Innovation ist trotz strenger Regulierung möglich und strategisch notwendig. IT-Entscheider im Gesundheitssektor — sei es in Krankenhäusern, Pharmaunternehmen oder im Bereich der Medizintechnik — müssen Innovationen wie KI vorantreiben und gleichzeitig strenge Regularien wie Good Practice (GxP), die Medical Device Regulation (MDR) und die Datenschutz-Grundverordnung (DSGVO) einhalten.

Lange galt die Public Cloud in diesem Umfeld als Risiko. Doch inzwischen ist klar: Sie bildet heute die Grundlage jeder digitalen Strategie. Die Frage lautet nicht mehr ob, sondern wie man sie sicher und konform nutzt. Auch der Bitkom betont, dass Deutschland seine Investitionen in die Cloud und seine Workloads weiter ausbaut. Die Cloud wird zum Standardbetriebsmodell für neue digitale Fähigkeiten und KI-Dienste.

Public Cloud und Regulierung – passt das zusammen?

Kurz gesagt: Ja. Trotz hoher Anforderungen — etwa durch den EU-Good Manufacturing Practice (GMP) Annex 11 — treiben Organisationen im Gesundheitswesen die Cloud-Adoption weiter voran. Bereits 2021 prognostizierte Gartner, dass bis 2025 über 85 % der Unternehmen eine Cloud-First-Strategie verfolgen werden und ohne Cloud-Technologien ihre Digitalisierungsziele nicht erreichen können. Aktuellere Prognosen erwarten, dass bis 2028 mehr als 70 % der IT-Workloads in Cloud-Umgebungen betrieben werden.

Ärztin vor digitaler Visualisierung mit Sicherheitssymbolen und vernetzten Datenpunkten — Compliance by Design im Gesundheitswesen
Compliance by Design: Datenschutz und Datenresidenz lassen sich auch in der Public Cloud zuverlässig sicherstellen — mit europäischen Regionen, Ende-zu-Ende-Verschlüsselung und GAMP5-konformer Validierung.

Wichtig ist „Compliance by Design“. Frühere Bedenken bezüglich Multi-Tenancy haben sich relativiert. Geteilte Cloud-Umgebungen bieten heute oft sogar einen Sicherheitsvorteil, weil standardisierte Schutzmechanismen das Cyberrisiko senken. Europäische Cloud-Regionen und Ende-zu-Ende-Verschlüsselung stellen Datenschutz und Datenresidenz sicher. Wenn Gesundheitsdaten in der Cloud verarbeitet werden, gelten selbstverständlich die strengen Vorgaben der DSGVO. In Kombination mit der MDR entstehen sogar höhere IT-Sicherheitsstandards. Mit etablierten Best Practices (z. B. Good Automated Manufacturing Practice, GAMP5-Leitfaden) validieren Unternehmen Cloud-Systeme GxP-konform. Die Compliance-Hürde sinkt, insbesondere mit erfahrenen Partnern, die GxP, Datenschutz und Security von Beginn an umsetzen.

Cloud als Basis für KI-Innovationen

Ohne Cloud ist skalierbare KI nicht umsetzbar: Große Datenmengen und rechenintensive Algorithmen erfordern die Elastizität der Cloud. Laut Forrester werden im Gesundheitswesen durchschnittlich bereits rund 20 % der IT-Workloads in Public-Cloud-Umgebungen betrieben. Einrichtungen nutzen die Cloud vor allem wegen ihrer Agilität, Skalierbarkeit und Innovationsgeschwindigkeit. Bitkom prognostiziert, dass der Anteil der Unternehmen, die KI aus der Cloud beziehen, von 17 % auf 34 % steigen wird.

Cloud-Dashboard mit KI-Daten und Analyseflächen — Cloud-Plattformen als Basis für skalierbare KI im Gesundheitswesen
Cloud-Plattformen liefern nahezu unbegrenzte Rechenleistung und KI-Services on demand — eine Skalierbarkeit, die On-Premises-Infrastrukturen kaum erreichen können.

Dr. Ralf Wintergerst, Präsident des Bitkom, unterstreicht, dass KI und Cybersicherheit den Cloud-Einsatz vorantreiben — und umgekehrt Cloud Computing den KI-Einsatz fördert und stärkt.

Der EU AI Act definiert den regulatorischen Rahmen — insbesondere dort, wo KI als Teil eines Medical Device agiert oder klinisch relevante Ergebnisse liefert. Gefragt sind Risikomanagement, hochwertige Datensätze, Transparenz und menschliche Aufsicht. In der Praxis verknüpfen Unternehmen diese Vorgaben mit GxP Validation und Audit Trails. Für KI in GMP-/GxP-Prozessen außerhalb von Produkten (z. B. bei der Auswertung von Forschungsdaten) gelten differenzierte Pflichten, doch die technische Umsetzung bleibt gleich: cloudbasierte Governance, versionierte Pipelines, Monitoring und nachvollziehbare Freigaben.

Ausblick: agentenbasierte KI – die nächste Evolutionsstufe

KI-Workloads entwickeln sich kontinuierlich weiter. Bei der agentenbasierten KI agieren Modelle als autonome Agenten, die flexibel auf verteilte Daten zugreifen und eigenständig handeln. Beispiele hierfür sind die Echtzeitüberwachung von Patienten oder die intelligente Assistenz in Diagnostik und Therapie. Damit Agenten in regulierten Umgebungen sicher arbeiten können, sind standardisierte und auditierbare Tool- und Datenanbindungen erforderlich. An diesem Punkt setzt das Model Context Protocol (MCP) an, ein offener Standard, der oft als „USB-C für KI“ bezeichnet wird.

MCP sorgt für bidirektionale, fein kontrollierte Verbindungen zwischen KI-Applikationen und externen Systemen (Document Management System DMS, Laboratory Information Management System LIMS, Manufacturing Execution System MES, Quality Management System QMS). Dadurch lassen sich Entwicklungsaufwände reduzieren und Least-Privilege-Zugriffe gezielt steuern. Durch die zunehmende Unterstützung im Ökosystem entwickelt sich MCP zu einem zentralen Baustein für agentenbasierte Architekturen in GxP-Kontexten.

Den Wandel gestalten

Cloud-Technologien bieten Gesundheitsorganisationen die Option, Innovation und Compliance zu vereinen. Ein systematisches Vorgehen ist entscheidend — von der sicheren Migration über den Aufbau tragfähiger Governance-Strukturen bis zur Integration von KI-Strategien in bestehende Prozesse. Erfahrungen aus regulierten Branchen zeigen, dass sich Public-Cloud-Infrastrukturen so gestalten lassen, dass sie technische und regulatorische Vorgaben zuverlässig erfüllen und zugleich die Basis für neue digitale Services bilden.