1. Themen
  2. IT-Management
  3. Open Data in der Krankenhaus-IT – Transparenz, Offenheit, IT-Sicherheit

Open Data in der Krankenhaus-IT – Transparenz, Offenheit, IT-Sicherheit

Veröffentlicht 13.02.2026 10:20, Kai Wehrs

Analysen von Open Data in der Krankenhaus-IT zeigen, dass Transparenz und Offenheit zentrale Werte für die digitale Transformation im Gesundheitswesen sind. Jedoch bringen sie erhebliche Herausforderungen besonders mt Blick auf IT-Sicherheit und Datenschutz mit sich. Gesetzlich greifen für Open Data im Krankenhaus besonders strenge Datenschutzmaßnahmen, die vor allem durch die EU-Datenschutz-Grundverordnung (DSGVO) geregelt werden. 

Open Data bezeichnet frei zugängliche, maschinenlesbare Daten, die jedermann ohne Einschränkungen nutzen, weiterverarbeiten und verbreiten darf. Open Source hingegen bedeutet frei verfügbare Software mit offenem Quellcode, die verändert und weitergegeben werden kann, meist unter Lizenzregeln. Beide fördern Transparenz, sind aber unterschiedliche Konzepte: Open Data betrifft Daten, Open Source betrifft Software. Open Source umfasst Lizenzbedingungen wie Copyleft, Open Data setzt auf offene Nutzung und Wiederverwendung der Daten ohne Einschränkung.

Chancen und Risiken von Offenheit

Open Data ermöglicht eine bessere Zusammenarbeit, Förderung von Innovationen und Erhöhung der Transparenz in klinischen Abläufen. Durch die Offenlegung strukturierter Daten und interoperabler Schnittstellen können externe Partner und Forschungseinrichtungen neue Lösungen entwickeln und die Versorgungsqualität im Krankenhaus verbessern. Patienten und Öffentlichkeit erhalten vergleichbare Informationen z.B. via Klinik-Atlas, was die Wahl und das Vertrauen in Krankenhäuser stärkt. Doch mit wachsender Offenheit steigt auch das Risiko, dass sensible Patientendaten unzureichend geschützt oder missbräuchlich verwendet werden.

IT-Sicherheit – Fundament und Achillesferse

Die Vergabe von Zugriffsrechten und die Bereitstellung von Daten müssen nach dem „Stand der Technik“ erfolgen, gerade weil Krankenhäuser als Kritische Infrastruktur besonderen Gefahren wie Cyberangriffen und Ransomware ausgesetzt sind. Offene Datenplattformen können Angriffsflächen schaffen, weshalb ein konsequentes Sicherheitsmonitoring, Verschlüsselung, Zugriffskontrollen und regelmäßige Schulungen notwendig bleiben. Eine souveräne, von Hyperscalern unabhängige IT-Infrastruktur fördert nicht nur die Transparenz, sondern auch den Schutz vor Manipulationen und Vendor-Lock-in.

Datenschutz – höchste Ansprüche, komplexe Realisierung

Die gesetzlichen Anforderungen – etwa DSGVO und das Krankenhaustransparenzgesetz – verlangen, dass jede Verarbeitung personenbezogener Daten auf klarer Rechtsgrundlage und mit technisch-organisatorischen Sicherheitsmaßnahmen erfolgt. Die Einhaltung der Datenschutzstandards wird durch Open Data oft erschwert, weil Verantwortlichkeiten diffundieren und die Kontrolle über die Datenverarbeitung komplexer wird. Die Implementierung von klaren Zuständigkeitsregelungen, rechtlicher Transparenz sowie strikter Abschottung gegenüber unberechtigten Dritten ist unverzichtbar.

Praxisbeispiele für sichere Open‑Data‑ Implementierungen

Es gibt in der Praxis mehrere Beispiele für sichere Open-DataImplementierungen in der Krankenhaus-IT, in denen Datenschutz, Interoperabilität und IT-Sicherheit konsequent berücksichtigt werden.

Universitätsmedizin Magdeburg: Sichere KI-Plattform mit Open Source

Die Universitätsmedizin Magdeburg betreibt eine interne KIPlattform auf Basis offen lizenzierter Sprachmodelle. Diese werden innerhalb der geschützten Krankenhaus-IT-Infrastruktur entwickelt und genutzt. Ein strenges Qualitätsmanagement, Zugriffskontrollen und strikte Einhaltung regulatorischer Vorgaben sichern sensible Patientendaten. Das System wird bereits von über 300 Klinikmitarbeitenden genutzt und unterstützt sowohl medizinische Dokumentation als auch Entscheidungsunterstützung.

Europäischer Gesundheitsdatenraum (EHDS) und Forschungsdatenzentrum Gesundheit

Im Rahmen des European Health Data Space (EHDS) und des deutschen Forschungsdatenzentrums Gesundheit werden aggregierte, anonymisierte Gesundheitsdaten für Forschung und öffentliche Zwecke bereitgestellt. Der Zugang erfolgt ausschließlich über klar definierte, datenschutzkonforme Strukturen, mit ausgefeilten Zugriffskontrollen und unter Mitwirkung von Ethikkommissionen. Tools wie openEHR, Synthea oder das OMOP-Common-Data-Model sorgen zusätzlich für standardisierte, sichere Datenbereitstellung.

KI-FDZ-Projekt: Anonymisierung und sichere Verarbeitung

Das KI-FDZ-Projekt hat ein mehrschichtiges Datenschutzmodell entwickelt, das Anonymisierung, Synthetisierung und geschützte Verarbeitungsumgebungen kombiniert. Die Daten werden dabei so aufbereitet, dass sie für die Sekundärnutzung in Forschung oder Statistik verfügbar sind, ohne dass Einzelpersonen re-identifiziert werden können. Diese Methode wird eng an den Vorgaben des künftigen Europäischen Gesundheitsdatenraums ausgerichtet. Diese Beispiele zeigen: Mit durchdachten technischen Standards, organisatorischen Kontrollinstanzen und passenden Open-Source-Tools kann die Öffnung von Daten gelingen, ohne Datenschutz und IT-Sicherheit zu kompromittieren.

Datenschutzmaßnahmen für Open Data

Gesetzlich sind für Open Data im Krankenhaus besonders strenge Datenschutzmaßnahmen nötig, die vor allem durch die EU-Datenschutz-Grundverordnung (DSGVO) geregelt werden.

Kernanforderungen nach DSGVO und BDSG

Die Verarbeitung von Gesundheitsdaten ist grundsätzlich untersagt, außer es liegt eine ausdrückliche Einwilligung der betroffenen Person vor oder eine klare gesetzliche Erlaubnis (z. B. für Behandlungs-, Abrechnungs- und Forschungszwecke nach Art. 9 Abs. 2 DSGVO und SGB V). Es müssen immer technisch-organisatorische Schutzmaßnahmen (TOMs) umgesetzt werden: Dazu gehören Verschlüsselung, Zugriffskontrollen, Protokollierungen, Pseudonymisierung oder Anonymisierung, Datenschutz-Folgenabschätzungen und regelmäßige Risikoanalysen. Informationspflichten sind zu beachten: Betroffene müssen transparent über Zweck, Umfang und Rechtsgrundlage der Datenverarbeitung sowie ihre Rechte (z. B. Widerruf, Auskunft) informiert werden. Die Weitergabe und Verarbeitung von Daten durch Dritte (z. B. externe Dienstleister, Forschungspartner) erfordert Verträge zur Auftragsverarbeitung und die strikte Beachtung der ärztlichen Verschwiegenheitspflicht. Für Open Data gilt, dass nur anonymisierte oder ausreichend pseudonymisierte Daten veröffentlicht werden dürfen, um eine Rückführbarkeit auf Einzelpersonen auszuschließen. Ab 20 datenverarbeitenden Mitarbeitern muss ein Datenschutzbeauftragter benannt werden, der die Einhaltung kontrolliert und dokumentiert. Diese Maßnahmen dienen dazu, die besonders sensiblen Gesundheitsdaten vor Missbrauch, Manipulation und unerlaubtem Zugriff zu schützen und erfüllen die strengen rechtlichen Vorgaben im deutschen und europäischen Gesundheitsdatenschutz.

Empfehlungen für Vertragsklauseln mit Datenbereitstellern

Empfehlungen für Vertragsklauseln mit Datenbereitstellern sollten stets klar und verbindlich regeln, wie Gesundheitsdaten rechtskonform, sicher und transparent verarbeitet werden. Zunächst ist eine genaue Beschreibung des Umfangs, der Formate und des Zwecks der Datenbereitstellung aufzunehmen, verbunden mit der Verpflichtung, ausschließlich im Rahmen der vereinbarten Zwecke zu handeln. Unverzichtbar sind Klauseln zu technischen und organisatorischen Maßnahmen (TOM) wie Verschlüsselung, Zugriffsbeschränkungen, Dokumentation sowie regelmäßiger Überprüfung und Anpassung der Schutzmechanismen, um die Anforderungen der DSGVO und weiterer spezialgesetzlicher Vorgaben im Gesundheitsbereich zu gewährleisten. 

Auch sollten Informationspflichten für den Datenbereitsteller enthalten sein, etwa zu auftretenden Sicherheitsvorfällen, geplanten Zweckänderungen oder Unterauftragsverarbeitungen. Haftungs- und Schadensersatzregelungen müssen die Verantwortlichkeiten für Datenschutzverstöße und Datenverluste klar adressieren, idealerweise abgestuft nach Verursachung und Schwere. Ebenfalls bindend sind Regelungen zur Rückgabe, Löschung oder sicheren Vernichtung der übermittelten Daten nach Vertragsende sowie zu Auditrechten der auftraggebenden Stelle zur Kontrolle der Einhaltung aller Datenschutzpflichten. Schließlich ist die Benennung eines festen Ansprechpartners für Datenschutz im Vertrag zu empfehlen, ebenso wie die explizite Verpflichtung zu Geheimhaltung und Wahrung der Verschwiegenheitspflichten gemäß §203 StGB und Art. 28 DSGVO, unterstützt von den jeweils aktuellen Standardvertragsklauseln für Drittlandtransfers. Diese Empfehlungen gewährleisten ein hohes Schutzniveau, steigern die Rechtssicherheit beider Parteien und sind bei individuellen Verhandlungen entsprechend dem jeweiligen Digitalisierungskontext fachlich anzupassen. Transparenz und Offenheit in der Krankenhaus-IT sind wichtige Treiber für Innovation und Vertrauen, verlangen jedoch eine verantwortungsbewusste Ausgestaltung der technischen und organisatorischen Sicherheits- und Datenschutzmaßnahmen, um den Schutz der sensiblen Gesundheitsdaten nicht zu gefährden.

Quelle: Krankenhaus-IT Journal, Ausgabe 06/2025 - Stand Dezember 2025
Autor: Wolf-Dietrich Lorenz 
Bild: AdobeStock / Ipoba


Lesen Sie mehr zum Thema "IT-Management"

UEM - doppelte Hausaufgabe für die Krankenhaus-IT
IT-Management
UEM

UEM - doppelte Hausaufgabe für die Krankenhaus-IT

Krankenhausmanagement im Spannungsfeld der digitalen Grenzöffnung
IT-Management
IKT

Krankenhausmanagement im Spannungsfeld der digitalen Grenzöffnung

Cyberresilienz für systematisches Risikomanagements
IT-Management
Trust

Cyberresilienz für systematisches Risikomanagements

IT-Führung in der digitalen Transformation: Wie Krankenhäuser Veränderung wirksam gestalten
IT-Management
IT

IT-Führung in der digitalen Transformation: Wie Krankenhäuser Veränderung wirksam gestalten

Halluzinationen - Herausforderung bei KI-Systemen
IT-Management
RAG

Halluzinationen - Herausforderung bei KI-Systemen

Schwachstellen in der IT-Struktur gefährden Patientenwohl
IT-Management
ITSec

Schwachstellen in der IT-Struktur gefährden Patientenwohl

Lesen Sie hier die neuesten Beiträge

25 Millionen Euro für das Digitale Innovationszentrum am Universitätsklinikum Freiburg
Klinik-News
DIGIZ

25 Millionen Euro für das Digitale Innovationszentrum am Universitätsklinikum Freiburg

KI-Modellprojekt in der Neonatologie: Bayern stärkt Frühgeborenen-Versorgung
Klinik-News
KI

KI-Modellprojekt in der Neonatologie: Bayern stärkt Frühgeborenen-Versorgung

Forschungsprojekt HospiBot: Praxistest mit humanoidem Roboter HuGo am UKSH
Robotik
HuGo

Forschungsprojekt HospiBot: Praxistest mit humanoidem Roboter HuGo am UKSH

Diese Webseite verwendet Cookies.   Mehr Info.      oder