungsprozess und ein gemeinsames Wissensmanagement ermöglichen – bei gleichzei- tiger direkter kontextsensitiver Aufrufbarkeit und Integration des Wissens in die Cloud-KIS- Funktionalitäten. Zu 2.: Anforderungen bzgl. Patientendatenschutz und ärztlicher Schweigepflicht a) Patientendaten geben Auskunft über Gesundheit und Krankheit eines Menschen. Sie bilden einen elementaren Teil seines Schicksals in der Vergangenheit ab und bestimmen auch sein Schicksal in der Zukunft mit. Es ist von elementarer Bedeutung, dass diese Patientendaten zurzeit und am Ort der Behandlung verfügbar sind, dass sie authentisch auf einen oder mehrere Urheber zurückgeführt werden können und unverfälscht (integer) sind. Der Da- tenschutz erfasst neben diesen Schutzzielen der Verfügbarkeit, Authentizität und Integrität - 10 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme insbesondere auch noch das der Vertraulichkeit. Denn Patienten müssen grundsätzlich auch darauf vertrauen können, dass ihre Daten nur zur Behandlung genutzt werden und ausschließlich ihren behandelnden Ärzten und – soweit erforderlich – dem Personal, das diese unterstützt, zur Kenntnis gelangen. Bei Preisgabe entsprechender Daten an Stellen außerhalb dieses Behandlungskontextes könnten Diskriminierung am Arbeitsplatz, bei Ver- sicherungen oder im gesellschaftlichen Leben drohen. Auch innerhalb des Medizinbetrie- bes ist es wichtig und legitim, dass Patienten Zugriffe steuern können, um z.B. eine unbe- fangene Zweitmeinung sicherzustellen, bei welcher der Arzt, der um die Zweitmeinung ge- beten wurde, möglicherweise die Befunde, nicht aber die Diagnosen und Behandlungsvor- schläge des bislang behandelnden Arztes kennt. b) Mittels eines KIS werden keine Schrauben oder sonstige Artikel verwaltet, sondern mensch- liche Schicksale – abgebildet in den Elektronischen Patientenakten der Krankenhäuser, die einem KIS zugrunde liegen. Dies zeigt die große Verantwortung, welche mit dem Betrieb entsprechender Systeme einhergeht, was auch beim Bezug von KIS aus der Cloud zu be- achten ist. Denn KIS enthalten mit die sensibelsten Daten in einer Informationsgesellschaft. c) Die Nutzung einer Cloud kann viele Vorteile mit sich bringen, sowohl was die leichtere technische Wartbarkeit betrifft, welche zudem Sicherheitsrelevanz haben kann, als auch was die Wirtschaftlichkeit angeht. Gerade im Hinblick auf den Datenschutz besteht jedoch auch die Gefahr, dass sich die Verantwortung für die Verarbeitung sensibler Patientendaten in der Cloud verliert und im Netz Daten diffundieren. Dem ist in jedem Fall durch eine klare und verbindliche Aufgabenteilung zwischen verantwortlichem Krankenhaus und weisungs- gebundenem Cloud-Anbieter, durch Transparenz im rechtlichen Sinne, also die Sichtbarkeit und Verortbarkeit von Verarbeitungsvorgängen und Datenspeicherungen auch für das Krankenhaus, sowie durch Abschottung gegenüber unberechtigten Dritten Rechnung zu tragen. Die technischen und organisatorischen Maßnahmen der Datensicherheit müssen dem Stand der Technik entsprechen und den hohen bis sehr hohen Schutzbedarf der Pati- entendaten und die besonderen Bedrohungen in einer Cloud angemessen widerspiegeln. d) Entsprechende Maßgaben finden sich auch in der EU-Datenschutz-Grundverordnung (DSGVO), dort u.a. in Art. 32 zur Sicherheit der Verarbeitung, welcher auch Anwendung findet, wenn das Krankenhaus selbst eine „private“ Cloud betreibt. e) Beauftragt das Krankenhaus einen externen Cloud-Anbieter, liegt eine sogenannte Auf- tragsverarbeitung nach Art. 28 DSGVO vor, der ebenfalls solche Maßgaben enthält. Das Krankenhaus bleibt auch dann im Außenverhältnis, sei es zu Patienten oder Aufsichtsbe- hörden, vollumfänglich für die Einhaltung des Datenschutzes verantwortlich. Im Innenver- hältnis kann das Krankenhaus als Auftraggeber jedoch die Ausführung der Verarbeitung und die Gewährleistung der Datensicherheit nach dem Stand der Technik weitgehend auf den Cloud-Anbieter als weisungsgebundenen Auftragsverarbeiter delegieren. Das Kran- kenhaus muss den Cloud-Anbieter jedoch sorgfältig im Hinblick auf dessen Garantien für den Datenschutz auswählen und mit ihm klare vertragliche Regelungen gemäß Art. 28 Abs. 3 DSGVO treffen. f) Befindet sich der Cloud-Anbieter bzw. seine Server jedoch in Drittstaaten, die aus Sicht der EU über kein angemessenes Datenschutzniveau verfügen, weil der Datenzugriff dortiger - 11 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme Behörden über das nötige Maß hinausgeht, sind weitere Maßnahmen zu treffen. Nach der Aufhebung des Privacy Shield-Beschlusses durch den Europäischen Gerichtshof (EuGH), kann dieser nicht mehr als Grundlage für Datenübermittlungen in die USA genutzt werden. Das stellt eine große Herausforderung für die Nutzung von Cloud-Diensten dar, denn die bislang größten Cloud-Anbieter haben alle ihren Hauptsitz in den USA. Allein ein Vertrag über die Auftragsverarbeitung, auch in Form von Standardvertragsklauseln, wie sie die EU- Kommission genehmigt hat, genügt hierfür nicht mehr. Der Europäische Gerichtshof ver- langt zusätzlich, dass Exporteur und Importeur von Daten sowie bei Bedarf die Daten- schutzaufsicht prüfen, ob diese Klauseln im Drittstaat auch wirklich eingehalten werden (können). Wenn dies gerade wegen der ausufernden Datenzugriffsmöglichkeiten durch Be- hörden des Drittstaates, wie nach dem EuGH in den USA, nicht der Fall ist, müssen zusätz- liche Maßnahmen ergriffen werden. Dann empfiehlt der Europäische Datenschutzaus- schuss, in dem alle Aufsichtsbehörden der EU vertreten sind, technische Methoden anzu- wenden, die ausschließen, dass personenbezogene Daten im Klartext in den betreffenden „unsicheren“ Drittstaat gelangen. Dies bedeutet, dass Maßnahmen wie eine Ende-zu-Ende- Verschlüsselung oder Pseudonymisierung bereits im Krankenhaus angewendet werden müssten und in der Cloud Patientendaten nicht im Klartext verarbeitet werden. Das schränkt die Möglichkeiten, ein KIS oder einzelne Module in eine entsprechende Dritt- staats-Cloud auszulagern, merklich ein. Der Betrieb eines kompletten Cloud-Native-KIS in einer entsprechenden Drittstaaten-Infrastruktur ist damit nach dem Stand der Technik nicht möglich. Möglich ist jedoch die Anwendung einer Ende-zu-Ende-Verschlüsselung auf ein- zelne KIS-Subsysteme wie ein radiologisches Bilddatenarchiv (PACS), das dann auch in eine entsprechende Cloud ausgelagert werden könnte. Gleiches gilt für einen Service aus der Cloud, der Krankenhäuser bei der Generierung pseudonymer Befundtexte unterstützt. g) Ähnliche Herausforderungen ergeben sich, wenn Patientendaten in eine Cloud in Deutsch- land oder der EU ausgelagert werden, die von einem Unternehmen mit engen Beziehungen zu unsicheren Drittstaaten betrieben werden. Dies gilt insbesondere für die großen Cloud- Anbieter aus den USA, welche dem dortigen „Clarifying Lawful Overseas Use of Data Act“ (kurz: U.S. CLOUD Act) unterliegen. Denn dieses Gesetz gibt öffentlichen Stellen in den USA das Recht, gemäß den dortigen gesetzlichen Vorschriften von Cloud Providern unter ihrer Jurisdiktion Daten anzufordern, auch wenn sich die Daten in anderen Staaten befinden. Eine Zustimmung der Staaten, in denen die Daten sich befinden, ist dabei im Gegensatz zu Rechtshilfeersuchen nicht notwendig. Und der Jurisdiktion der USA unterfallen nach den dortigen Gesetzen v.a. auch Tochterunternehmen von Konzernen mit Hauptsitz in den USA. Damit droht auch hier auf Anordnung öffentlicher Stellen eine Übermittlung in einen unsi- cheren Drittstaat – und zwar (u.a. entgegen Art. 28 Abs. 3 Unterabs. 1 Buchstabe a DSGVO) unabhängig von einer Weisung oder Zustimmung des Krankenhauses oder von einer ge- setzlichen Verpflichtung nach dem Recht der EU oder ihrer Mitgliedstaaten. Dies stellt ge- rade vor dem Hintergrund des nach deutschem Recht für Patientendaten bestehenden Be- schlagnahmeschutzes (§ 97 StPO) ein nicht unerhebliches Risiko dar, so dass ergänzende Maßnahme wie bei einer Drittstaatsübermittlung getroffen werden sollten. Neben einer Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung kommt hier aber auch ein soge- nanntes Datentreuhandmodell in Betracht, bei dem ein rein oder schwerpunktmäßig euro- päisches Unternehmen als Treuhänder der Patientendaten auf der in Europa belegenen - 12 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme technischen Infrastruktur fungiert, auf welcher Cloud-Plattformen von US-Anbietern laufen. Als Datentreuhänder müsste dieses Unternehmen im Auftrag des Krankenhauses sämtli- chen Zugriffe auf diese Infrastruktur von Seiten des Cloud-Anbieters kontrollieren und ggf. restringieren, v.a. was Datenabflüsse in die USA angeht. h) Zudem müssen Krankenhäuser die Schweigepflicht nach § 203 StGB beachten. Ohne ge- sonderte Vorschriften, die gerade ein Offenbaren von Patientendaten durch Ärzte oder an- deres in die Behandlung involviertes Personal erlauben, dürfen Patientendaten demnach nur dann sonstigen mitwirkenden Personen, wie Cloud-Anbietern, offengelegt werden, wenn dies für die Auslagerung einer Tätigkeit erforderlich ist (§ 203 Abs. 3 S. 2 StGB). Wenn nun ein komplettes KIS in die Cloud ausgelagert werden soll und lokal nur noch "Thin Cli- ents", z.B. in Form von Browsern, vorgehalten werden sollen, wird man nach dem Stand der Technik in der Regel davon ausgehen können, dass diese Offenlegung erforderlich ist. Sol- len lediglich Subsysteme oder einzelne Funktionalitäten wie z.B. AMTS-Prüfungen eines KIS in die Cloud outgesourct werden, kann sich dies anders darstellen, da hier dann nach wie vor eine Ende-zu-Ende-Verschlüsselung oder eine Pseudonymisierung in der ohnehin noch vorhandenen IT-Infrastruktur des Krankenhauses vor Ort möglich und zumutbar sein kann. In jedem Fall ist der Cloud-Anbieter bzw. sein Personal gemäß § 203 Abs. 4 StGB vom Kran- kenhaus auf die Schweigepflicht zu verpflichten; ein Verstoß auch durch das Personal des Cloud-Anbieters wäre für dieses strafbar. i) Das SGB V enthält teilweise auch für Leistungserbringer in der GKV Vorschriften zur Auf- tragsverarbeitung bei der Übermittlung von Leistungsdaten zur Abrechnung mit der GKV. Dies gilt bspw. auch für Krankenhäuser zur Abrechnung ambulanter Notfälle mit der Kas- senärztlichen Vereinigung (§ 295a Abs. 3 SGB V). Für die Abrechnung stationäre Fälle durch Krankenhäuser nach § 301 SGB V fehlt es jedoch an einer entsprechenden Regelung, was das Outsourcing von Abrechnungsmodulen in die Cloud rechtlich im Unklaren lässt. j) In rechtspolitischer Hinsicht sollte der Bundesgesetzgeber daher im SGB V eine einheitliche Befugnis zur Auftragsverarbeitung bei der Übermittlung von Abrechnungsdaten für alle Leistungserbringer in der GKV schaffen. k) Überdies ist nach geltendem Recht das jeweilige Landeskrankenhausgesetz (LKHG) des Bundeslandes zu prüfen, in welchem das Krankenhaus seinen Sitz hat. Hier zeigt sich ein sehr heterogenes Bild, was die Anforderungen an die Auftragsverarbeitung angeht. Rhein- land-Pfalz lässt die Auftragsverarbeitung für Krankenhäuser z.B. in seinem LKHG explizit unter den Voraussetzungen des Art. 28 DSGVO zu, was somit auch eine eigenständige Of- fenbarungsbefugnis im Sinne von § 203 Abs. 1 StGB darstellen dürfte, so dass keine Erfor- derlichkeitsprüfung nach § 203 Abs. 3 S. 2 StGB nötig ist. Andere Bundesländer, wie z.B. Bayern, erlauben das Outsourcing von Patientendaten zu Behandlungszwecken nur an an- dere Krankenhäuser, nicht jedoch an professionelle Cloud-Anbieter, was dazu führt, dass dies in Bayern allenfalls unter Verwendung der bereits beschriebenen zusätzlichen Schutz- maßnahmen wie Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung bereits im Kran- kenhaus möglich ist. - 13 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme l) Abschließend sei darauf hingewiesen, dass die Bundesländer in legislatorischer Hinsicht die Vorschriften zur Auftragsverarbeitung in ihren LKHG angleichen sollten, damit ein einheit- licher und effizienter Markt für Cloud-KIS in Deutschland entstehen kann, der es unter kla- ren rechtlichen Rahmenbedingungen ermöglicht, die Vorteile des Cloud-Computing auch für Krankenhäuser zu erschließen. Die Bundesländer sollten dabei auch ihre bisher teils in den LKHG existierenden Öffnungsklauseln für Regelungen der Kirchen zum Datenschutz streichen, da der Patientendatenschutz in kirchlichen Krankenhäusern keine innere Ange- legenheit der Kirchen ist und auf diese Weise die rechtliche Komplexität im Sinne einer klaren Rechtslage und stringenten Rechtsdurchsetzung reduziert wird. Der Einsatz von Cloud-Computing hat viele Vorteile, die in Zukunft für Krankenhausin- formationssysteme erschlossen werden sollten. Auch können Cloud-KIS ein wichtiger Be- standteil zukunftsorientierter digitaler Ökosysteme im Gesundheitswesen sein. Eine Mo- dernisierung sowie Harmonisierung der rechtlichen Rahmenbedingungen des Bundes und der Länder, um die entsprechenden Chancen besser nutzen, gleichzeitig aber Risiken minimieren zu können, ist vor diesem Hintergrund dringend anzuraten. - 14 -

Rahmenbedingungen Cloud-basierter Krankenhausinformationssysteme 2 Sachverhalt und Fragestellung Bessere Informationen und bessere Informationssysteme sind die Grundlage für Verbesserung von Effektivität, Effizienz, Qualität und Patientensicherheit – auch im Krankenhaus. In allen Industrienationen ist man daher bemüht, die Informatisierung im Gesundheitswesen und im für die Versorgung wichtigen stationären Sektor voranzutreiben – zum Teil mit Förder- programmen oder Strafzahlungen bei Nichterfüllung gewisser Kriterien oder Fähigkeiten. So hat das Bundesministerium für Gesundheit mit verschiedenen Gesetzen – unter anderem mit dem Krankenhauszukunftsgesetz (KHZG) – wichtige Entwicklungen angestoßen und Impulse gesetzt. Krankenhäuser und die von ihnen betriebenen Legacy-Systeme sehen sich zunehmend neuen Anforderungen und Herausforderung bezüglich der Interoperabilität und neuer innova- tiver Funktionalitäten konfrontiert, nicht nur aufgrund der Gesetzeslage, sondern auch auf- grund der technologischen Fortschritte und Möglichkeiten, Prozess und Dokumentation aber auch direktes medizinisches Handeln umfassend digital zu unterstützen bzw. durchzuführen. Krankenhäuser sind in ihrer Komplexität ein Mikrokosmos der gesamten Gesundheitsversor- gung. In ihrer Breite und Differenziertheit hinsichtlich Organisation und Dokumentation sowie der komplexen rechtlichen und finanzierungstechnischen Rahmenbedingungen sind sie kaum mit irgendeinem anderen Wirtschaftsbetrieb ähnlicher Größenordnung zu vergleichen. Dem- entsprechend sind die Anforderungen an die gesamtbetrieblichen Informationssysteme für ein Krankenhaus – allgemein als Krankenhausinformationssysteme (im Folgenden mit KIS abge- kürzt) bezeichnet – extrem hoch, da Breite und Tiefe der KIS-Funktionalitäten sowie die Anfor- derungen an Datenschutz und -sicherheit sehr hoch sind. Man denke allein schon an die un- zähligen medizinischen Formulare selbst in kleinen Krankenhäusern, die digital adäquat abzu- bilden sind oder an die komplexen Abrechnungs- und Nachweispflichten. Auch die zu unter- stützenden Prozesse sind komplex und nicht – wie z.B. in der Industrie – für jeden „Stückpro- zess“ vollständig standardisierbar, da jeder Patient ein Individuum mit besonderer individueller bio-psycho-sozialer Situation und Behandlungserfordernissen ist. Medizinische Behandlungen am Fließband sind weder medizinisch noch ethisch vertretbar. Mit dieser Variantenvielfalt auch beim Prozessmanagement müssen unterstützende KIS ebenso adäquat umgehen können. Die letzten 25 Jahre haben gezeigt, dass die heterogenen und auf einzelnen Client-Server- Systemen basierenden KIS hinsichtlich Entwicklung, Wartung, Betrieb und Vor-Ort-Betreuung sowie Integrationsmanagement an ihre Grenzen stoßen und die Innovationsgeschwindigkeit stetig abnimmt. In vielen anderen Branchen wurde inzwischen aus diesen Gründen der Weg zu komponentenbasierten serviceorientierten Architekturen und Webanwendungen vollzogen. „Mit Verbreitung moderner und leistungsfähiger Browser sowie schneller Internetverbindun- gen lohnt sich der Einsatz einer Client-zentrierten Webanwendung. Durch ihre performante und komfortable Interaktion mit den Anwendern lösen sie immer häufiger auch leistungsfähige lokal installierte Anwendungen ab, die aufwändig installiert und nur mittels Updates aktuell gehalten werden können. Durch ihre geringen technischen Voraussetzungen sind Client- zentrierte Webanwendungen ferner häufig das Mittel der Wahl, um plattformunabhängige Cloud-Anwendungen zur Verfügung zu stellen. Zudem reduziert die Verlagerung der Prozess- logik, weg vom Server hin zum Client, die Anforderungen an einen Server. Dies ermöglicht es, - 15 -