„Das geht bei uns nicht…“

„Cloud ist bei uns kein Thema – das passt einfach nicht zu einem Krankenhaus.“ Solche oder ähnliche Aussagen hört man häufig, wenn es um IT-Modernisierung in deutschen Kliniken geht. Doch hinter dieser Abwehrhaltung verbergen sich meist konkrete Sorgen zu Datenschutz, Informationssicherheit, Kosten oder schlicht zur Machbarkeit im komplexen Klinikalltag.

In Teil 2 unserer Blogserie gehen wir diesen Einwänden auf den Grund. Wir zeigen häufig genannte Gründe, warum Krankenhäuser keine Cloud-Lösung einführen (wollen) und weshalb es sich lohnt, genau hinzusehen, da viele Argumente auf veralteten Annahmen basieren oder sich mit pragmatischen Ansätzen differenzieren lassen. Ziel ist es, die Diskussion zu versachlichen und EntscheiderInnen in IT und Klinikleitung konkrete Orientierung zu geben.

Wenn Sie zuerst die Grundlagen, Chancen und ersten Weichenstellungen kennenlernen möchten, empfehlen wir Ihnen unseren vorherigen Beitrag Cloud im Krankenhaus (Teil 1): Grundlagen, Chancen und erste Weichenstellungen.

„Das dürfen wir gar nicht“

Was gemeint ist: Patientendaten dürfen nicht in externe Rechenzentren wandern, schon gar nicht ins Ausland. Wir riskieren rechtliche Konsequenzen.

Krankenhäuser verwalten hochsensible Gesundheitsdaten, die nach DSGVO besonders geschützt sind. Lange war die Rechtslage zur Nutzung von Cloud-Lösungen im Gesundheitswesen uneinheitlich, und nicht selten galt „lieber nicht bewegen“ als sicherer Weg. Diese Vorsicht ist verständlich, denn der Schutz von Patientendaten steht zu Recht an oberster Stelle. Doch spätestens seit Inkrafttreten des Digital-Gesetzes (§ 393 SGB V) und der Anpassung der einzelnen Landeskrankenhausgesetze ist die Cloud-Nutzung erstmals rechtlich klar geregelt: Lösungen müssen DSGVO-konform eingesetzt werden, vorzugsweise mit Rechenzentren in Deutschland oder zumindest innerhalb der EU. Relevante Anbieter sind heute entsprechend zertifiziert, beispielsweise nach ISO 27001 oder BSI C5. Das allein erzeugt zwar keine DSGVO-Konformität, aber Kliniken können auf dieser Basis rechtssicher agieren, wenn sie beim Cloud-Einsatz unter anderem auf eine klare vertragliche Regelung über Auftragsverarbeitung (Art. 28 DSGVO), Vorhandensein der Zertifizierung BSI C5 Typ2, Auswahl von Hosting-Standorten innerhalb der EU und Durchführung einer fundierten Datenschutzfolgeabschätzung achten. So entsteht Transparenz über Risiken und Schutzmaßnahmen. 

Die Annahme, Cloud sei per se nicht DSGVO-konform, lässt sich heute entkräften, wenn Anbieter und Einrichtung gemeinsam Verantwortung übernehmen.

„Unsere Daten sind in der Cloud nicht sicher“, „Cloud kommt ja von geklaut“

Was gemeint ist: Wenn wir keine direkte Kontrolle über unsere Server haben, könnten Daten verloren gehen oder angegriffen werden.

Sicherheit ist eine der zentralen Sorgen vieler IT-Verantwortlicher und das aus gutem Grund. Große Krankenhäuser und Universitätskliniken zählen zur kritischen Infrastruktur, ein IT-Ausfall kann unmittelbare Auswirkungen auf die Patientenversorgung haben. Deshalb ist das Bedürfnis nach Kontrolle verständlich. Dennoch wird oft übersehen, dass viele interne Rechenzentren heute weder personell noch technisch ausreichend ausgestattet sind, um aktuellen Bedrohungen wie Ransomware, Zero-Day-Exploits oder gezielten Angriffen dauerhaft standzuhalten. Moderne Cloud-Anbieter investieren kontinuierlich in Sicherheitsmaßnahmen – darunter 24/7-Sicherheitsüberwachung, automatisierte Angriffserkennung mit KI, mehrstufige physische Zugangskontrollen und georedundante Datenhaltung. Auch im Cloud-Betrieb lassen sich Sicherheitskonzepte transparent gestalten: mit eindeutigen Rollen- und Rechtemodellen, umfassenden Protokollierungen und Notfallplänen bei Ausfällen. Voraussetzung ist die Wahl eines Anbieters, der mit zertifizierten Sicherheitskonzepten (z. B. ISO 27001 oder BSI C5, ISO 50600) arbeitet. Gleichzeitig muss das Krankenhaus über geeignete Provider-Management-Strukturen verfügen und im Vorfeld Szenarien für Ausfallsicherheit und Notbetrieb planen. 

Wer diese Punkte beachtet, kann mit der Cloud oft ein höheres Sicherheitsniveau erreichen als mit einem ausbaubedürftigen Rechenzentrum im eigenen Keller.

„Wir sind KRITIS – da geht Cloud gar nicht“

Was gemeint ist: Als kritische Infrastruktur unterliegen wir besonderen Anforderungen. Cloud ist zu komplex, um compliant zu bleiben.

Krankenhäuser, die unter die KRITIS-Verordnung fallen, müssen umfangreiche Sicherheitsvorgaben erfüllen, zum Beispiel aus dem BSI-Gesetz, ergänzt mit dem IT-Sicherheitsgesetz, der NIS2-Richtlinie. Diese Anforderungen gelten auch bei der Nutzung externer Dienstleister, also auch bei Cloud-Angeboten. 

Die gute Nachricht: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat klare Kriterien für Cloud-Anbieter formuliert. Die sogenannte C5-Testierung ist hier der anerkannte Standard. Ab Mitte 2025 müssen Cloud-Dienste, die Patientendaten verarbeiten, sogar verpflichtend über ein C5-Testat Typ 2 verfügen. Das bedeutet: Wer jetzt mit einem zertifizierten Anbieter plant und frühzeitig regulatorische Fragen mit Informationssicherheitsbeauftragten, IT-Leitung und Betriebsrat klärt, kann die gesetzlichen Anforderungen erfüllen. Wichtig ist zudem eine umfassende Dokumentation der technischen und organisatorischen Maßnahmen sowohl für interne Transparenz als auch für externe Prüfungen. 

Damit wird klar: KRITIS und Cloud sind keine Gegensätze. Mit den richtigen Rahmenbedingungen, Standards und der richtigen Strategie kann Cloud-Nutzung ein Baustein für mehr Sicherheit und Resilienz in kritischen Infrastrukturen sein.

„Cloud ist zu teuer – das rechnet sich für uns nicht“

Was gemeint ist: Laufende Kosten sind unkalkulierbar. Die laufenden Kosten belasten das betriebliche Ergebnis mehr als die Abschreibungen für eigene Infrastruktur. Einmal investieren ist einfacher als mieten.

Das Argument der Kosten ist nachvollziehbar, insbesondere in einer Branche mit chronisch knappen Budgets. Der Wechsel von einmaligen Investitionen (CAPEX) zu laufenden Betriebskosten (OPEX) sorgt oft für Unsicherheit – sowohl in der kaufmännischen Leitung als auch bei der IT. Hinzu kommt die Sorge, dass Anbieterpreise steigen oder Abhängigkeiten entstehen. Gerade kleinere und mittelgroße Kliniken profitieren wirtschaftlich von Cloud-Modellen. Warum? Weil Hardware-Beschaffung, Rechenzentrumsbetrieb, Wartung, Backup und Updates wegfallen – ebenso wie Personalaufwände für Routinebetrieb. Cloud-Modelle lassen sich bedarfsgenau skalieren, sodass Überkapazitäten vermieden werden. Für eine wirtschaftliche Bewertung hilft ein Total-Cost-of-Ownership-Vergleich (TCO), der alle direkten und indirekten Kosten einbezieht. Zudem ist nicht alles oder nichts gefragt: Hybride Modelle ermöglichen eine schrittweise Verlagerung ausgewählter Dienste mit der Sicherstellung der aus §391 SGB V festgeschriebenen IT-Sicherheit. 

Wer also eine strategische Analyse seiner bestehenden IT-Infrastruktur durchführt und Szenarien entwickelt und dabei wirklich und ganzheitlich die Kosten für die eigene Infrastruktur abbildet, kann Einsparpotenziale identifizieren und Cloud als flexibles Steuerungsmodell nutzen.

„Unsere IT kann das nicht stemmen“

Was gemeint ist: Wir haben weder die Leute noch die Zeit, um unsere komplexe Systemlandschaft in die Cloud zu bringen.

Die Ressourcenfrage ist real. Viele Krankenhaus-IT-Abteilungen arbeiten am Limit, mit kleinen Teams und hoher Verantwortung. Schreibt sich der steigende Fachkräftemangel fort, ist davon auszugehen, dass sich diese Situation weiter anspannt. Auch die verfügbare Zeit für mondäne Aufgaben wie die Wartung von Infrastruktur wird hierdurch verringert, insbesondere da die Systemlandschaft wächst und Vernetzung weiter ansteigen.

Gleichzeitig ist die Systemlandschaft in vielen Häusern historisch gewachsen, heterogen und schwer zu durchdringen. Eine Migration in die Cloud wirkt da wie ein unbezwingbarer Berg. Doch Cloud heißt nicht: alles auf einmal. Vielmehr geht es um modulare Migrationspfade beginnend beispielsweise mit nicht-kritischen Systemen wie Archivlösungen, Kommunikationsplattformen oder Laboranbindungen. Tools wie unser Framework PRODAS helfen bei einer strukturierten Ist-Aufnahme. Zudem lassen sich über Managed Services Teile der Betriebsverantwortung extern vergeben, ohne die strategische Steuerung aus der Hand zu geben. Diese Umstellung befähigt die eigene IT-Abteilung, in der Rolle eines strategischen Orchestrators aufzugehen. Cloud kann auch in kleinen IT-Teams gelingen, wenn verlässliche Partner, tragfähige Konzepte und Mut zur Priorisierung vorhanden sind.

Fazit: Vom Einwand zum Einstieg

Viele Kliniken stecken bei der Cloud noch in der Abwehrhaltung. Doch bei genauerer Betrachtung zeigt sich: Die meisten Einwände lassen sich entkräften – mit guten Konzepten, passenden Partnern und einer Portion Mut zur Veränderung. Wichtig ist nicht die Frage, ob Cloud geht, sondern: „Wie geht sie für uns sicher und sinnvoll?“

Die nächsten Schritte: eine saubere Analyse, ein Pilotprojekt, eine Strategie.

Interesse am Thema?

Teilen Sie Ihre Erfahrungen mit uns auf LinkedIn.