Der Data Act schafft für Kliniken allein keine umfassende Sicherheit, weil er zwar den standardisierten und fairen Zugriff auf Gerätedaten sowie Datentransparenz fördert, jedoch allein technische, organisatorische und vertragliche Umsetzungslücken offenlässt.

Die technischen Umsetzungsbarrieren beim Data Act, die Kliniken am meisten betreffen, liegen vor allem in diesen Bereichen: Erstens müssen sämtliche im Krankenhausbetrieb generierten Daten — von Messwerten über Logfiles bis hin zu Metadaten — technisch zugänglich, maschinenlesbar und strukturiert bereitgestellt werden. Dies erfordert eine umfassende Überprüfung und Anpassung der bestehenden IT-Systeme, die oft heterogen und fragmentiert sind. Viele Kliniken verfügen nicht über standardisierte Schnittstellen oder exportfähige Datenformate, die eine medienbruchfreie Datenbereitstellung erlauben. Zweitens erfordert der Data Act die Einführung von Interoperabilitätsstandards und sicheren Zugriffsmechanismen, deren Implementierung aufwendig ist und eine systematische Dokumentation und Nachvollziehbarkeit der Datenflüsse voraussetzt. Drittens stellt die Pflicht zur Cloud-Portabilität, das sogenannte Cloud Switching, viele Kliniken vor Herausforderungen bei bestehenden Verträgen, da Altverträge oft keine klaren Exit-Strategien oder Unterstützung für den Cloudwechsel enthalten. Die technische Umsetzung von maschinenlesbaren Schnittstellen, automatisierten Datenexportfunktionen und Monitoring-Tools zur Compliance-Überwachung ist ebenfalls anspruchsvoll und oft noch unzureichend vorhanden. Darüber hinaus fehlt häufig das Personal mit den spezifischen Kompetenzen für die Umsetzung dieser Anforderungen, was die technische Realisierung weiter verzögert. Insgesamt muss die Krankenhaus-IT ihre Datenstrategie, Systemarchitektur und Vertragswerke konsequent überdenken und umgestalten, um den Data Act technisch umzusetzen und gleichzeitig den Datenschutz und die Patientensicherheit zu gewährleisten.

Integrative Herangehensweise bei komplexen Anforderungen

Kliniken müssen zunächst eine umfassende Dateninventur durchführen und Schnittstellen prüfen, um regulatorisch steuerbar zu sein, was in vielen Häusern organisatorisch und technisch herausfordernd bleibt. Zudem sind viele Krankenhäuser noch mit heterogenen, oft fragmentierten IT-Systemen konfrontiert, die nicht vollständig interoperabel sind oder sichere, medienbruchfreie Datenzugriffe gewährleisten, was die Implementierung sicherer Datenökosysteme erschwert.

Zudem adressiert der Data Act zwar die Vermeidung von Vendor Lock-in bei Cloud-Anbietern durch verpflichtendes Cloud Switching, doch viele Krankenhäuser haben noch Altverträge ohne klare Exit-Klauseln, die eine schnelle und sichere Umstellung auf hybride oder souveräne Cloud-Modelle erschweren. Technisch fehlt oft noch die Umsetzung von maschinenlesbaren Schnittstellen und standardisierten Exportmechanismen mit lückenloser Dokumentation und Monitoring. Auch organisatorisch müssen Rollen und Prozesse für den Datenzugriff (etwa für Patient:innenanfragen oder Forschungszwecke) neu definiert und geschult werden, was Zeit und Ressourcen bindet.

Hybride und sichere Cloud-Modelle im Krankenhaus-IT-Bereich sind möglich, benötigen jedoch eine integrative Herangehensweise, die neben der reinen Datentechnik auch Prozessgestaltung, Vertragsmanagement sowie Compliance-Kontrolle einbezieht. Kliniken sollten auf modulare, auf offenen Standards basierende Architekturen setzen, die sowohl lokale Speicherung als auch Cloud-Nutzung integriert, um Ausfallsicherheit und Datenschutzanforderungen zu gewährleisten. Die Kombination aus Data Act-Konformität, paralleler NIS-2-Richtlinien-Umsetzung und individuellen Cloud-Strategien bildet den Schlüssel zur Realisierung sicherer hybrider Cloud-Modelle, die den komplexen Anforderungen im Klinikbetrieb gerecht werden. Eine ganzheitliche IT-Governance mit starken Compliance- und Sicherheitsframeworks ist damit entscheidend, um die Sicherheitslücken in der Umsetzung des Data Act zu schließen und das Klinik-IT-System resilient und innovativ zu gestalten.

Autor: Wolf-Dietrich Lorenz

Symbolbild: ipopba / AdobeStock