IT-Abteilungen im Gesundheitswesen stehen vor der Herausforderung, komplexe IT-Infrastrukturen trotz begrenzter Budgets und Personalmangels effizient zu verwalten. Der steigende Kostendruck zwingt Krankenhäuser dazu, Prozesse zu optimieren, um wirtschaft-lich und zukunftsfähig zu bleiben. Automatisierung kann helfen, Abläufe zu verbessern und Ressourcen gezielter einzusetzen. Eine doppelte Hausaufgabe für die Krankenhaus-IT: Hier kommt Unified Endpoint Management (UEM) für hybride Arbeitsmodelle und die Zunahme von IoT-Geräten zum Tragen.
Digitale Souveränität ist mittlerweile eine konkrete Anforderung an moderne IT-Architekturen. Auch bei der Verwaltung von Endgeräten muss klar geregelt sein, wer auf Daten und Infrastrukturen zugreifen kann. Mit Cloud Act, Patriot Act und steigenden DSGVO-Anforderungen stellt sich die Frage: Wer hat tatsächlich Zugriff auf Endgeräte, Management-Daten und Prozesse und unter welchem Recht? Unified Endpoint Management (UEM) ist die Verwaltung aller internen Endgeräte über eine zentrale Plattform spielt eine zentrale Rolle. Als technisches Rückgrat für die Verwaltung von Clients, mobilen Geräten und Servern entscheidet die UEM-Architektur maßgeblich über Datenhoheit, Kontrollmöglichkeiten und rechtliche Risiken. Ein zentraler IT-Ansatz zur Verwaltung und Sicherung aller Mitarbeitergeräte (PCs, Laptops, Smartphones, Tablets, IoT) über eine einzige Plattform, kann die Effizienz steigern, die Sicherheit erhöhen und das Management von hybriden Arbeitsmodellen wie Homeoffice und "Bring Your Own Device" (BYOD) vereinfachen.
Die Krankenhaus-IT steht mit Unified Endpoint Management (UEM) an einem neuralgischen Punkt zwischen Effizienzgewinn und rechtlicher Risikozone unter Cloud Act und DSGVO. Während UEM zentrale Steuerung, Härtung und Überwachung aller Endpunkte ermöglicht, verschiebt es zugleich die Sicherheits- und Compliance-Architektur in Richtung weniger, hoch kritischer Plattformen. In der Praxis bedeutet dies: Die Designentscheidung zur UEM-Architektur bestimmt über Zugriffswege auf Gesundheitsdaten, über Protokollierung, Verschlüsselung und Identitätsmanagement. Das betrifft ebenfalls die Angriffsflächen für Cyberangriffe wie auch für staatliche Zugriffe nach ausländischem Recht.
Versorgung und das Vertrauen der Patienten sicherstellen
Der Cloud Act verschärft diese Lage, sobald US-Provider oder deren Tochtergesellschaften in die Betriebs- oder Supportkette eines UEM-Systems eingebunden sind. Hier kollidiert die extraterritoriale Zugriffsmöglichkeit der US-Behörden mit dem strengen Vertraulichkeitsschutz von Patientendaten und der DSGVO, ergänzt um sektorspezifische Normen wie § 393 SGB V, der Cloud-Nutzung im Gesundheitswesen erlaubt, aber an hohe technische und organisatorische Anforderungen knüpft.
Für Krankenhaus-IT resultiert daraus eine doppelte Hausaufgabe: erstens UEM strategisch als Sicherheits- und Compliance-Enabler zu gestalten (Zero Trust, durchgängige Verschlüsselung, Least Privilege, sauberes Rollenmodell), zweitens die Souveränität über Schlüssel, Logs und Administration vertraglich wie technisch so abzusichern, dass weder Cloud Act noch komplexe Subunternehmerketten zu einem unkontrollierbaren Risiko für die Integrität der Versorgung und das Vertrauen der Patientinnen und Patienten werden.
UEM-Lösung: Status im Krankenhauskontext
Mit dem § 393 SGB V Cloud-Einsatz im Gesundheitswesen soll anhand von verbindlichen Mindeststandards zur Cybersicherheit der sichere Einsatz von Cloud-Computing-Diensten durch Leistungserbringer im Gesundheitswesen und gesetzliche Kranken- und Pflegekassen ermöglicht werden.
Allerdings gibt es keine „per se DSGVO-konforme“ UEM-Lösung, sondern nur DSGVO-konforme Einsätze konkreter Produkte im jeweiligen Krankenhauskontext. Entscheidend sind daher Architektur, Betriebsmodell (on prem, Private Cloud, Public Cloud), Standort der Datenverarbeitung, Vertragssituation (AVV, TOM, Joint Control) sowie Nachweise wie ISO 27001, SOC2 und – bei Cloud-Einsatz – zwingend ein C5-Typ 2-Testat nach § 393 SGB V.
Für deutsche Krankenhäuser sind Kategorien relevant wie:
On premises UEM aus der EU (z.B. dedizierte Healthcare UEM Lösungen oder generische UEM Suiten, die im eigenen Rechenzentrum betrieben werden); hier liegt der Fokus auf technischer Härtung, Rollen- und Berechtigungskonzept, Logging und Integration in ISMS/B3S.
Private Cloud UEM mit Hosting in zertifizierten deutschen oder europäischen Rechenzentren, nachweislich DSGVO konform, mit C5 Typ 2 Bericht, klaren Regelungen zu Subprozessoren und ohne extraterritoriale Zugriffsrisiken außerhalb der EU, soweit möglich.
Public Cloud UEM (z.B. große US Hyperscaler) nur dann, wenn Datenflüsse und Rollen so gestaltet werden, dass möglichst keine Gesundheitsdaten oder identifizierenden Telemetriedaten in außereuropäische Rechtsräume gelangen, die Anforderungen aus DSGVO, PDSG, NIS2 und § 393 SGB V eingehalten werden und ergänzende Maßnahmen (Verschlüsselung mit eigenen Schlüsseln, Pseudonymisierung, strikte Zugriffskontrollen) greifen.
To Do Points für Verantwortliche
Daher sollten Krankenhäuser bei der Auswahl konkret prüfen: C5 Typ 2 Bericht (bei Cloud), Rechenzentrumsstandort (EU/Deutschland), Zertifizierungen, Auftragsverarbeitungsverträge, Datenkategorien, Logging-/Monitoring Funktionalitäten sowie Integrationsfähigkeit in bestehende ISO 27001 oder B3S Strukturen. Eine Positivliste „freigegebener“ UEM-Produkte existiert derzeit nicht, weshalb immer eine eigene datenschutzrechtliche und informationssicherheitsbezogene Bewertung (DSFA, IS Risikoanalyse) erforderlich bleibt.
Autor: Wolf-Dietrich Lorenz
Symbolbild: rdkcho / AdobeStock