Souveräne Cloud-Angebote für hochregulierte Anwendungen im Gesundheitswesen

Cloud

Veröffentlicht 12.07.2024 08:20, Kim Wehrs

Souveräne Cloud-Angebote sind spezialisierte Cloud-Dienstleistungen. Sie zielen darauf ab, den strengen regulatorischen Anforderungen und Datenschutzbestimmungen hochsensibler Branchen wie dem Gesundheitswesen gerecht zu werden. Diese Angebote ermöglichen es Organisationen, Daten und Anwendungen in der Cloud zu hosten, ohne die Kontrolle und Sicherheit über diese kritischen Ressourcen zu verlieren. Souveräne Cloud-Angebote  - hierzu können allerdings nur 4 Prozent der Verantwortlichen in den Unternehmen bislang erklären, worum es dabei geht. 

„Digitale Souveränität“ im umfassenden Sinne bezeichnet „die Summe aller Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rollen in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.“ (DSK)

Dies ist wichtig, weil es  einige Angebote gibt, die sich als „Souveräne Clouds“ bezeichnen. Ein einheitliches Verständnis dieses Begriffs besteht bisher nicht. Weder „Digitale Souveränität“ noch „Souveräne Cloud“ sind Rechtsbegriffe. Sie werden in der DSGVO nicht genannt. Sie sprechen jedoch ein Problem an, mit dem datenschutzrechtliche Aufsichtsbehörden täglich konfrontiert sind:

Beispielsweise bereiten Clouds, die aus Ländern ohne gleichwertiges Datenschutzniveau oder von Unternehmen, die der Rechtsordnung solcher Länder unterworfen sind, angeboten werden, in der Umsetzung von Datenschutz besondere Schwierigkeiten. Verantwortliche, die solche Clouds nutzen, können vielfach datenschutzrechtlichen Pflichten nicht nachkommen. Sie sind insbesondere nicht in der Lage nachzuweisen, dass sie unter Nutzung dieser Clouds die Anforderungen der DSGVO erfüllen. In einer „souveränen Cloud“ muss es dem Verantwortlichen möglich sein, datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft nachzukommen. (1)

Was genau heißt souverän?

Der Begriff "souverän" bezieht sich in diesem Kontext auf die vollständige Kontrolle und Entscheidungsgewalt über die Daten und deren Verarbeitung. Dies umfasst die Fähigkeit, den physischen Speicherort der Daten zu bestimmen, den Zugriff darauf zu kontrollieren und sicherzustellen, dass alle Prozesse den geltenden gesetzlichen und regulatorischen Anforderungen entsprechen. Technische Souveränität bedeutet daher, dass Unternehmen nicht nur ihre Daten und Anwendungen in der Cloud sicher und kontrolliert verwalten können, sondern auch in der Lage sind, die Infrastruktur und die zugrunde liegenden Technologien nach Bedarf anzupassen und zu steuern.

Der Begriff „Digitale Souveränität“ wird in der öffentlichen Debatte mit unterschiedlichen Bedeutungen verwendet. Je nach Sichtweise – etwa aus dem Blickwinkel der Ökonomie, der Forschung, der Innovationskraft, der inneren und äußeren Sicherheit sowie der IT-Sicherheit – werden unterschiedliche Schwerpunkte der technologischen Unabhängigkeit betont.
 

Technische Souveränität erreichen

Um technische Souveränität zu erreichen, müssen Organisationen auf Cloud-Anbieter setzen, die transparente und nachvollziehbare Sicherheits- und Datenschutzmechanismen bieten. Dazu gehört die Möglichkeit, Verschlüsselungsschlüssel selbst zu verwalten, Datenresidenzanforderungen zu erfüllen und umfassende Zugriffskontrollen zu implementieren. Open-Source-Technologien und hybride Cloud-Modelle können ebenfalls dazu beitragen, die Kontrolle und Flexibilität zu erhöhen.

Hemmnisse und Risiken bei der Umsetzung

Die Umsetzung souveräner Cloud-Projekte im Gesundheitswesen steht vor mehreren Herausforderungen. Zu den Hauptrisiken zählen die Komplexität der Integration bestehender Systeme, hohe Kosten für die Anpassung und Implementierung sowie potenzielle Sicherheitslücken während der Übergangsphase. Zusätzlich kann der Mangel an qualifizierten Fachkräften zur Verwaltung und Sicherung der Cloud-Infrastruktur die Projektdurchführung erschweren. Rechtliche Unsicherheiten und die Einhaltung nationaler und internationaler Datenschutzvorschriften stellen weitere bedeutende Hürden dar.

Trotz dieser Hemmnisse bieten souveräne Cloud-Angebote eine vielversprechende Möglichkeit, die Effizienz und Sicherheit im Gesundheitswesen zu steigern und gleichzeitig die Einhaltung der hohen regulatorischen Standards zu gewährleisten.

Souveräne Cloud-Angebote versprechen dabei Datenschutz und Datensouveränität auf höchstem Niveau. Allerdings können derzeit nur 4 Prozent der Verantwortlichen in den Unternehmen erklären, worum es dabei geht, 31 Prozent wissen zumindest ungefähr, worum es sich dabei handelt. 21 Prozent haben bereits davon gehört, können aber nicht erklären, was es bedeutet, und 41 Prozent sind souveräne Cloud-Angebote völlig unbekannt. (2)
 

„Souveräne Clouds“ - Bewertung 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bringt ihre Expertise und ihre Erfahrungen in die politische Diskussion ein. Das Positionspapier „Souveräne Clouds“ der Konferenz zielt nicht auf eine abschließende datenschutzrechtliche Bewertung eines Cloud-Angebots und einer Cloud-Nutzung im Einzelfall. Es enthält vielmehr die Kriterien, die nach Meinung der DSK erfüllt sein sollten oder müssen, um von einer „Souveränen Cloud“ sprechen zu können. Im Mittelpunkt des Datenschutzes stehen dabei die Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung ihrer personenbezogenen Daten. 

(1)

Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023  - Kriterien für „Souveräne Clouds“ - Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 11. Mai 2023 

(2)

 „Cloud Report 2024“ Digitalverband Bitkom

 

Autor: Wolf-Dietrich Lorenz
Foto: Adobe Stock / Isidro


Lesen Sie mehr zum Thema "Cloud Computing"

Lesen Sie hier die neuesten Beiträge

Mühelosere Bewegungen von Robotern
IT-Management
Robotik
Diese Webseite verwendet Cookies.   Mehr Info.      oder