Das Ende einer Ära
Dass SAP für seine Industry Solution Healthcare (IS-H), über zwei Jahrzehnte der de-facto-Standard für Patientenadministration und Abrechnung in deutschen Krankenhäusern, kein Nachfolgeprodukt auf Basis von S/4HANA entwickeln würde, hatte sich abgezeichnet. Die reguläre Wartung für IS-H endet 2027, eine kostenpflichtige Extended Maintenance verlängert den Betrieb bis 2030, danach ist Schluss. Viele Kliniken nehmen die IS-H-Abkündigung zum Anlass, ihr Krankenhausinformationssystem (KIS) insgesamt neu zu beschaffen. Was ein solches Vorhaben für die betroffenen Häuser bedeutet, wird häufig unterschätzt. Dieser Beitrag bietet einen Überblick.
Bestandsaufnahme
Bevor man sich Gedanken über das neue KIS macht, lohnt ein Blick auf das, was man hat. Das ist typischerweise kein einzelner Vertrag, sondern ein über Jahre gewachsenes Geflecht aus Lizenzvereinbarungen, Wartungsverträgen, Implementierungsvereinbarungen mit Systemhäusern, Betriebsverträgen mit Rechenzentren und einer Vielzahl von Schnittstellenvereinbarungen mit Drittanbietern. Ein in der Praxis häufiger Fehler ist die zu späte Analyse dieser bestehenden Vertragslandschaft. Wer erst im laufenden Vergabeverfahren feststellt, dass der SAP-Wartungsvertrag eine Mindestlaufzeit bis 2029 hat oder dass die Kündigung an bestimmte Bedingungen geknüpft ist, hat ein Kostenproblem, das sich nicht mehr elegant lösen lässt. Drei Punkte verdienen dabei besondere Aufmerksamkeit:
Parallelbetriebs-Szenarien
Wer auf ein neues KIS migriert, wird für eine Übergangszeit zwei Systeme parallel betreiben müssen. Das wirft die Frage auf, ob die bestehenden SAP-Lizenzen diesen Parallelbetrieb abdecken oder ob zusätzliche Lizenzkosten anfallen. Gerade bei SAP ist das Thema der sogenannten indirekten Nutzung notorisch konfliktträchtig: Wenn das neue KIS über Schnittstellen auf das noch laufende SAP-System zugreift, kann SAP hierin eine zusätzliche lizenzpflichtige Nutzung sehen. Wer das nicht vorab klärt, riskiert eine empfindliche Nachlizenzierungsforderung.
Datenmigration
Ein Krankenhaus, das sein KIS wechselt, muss sämtliche Patientendaten, Abrechnungsdaten und Dokumentationen in das neue System überführen. Vertraglich ist die Frage zu klären, in welchem Format und zu welchen Konditionen der bisherige Anbieter die Daten herausgibt. Das klingt trivial, ist es aber nicht: Proprietäre Datenformate, fehlende Exportschnittstellen und, nicht selten, ein strategisches Interesse des Altanbieters, den Wechsel so unattraktiv wie möglich zu gestalten, machen die Datenmigration zu einem der kritischsten Punkte des gesamten Projekts.
Archivierungspflichten
Auch nach Abschaltung des alten Systems müssen Patientendaten über zum Teil erhebliche Zeiträume aufbewahrt werden. § 630f Abs. 3 BGB schreibt für die Behandlungsdokumentation eine Aufbewahrungsfrist von zehn Jahren vor, Landeskrankenhausgesetze können längere Fristen vorsehen, und § 257 HGB verlangt die Aufbewahrung von Buchungsbelegen über acht Jahre. Die Frage, wie man auf Altdaten in einem abgeschalteten System zugreift, wird in der Praxis erstaunlich oft erst dann gestellt, wenn das System bereits abgeschaltet ist.
Beschaffung
Für die meisten betroffenen Häuser ist die Beschaffung eines neuen Krankenhausinformationssystems vergabepflichtig. Öffentliche Krankenhausträger sind als öffentliche Auftraggeber im Sinne des § 99 GWB an das Vergaberecht gebunden, und die Auftragswerte von KIS-Projekten liegen regelmäßig weit oberhalb der EU-Schwellenwerte.
Wahl des Verfahrens
Ein KIS ist keine Standardsoftware, die man im Katalog bestellt. Die qualitativen Unterschiede der am Markt angebotenen Lösungen sind erheblich, und die Auswirkungen auf die krankenhausinternen Prozesse und die Patientenversorgung sind so weitreichend, dass ein offenes Verfahren in der Regel nicht sachgerecht ist. In der Praxis hat sich deshalb das Verhandlungsverfahren mit Teilnahmewettbewerb als das gängige Verfahren etabliert, was auch ein die Spruchpraxis der Vergabekammern bei vergleichbaren IT-Beschaffungen stützt. Die Wahl dieses Verfahrens muss allerdings vergaberechtlich begründet werden. Abweichungen von den Regelverfahren (§ 119 Abs. 2 S. 2 GWB, § 14 Abs. 2 S. 2 VgV) sind auch im IT-Bereich eng auszulegen, auch wenn die besonderen Anforderungen komplexer IT-Vergaben die Wahl des nicht-offenen Verfahrens oder des Verhandlungsverfahrens regelmäßig rechtfertigen.
Ein sauber durchgeführtes Verhandlungsverfahren mit Teilnahmewettbewerb dauert erfahrungsgemäß neun bis fünfzehn Monate. Kommt ein Nachprüfungsverfahren hinzu, können es leicht achtzehn bis vierundzwanzig Monate werden. Diese Zeiträume werden regelmäßig unterschätzt. Wer Ende 2026 mit der Ausschreibung beginnt und glaubt, bis 2030 fertig zu sein, rechnet optimistisch.
Leistungsbeschreibung
Die Erstellung der Leistungsbeschreibung ist bei IT-Beschaffungen besonders sorgfältig und gewissenhaft vorzunehmen, wobei technisch-fachliche und vergaberechtliche Aspekte miteinander zu vereinen sind. Sie darf nicht nur tabellarisch und stichwortartig erfolgen. Für eine gelungene Ausschreibung muss der Auftraggeber den Markt kennen; technisch und wirtschaftlich optimale Ergebnisse erfordern einen guten Überblick über die am Markt verfügbaren Lösungen und deren Vor- und Nachteile. In der Praxis stellt der Grundsatz der Produktneutralität die größte Herausforderung dar. Er steht in einem permanenten Spannungsverhältnis zu den berechtigten Forderungen der Kliniken nach Systemstabilität, Kompatibilität und Vernetzungsfähigkeit. Wer etwa in seiner Leistungsbeschreibung Anforderungen formuliert, die de facto nur ein bestimmtes Produkt erfüllen kann, handelt vergaberechtswidrig, es sei denn, es gelingt der Nachweis, dass die produktspezifischen Anforderungen sachlich gerechtfertigt und für den Auftraggeber unverzichtbar sind.
Zuschlagskriterien
Bemerkenswert ist, dass bei KIS-Beschaffungen der Preis eine untergeordnete Rolle spielen darf. In der Spruchpraxis der Vergabekammern ist anerkannt, dass es angesichts der Bedeutung des KIS für die krankenhausinternen Prozesse und deren Kostenfolgen sowie für die Behandlung der Patienten nicht zu beanstanden ist, wenn der Auftraggeber dem Preis ein geringes prozentuales Gewicht beimisst und stattdessen die Leistungsqualität in den Vordergrund stellt. Das ist eine wichtige Erkenntnis für die Praxis: Kliniken sollten sich nicht scheuen, Qualitätskriterien wie Funktionsumfang, Interoperabilität, Migrationsfähigkeit und Bedienerfreundlichkeit mit 70 oder gar 80 Prozent zu gewichten, solange die Bewertungsmethodik transparent und nachvollziehbar ist.
Dokumentation
Die lückenlose Dokumentation des gesamten Vergabeverfahrens, von der Leistungsbeschreibung über die Angebotseinholung bis zur Auswahlentscheidung samt Wertungskriterien, ist zwingend erforderlich. Das gilt nicht nur für formale Compliance. Die Dokumentation ist im Streitfall die einzige Verteidigungslinie gegen den Vorwurf einer vergaberechtswidrigen Zuschlagsentscheidung.
Vertragsgestaltung
Von On-Premise zu SaaS
Die Marktentwicklung ist eindeutig, nahezu alle relevanten KIS-Hersteller setzen auf cloudbasierte oder zumindest cloudfähige Plattformen. Für die Vertragsgestaltung bedeutet das einen Paradigmenwechsel: Statt eines klassischen Softwarekaufvertrags mit anschließendem Pflegevertrag steht nun ein Dauerschuldverhältnis im Mittelpunkt, in dem Bereitstellung, Betrieb und Weiterentwicklung der Software aus einer Hand erfolgen. Die EVB-IT-Vertragsmuster, die bei öffentlichen Auftraggebern regelmäßig Verwendung finden, stoßen bei solchen Konstellationen an ihre Grenzen. Zwar gibt es seit einigen Jahren die EVB-IT Cloud, aber deren Passfähigkeit auf ein Projekt der Komplexität einer KIS-Einführung ist begrenzt. In der Praxis werden die EVB-IT-Muster daher als Ausgangspunkt genutzt und erheblich modifiziert, was im Vergabeverfahren dokumentiert und begründet werden muss.
Service Level Agreements
Ein Cloud-KIS ist ein System, von dem im Ernstfall Menschenleben abhängen können. Der Unterschied zwischen einer Verfügbarkeitsgarantie von 99,5 Prozent und 99,9 Prozent klingt marginal, entspricht aber einer Differenz von rund 35 Stunden Ausfallzeit pro Jahr. Für ein Krankenhaus, in dem Notaufnahme, OP-Planung und Medikationsmanagement über das KIS laufen, ist dieser Unterschied alles andere als akademisch. Die SLA-Vereinbarung muss deshalb über die bloße Verfügbarkeitsquote hinausgehen und Reaktionszeiten, Wiederherstellungszeiten, Eskalationsmechanismen und vor allem wirksame Sanktionen bei Unterschreitung regeln, einschließlich eines Sonderkündigungsrechts bei wiederholter oder gravierender SLA-Verletzung.
Exit-Strategie
Die wichtigste Verhandlungsrunde ist diejenige, die sich mit dem Ende des Vertragsverhältnisses befasst, also mit dem Szenario, das beim Vertragsschluss niemand eintreten sehen will. Gerade weil KIS-Verträge typischerweise Laufzeiten von fünf bis zehn Jahren haben und die Abhängigkeit vom Anbieter erheblich ist, muss der Vertrag detaillierte Regelungen zur Datenherausgabe, zu Datenformaten, zu Transitionspflichten des Anbieters und zu angemessenen Übergangsfristen enthalten. Interoperabilitätsstandards setzen hier zwar einen Rahmen, der die schlimmsten Formen des Vendor Lock-in eindämmen soll. Aber wer sich allein auf Industriestandards verlässt, ohne sie vertraglich abzusichern, wird im Ernstfall feststellen, dass zwischen der theoretischen Interoperabilität und der praktischen Datenportabilität eine beträchtliche Lücke klafft.
Datenschutz und IT-Sicherheit
Die Migration auf ein cloudbasiertes KIS berührt Datenschutz und IT-Sicherheit gleichermaßen. Beide Rechtsgebiete sind im Gesundheitswesen besonders streng reguliert und greifen in der Vertragsgestaltung eng ineinander. Gesundheitsdaten gehören nach Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich untersagt und nur unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Der Cloud-Anbieter ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO; der zwingend abzuschließende Auftragsverarbeitungsvertrag muss neben den üblichen Regelungen insbesondere wirksame Audit- und Prüfrechte vorsehen, da bei SaaS-Diensten ein erheblicher Kontrollverlust bezüglich der Datenverfügbarkeit, Vertraulichkeit und Integrität zu beachten ist.
Strafrechtliche Aspekte
Die Novellierung des § 203 StGB im Jahr 2017 hat die Einschaltung von IT-Dienstleistern als „mitwirkende Personen“ erleichtert. Das Problem liegt jedoch tiefer: Bei SaaS, und ein Cloud-KIS ist definitionsgemäß SaaS, können Daten nur in entschlüsselter Form verarbeitet werden. Der Cloud-Anbieter beziehungsweise dessen Mitarbeiter können daher potenziell Kenntnis von Patientendaten erlangen. Der besonderen Gefahrenlage ist dadurch Rechnung zu tragen, dass nur auf Anforderung des Berufsgeheimnisträgers ganz bestimmte Mitarbeiter auf Daten zugreifen dürfen, soweit dies zur Fehlersuche und Fehlerbehebung unerlässlich ist. Mit jedem dieser Mitarbeiter sind Verschwiegenheitsverpflichtungen zu vereinbaren, die denselben Anforderungen genügen müssen wie diejenigen der eigenen Gehilfen des Berufsgeheimnisträgers.
Gesundheitsdaten in der Cloud
Durch das am 25. März 2024 verkündete Digitalgesetz (DigiG) wurde mit § 393 SGB V erstmals eine spezialgesetzliche Grundlage für den Cloud-Einsatz im Gesundheitswesen geschaffen, die seit dem 1. Juli 2024 gilt. Die Norm erlaubt die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing, stellt dies aber unter strenge Voraussetzungen: Die Verarbeitung darf nur im Inland, in einem EU bzw. EWR-Mitgliedstaat oder in einem Drittstaat mit Angemessenheitsbeschluss nach Art. 45 DSGVO erfolgen, und die datenverarbeitende Stelle muss über eine Niederlassung im Inland verfügen.
Besonders praxisrelevant ist die Anforderung eines aktuellen C5-Testats des BSI. Seit dem 1. Juli 2025 ist grundsätzlich ein C5-Typ2-Testat erforderlich (§ 393 Abs. 4 S. 1 und 2 SGB V). Für informationstechnische Systeme, die nach dem 30. Juni 2025 erstmals in Verkehr gebracht werden, hat der Gesetzgeber durch Änderungsgesetz vom 22. Dezember 2025, in Kraft seit dem 1. Januar 2026, eine Übergangsregel eingefügt: Für die ersten 18 Monate nach dem Inverkehrbringen genügt ein C5-Typ1-Testat, ab dem 19. Monat ist ein C5-Typ2-Testat erforderlich (§ 393 Abs. 4 S. 3 SGB V). Darüber hinaus hat das Bundesministerium für Gesundheit mit der C5-Gleichwertigkeitsverordnung vom 24. März 2025 festgelegt, dass alternativ auch Zertifizierungen nach ISO/IEC 27001, ISO 27001 auf Basis von IT-Grundschutz oder nach der Cloud Controls Matrix Version 4.0 anerkannt werden können, sofern ein Maßnahmenplan zur Schließung etwaiger Lücken gegenüber dem C5-Kriterienkatalog vorliegt.
Technische und organisatorische Maßnahmen
Nach § 391 Abs. 1 SGB V sind alle Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme zu treffen. Krankenhäuser können dieser Verpflichtung insbesondere durch Anwendung des von der Deutschen Krankenhausgesellschaft erarbeiteten branchenspezifischen Sicherheitsstandards B3S für die Gesundheitsversorgung im Krankenhaus nachkommen.
Für Krankenhäuser mit über 30.000 vollstationären Fällen pro Jahr gelten als KRITIS-Betreiber die verschärften Anforderungen der §§ 30, 31 BSIG (Risikomanagement) sowie die Meldepflichten nach § 32 BSIG bei erheblichen Sicherheitsvorfällen. Das am 6. Dezember 2025 in Kraft getretene NIS-2-Umsetzungsgesetz hat den Adressatenkreis darüber hinaus auf ‚besonders wichtige' und ‚wichtige Einrichtungen' erweitert und bringt erstmals auch für kleinere Häuser Meldepflichten gegenüber dem BSI nach § 32 BSIG, die Pflicht zu systematischen Risikoanalysen und die Einrichtung von Incident-Response-Prozessen.
Für die KIS-Vertragsgestaltung folgt aus alledem: Der Anbieter muss vertraglich zur Einhaltung der jeweils geltenden Datenschutz- und IT-Sicherheitsanforderungen verpflichtet werden, zur fortlaufenden Aufrechterhaltung des C5-Testats, und dem Krankenhaus müssen wirksame Audit-Rechte sowie ein Sonderkündigungsrecht für den Fall eingeräumt werden, dass das Testat entfällt oder regulatorische Anforderungen nicht mehr erfüllt werden. Und zwar nicht in einer allgemeinen „Best-Effort"-Klausel, sondern in Form konkreter, messbarer Anforderungen.
Weitere rechtliche Themen
Jenseits der großen Themen Vergaberecht, Vertragsrecht, Datenschutz und IT-Sicherheit gibt es weitere Rechtsgebiete, die in der Praxis gerne übersehen werden.
Medizinprodukterecht
Die Frage, ob ein KIS ein Medizinprodukt im Sinne der Medizinprodukteverordnung (MDR) ist, wird in der Branche kontrovers diskutiert. Die Antwort hängt davon ab, welche Funktionen die Software konkret ausübt: Ein reines Verwaltungs- und Abrechnungssystem wird in der Regel kein Medizinprodukt sein. Sobald das KIS aber Funktionen zur klinischen Entscheidungsunterstützung bietet, etwa Medikamenteninteraktionschecks oder Diagnosevorschläge, kann die Schwelle zum Medizinprodukt überschritten sein. Die Abgrenzung im Einzelfall ist heikel und hat erhebliche Konsequenzen: Ist das KIS ein Medizinprodukt, treffen den Hersteller die CE-Kennzeichnungspflichten der MDR und das Krankenhaus die Betreiberpflichten der Medizinprodukte-Betreiberverordnung.
KI-Regulierung
Nahezu alle KIS-Hersteller integrieren derzeit Funktionen auf Basis von Künstlicher Intelligenz (KI). Soweit solche KI-Funktionen in Software eingebettet sind, die als Medizinprodukt der Risikoklasse IIa oder höher nach der MDR qualifiziert, ist im Konformitätsbewertungsverfahren eine Benannte Stelle zu beteiligen. Damit erfüllen diese Systeme die Voraussetzungen des Art. 6 Abs. 1 der KI-Verordnung (KIVO) in Verbindung mit Anhang I Abschnitt A Nr. 11, welcher die MDR aufführt, und gelten als Hochrisiko-KI-Systeme. Da nach Regel 11 des Anhangs VIII MDR der überwiegende Teil KI-basierter Medizinproduktesoftware mindestens als Klasse IIa einzustufen ist, wird die große Mehrheit klinischer KI-Anwendungen als Hochrisiko-KI gelten. Der KIS-Vertrag sollte eine klare Verantwortungsverteilung zwischen Anbieter und Betreiber enthalten und Regelungen dazu treffen, wer die KI-Compliance verantwortet und wie mit Aktualisierungen der KI-Modelle umzugehen ist.
Ausblick
Die IS-H-Ablösung fällt in eine Phase regulatorischer Verdichtung. Insbesondere die im März 2025 in Kraft getretene Verordnung über den Europäischen Gesundheitsdatenraum (EHDS) wird die Anforderungen an Interoperabilität und Datenportabilität über die kommenden Jahre verschärfen. Diese Entwicklungen sind bei der Beschaffung eines KIS bereits heute mitzudenken. Hinzu kommt eine Marktdynamik, die sich gegen die Kliniken wendet: Je näher das Wartungsende rückt, desto knapper werden die Implementierungskapazitäten und desto weniger verhandelbar die Konditionen.
Umso wichtiger ist es, die IS-H-Ablösung von Anfang an als das zu behandeln, was sie ist: kein Projekt, das man der IT-Abteilung übergibt und irgendwann die Verträge unterschreibt, sondern ein Vorhaben, das Vertragsrecht, Vergaberecht, Datenschutz, IT-Sicherheit und Medizinprodukterecht gleichzeitig berührt und in jedem dieser Felder eigene Fallstricke bereithält. Wer diese Zusammenhänge früh erkennt und das Projekt entsprechend aufsetzt, hat gute Chancen, die Transformation erfolgreich zu gestalten.
