Digitale Souveränität wird für Krankenhäuser von der Vision zur Pflicht. EHDS, GeDIG und ISiK zwingen Kliniken, Datenhaltung, Interoperabilität und IT-Architekturen neu zu denken. Daniela Aufermann macht klar: Digitale Souveränität ist nicht nur Voraussetzung für Compliance, sondern die Grundlage für einen verantwortungsvollen und wirtschaftlichen KI-Einsatz im Krankenhaus.
Digitale Souveränität galt lange als ein abstraktes Zukunftsthema, inzwischen ist sie ein konkretes Handlungsprinzip, getrieben durch den European Health Data Space (EHDS) und das geplante Gesetz für Daten und digitale Innovation im Gesundheitswesen (GeDIG). Krankenhäuser stehen vor klaren Pflichten: interoperable Datenhaltung, nachvollziehbare Datenflüsse, eindeutige Verantwortlichkeiten.
Datensouveränität als Basis für sinnvolle KI
Wer das nicht erfüllt, riskiert nicht nur regulatorische Konsequenzen, sondern verliert den Anschluss an kommende Versorgungsstrukturen. Digitale Souveränität bedeutet dabei mehr als Compliance. Es geht einerseits um die Fähigkeit, Systeme, Prozesse sowie Daten selbstbestimmt zu gestalten, und andererseits die Grundvoraussetzung für einen sinnvollen Einsatz von künstlicher Intelligenz (KI) zu schaffen. Denn KI-Anwendungen sind nur so gut wie ihre Datenbasis. Wer keine Kontrolle über Qualität, Herkunft und Struktur der Daten hat, wird KI weder verantwortungsvoll einsetzen noch klinisch oder wirtschaftlich nutzbar machen.
Interoperabilität statt Monolith: Warum bestehende KIS-Strukturen nicht mehr ausreichen
Genau hier liegt das strukturelle Problem: Monolithische Krankenhausinformationssysteme erlauben weder echte Datensouveränität noch schnelle Anpassungen. EHDS und GeDIG fordern interoperable Datenräume sowie nachvollziehbare Datennutzung. Beide Initiativen setzen damit auf Architekturen, die faktisch FHIR-basierte Schnittstellen voraussetzen, auch wenn die technischen Detailspezifikationen teils noch ausstehen. Der Standard ISiK setzt dabei einen wichtigen regulatorischen Impuls.
In der Praxis jedoch klafft eine ernüchternde Lücke: Viele Hersteller haben die Zertifizierung erlangt, bieten die Schnittstellen ihren Kunden aber gar nicht aktiv an oder nur gegen erhebliche Zusatzkosten. So lange das nicht adressiert wird – regulatorisch oder durch gezielten Verhandlungsdruck der Häuser –, bleibt ISiK ein Versprechen auf dem Papier.
Abhängigkeiten von US-Anbietern: Das oft verdrängte Souveränitätsrisiko
Hinzu kommt eine Frage, die zu selten gestellt wird: Wie souverän kann ein Krankenhaus sein, wenn wesentliche Teile seiner digitalen Infrastruktur – von Betriebssystemen über Kollaborationsplattformen bis hin zu Cloud-Diensten – von wenigen US-amerikanischen Anbietern abhängen, die dem US-amerikanischen Cloud Act unterliegen?
Kurzfristig liegt die Antwort im bewussten Management dieser Abhängigkeiten: durch Datenportabilitätsklauseln, realistische Exit-Strategien und offene Standards. Mittelfristig aber führt kein Weg daran vorbei, europäische und Open-Source-Alternativen ernsthaft zu prüfen – nicht als ideologisches Projekt, sondern als strategische Risikovorsorge.
Bestandsaufnahme statt Wunschdenken: Wo stehen die Häuser wirklich?
Doch bevor Häuser strategische Weichen stellen können – ob beim Vertragsmanagement oder der schrittweisen Hinwendung zu offenen Alternativen – braucht es eine ehrliche Bestandsaufnahme: Welche Daten liegen wo? Welche Schnittstellen fehlen? Welche Verträge schränken die Handlungsfähigkeit heute schon ein?
Die IT-Leitung muss Schnittstellen, Verträge und Architekturen so gestalten, dass Anbieterwechsel realistisch bleiben, Datenflüsse nachvollziehbar und der Wechsel zu souveräneren Lösungen technisch vorbereitet sind. Die Geschäftsführung muss entscheiden, welche Daten strategisch genutzt werden sollen, und dafür Budget, Verantwortung und Verbindlichkeit bereitstellen. Digitale Souveränität entsteht nicht durch Absichtserklärungen, vielmehr dort, wo beide Ebenen gemeinsam handeln.