Die Arztpraxis in der Wolke

Cloud-Services sprießen derzeit wie Pilze aus dem Boden. Egal ob es um Software-Dienste, Mail-System oder das Speichern von Daten geht - alles lässt sich per Cloud und mit wenig eigener Technik nutzen.

Und auch die Vernetzung mit anderen Nutzern ist plötzlich kein Problem mehr - dazu braucht es nur die richtigen Zugangsdaten und einen Internetanschluss. Doch eignen sich die Clouds auch für Arztpraxen und ihre sensiblen Patientendaten?

Das komme ganz darauf an, welche Daten die Praxis in die Cloud stellen wolle, sagt Maximilian Beckenbach, Senior Consultant Security bei der curaIT GmbH, die sich auf die Betreuung von IT-Systemen spezialisiert hat.

Ihr E-Mail-System könnten Ärzte problemlos in die Cloud stellen - solange darüber keine sensiblen Patientendaten ausgetauscht werden. Und auch ein gemeinsam geführter Terminkalender oder die Netzwerküberwachung samt Virenschutz könne über die Cloud geregelt werden.

Letzteres bietet sogar den Vorteil, dass die Praxis sich nicht ständig selbst um die Aktualisierung des Virenschutzprogramms kümmern muss. "Kritisch wird es, wenn Praxen auch ihre Praxisverwaltungssoftware in die Cloud werfen", so Beckenbach.

Die Frage ist: Wo parken die Anbieter ihre Server?

Das liegt auch ein bisschen an der Funktionsweise der Daten-Wolken. Denn die Cloud bzw. deren Anbieter macht nichts anderes, als der Praxis IT-Ressourcen via Netzwerk zur Verfügung zu stellen.

Programme, Rechenleistung, aber auch ganze Betriebssysteme ebenso wie Speicherplatz werden über solche Online-Netzwerke bereitgestellt. Dabei liegen die Daten auf Zentralservern, auf die per Web zugegriffen wird.

Der Rechner in der Praxis oder zu Hause wird im Prinzip nur für zwei Dinge benötigt: als Anbindung ans Internet und als Workstation, damit man mit den Programmen aus der Cloud auch arbeiten kann.

Das Problem dabei: Wo genau die Server stehen, auf denen die Daten abgelegt werden, weiß nur der Anbieter. Und auch nur er weiß, ob die Daten auf einem Server oder verteilt auf mehreren Servern, die vielleicht auch noch in unterschiedlichen Ländern stehen, gespeichert werden.

Ähnlich sieht es mit der Technik zur Datensicherung aus: "Die technische Organisation der Datenhaltung wird wie ein Staatsgeheimnis gehütet", schreiben Christian Metzger, Thorsten Reitz und Juan Villar in ihrem Ratgeber "Cloud Computing - Chancen und Risiken aus technischer und unternehmerischer Sicht" (Hanser Verlag, 2011).

Die Arzt haftet für die Daten

Deshalb, erklärt IT-Experte Beckenbach, lauten die nächsten Fragen, die Ärzte für sich beantworten müssten: Welchen Anbieter wähle ich? Und vertraue ich diesem Anbieter?

Denn der Arzt trage dafür Sorge, dass die Patientendaten nicht in Hände Dritter geraten. "Bei den großen Unternehmen wie Microsoft oder Cisco kann man sich sicher sein, dass sie auch alle nötigen Sicherheits- und DIN ISO-Zertifikate haben."

Wichtig sei aber auch, dass die Server für Europa auch tatsächlich nur in Europa stehen, so Beckenbach weiter. "Microsoft garantiert etwa, dass die Server für europäische Cloud-Dienste in Irland oder Amsterdam stehen."

Warum das so bedeutend ist: Weil in anderen Regionen andere Datenschutzregeln - mitunter laxere - und Zugriffsrechte für staatliche Kontrollen der Daten als in der EU gelten. Also gilt es, sich vor dem Vertragsschluss die Zertifikate der Anbieter genau anzusehen.

"Ärzte sollten dabei unbedingt auf DIN ISO-Zertifikate achten", sagt Beckenbach. Weil hier die Prüfer unabhängig und wesentlich strenger seien.

Alternative Privat-Cloud

Was ebenfalls möglich ist: Ärzte, etwa wenn sie in einem Ärztenetz zusammenarbeiten wollen, bauen sich eine eigene sogenannte Private Cloud auf. Dann steht der gemeinsame Datenserver entweder - in einem abgesicherten Raum - in einer der Praxen oder bei der Managementgesellschaft des Netzes.

Möglich ist auch die Auslagerung an einen Dienstleister, aber auch dann sollte es sich um eine Private Cloud handeln, für die ein Server in einem bestimmten - speziell gesicherten - Rechenzentrum bereitgestellt wird.

Die Patientendaten bleiben trotzdem in den einzelnen Praxen. Es kann durch die Cloud aber übergreifend auf Fallakten oder Terminkalender zugegriffen werden oder der gesicherte Austausch von Daten erfolgen.

IBM bietet etwa solche Private Cloud Modelle, mit denen auch Gesundheitsinformationen datenschutzkonform verarbeitet und gespeichert werden können, da die Infos weiterhin unter ärztlicher Hoheit und damit unter Beschlagnahmeschutz stehen, wie IBM erklärt.

"Solche Modelle sind aber in Deutschland sehr selten, da es für sektoral organisierte Leitungserbringer bisher wenig Anreize gibt, Patienteninformationen auszutauschen und eine sektorenübergreifende, integrierte Patientenversorgung effizienter zu koordineren", sagt Manuela Müller-Gerndt, bei IBM Deutschland für den Bereich Healthcare verantwortlich.

Das Thema Sicherheit hört nicht vor der Praxistür auf

Auch Microsoft erprobt derzeit ähnliche Plattform-Lösungen. Ein Beispiel ist etwa das Gesundheitsbuch von gnf Mediber, hinter dem die Microsoft Cloud-Lösung HealthVault liegt.

Hierüber können Senioren von zu Hause wichtige Vitalparameter erfassen und über ein Zugriffsrechte-System via Cloud dem Arzt zur Verfügung stellen.

Doch es sind nicht nur die Anbieter, die eine Cloud sicher oder unsicher machen. "Solange mein Ende der Leitung nicht sicher ist, ist auch die Cloud nicht sicher", sagt Beckenbach.

Das heißt, der Internetzugang und der Rechner in der Praxis sollten ebenfalls vor Zugriffen Dritter und vor Malware geschützt werden. Nicht nur mit aktuellen Virenschutzscannern. Dazu gehört laut Beckenbach in jedem Fall auch eine Firewall.

Wehr mehr über das Thema Risiken und Chancen von Clouds erfahren will, findet gute Tipps in dem Buch "Cloud Computing" von Christian Metzger, Thorsten Reitz und Juan Villar, Hanser Verlag, 2011, ISBN 978-3-446-42454-8