Die Nutzung von Cloud-Systemen, also die Verlagerung von IT-Infrastrukturen aus der eigenen Betriebsverantwortung auf Dienstleister, die IT-Leistungen über Netzwerke verfügbar machen, ist mittlerweile zum Mainstream geworden, mit ausgereiften Verfahren und umfangreicher technologischer Unterstützung. Nach Umfragen nutzen bereits über die Hälfte der deutschen Unternehmen Cloud-Services, um die Verfügbarkeit, Leistungsfähigkeit, Aktualität und Reaktionsgeschwindigkeit ihrer IT-Infrastruktur zu verbessern.
Nur im Gesundheitssystem gehen die Uhren anders – jede Arztpraxis hat ihre eigenen Server unter dem Schreibtisch stehen, Krankenhäuser haben ihre eigenen Serverräume und betreiben ihre Infrasturktur selbst, obwohl ihre Personaldecken und Kompetenzen dafür oft eigentlich gar nicht ausreichen. Als Gründe für die zögerliche Adaption von Cloud-Strategien werden meistens Sicherheits-, Datenschutz- und regulatorische Angelegenheiten genannt.
Auf der anderen Seite ist das Vertrauen in den Datenschutz im Gesundheitswesen vergleichsweise hoch. Die Hersteller von IT-Systemen für das Gesundheitswesen argumentieren daher vielfach, das bestehende Vertrauen in den Datenschutz beruhe auf dem Fehlen von Cloud-Systemen. Aber stimmt das wirklich?
der Menschen vertrauen dem Datenschutz im Gesundheitswesen, aber nur 5% dem Datenschutz der Sozialen Medien.
der Einrichtungen im Gesundheitswesen nutzen Cloud-Lösungen. Dagegen werden 2015 schon in mehr als die Hälfte der Unternehmen Cloud-Lösungen genutzt.
Am 08. Juni 2016 veranstaltete die Hochschule Ravensburg-Weingarten ihre 4. IT-Tagung der Wirtschaftsinformatik. In fünf Vorträgen gaben Unternehmen spannende Einblicke in Themen wie die Digitalisierung von Geschäftsprozessen, SAP-Projekte im Mittelstand und Cloud-Strategien im Gesundheitswesen. Nachfolgend finden Sie das Skript des Vortrags von RED medical, aus dem Sie unter Nennung der Quelle gerne zitieren dürfen.
This work is licensed under a Creative Commons Attribution 4.0 International License.
Gesundheitssystem Deutschland
Das Gesundheitswesen ist ein komplexes System – um es zu verstehen, muss man daher zunächst einen Blick auf seine Akteure werfen, die in einer ungewöhnlichen Leistungsbeziehung zueinander stehen, bei der die autoregulativen Marktmechanismen teilweise außer Kraft gesetzt sind. Obwohl sich die Akteure für sich jeweils rational im Sinn des „Homo oeconomicus“ verhalten, kommt es gerade deswegen zu einer Reihe von unerwünschten Entwicklungen, die die Kosten des Gesundheitssystems stetig nach oben treiben. Nachfolgend sollen nur die wichtigsten Gruppen mit ihrer Interessenlage betrachtet werden.
Der Patient – das Objekt
Patienten erhalten medizinische Behandlung, die ihnen selbst direkt zugute kommen. Sie haben daher ein hohes Interesse an der optimalen Behandlungsqualität, aber keine Markttransparenz. Mangels medizinischer Ausbildung können sie die Qualität ihrer Behandlung nicht einschätzen, sondern müssen sich auf den Rat ihrer Ärztinnen und Ärzte verlassen. Aufgrund des Umlagesystems insbesondere der gesetzlichen der Krankenversicherung tragen die Patienten insbesondere bei teuren Behandlungen nicht die vollen Behandlungskosten und haben keine Kostentransparenz. Die Patienten sind daher bestrebt, ihren persönlichen Nutzen zu maximieren, was zu den nachfolgenden Effekten führt.
„Moral-Hazard-Effekt“ – je besser die Versicherung ist, desto riskanteres Verhalten. Da die Folgekosten gesundheitsschädlichen Verhaltens (z.B. Ernährung, Genußmittel) nicht persönlich getragen werden müssen, besteht weniger Anreiz zu gesundheitsbewußtem, mit Verzicht auf persönliche Lebensqualität verbundenem Verhalten.
„Free-Rider-Mentalität“ – Bereitschaft zum Ausnutzen der Leistungen ohne Eigenbeteiligung bei der Kostenträgerschaft. Teure Behandlungen und Arzneimittel werden gefordert, obwohl äquivalente günstigere Behandlungen zur Verfügung stehen. Patienten sind nur eingeschränkt bereit, Eigenleistung zu tragen.
„Rationalitätenfalle“ – obwohl die Gesellschaft als ganzes nur eine begrenzte Menge teurer Behandlungen finanzieren kann, fordert das einzelne Gesellschaftsmitglied möglichst viele davon für sich selbst ein – „tragedy of the commons“
Durch falsche Lebensweisen bedingte Zivilisationskrankheiten nehmen rasant zu (z.B. durch falsche Ernährung bedingtes Übergewicht, was zu Herzerkrankungen oder Diabetes mellitus führt) und erhöhen bei konstanten bzw. abnehmenden Ressourcen die Nachfrage nach medizinischen Leistungen.
Die Ärzteschaft – Anbieter und Nachfrager
Ärztinnen und Ärzte entscheiden über das Angebot an verfügbaren Gesundheitsleistungen, etwa wenn sie sich dazu entscheiden, sich in einer Praxis niederzulassen oder in der Praxis bestimmte Leistungen anzubieten. Gleichzeitig definieren sie die Nachfrage nach ebendiesen Leistungen, denn sie entscheiden für die Patienten, welche Leistungen diese zur Behandlung ihrer Erkrankungen benötigen. Angebot und Nachfrage kann dabei in einer Person vereinigt sein, wenn etwa der Hausarzt oder die Hausärztin entscheidet, dass zur Diagnostik eines Krankheitsbildes eine weitere Untersuchung vorgenommen werden muss und diese auch gleich selbst erbringt.
Durch das Streben nach Gewinnmaximierung kann es zu einer angebotsinduzierten Nachfrage kommen, bei der Gesundheitsleistungen nur erbracht werden, weil sich beispielsweise teure Investitionen in Medizintechnik amortisieren müssen. Im Fall der Krankenhäuser sind diese a priori ineffizient, da ihre Kapazität auf eine bestimmte Zahl potentieller Notfälle in Ausnahmesituationen ausgelegt sein muss, die im laufenden Betrieb nicht erreicht wird. Gleichzeitig können diese Häuser nicht geschlossen werden, ohne die medizinische Grundversorgung zu gefährden.
Deutschland steht vor einem akuten Ärztemangel, der sich in den kommenden Jahren noch signifikant verschärfen wird. Die Mehrheit der heute praktizierenden Ärzte wird in den nächsten 10 Jahren ohne Nachfolger in den Ruhestand gehen, und schon heute stehen Kommunen in strukturschwachen Gebieten vor echten Versorgungsproblemen. Die entscheidende Resource des ärztlichen Personals verringert sich dramatisch, bei gleichzeitig wachsendem Bedarf.
Versorgungsgrad mit Hausärzten. In den hellen Gebieten sind schon heute zu wenig Hausärzte vorhanden. Quelle: Kassenärztliche Bundesvereinigung
Behandlungsprozesse sind so individuell wie die Erkrankungen eines Patienten und nicht tolerant gegenüber Fehlern. Um die eigene Behandlung auch gegen Rechtsansprüche maximal abzusichern, ist es für den einzelnen Arzt im Zweifel rational, zusätzliche teure Diagnostik zu betreiben, auch wenn ihr Grenznutzen in keiner Relation zu ihren Kosten steht.
Durch die Spezialisierung in der Medizin werden Diagnose und Behandlung von Patienten an verschiedenen Orten von verschiedenen Leistungserbringern durchgeführt und dokumentiert, was nicht zuletzt auch durch das Recht auf freie Arztwahl ermöglicht wird. Daher besteht bei den Leistungserbringern oft Intransparenz über das gesamte Krankheitsbild eines Patienten, was unter anderem zu teuren Doppeluntersuchungen und sogar zu Gefährdung der Patientengesundheit führt, wenn Behandlungsentscheidungen auf Basis unvollständiger Informationen getroffen werden.
Die Arzt-Patienten-Beziehung steht zu Recht unter besonderem gesetzlichen Schutz, kann daher aber auch nicht direkt kontrolliert werden. Ob eine behandlungsbedürftige Erkrankung vorliegt, beurteilt und entscheidet der Arzt alleine. Diese Ausnahmestellung kann leicht zum eigenen Vorteil ausgenutzt werden.
Die Kostenträger – Zahler ohne Einfluss
Die Hersteller von pharmazeutischen Produkten und Medizintechnik unterliegen strengen Auflagen und Sicherheitsanforderungen für ihre Produkte. Neue Arzneimittel müssen in jahrelangen, teuren Studien erprobt werden, bevor sie für den Markt zugelassen werden. Für zugelassene Arzneimittel kann der Hersteller den Listenpreis aber nur dann selbst festlegen, wenn das neue Arzneimittel im Vergleich zu den bestehenden Präparaten einen signifikanten Zusatznutzen aufweist, ansonsten wird ihm ein Festpreis vorgegeben. Ähnlich sieht es für die Hersteller von Medizintechnik aus, die ihre Produkte aufwändig durch Zertifizierungsverfahren bringen müssen.
Da die privatwirtschaftlichen Industrieunternehmen gewinnmaximierend arbeiten müssen, verzichten Pharmaunternehmen zunehmend darauf, neue Produkte in Deutschland zuzulassen und verstärken, um ihre Ziele zu erreichen, eher das Marketing rezeptfreier Produkte als die Forschung.
Technischer Fortschritt findet aufgrund der langen Zulassungsverfahren nur mit großer Verzögerung Eingang in neue Medizinprodukte.
Die Politik – Reparatur im laufenden Betrieb
Gesundheitsversorgung ist Grundsicherungsaufgabe (z.B. Krankenhausinfrastruktur). Motivation der Politiker (nach der Neuen Politischen Ökonomie) ist die Sicherung der Wiederwahl, aber angesichts der demographischen Entwicklung steht „zunehmend die Frage des medizinisch Notwendigen vor dem Hintergrund des finanziell Machbaren“ – aus Sicht der Politik eine äußerst unpopuläre Situation.
Die Politik tendiert daher generell zur Erhaltung des status quo, Reformen des Gesundheitssystems sind daher oft kosmetisch oder von politischen Grundvorstellungen motiviert.
Das Gesundheitssystem ist einer der größten Wirtschaftssektoren des Landes. Änderungen in seiner Finanzierung haben wirtschaftspolitische Bedeutung. Das Gesundheitssystem kann aber auch dazu verwendet werden, „Wahlgeschenke“ zu machen. So wurde die regulatorisch durchaus erfolgreichePraxisgebühr nach der Wahl 2012 abgeschafft.
Umfragen zeigen, dass die Mehrheit der Deutschen mit ihrem Gesundheitssystem überwiegend zufrieden ist. Allerdings möchte sich niemand genauer damit beschäftigen – weniger als die Hälfte der Befragten kennen die entsprechenden Gesetze.
Der Gesetzgeber strebt – aus der Sicht des Individuums zu Recht – eine Null-Fehler-Toleranz der Behandlungen an. Dazu werden strenge Regularien erlassen, beispielsweise strenge Zulassungsverfahren für Medizintechnik oder Pharmaprodukte, aber auch Datenschutzrichtlinien. Aus gesamtgesellschaftlicher Sicht hemmt diese Regelungsdichte aber den technischen und wissenschaftlichen Fortschritt.
Interessenkonflikte
Die Interessenkonflikte der Akteure sind systembedingt und scheinbar unüberwindlich. Die sich daraus ergebenden Konflikte bestimmen letztlich auch die Technologielandschaft des Gesundheitswesens.
Da die Mittel zur Finanzierung des Gesundheitswesens nicht ausreichen, die Ansprüche aller Patienten auf individuelle Wohlfahrt zu befriedigen, müssen Politik und Kostenträger die verfügbaren Ressourcen allokieren.
Gesundheitspolitik muss zwischen dem Interesse der Versicherten an einer kostengünstigen Krankenversicherung und den Interessen der Leistungsanbieter an einem angemessenen Einkommen ausgleichen. Reformen im Gesundheitswesen sind daher immer auch Verteilungskämpfe.
Da kein Marktmechanismus zur Ressourcenallokation zur Verfügung steht, muss der Staat Gerechtigkeit bei der Verteilung gewährleisten. Dazu wird ein Bündel von Maßnahmen verwendet, unter anderem Begrenzungen des Angebots an medizinischen Leistungen (z.B. Budgetierung von Arzneimitteln, Mengenzuweisungen, Pauschalisierung von Leistungen), Preisobergrenzen (z.B. Rabattverträge bei Arzneimitteln) oder Sanktionen (z.B. Regresse und Retaxationen bei Arzneimittelverschreibungen).
Die hohe Komplexität des Gesundheitssystems führt aber dazu, dass Änderungen oft zu nicht beabsichtigten Auswirkungen führen, bei denen Teile der Akteure schlechter gestellt werden oder sich ungerecht behandelt fühlen. Die notwendigen Korrekturen am System erhöhen dann seine Komplexität. Durch die Einführung der Praxisgebühr, einer regulatorischen Maßnahme zur Verringerung der Inanspruchnahme bei Bagatellfällen, bei der die Patienten sich mit einer geringen Zahlung an ihrer Behandlung beteiligen mussten, wurden insbesondere die Menschen mit geringem Einkommen schlechter gestellt, da sie für eine Praxisgebühr mit fixer Höhe einen größeren Teil ihres Einkommens aufwenden mussten. Um diese Menschen nicht schlechter zu stellen, wurde eine Zuzahlungsbegrenzung eingeführt, die aber einen Nachweis der Zuzahlungen erforderte und damit einen hohen bürokratischen Aufwand auf Seiten der Arztpraxen, Patienten und Kostenträger erzeugte.
Die Telematikinfrastruktur im Gesundheitswesen soll die IT-Systeme aus Arztpraxen, Apotheken, Krankenhäusern und Krankenkassen miteinander verbinden und so einen systemübergreifenden Austausch von Informationen ermöglichen. Sie wird seit 2005 geplant.
Was ist die Telematik-Infrastruktur?
Telematik-Konnektor als Trojaner?
Die Furcht vor dem Zugriff von Politik und Kostenträgern auf die Behandlungsdaten führt dazu, dass viele Ärzte sich bereits weigern, ihre Praxissysteme an das Internet anzubinden. Bis heute werden beispielsweise Abrechnungsdaten über Datenträger ausgetauscht. Einheitliche Schnittstellen für den Datenaustausch bestimmter Behandlungsforme erlangten als „Kassentrojaner“ traurige Berühmtheit, und auch die Einführung der geplanten bundeseinheitlichen Telematikinfrastruktur tritt auf der Stelle.
Als Folge der Flut gesetzlicher Regelungen und Einschränkungen fühlt sich die Ärzteschaft in ihrem Behandlungsauftrag und ihrem Gewinnstreben eingeschränkt. Es besteht ein tiefes Mißtrauen gegenüber Politik und Kostenträgern und nur geringe Bereitschaft zur Kooperation. Eine Auswirkung ist die fehlende Bereitschaft seitens der Ärzteschaft, den Kostenträgern Behandlungsdaten verfügbar zu machen. Ansätze dazu werden von vielen Ärzten boykottiert oder sogar hintertrieben, da befürchtet wird, dass ihre Daten dazu verwendet werden könnten, vermeintliches Fehlverhalten zu entdecken und Sanktionen oder zukünftige Änderungen der Ressourcenallokation zu begründen.
Die vorherrschenden „Insellösungen“ ohne Schnittstellen führen dazu, dass niemand die Möglichkeit hat, Daten im großen Umfang auszuwerten. Deswegen gibt es auch keinen Anreiz, Datenformate und -inhalte zu standardisieren. Informationen über die Behandlung von Patienten werden zwischen den verschiedenen Leistungserbringern (z.B. Hausärzte, Fachärzte und Krankenhäuser) heute immer noch papierbasiert, ineffizient und fehleranfällig als Arztbrief ausgetauscht. Laborwerte werden von den untersuchenden Laboren vielfach per Fax an die auftraggebenden Ärzte übermittelt.
Die „Insellösungen“ führen außerdem gesamtwirtschaftlich zu Fehlallokationen, da durch den lokalen Betrieb die IT-Kosten der Leistungserbringer für ihre eigene Infrastruktur, Betrieb, Risikovorsorge etc. in die Höhe getrieben werden.
Aber auch zwischen Politik und Kostenträger gibt es Differenzen. Die Kostenträger sind in der Gestaltung ihrer Ausgabenpolitik von der Gesetzgebung abhängig und müssen letztlich die Mittel bereitstellen, politische Beschlüsse umzusetzen. Dies zeigt sich beispielsweise immer dann, wenn die Kostenträger aufgrund guter Konjunkturlage Rücklagen gebildet haben und die Politik umgehend Beitragssenkungen fordert.
Ein weiteres Beispiel ist die Telematikinfrastruktur, bei der der Gesetzgeber aktuell technische Sicherheitsstandards fordert, die dazu führen werden, dass die erst vor einigen Jahren eingeführten elektronischen Gesundheitskarten und die für ihre Nutzung notwendige und von den Kostenträgern finanzierte Infrastruktur ausgetauscht werden muss.
Die gematik schätzte die Gesamtkosten des Projekts Telematikinfrastruktur auf 14 Milliarden Euro. Bis 2009 seien bereits 1,4 Mrd. Euro ausgegeben worden. Bis 2018 muss die zweite Generation der eGK ausgegeben werden, die gesetzlichen Kassen rechnen dann mit erneuten Kosten von über 1 Milliarde Euro.
Die Patienten erfahren längst eine schleichende Rationierung von Gesundheitsleistungen, weil Ihnen bestimmte medizinische oder pharmakologische Behandlungen nicht mehr vorgeschlagen werden. Politik und Kostenträger scheuen sich vor einer breiten gesellschaftlichen Diskussion über die Grenzen von medizinisch-finanzieller Machbarkeit und den sich daraus ergebenden ethischen Fragen, während der Fortschritt der medizinischen Forschung ständig neue Therapiemöglichkeiten zur Verfügung stellt.
Viele Patienten verstehen ihre medizinische Behandlung nicht mehr und fühlen sich gegenüber ihren behandelnden Ärzten gegenüber machtlos, insbesondere bei komplexen Erkrankungen, an denen viele verschiedene Fachrichtungen beteiligt sind. Es kommt zu abnehmender Mitwirkung der Patienten an ihrer Behandlung (Patientencompliance), etwa wenn Patienten sich durch die häufige Umstellung ihre Medikation oder ständig wechselnder Präparate aufgrund von Rabattverträgen mit der regelmäßigen Einnahme ihrer Arzneimittel überfordert fühlen.
„Implizite Rationierungen“ erfolgen in Deutschland zum Beispiel in Form von Budgetierungen und Diagnosis Related Groups (DRGs). Budgetierungen sind aus ethischer Sicht grundsätzlich sehr kritisch zu sehen: So ahnt der gesetzlich versicherte Hausarztpatient unter Umständen nicht, dass er eine bestimmte Leistung aufgrund einer Budgetierung nicht erhält.
Gesundheitswesen im Umbruch
Dabei steht der Gesundheitssektor vor großen, durch die Megatrends ausgelösten Umbrüchen. Die demographische Entwicklung in den Industrieländern, die rasante Zunahme von Zivilisationskrankheiten, die Zunahme von Bildung und der verbesserte Zugriff auf Wissen durch das Internet sowie die Fortschritte in Wissenschaft und Technologie werden das Gesundheitswesen nachhaltig beeinflussen.
Gesundheitskonsumenten
„Der Patient besitzt zunehmend mehr Wissen und Verständnis hinsichtlich seines genetischen Profils, der Krankheiten, die er bekommen kann oder bereits hat, und über die Gesundheitsversorgung im Allgemeinen, und seine Erwartungen werden höher. Patienten sind bereit, Zeit, Energie und Geld zu investieren, um gesund zu bleiben. Im Krankheitsfall nutzen Patienten gezielt Informationen und Daten über sich selbst und verschiedene Gesundheitsversorger, fragen gezielt spezifische Behandlungsmethoden nach und sind zum Teil bereit, dafür auch zu zahlen.“
Bei Dave deBronkart, weltweit besser bekannt als e-Patient Dave, wurde 2007 Nierenkrebs im Endstadium diagnostiziert, mit einer Perspektive von einem halben Jahr. Er gab sich damit nicht zufrieden, sondern begann, im Internet über seine Erkrankung zu recherchieren und setzte durch, dass er von seinen behandelnden Ärzte alle Befunddaten erhielt.
Es gelang ihm durch seine Recherchen und mit Hilfe seiner Daten, ein innovatives Behandlungsprogramm zu finden, das nicht mal seinen Ärzten bekannt war und damit seinen Krebs zu besiegen. Heute ist er einer der führenden Köpfe der weltweiten „E-Patient-Bewegung“.
Mit den heutigen Systemen besteht keine Chance, Patienten ihre Daten verfügbar zu machen. Gesundheitsdaten sind in vielen „Insellösungen“ gefangen, die nicht in der Lage sind, die Daten miteinander auszutauschen oder diese in einer zentralen Patientenakte verfügbar zu machen.
Die Ära der Digitalisierung
„Medizinische Versorgung ist nicht mehr beschränkt auf Ärzte in Praxen und Krankenhäusern, sondern findet vornehmlich zu Hause statt. Nichtärztliches Personal übernimmt die Grundversorgung („Gemeindeschwester“) und erbringt bislang Ärzten vorbehaltende Leistungen. Dank der Allgegenwärtigkeit digitaler Kommunikationsmöglichkeiten findet der Arzt-Patienten-Kontakt oft in virtueller Form statt.
Mit dem Modell der VERAH®(Versorgungsassistentin in der Hausarztpraxis) werden schon heute Hausärztinnen und Hausärzte vom eigenen Praxisteam inner- und außerhalb der Praxis auch bei hochqualifizierten Tätigkeiten unterstützt und entlastet.
Die Vergütung der medizinischen Leistungserbringung richtet sich zunehmend nach dem Behandlungserfolg. Accountable-Care-Organisationen (eigenständige Versorgungsorganisationen mit einem Fokus auf Effizienz und Kollaboration) übernehmen die Versorgung für definierte Patientengruppen, basierend auf den echten Behandlungsdaten.
Messung von Lebensqualität
„Wearables erfassen und zeichnen auf, wie Menschen mit ihrem individuellen Gesundheitszustand leben und umgehen. Konsumenten und Versorger integrieren Gesundheitsdaten von verschiedenen Geräten nahtlos zu einem Ganzen, um ein umfassendes Bild des einzelnen Menschen zu erhalten.“ Patienten tragen zunehmend zur Dokumentation ihres Gesundheitszustandes bei, auch indem sie z.B. über Wearables echte strukturierte Messwerte erzeugen.
Die Bandbreite der verfügbaren Werte wird in den nächsten Jahren sprunghaft zunehmen und auch klinische Parameter (z.B. Laborwerte wie Blutzucker) umfassen. Anstelle monatlicher oder quartalsweiser Messungen stehen den behandelnden Ärzten dann Real-Time-Messwerte zur Verfügung. Mit den heutigen Systemen haben Patienten aber keine Möglichkeit, ihre Daten ihren behandelnden Ärzten verfügbar zu machen.
Wofür Wearables heute genutzt werden
Neue Geschäftsmodelle
„Alle Beteiligten, Ärzte und auch Patienten selbst, nutzen Gesundheitsdaten, um Behandlungsergebnisse und das Gesundheitssystem selbst zu optimieren. Pharma-Unternehmen arbeiten nun umfassend mit Patienten und Gesundheitsversorgungssystemen zusammen.
Sie nutzen Gesundheitsdaten, um bessere Behandlungsmethoden zu entwickeln, diese schneller auf den Markt zu bringen und das Preis-Leistungsverhältnis passend zur verbesserten Behandlungsqualität zu optimieren.“
Gesundheitsdaten sind der „Rohstoff der Zukunft“ und Enabler der prognostizierten Umwälzungen im Gesundheitssektor. Wie könnte ein System aussehen, das das von Deloitte imaginierte Szenario ermöglicht?
Dezentrale vs. zentrale Datenhaltung
Eine Möglichkeit, allen Akteuren des Gesundheitssystems Zugriff zu den Gesundheitsdaten zu gewähren, wäre ein zentrales IT-System mit einer einzigen Datenbank für alle Daten eines Patienten. Alle medizinischen Behandlungsdaten würden in diesem System abgelegt, und alle behandelnden Ärzte, Kostenträger und die Patienten selbst könnten darauf zugreifen.
Der Vorteil wäre eine für alle verfügbare vollständige Dokumentation der gesamten Krankengeschichte eines Patienten, was Effizienzen im Gesundheitssystem heben und Gefahren für den Patienten verringern würde.
Die Akzeptanz einer zentralen Datenhaltung ist fraglich, da insbesondere die datenerzeugenden Akteure (Ärzteschaft und Patienten) befürchten würden, dass insbesondere die Kostenträger dadurch Zugriff auf die gesamten Gesundheitsdaten gewinnen würden.
Einschränkungen des Datenzugriffs durch entsprechende Zugriffsrechte wären zwar möglich, würden aber eine von allen respektierte Autorität erfordern, welche die Zugriffsrechte definieren würde. Ebenso wären die Eigentums- und Nutzungsrechte an den Daten schwierig zu definieren bzw. einzuhalten.
Um das Vertrauen in die Datenhaltung eines zentralen Systems zu stärken, müsste gewährleistet sein, dass Daten, auf deren Basis eigene Therapieentscheidungen getroffen werden, nicht von deren Eigentümern nachträglich gelöscht werden können.
Das System müsste hochverfügbar sein, da Ausfälle schwerwiegende Konsequenzen für die Patientenbehandlung hätten.
Die Migration in ein solches System müsste in einem relativ kurzen Übergangszeitraum erfolgen, da die Akzeptanz eines zentralen Systems nur dann gewährleistet wäre, wenn es exklusiv genutzt würde.
Eine weitere Möglichkeit wäre, Gesundheitsdaten auf einem lokalen mobilen Datenträger zu speichern, der in der Hand des Patienten verbleibt. Der Patient könnte dann sein Recht auf informationelle Selbstbestimmung wahrnehmen und fallbezogen entscheiden, ob er Leistungserbringern Daten verfügbar machen möchte. Der Einsatz solcher Speichermedien wurde in Deutschland allerdings abgelehnt, da diese für IT-Laien viel zu kompliziert in der Handhabung seien und dem Bürger insbesondere die Aufgabe des Datenerhalts (etwa bei Verlust des Speichermediums) nicht zugemutet werden könne.
Die elektronische Gesundheitskarte eGK realisiert eine lokale Speicherung mit einigen Teildaten (Arzneimitteltherapie), allerdings ist der Speicherplatz auf der Karte nach der derzeitigen technischen Umsetzung auf 32 kB begrenzt, so dass nur bis zu 8 E-Rezepte und die Notfalldaten auf der eGK selbst speicherbar sind.
Dezentrale Vernetzung
Die realistischere Alternative ist ein dezentrales System mit verteilter Datenhaltung, in dem ein intensiver Datenaustausch zwischen den einzelnen Netzknoten erfolgt. Die Gesundheitsdaten jedes Patienten würden dabei teilredundant bei allen Leistungserbringern gespeichert. Dies mag auf den ersten Blick ineffizient erscheinen, sorgt aber zugleich für eine Kontinuität der jeweiligen Dokumentation und für klare Datenzugriffs- und Eigentumsrechte.
Der Austausch von Daten würde zwischen den Beteiligten über standardisierte Schnittstellen erfolgen. Dabei könnte der jeweilige Dateneigentümer genau bestimmen, welche Daten mit anderen Nutzern geteilt werden sollen. Ein Ausfall eines dezentralen Knotens würde nicht die Verfügbarkeit des komplette Systems tangieren. Eine Migration in dieses System könnte die vorhandenen Systeme einbeziehen und wäre dadurch effizienter, wesentlich einfacher in der Ablaufsteuerung und dadurch akzeptierter.
Obwohl sich diese Lösung auch durch Vernetzung der vorhandenen „Inseln“ realisieren lässt, bietet sich der Einsatz von Cloud-Lösungen hier geradezu an.
Da ihre Einbindung in das Internet „von Natur aus“ gegeben ist, ist die Vernetzung wesentlich einfacher. Da Cloud-Systeme relativ jung sind, ist auch ihr Technologiestack wesentlich moderner und für den Umgang mit großen Datenmengen und die Einbindung in eine vernetzte Umgebung ausgelegt.
Obwohl die Anforderungen an ihren Betrieb mit der intensiven Einbindung in eine vernetzte Umwelt steigen (es müssen zusätzliche Komponenten betrieben, gewartet und ersetzt werden), entlasten sie die Benutzer, da Verantwortung und Aufwendungen für den Betrieb an den Systembetreiber übertragen werden.
Durch gemeinsame Nutzung der technischen und personellen Ressourcen zwischen den verschiedenen Benutzern eines Cloud-Systems werden teure Überkapazitäten vermieden. Für das Individuum und die Gesellschaft als ganzes ist der Cloud-Betrieb daher deutlich effizienter.
Schutz persönlicher Daten
Die Erhebung und Verarbeitung von Daten in Arztpraxen und Krankenhäusern erfolgt in einem besonders sensiblen Bereich. Sollen Gesundheitsdaten in einem dezentralen vernetzten System zwischen den Akteuren geteilt werden und sollen Cloud-Systeme zum Einsatz kommen, bei denen der Systembetrieb durch Dienstleister gewährleistet wird, greifen nicht nur die Regelungen des Bundesdatenschutz-Gesetzes für den Umgang mit personenbezogenen Daten, sondern zusätzlich auch das Berufsgeheimnis nach § 203 Strafgesetzbuch.
Nach dem Bundesdatenschutzgesetz sind Daten personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Dazu genügt es bereits, wenn die Person nicht namentlich benannt wird, aber bestimmbar ist (beispielsweise Telefonnummer, E-Mail-Adresse, IP-Adresse, Personalnummer, auch Pseudonym oder Deckname). Grundsätzlich ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten verboten (§ 4 BDSG) und nur ausnahmsweise erlaubt, wenn eine klare Rechtsgrundlage gegeben ist oder die betroffene Person ausdrücklich (meist schriftlich) ihre Zustimmung zur Erhebung, Verarbeitung und Nutzung gegeben hat. Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich (§11 BDSG). Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.
Würde es nur die Bestimmungen des Bundesdatenschutzgesetzes geben, wäre der Einsatz von Cloud-Systemen im Gesundheitswesen relativ unproblematisch möglich. Die ärztliche Schweigepflicht, die sich aus dem § 203 StGB ergibt, geht jedoch über den Schutz des BDSG hinaus. Danach wird die Offenbarung fremder Geheimnisse, die in der Eigenschaft als Arzt anvertraut wurden, mit Freiheitsstrafe oder Geldstrafe bestraft. Als Geheimnis gelten im medizinischen Bereich sämtliche personenbezogenen Daten und Tatsachen, also nicht nur medizinische Befunde, sondern bereits die Tatsache, dass ein Behandlungsverhältnis besteht und alle übrigen Informationen, die dem Helfer während des Behandlungsverhältnisses bekannt wurden (z. B. Wohn- und Lebenssituation, Sucht, sexuelle Orientierung, Vermögenslage, körperliche Hygiene). Es gibt nur wenige Rechtfertigungsgründe im Bereich der ärztlicher Versorgung
- explizite Einwilligung des Patienten etwa durch Behandlungsvertrag oder Schweigepflichtentbindung. Muss vor der Behandlung erfolgen, schriftlich erklärt werden und kann vom Patienten widerrufen werden. Auch Mitteilungen unter Ärzten sind eigentlich nur mit Einwilligung des Patienten zulässig – die ärztliche Schweigepflicht gilt auch unter Berufskollegen.
- konkludente Einwilligung – wenn diese im Interesse des Betroffenen liegt, dieser aber nicht gefragt werden kann, etwa in einer Notfallsituation oder wenn bei Konsilen oder Überweisungen das Einverständnis des Patienten anzunehmen ist
- gesetzliche Auskunftspflicht, z.B. im InfektionsschutzG, SGB V (Abrechnung, Wirtschaftlichkeitsprüfung, Qualitätssicherung)
- rechtfertigender Notstand, wenn Leben oder die Gesundheit eines Menschen akut und unmittelbar gefährdet sind und eine Offenbarung weiteren Schaden verhindern kann
Datenschutz durch Verschlüsselung
Die Einhaltung der Schweigepflicht wird von den Gerichten strikt ausgelegt. So stellt der Landesdatenschutz Rheinland-Pfalz klar, dass Zugriffe von Dienstleistern auf Patientendaten ohne Offenbarungsbefugnis einen Verstoß gegen § 203 StGB darstellen. Das Landgericht Flensburg urteilt 2013 in gleicher Weise, dass die Beauftragung eines externen Dienstleisters mit der Betreuung und Wartung eines Praxisverwaltungssystems als Verstoß gegen die ärztliche Schweigepflicht zu bewerten ist, wenn die Möglichkeit des Zugriffs auf Patientendaten für den Dienstleister nicht ausgeschlossen ist.
Als Lösung nicht ausreichend sind rechtliche Konstruktionen wie die Verpflichtung des Auftragnehmers auf Schweigepflicht, die Annahme einer konkludenten Einwilligung des Patienten oder die Einstufung des externen Dienstleisters als zum Schweigen verpflichteter Praxisangehöriger. Die Verarbeitung persönlicher Gesundheitsdaten durch Dienstleister ist daher nur möglich, wenn eine Rechtsvorschrift dies erlaubt (z.B. einige Landeskrankenhausgesetze) oder die Patienten dem zugestimmt haben, was in der Praxis insbesondere für historische Patientendaten nicht nachgeholt werden kann.
Es gibt allerdings noch eine weitere Möglichkeit, den Schutz der persönlichen Daten zu wahren. Denn durch den Einsatz von Verschlüsselungstechniken verlieren Daten ihren Personenbezug, wenn der Dienstleister keine Möglichkeit hat, die Daten zu entschlüsseln. Diese Auffassung wird auch von deutschen Datenschutzaufsichtsbehörden vertreten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselte Daten für nicht mehr personenbezogen halten, da ein Dienstleister die Daten nicht mehr zur Kenntnis nehmen könne. In gleicher Weise müsse ein Verlust nach dem Stand der Technik verschlüsselter Daten nicht nach § 42a BDSG gemeldet werden. Durch die Anwendung kryptographischer Verfahren auf die personenbezogenen Daten wird es möglich, Patientendaten in einem Cloud-System zu speichern, ohne gegen die Vorschriften des Datenschutzes zu verstoßen.
Die Verschlüsselung der Gesundheitsdaten in einem Cloud-System löst eines der Hauptprobleme, die sich aus den Interessenkonflikten der Akteure ergeben. Ärzteschaft und der Patienten befürchten, dass durch die Einführung vernetzter Systeme im Gesundheitswesen die Kostenträger Zugriff auf die zentral gespeicherten Behandlungsdaten erhalten und die daraus gewonnenen Erkenntnisse dann für ihre eigenen Interessen verwenden. Werden die Behandlungsdaten verschlüsselt gespeichert, ist der Zugriff grundsätzlich nicht möglich. Ärzte und Patienten können dann explizit entscheiden, wer welche Daten im Klartext erhalten soll.
Verschlüsselt gespeicherte Daten sind generell nicht nur vor dem Zugriff der Dienstleister verborgen, sondern sind auch in Fällen von Datenverlust, Diebstahl oder Beschlagnahme geschützt.
Die Auflösung herkömmlicher Strukturen im Gesundheitswesen bedingt auch neue Anforderungen an die Mobilität des Datenzugriffs. Werden Patienten zunehmend nicht mehr in Einrichtungen, sondern zu Hause von nicht-ärztlichem Personal grundversorgt, entstehen Behandlungsdaten vor Ort am Bett des Patienten auf mobilen Terminals. Auch werden Patientendaten zunehmend außerhalb des geschützten Bereichs von Praxen und Krankenhäusern konsumiert. Hier sorgt die Datenverschlüsselung für den Schutz der Daten während des Transports über potentiell unsichere Verbindungen.
Elektronische Patientenakten
Der Zugang von Patienten zu ihren Gesundheitsdaten ist ein essentieller Bestandteil der zukünftigen Versorgungsmodelle – der Patient wird vom bloßen Objekt der Behandlung zu ihrem aktiven Mitgestalter. Dazu wird es notwendig werden, dem Patienten einen Zugriff auch auf seine elektronisch gespeicherten Gesundheitsdaten zu ermöglichen. In einem dezentral vernetzten System mit verteilter Datenhaltung wird es dazu notwendig sein, dem Patienten eine eigene Instanz zur Verfügung zu stellen, in der Daten von verschiedenen Leistungserbringern gesammelt und aggregiert werden können. Gleichzeitig könnten die Patienten ihre Gesundheitsdaten, die sie selbst etwa durch eigene Messgeräte erzeugt haben und die sie in ihrer eigenen Instanz speichern, den Leistungserbringern zur Verfügung stellen.
Vorstöße zur Einführung elektronischer Patientenakten gab es in der Vergangenheit immer wieder, erfolgreich durchgesetzt hat sich bisher kein Modell. Einer der prominentesten Beispiele war Google Health, das von Mitte 2008 bis Anfang 2012 verfügbar war, aber aufgrund von Akzeptanzproblemen und fehlenden Nutzerzahlen wieder eingestellt wurde. Schuld daran ist nicht zuletzt die sich aus der konfliktären Situation der Akteure im Gesundheitssystem ergebende, scheinbar unlösbare Frage der Finanzierung und inhaltlichen Betreuung.
- Die Kostenträger wären sicherlich bereit, elektronische Patientenakten für ihre Versicherten zu finanzieren, um deren Gesundheitsdaten für die Steuerung ihrer Ausgaben verwenden zu können. Sowohl Ärzteschaft als auch Patienten befürchten dadurch natürlich Einbußen in der Vergütung bzw. Übernahme der Behandlungskosten und sind nicht bereit, den Kostenträgern zusätzliche Daten zur Verfügung zu stellen.
- Die Patienten sollten eigentlich das größte Interesse daran haben, eine vollständige persönliche Sammlung ihrer Gesundheitsdaten zu besitzen, sind aber derzeit nicht bereit, die Kosten dafür selbst zu übernehmen, da sie den individuellen Nutzenvorteil nicht hoch genug bewertet. Dies mag sich ändern, wenn die Generation der Digital Natives beginnt, chronische Erkrankungen zu entwickeln.
- Einige nicht erfolgreiche Modelle sahen die Ärzteschaft als Finanzierer der Patientenakte. Diese Modelle verkennen aber, dass viele Ärzte keinen persönlichen Vorteil in der Bereitstellung von Daten in Patientenakten sehen und eher fürchten, Patienten mit ihren Gesundheitsdaten die Beweismittel für Rechtsstreitigkeiten in die Hand zu geben. Gleichzeitig ist es notwendig, dass Gesundheitsdaten von der Ärzteschaft für Patienten verständlich aufbereitet und ggf. kuratiert werden, da Rohdaten verschieden interpretiert werden können und das Wissen um negative klinische Befunde und Diagnosen Patienten auch schaden kann. Derzeit gibt es aber in den Leistungskatalogen keine Vergütungsmöglichkeit dafür.
- Die Industrie wäre ebenfalls bereit, im Gegenzug für den Zugriff auf die gesammelten Daten Patientenakten zu finanzieren. Hier haben aber Patienten und Leistungserbringer Vorbehalte, da sie eine Kommerzialisierung ihrer persönlichen Daten befürchten.
- Einige erfolgreiche Projekte werden von NGO getragen und wenden sich insbesondere an Patienten mit seltenen Erkrankungen (z.B. „patientslikeme.com„), die auf diesen Portalen ihre persönlichen Gesundheitsdaten öffentlich machen, um andere Betroffene mit ähnlichen Symptomen zu finden und Forschungseinrichtungen Datenmaterial zur Verfügung zu stellen. Die Finanzierung erfolgt allerdings über die Kommerzialisierung der Daten.
- Der Staat könnte als neutraler Träger die Patientenakten zur Verfügung stellen. Ein solches Modell wurde beispielsweise mit der Elektronischen Gesundheitsakte ELGA in Österreich gewählt. Es könnte auch als Teil der geplanten Telematikinfrastruktur in Deutschland realisiert werden, die aber seit Jahren unter ständigen Verzögerungen und technischen Schwierigkeiten leidet. Eine andere Möglichkeit wäre eine Förderung privater Initiativen durch Definition von Standards einerseits und Schaffung von Anreizen andererseits.
Die elektronische Patientenakte müsste zwangsläufig als Cloud-System entworfen und betrieben werden, da die Patienten der Betrieb einer eigenen IT-Infrastruktur mit dem notwendigen Level an Sicherheit und Verfügbarkeit nicht zuzumuten wäre. Durch die Einbindung von in der Cloud verfügbaren Patientenakten in die verteilte dezentrale Struktur des Gesundheitssystems wäre sichergestellt, dass für alle Beteiligten Zugriff auf die Daten der Patientenakte bestünde. Die elektronische Patientenakte könnte damit zur zentralen Instanz werden, in der die Daten verschiedener Leistungserbringer zusammenfließen und über die Daten zwischen Leistungserbringern synchronisiert werden können.
Die Daten der Patientenakte müssten natürlich so verschlüsselt werden, dass nur der Patient Zugriff auf seine Daten hätte. Der Patient könnte dann seinen behandelnden Ärzten explizit Daten bereitstellen und Daten von diesen empfangen. So behielte er die volle Kontrolle über seine persönlichen Daten. Die Bereitstellung von Daten würde über ein gesondertes Austauschverfahren mit asymmetrischen Schlüsseln erfolgen.
Standardisierug von Daten
Eine Grundvoraussetzung des dargestellten dezentralen Systems ist der Austausch von Gesundheitsdaten in einem weitaus höheren Maß als heute. Aber unter dem Begriff der Gesundheitsdaten werden Daten ganz verschiedener Kategorien und Formate zusammengefasst – von Befunden und Kommentaren in Textform, den Ergebnissen bildgebender Verfahren über Messwerte aus Laboren und anderen diagnostischen Verfahren, Steuerungsdaten für Untersuchungen wie Termine oder Anforderungen, den verschiedenen Daten für die Abrechnung von Leistungen bis hin zu komplexen Datensätzen, die die Apparaturen für die Bestrahlung von Krebspatienten steuern. Nicht alle Daten dieses Pools sind für alle an der Behandlung eines Patienten Beteiligten gleichermaßen relevant – während beispielsweise für den Hausarzt die von Anderen erhobenen Laborwerte, Bilder oder Befunde seines Patienten hochinteressant sind, tragen die Daten der internen Ablaufsteuerung oder der Abrechnung eines Krankenhausaufenthaltes wenig zu seiner Behandlung bei. Nicht alle diese Daten können aber technisch bzw. inhaltlich einfach ausgetauscht werden.
- Technische Begrenzungen: Daten liegen in verschiedenen Datenformaten vor, und nicht alle Datenformate können von allen Beteiligten in ihren Systemen verarbeitet werden. So benötigt man beispielsweise für DICOM, das Standardformat für bildgebende Systeme, spezielle Viewer-Programme und hochauflösende Spezialbildschirme, um die Daten ansehen zu können. Andere diagnostische Verfahren, beispielsweise Langzeit-EKGs, erzeugen Datensätze, die nur mit eigenen Spezialprogrammen gelesen und ausgewertet werden können.
- Inhaltliche Begrenzungen: da die Medizin mittlerweile eine hochspezialisierte Wissenschaft ist, sind die Untersuchungsergebnisse vieler Fachdisziplinen ohne Interpretation und Erläuterung nicht verständlich. Eine einfache Übergabe unkommentierter Rohdaten alleine unterstützt die Behandlung in diesen Fällen nur unzureichend. Andererseits können die Rohdaten Basis für Patientenrecherchen oder das Einholen von Zweitmeinungen sein.
- Fehlende Standardisierung: Daten müssen eindeutig bestimmt und bezeichnet sein und in strukturierter und standardisierter Form vorliegen, um zwischen den Akteuren ausgetauscht und in deren jeweilige Datenbasis integriert werden zu können. Die Fähigkeit unabhängiger, heterogener Systeme, möglichst nahtlos zusammenzuarbeiten, um Informationen auf effiziente und verwertbare Art und Weise auszutauschen bzw. dem Benutzer zur Verfügung zu stellen, ohne dass dazu gesonderte Absprachen zwischen den Systemen notwendig sind, wird als Interoperabilität bezeichnet. Erstaunlicherweise ist die Interoperabilität der Systeme im Gesundheitswesen sehr gering, obwohl es internationale Festlegungen zur Standardisierung gibt (z.B. openEHR für klinische Parameter oder der LOINC-Katalog für Laborwerte). Diese werden aber mangels eigenem wirtschaftlichem Vorteil nicht von den Systemherstellern und Leistungserbringern unterstützt werden.
- Herkunft und Eigentum – Die Herkunft von Daten muss eindeutig bestimmt und stets ausweisbar sein. Nutzer, die aus fremden Quellen in eigene Datenbasis integrieren, müssen darauf vertrauen können, dass die Daten korrekt erhoben und nicht manipuliert wurden. Das Eigentum an Daten muss eindeutig definiert sein. Der Eigentümer persönlicher Daten muss in der Lage sein, über die Verwendung seiner Daten zu verfügen.
Unter Berücksichtigung der Kriterien Relevanz und Interoperabilität können grob vier verschiedene Gruppen von Daten unterschieden werden:
- Nicht relevant und nicht interoperabel – beispielsweise proprietäre Steuerungsdaten für Bestrahlung oder Operationen
- Nicht relevant, aber interoperabel – persönliche Kommentare der Behandler
- Relevant, aber nicht interoperabel – ein großer Teil der verfügbaren quantitativen Daten, z.B. nicht standardisierte Messwerte oder Befunde technischer Diagnoseverfahren.
- Relevant und interoperabel – qualitative Befunde in Textform (z.B. elektronischer Arztbrief).
Nicht-standardisierte quantitative Daten sind zwar gut austauschbar, haben allerdings einen Nachteil – obwohl sie im Vergleich zu subjektiven Diagnosen oder Befunden einen hohen Grad an objektiver Belastbarkeit haben, eignen sie sich nur bedingt als Ausgangsbasis zur Anwendung von klinischen Regeln. Mit Hilfe solcher Regeln könnten Gesundheitsdaten automatisch ausgewertet werden, um auf Basis der definierten Leitlinien verschiedener Erkrankungen Behandlungshinweise geben zu können oder große Patientenpopulationen nach signifikanten Auffälligkeiten zu durchsuchen.
- automatische Prüfungen könnte Ärzte auf Besonderheiten hinweisen, z.B. unerwünschte Wechselwirkungen oder Diskrepanzen zwischen aktuellen Befunden, Messwerten, Diagnosen und Arzneimitteltherapien. Insbesondere die pharmazeutische Industrie ist an der Entdeckung seltener Erkrankungen (sog. orphan diseases) interessiert, da die Entwicklung von Therapien für diese Erkrankungen teuer ist.
- Zeitreihenprüfungen von Messwerten können Trends oder Muster entdecken, z.B. Annäherung von Messwerten an Grenzwerte oder ungewöhnliche Schwankungen.
Um den angestrebten Datenaustausch in einem dezentralen vernetzten System zu gewährleisten, müssen Gesundheitsdaten in weitreichendem Maß standardisiert und strukturiert werden. Der Gesetzgeber hat das Problem der fehlenden Interoperabilität zwar erkannt und 2014 eine Planungsstudie in Auftrag gegeben, konkrete Ergebnisse soll es aber vor 2018 nicht geben. Um die Vernetzung in dem vom eHealth-Gesetz angestrebten Umfang voranzutreiben, ist hier dringender Handlungsbedarf gegeben.
RED Medical – die Cloud-Lösung für das Gesundheitswesen
Die zukünftige IT-Architektur des Gesundheitssystems hält seine Daten in dezentralen Knoten, die miteinander vernetzt sind und laufend standardisierte und strukturierte Daten miteinander austauschen. Die Anforderungen an ihre Verfügbarkeit, an den mobilen Zugriff auf die Daten sowie an ihre Sicherheit und ihren Schutz sind höher als in den heutigen Lösungen. Daher sollten alle patientenbezogenen Daten durch Verschlüsselung vor dem Zugriff Unbefugter geschützt werden, was zugleich auch den Datenzugriff der Akteure des Gesundheitssystems steuert. Cloud-Systeme sind hier die ideale Lösung – sie entlasten nicht nur die Betreiber von Wartung, laufendem Betrieb und Ausfallrisiko, sondern sind naturgemäß im Netz eingebunden und ständig verfügbar.
Durch die gemeinsame Nutzung technischer und personeller Ressourcen sind Cloud-Systeme zudem deutlich effizienter als der Betrieb einer eigenen Infrastruktur, obwohl sie deutlich professionellere Technologie einsetzen. Da keine lokale Datenhaltung mehr erfolgt, ist zudem kein Vor-Ort-Service mehr erforderlich, um beispielsweise Datenbankprobleme zu lösen. Eine aufwändige und aufgrund der Vorhaltekosten teure lokale Support-Infrastruktur entfällt ersatzlos. Auch im täglichen Betrieb entfallen aufwändige, fehleranfällige und personalintensive Wartungs- und Betriebsvorgänge wie das tägliche Durchführen der Datensicherung oder das Einspielen von System-Updates. Externe Katalogdaten, die für den Betrieb der Systeme erforderlich sind, werden zeitnah zentral zur Verfügung gestellt. Hierunter fallen beispielsweise die Arzneimitteldaten mit den aktuellen Preisen, die alle 14 Tage herausgegeben werden, in den herkömmlichen Systemen aber nur alle 3 Monate über ein DVD-Update aktualisiert werden.
RED medical zeigt, dass der Einsatz von Cloud-Systemen im Gesundheitswesen möglich ist. RED medical ist ein System für Arztpraxen, dass alle wesentlichen Geschäftsprozesse einer Arztpraxis unterstützt, angefangen von der Patientenverwaltung mit verschiedenen Formen der gesetzlichen und privaten Abrechnung, die medizinische Dokumentation in strukturierter Form, die Auftrags- und Befundkommunikation (z.B. für Laborwerte), die Erstellung von Arztbriefen und vieles mehr. Während herkömmliche Praxisverwaltungssysteme eine klassische Client-Server-Architektur aufweisen, mit einem in der Praxis betriebenen zentralen Datenbank- und Applikationsserver, wird RED medical als „Software-as-a-Service“ genutzt. Die Daten werden in sicheren Rechenzentren gespeichert, der Benutzer benötigt lediglich einen Webbrowser, um auf RED medical zuzugreifen.
Verschlüsselungsverfahren
RED medical verschlüsselt alle personenbezogenen Daten unter Verwendung des kryptographischen Verfahren AES-256 direkt auf dem Endgerät des Benutzers, unter Verwendung eines Schlüssels, den ausschließlich die Benutzer kennen. So verschlüsselt werden die Daten ins Rechenzentrum transportiert und dort in der Datenbank gespeichert. Im Gegensatz zu anderen Systemen, die eine Verschlüsselung der Datenbank verwenden, bei der der Schlüssel auf dem Datenbankserver gespeichert werden muss, was dem Administrator Zugriff auf die Daten gibt, haben die System- und Datenbankadministratoren von RED keine Möglichkeit, die gespeicherten Daten zu entschlüsseln.
Der RED-Server übernimmt im wesentlichen nur die Speicherung und Verwaltung der Daten, während die gesamte Geschäftsprozess-Logik und alle Prozesse, bei denen Klartext-Daten verarbeitet werden, von den Clients ausgeführt werden. Dies hat neben den Sicherheitsaspekten zusätzlich den Vorteil, dass die Server von rechenintensiven Operationen entlastet werden. Die Erfahrung zeigt, dass die Rechenleistung von handelsüblichen Standardrechnern für diese Operationen vollkommen ausreichend ist.
Die klassische Aufteilung der Datenverarbeitung im Client-Server-Modell, bei der die Speicherung der Daten sowie die Verarbeitung in rechenintensiven Prozessen von einem starken Server durchgeführt werden, während die leistungsschwächeren Clients nur die Erfassung und Anzeige der Daten übernehmen, funktioniert in RED medical daher nicht mehr.
Registrierung
Für die Verschlüsselung verwendet RED zwei verschiedene Schlüssel. Der Praxis-Schlüssel dient dabei zum Verschlüsseln der Daten einer Praxis, auf die ein oder mehrere Benutzer von unterschiedlichen Geräten aus zugreifen müssen. Der Benutzer-Schlüssel, der für jeden Benutzer unterschiedlich ist, dient im wesentlichen zur Authentifizierung sowie zum Verschlüsseln des Praxis-Schlüssels. Wird in RED medical eine neue Praxis erzeugt, muss der erste Benutzer zunächst einen Benutzernamen und ein Passwort angeben. Aus diesen Angaben wird auf dem Gerät des Benutzers durch ein kryptographisches Verfahren der Benutzerschlüssel erzeugt. Daneben wird ein zufälliger Praxis-Schlüssel erzeugt, mit dem fortan alle Daten verschlüsselt werden. Der Praxis-Schlüssel wird dann mit dem Benutzer-Schlüssel verschlüsselt und kann dann auf dem Server gespeichert werden.
Login
Meldet sich ein Benutzer im System an, wird sein Passwort unter Verwendung eines Hash-Verfahrens vom Server bestätigt. Bei erfolgreicher Verifizierung wird der verschlüsselte Praxis-Schlüssel vom Server geholt und auf dem Client unter Verwendung der Benutzerangaben entschlüsselt. Es wird nicht auf dem Client gespeichert und existiert dort nur, solange mit RED medical gearbeitet wird. Das bedeutet auch, dass ein neuer Benutzer nicht durch einen automatischen Prozess angelegt werden kann, sondern immer nur durch einen anderen Benutzer, der den Praxis-Schlüssel übergeben muss, was als Nebeneffekt die Sicherheit des Systems weiter erhöht. Die Sicherheit wird zusätzlich dadurch erhöht, dass alle Geräte für den Systemzugriff registriert werden müssen, um zu verhindern, dass sich ein berechtigter Benutzer z.B. von einem Gerät außerhalb der Praxis anmelden kann.
Datenaustausch
Für den Austausch von Daten zwischen verschiedenen Praxen wird ein weiteres asymmetrisches Verschlüsselungsverfahren angewendet. Bei einem asymmetrischen Verschlüsselungsverfahren wird ein Schlüsselpaar verwendet, das aus einem „öffentlichen Schlüssel“ und einem „privaten Schlüssel“ besteht. Der öffentliche Schlüssel wird beispielsweise über einen Schlüsselserver bereitgestellt und kann von jedermann zur Verschlüsselung von Daten verwendet werden, die an einen bestimmten Empfänger versandt werden sollen.
Entschlüsselt werden können diese mit dem öffentlichen Schlüssel verschlüsselten Daten aber nur von dem Empfänger, der den dazu passenden privaten Schlüssel besitzt. Jeder, der sich in einem solchen System am Austausch von Daten beteiligen möchte, benötigt also ein eigenes Schlüsselpaar. Möchte eine Praxis nun Daten an eine andere Praxis oder die elektronische Patientenakte versenden, muss sie die Daten zunächst vom Server holen und mit ihrem Praxis-Schlüssel entschlüsseln. Die nun im Klartext vorliegenden Daten werden dann mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und an diesen übertragen. Der Empfänger entschlüsselt diese „Transportverschlüsselung“ mit seinem privaten Schlüssel und verschlüsselt die Daten dann wieder mit seinem eigenen Praxis-Schlüssel, um sie auf dem Server zu speichern.
Suche
Obwohl alle personenidentifizierenden Daten auf dem Server nur verschlüsselt gespeichert werden, ist es dennoch möglich, nach bestimmten Daten zu suchen. Dazu wird der vom benutzer eingegebene Suchbegriff ebenfalls mit dem Praxis-Schlüssel verschlüsselt und mit den gespeicherten Daten verglichen. Der Server erhält eine verschlüsselte Suchanfrage, vergleicht diese mit seinen verschlüsselten Daten, findet eine Ergebnismenge und gibt diese an den Client zurück, wo die gefundenen Daten entschlüsselt werden.
Datenschutzzertifizierung
Das gesamte Verfahren wurde vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein unter Leitung von Thilo Weichert zertifiziert und mit dem Datenschutz-Gütesiegel versehen. Im Rahmen der Zertifizierungsverfahrens wird das Produkt bzw. die IT-Dienstleistung durch Sachverständige anhand der Produktdokumentation und durch Tests des Produkts selbst untersucht und bewertet. Als Sachverständige werden Experten auf dem Gebiet des Datenschutzrechts und der technischen Datensicherheit tätig, die beim ULD für diese Aufgabe akkreditiert wurden.
Die Entscheidung darüber, ob ein Produkt oder eine Dienstleistung zertifiziert wird, trifft das ULD anhand des von dem oder den Sachverständigen erstellten Gutachtens sowie der Produktdokumentation. Das Gütesiegel wird nur vergeben, wenn die vom ULD gestellten individuellen Anforderungen erfüllt wurden. Im Fall der Erstzertifizierung von RED medical waren dies über 50 Anforderungen, die letztlich zu einer wesentlichen Verschärfung des Sicherheitskonzeptes führten.
Fazit
Das Gesundheitswesen ist ein komplexes System mit einer ungewöhnlichen Konstellation seiner Akteure, bei der die normalen marktlichen Allokationsmechanismen nicht anwendbar sind und die grundlegenden Interessenkonflikte systemimmanent sind. Das gesamte System steht vor großen Veränderungen, bei denen sich die Rollen der Akteure verschieben, die verfügbaren Ressourcen verknappen und die vom System erzeugten Daten als Resource immer wichtiger werden. Bisher individuelle, ungeplant durchgeführte Behandlungsvorgänge müssen effizienter, strukturierter und standardisierter werden. Moderne Informationstechnologie kann zwar die grundlegenden Konflikte des Systems nicht auflösen, wird aber diese Transformation ermöglichen, wobei Cloud-Systeme hierbei eine entscheidende Rolle spielen werden.