Gerade weil die Vernetzung von IT sowie die Entwicklung neuer Algorithmen (Stichwort: Künstliche Intelligenz) immer weiter voranschreitet, dadurch immer größere Datenmengen („Big Data“) entstehen und sich damit ganz neue Nutzungsmöglichkeiten erschließen, wird die „Cloud“ für viele Unternehmen immer interessanter. Gerade auch für die Medizinproduktebranche ergeben sich damit ganz neue, bisher ungeahnte Möglichkeiten und Potenziale, die gerade auch viele „Start-Ups“ etc. heben wollen.
Die Notwendigkeit der offenen und ehrlichen Auseinandersetzung
Doch auch wenn sich diese neuen Möglichkeiten zunächst sehr verlockend anhören mögen, ist es meiner Ansicht nach wichtiger denn je, sich offen und ehrlich mit diesem komplexen Thema auseinanderzusetzen. Dafür ist es essenziell, nicht nur die positiven Seiten zu betrachten, sondern sich unbedingt auch mit den Schattenseiten der „Cloud-Nutzung“ auseinanderzusetzen. Denn erst eine offene sowie ehrliche Auseinandersetzung mit diesem Thema schafft Klarheit und lässt Risikoquellen erkennen. Und erst dann sind sowohl Software-Medizinprodukte- Hersteller als auch Betreiber in der Lage, Risiken, die mit den „Clouds“ verbunden sind, bezogen auf ihre Organisations- und Prozessstruktur abzuschätzen und ggf. auch Maßnahmen zu ergreifen, um die (Haftungs-)Risiken beherrschbar zu halten. Zur offenen und ehrlichen Auseinandersetzung mit diesem Thema ist eine umfassende Transparenz über die konkrete Datenverarbeitung sowie der dieser zugrundeliegenden Umstände zwingende Voraussetzung.
Die nachfolgenden (nicht abschließenden) Ausführungen sollen insbesondere für Hersteller, die die Entwicklung ihrer Produkte aber auch für Betreiber die die Einführung von Cloud-Anwendungen planen, als Sensibilisierung und Aufforderung zur näheren Auseinandersetzung mit diesem hochkomplexen Thema dienen.
Die „Cloud“, das unbekannte „Wesen“
Frei übersetzt bedeutet „Cloud-Computing“, „Rechnen in der Wolke“. Alleine diese Übersetzung dürfte deutlich machen, dass es sich beim „Cloud-Computing“ um einen ziemlich „wolkigen“ und damit schwer fassbaren Begriff handelt.
Einigkeit besteht jedenfalls darin, dass es sich bei einer Cloud um die Kombination zweier elementarer Kerntechnologien der IT handelt nämlich die Virtualisierung und die Vernetzung (Grid-Computing). Für eine „Cloud“ werden, vereinfacht dargestellt, mehrere virtuelle Maschinen, die sich gemeinsam die Ressourcen der jeweilig ihnen zur Verfügung stehenden physischen Computer teilen, miteinander vernetzt. Durch diese Vernetzung der virtuellen Maschinen entsteht die „virtualisierte Wolke“, durch die es möglich wird, dem Nutzer bedarfsgerecht die von ihm benötigten Ressourcen (virtualisiert) zur Verfügung zu stellen. Durch die beim Cloud-Computing verwendete Technologie werden die zu verarbeitenden Daten bedarfsoptimiert, entsprechend speziell programmierter Algorithmen, auf die unterschiedlichsten physischen Komponenten transferiert, ohne dass der Nutzer eigentlich weiß, auf welcher physischen Komponente (Server) sich diese nun gerade befinden. Hat bspw. ein Anbieter seine Server inkl. virtueller Maschinen in Indien, Amerika, und Deutschland stehen, kann es durchaus sein, dass die Daten in Sekundenschnelle zwischen diesen Staaten hin und her verschoben werden. Dadurch ist es schwer bis unmöglich, den genauen „Standort“ der Daten zu lokalisieren.
Klar dürfte jedenfalls sein, dass je mehr virtuelle Maschinen (auf unterschiedlichen Servern in unterschiedlichen Ländern) miteinander zu einer „Cloud“ verbunden sind, umso komplexer und intransparenter wird die Datenverarbeitung und umso schwerer wird sie für den Nutzer aber auch für den Anbieter zu beherrschen bzw. seine jeweilige (rechtliche) Verantwortlichkeit zu erfüllen.
Unterschiedliche Rechtsbereiche und Verantwortlichkeiten bei der „Cloud“
Wenn ein Software-Medizinprodukt in einer Cloud betrieben werden soll, gilt es sich zwingend vor Augen zu führen, dass hierbei diverse Anforderungen aus unterschiedlichsten Rechtsgebieten zu erfüllen sind1. Damit verbunden ist die offene und ehrliche Beantwortung von sehr bedeutenden Fragestellungen wie bspw.: Wer ist eigentlich für die Einhaltung, von welchen gesetzlichen Regelungen, wem gegenüber („Stakeholder“2), in welchem Umfang verantwortlich? Eine pauschale Beantwortung dieser Fragen ist aufgrund der Vielfalt der denkbaren Fallkonstellationen nicht möglich! Vielmehr hängt die Beantwortung dieser Frage ganz stark von der tatsächlichen, technischen sowie organisatorischen Ausgestaltung der jeweiligen Cloud (des Einzelfalls) und letzten Endes auch des (geplanten) Einsatzszenarios der Cloud-Anwendung ab.
Gerade Betreiber sollten sich daher vor Beschaffung eines Cloud-Produkts genau über ihre eigenen Anforderungen im Klaren sein und diese beim Hersteller abfragen. Eine genaue Spezifikation der Anforderungen ist zwingend notwendig, weil immer mehr (Cloud-)Produkte angeboten werden, die nicht auf die Bedürfnisse des Betreibers zugeschnitten sind und mit denen der Betreiber beim Einsatz mehr Risiken als nötig eingehen würde. Grundsätzlich sollten aber auch Hersteller stets die für sie einschlägigen, rechtlichen Anforderungen im Blick haben. So kann bspw. eine unüberlegte „Design-Entscheidung“ durchaus dazu führen, dass der Hersteller (unbeabsichtigt) in neue Verantwortlichkeiten gerät (aus dem Hersteller wird ein zusätzlicher Betreiber), was er bei Kenntnis der Sach- und Rechtslage möglicherweise lieber vermieden hätte.
Klar sollte aber sowohl für den Hersteller als auch für den Betreiber immer sein, dass ein Verlassen auf die Datenverarbeitung in einer „Cloud“ Abhängigkeit bringt. Es ist dadurch nur logisch, dass wenn man sich auch bei kritischen Anwendungen zunehmend auf die Cloud verlässt, das systemimmanente Risiko steigt verlassen zu sein, wenn die Cloud (aus welchen Gründen auch immer) nicht nutzbar ist. Die Cloud-Nutzung hängt daher von „Vertrauen“ ab. Hersteller und Betreiber müssen sich daher offen und ehrlich damit auseinandersetzen, ob sie den Cloud-Anbietern und der eingesetzten Technologie „Vertrauen“ schenken können. Gerade bei Medizinprodukten, bei denen eine 100%ige Verfügbarkeit überlebensnotwendig ist, ist gerade dieser Punkt alles andere als unproblematisch. Denn durch den Einsatz von Cloud-Produkten wird man zunehmend von der 100%igen Kommunikationsmöglichkeit (die Verbindung von und zur Cloud) und natürlich auch die Verfügbarkeit der jeweils eingesetzten IT-Komponenten abhängig. Stehen diese Komponenten z. B. aufgrund eines Stromausfalls nicht zur Verfügung, dürfte es schnell „eng“ werden. Aus diesem Grund ist es gerade bei Medizinprodukten, deren Einsatz mit hohen Risiken verbunden sind zwingend notwendig, einen Plan B z. B. im Falle eines (Internet-) Kommunikations- oder Stromausfalls zu haben, um nicht die Gesundheit oder Leben von Patienten zu gefährden.
Fazit
Mit den vorliegenden Ausführungen sollte deutlich gemacht werden, dass Cloud-Computing durchaus Vorteile aber immer auch Risiken mit sich bringt, die sorgsam gegeneinander, im Rahmen einer „Kosten- Nutzenanalyse“ offen und ehrlich abgewogen werden müssen. Dabei wird man möglicherweise feststellen, dass das Kosteneinsparungspotenzial, das man sich durch den Einsatz von Cloud-Produkten verspricht, u.a. aufgrund der Notwendigkeit zur Erfüllung der rechtlichen Anforderungen schnell schmelzen bzw. ganz verschwinden dürfte und man möglicherweise sogar noch „draufzahlen“ würde.
Egal ob man sich nun für die „Cloud“ entscheidet oder nicht. Essenziell ist und bleibt, dass stets gewährleistet sein muss, dass der Patient, um den es ja eigentlich geht und der jeder von uns sein kann, nicht letzten Endes der Leidtragende ist…
Ein Beitrag von Gerald Spyra, LL.M.
