„An der Cloud kommt keine Krankenkasse mehr vorbei“

Mathis Friesdorf: Welche Rolle spielen Cloud-Lösungen aktuell in der gesetzlichen Krankenversicherung?

Jan Bartenschlager: Das Thema Cloud ist bei den GKVen längst angekommen und im engeren Rahmen bereits Teil der IT-Landschaft. Bei den Anwendungen handelt es sich in der Regel um Software-as-a-Service(SaaS)-Produkte, die von Herstellern in der Public Cloud betrieben werden. Aktuell fokussiert sich die Cloud-Nutzung hauptsächlich auf Anwendungen der Verwaltung, in denen keine hochsensiblen Daten verarbeitet werden und daher die datenschutzrechtlichen Hürden geringer sind.

Um allerdings den Mehrwert der Cloud vollständig auszuspielen, sollten die Kernsysteme einschließlich der darin gespeicherten Gesundheitsdaten künftig mit in den Fokus der „Cloudifizierung“ rücken, da diese den Großteil der fachlichen Komplexität und Infrastrukturbedarfe ausmachen. Um das zu ermöglichen, werden sich aus den bereits existierenden Lösungen verbindliche technologische Pfade für weitere Cloud-Ansätze im GKV-Bereich herauskristallisieren müssen – etwa die Private, Public, Dedicated oder Hybrid Cloud. Dabei ist neben technologischen Erfordernissen, Wirtschaftlichkeitsbetrachtungen und Ökosystemvernetzungen auch die jeweilige Cloudifizierbarkeit einzelner Anwendungen und Geschäftsprozesse zu berücksichtigen.

Katharina Sickmüller: Welche Anwendungsfälle bieten Cloud-Technologien – und welchen Nutzen können sie für die GKVen schaffen?

Florian Niedermann: Einen Wechsel in die Cloud dürfen Krankenkassen nicht als rein kostengetriebenen Business Case betrachten, der nur auf die Senkung von Infrastrukturkosten und höhere Skalierbarkeit abzielt. Bei teilweise bereits abgeschriebener Hardware und zahlreichen Anwendungen im „Dauerlastbetrieb“ würde dieser auch im Regelfall ungünstig ausfallen. Der Mehrwert von Cloud-Lösungen liegt vielmehr in der verbesserten Unterstützung von Geschäftsprozessen. Die drei größten Vorteile sind:

Cloud-Lösungen ermöglichen eine viel kürzere Time to Market. Durch ihre hohe Flexibilität können IT-Anwendungen innerhalb von Stunden oder sogar Minuten getestet und angewendet werden. Eine von uns durchgeführte Studie im US-Krankenversicherungsmarkt hat gezeigt, dass die Anwendung von Cloud-Lösungen auf Arbeitsweisen und Prozesse, auch „Cloud Operating Model“ genannt, die Markteinführungszeiten von GKV-Angeboten auf ein Viertel verkürzt – von sonst durchschnittlich 20 Monaten auf nur noch fünf Monate.

Zudem können Cloud-Lösungen die Bereitstellung und den Betrieb von Software erheblich vereinfachen – von einer nahtlosen Skalierung der Ressourcen bis hin zum automatischen Logging und Monitoring. So können sich die Entwickler auf die Anwendungen selbst konzentrieren, sie auf die Bedürfnisse der Stakeholder ausrichten und somit einen direkten Nutzen für das Unternehmen schaffen und Innovationen vorantreiben.

Die nächste Generation digitaler Gesundheitsökosysteme mit personalisierten und medienbruchfreien Customer Journeys wird darüber hinaus stark von Cloud-basierten Lösungen getrieben sein. Durch die Möglichkeit der Integration externer Services in das Ökosystem der Cloud, wie Gesundheits-Apps zur Fernüberwachung des Blutdrucks, können echte Innovationen entstehen. Für die Anbindung bedarf es allerdings neuer infrastruktureller Lösungen – ein rein lokales IT-System reicht dazu nicht aus.

Die nächste Generation digitaler Gesundheitsökosysteme mit personalisierten und medienbruchfreien Customer Journeys wird darüber hinaus stark von Cloud-basierten Lösungen getrieben sein.

Florian Niedermann

Katharina Sickmüller: Anforderungen an die Datensicherheit sind im Gesundheitskontext besonders zu beachten. Was bedeutet dies für die GKV-Cloud?

Jan Bartenschlager: Für die Nutzung von Cloud-Lösungen werden seitens der Regulatoren bereits hohe Anforderungen an die Krankenkassen gestellt. Die Datenschutz-Grundverordnung (DSGVO) und § 80 Absatz 2 SGB X bilden hier den gesetzlichen Rahmen. Die Verarbeitung von Gesundheitsdaten darf demnach nur im Inland oder einem Mitgliedstaat der Europäischen Union erfolgen. Nach dem jüngsten Beschluss des Oberlandesgerichts Karlsruhe können dabei aber grundsätzlich auch europäische Tochtergesellschaften von US-Cloud-Anbietern für das Hosting beauftragt werden.

Fakt ist: Die Öffentlichkeit ist in puncto Gesundheitsdaten äußerst sensibel, gerade in europäischen Ländern. Fehler können zu gravierenden, auch reputationsschädigenden Konsequenzen führen. Das bedeutet jedoch nicht, dass grundsätzlich keine Daten in die Cloud transferiert werden können, weil diese per se nicht sicher genug ist. Vielmehr steht ein Set von Möglichkeiten zur Verfügung – innerhalb der Cloud-Lösung oder in Ergänzung dazu –, die ständig weiterentwickelt und kombiniert werden müssen. Dabei ist es wichtig, dass Bedenken in Bezug auf IT-Sicherheit und Datenschutz von den Krankenkassen von Anfang an berücksichtigt und entsprechend adressiert werden.

"Datenschutzrechtliche und sicherheitstechnische Bedenken können mit Hilfe technisch-organisatorischer Maßnahmen ausgeräumt werden."

Jan Bartenschlager

Mathis Friesdorf: Wie kann möglichen Sicherheitsrisiken entgegengewirkt werden?

Jan Bartenschlager: Datenschutzrechtliche und sicherheitstechnische Bedenken können mit Hilfe technisch-organisatorischer Maßnahmen ausgeräumt werden. Dazu zählen z.B. Zugriffs- und Datenübertragungskontrollen oder auch Gefährdungs- und Schadensanalysen. Hervorzuheben ist allerdings, dass Datenschutz und IT-Sicherheit immer eine Grundvoraussetzung für Cloud-Migrationen sein sollten. Vor allem kommt es darauf an, regulatorische Einschränkungen frühzeitig zu adressieren und Sicherheitsmaßnahmen proaktiv anzugehen, anstatt lediglich dem Gesetz zu folgen. Nur auf diese Weise lässt sich bei Regulatoren und Öffentlichkeit das notwendige Vertrauen aufbauen.

Katharina Sickmüller: Wie kann ein erfolgreicher Umstieg in die Cloud gelingen?

Florian Niedermann: Dreierlei gilt es jetzt anzugehen. Zunächst sollte die Strategie der Cloud-Migration aus der Geschäftsperspektive entwickelt werden, um eine klare Sicht zu gewinnen, wie die Cloud die Fachseite unterstützen kann und welche Potenziale sich bieten. Dann sollte die Transition mit Piloten und ausgewählten Services starten, um einerseits Erfahrungswerte zu sammeln und andererseits die Fähigkeiten aufzubauen, die für ein Cloud Operating Model und dessen Umsetzung benötigt werden. Und schließlich gilt es, die erworbenen Kompetenzen früh in der Organisation zu verankern, um auf eine Skalierung der Cloud ausreichend vorbereitet zu sein. 

Jan Bartenschlager: Skalierung und Fähigkeiten sind gute Stichworte. Die Cloud ist tatsächlich mit einem ganzen Bündel an Herausforderungen verknüpft, etwa aktivem Capacity Management, notwendigem Prozesswissen oder auch Cloud-Spezifika in Providersteuerung und Vertragsgestaltung. Hierfür werden Fähigkeiten benötigt, die die Kassen bisher noch nicht im benötigten Ausmaß vorweisen. Dazu zählt erstens Skalierung: Es müssen Kompetenzen aufgebaut oder eingekauft werden, um Cloud-Ressourcen im Kontext von Plattform- oder Infrastrukturservices aktiv managen zu können und die Skalierung entsprechend zu steuern. Ohne aktives Capacity Management sind Cloud-Ressourcen kostenseitig immer – und je nach Parametern teilweise dramatisch – lokalen Lösungen unterlegen. Ihr ökonomisches Potenzial entfaltet die Cloud nur dann, wenn eine fortlaufende Skalierung der Kapazitäten anhand des tatsächlichen Ressourcenbedarfs in den einzelnen Systemen stattfindet.

Das zweite Kompetenzfeld betrifft die Architektur: Es sollte ein ausreichendes architektonisches Verständnis vorhanden sein, um nicht in die technologische und ökonomische Abhängigkeit von Dienstleistern zu rutschen. Besonders die Anforderungen an den Datenschutz können letztlich nicht an Dienstleister delegiert werden, da die Kassen hierfür weiterhin die Verantwortung tragen. Die dritte Kompetenz schließlich umfasst die Dienstleistungssteuerung: Sie ist elementar, um die Verträge für den Bezug von Cloud-Services optimal zu gestalten und die erbrachte Leistung auch entsprechend prüfen zu können.

Für die GKVen kommt es jetzt darauf an, diese Fähigkeiten so schnell wie möglich aufzubauen, um die Vorteile der Cloud auch ökonomisch nutzen zu können. Und es lohnt sich allemal, bereits heute im kleineren Rahmen mit Piloten zu starten, um wertvolle Erfahrungen zu sammeln und die Anschlussfähigkeit an zukünftige Entwicklungen nicht zu verlieren.

Mathis Friesdorf: Wie lange wird es dauern, bis die Cloud auch im deutschen Gesundheitssystem breitflächig genutzt wird?

Florian Niedermann: In anderen Branchen und speziell im allgemeinen Versicherungsmarkt sehen wir, dass die Migration in die Cloud in den kommenden fünf Jahren eines der großen IT-Themen sein wird. In einer unserer Umfragen gaben die meisten Führungskräfte der Versicherungsbranche bereits an, bis 2025 mehr von ihrer IT-Landschaft in die Public Cloud migrieren zu wollen. Auch die GKVen werden an der Cloud nicht mehr vorbeikommen. Unabhängig davon, wie aktiv sie die Ansätze derzeit verfolgen – es wird künftig immer schwieriger, sie vollständig zu vermeiden. Denn SaaS-Lösungen werden für viele Anbieter zur neuen Norm, insbesondere wenn wenig Anpassung erforderlich ist wie bei Office- oder HR-Anwendungen. Die GKVen müssen daher diesen Schritt zwangsläufig früher oder später mitgehen. Umso wichtiger ist es für sie, sich bereits heute richtig aufzustellen.

Das Gespräch führten Dr. Mathis Friesdorf, Partner im Berliner Office und Katharina Sickmüller, Engagement Manager im Frankfurter Büro von McKinsey.

Explore a career with us