PDSG

Security-Anforderungen an Kliniken steigen

29.09.2021
Von   IDG ExpertenNetzwerk und
Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Seit 2015 ist sie Mitglied im IDG-Expertennetzwerk.
Dr. Carolin Monsees ist Fachanwältin für IT-Recht und Salary-Partnerin bei der Wirtschaftskanzlei Taylor Wessing.
Ein im Patientendatenschutzgesetz neu eingeführter Paragraf verpflichtet ab Januar 2022 auch kleinere Kliniken zu bestimmten Sicherheitsmaßnahmen.
Patientenakten aus Papier und Pappe weichen der digitalen Dokumentation. Und damit kommen auch immer mehr Sicherheitsvorkehrungen auf Krankenhäuser zu.
Patientenakten aus Papier und Pappe weichen der digitalen Dokumentation. Und damit kommen auch immer mehr Sicherheitsvorkehrungen auf Krankenhäuser zu.
Foto: Dominique James - shutterstock.com

Online-Terminvergabe für Patienten, künstliche Intelligenz zur Tumorerkennung, Medikamentenpläne anhand von Online-Datenbanken, kommunizierende Herzschrittmacher, Cloud-Speicher für Patientenakten oder digitales Entlassungsmanagement: Von der ersten Kontaktaufnahme, über die Diagnose und Therapie bis hin zur Nachversorgung - die Digitalisierung ist aus dem medizinischen Bereich nicht mehr wegzudenken. Um diese im Krankenhausbereich weiter voranzutreiben, hat das Bundesamt für Soziale Sicherung erst letztes Jahr den Krankenhauszukunftsfonds mit einem Fördervolumen in Höhe von bis zu 4,3 Milliarden Euro errichtet.

Doch bei allen Vorteilen, die die Digitalisierung bietet, steigt damit auch das Risiko von Angriffen aus dem Cyberraum. Dabei ist die Anzahl der Cyberattacken in den letzten Jahren gestiegen: So hat sich die Zahl der Straftaten im Bereich der Cyberkriminalität von 2015 auf 2020 in Deutschland mehr als verdoppelt, wie sich aus den jeweiligen Bundeslageberichten des Bundeskrimimalamtes zu Cybercrime ergibt. Wie real diese Gefahr tatsächlich ist, zeigt exemplarisch ein Hackerangriff auf die IT-Systeme der Uniklinik Düsseldorf im September 2020.

PDSG: Neue gesetzliche Vorgaben 2022

Der Gesetzgeber hat dieses Risiko vor allem bei größeren Krankenhäusern gesehen und entsprechend geregelt. Nach Maßgabe der BSI-Kritisverordnung (BSI-KritisV) zählen Krankenhäuser zu Betreibern kritischer Infrastruktur (KRITIS), sofern sie einen Schwellenwert von 30.000 vollstationären Fällen pro Jahr überschreiten. Im BSI-Gesetz (BSIG) wird den KRITIS-Betreibern die Pflicht auferlegt, ihr IT-System durch angemessene organisatorische und technische Vorkehrungen vollumfänglich zu schützen und dabei den Stand der Technik einzuhalten. Darüber hinaus sind die Betreiber verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre:

  • den Nachweis über die Erfüllung der entsprechenden Anforderungen zu erbringen,

  • eine jederzeit erreichbare Kontaktstelle zu benennen und

  • erhebliche Störungen umgehend zu melden.

Bei einem Pflichtverstoß drohen empfindliche Geldbußen von bis zu 20 Millionen Euro. Diese Verpflichtungen galten bisher nur für als KRITIS-Betreiber eingestufte Krankenhäuser. Dies wird sich durch das im Oktober 2020 erlassene Patientendatenschutzgesetz (PDSG) und den neu eingeführten § 75c SGB V zukünftig allerdings ändern. Demnach sind ab dem 1. Januar 2022 ausnahmslos alle Krankenhäuser verpflichtet, Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

Kurzgefasst bedeutet das: Auch kleinere Krankenhäuser sind nun verpflichtet, ihre IT-Systeme nach dem Stand der Technik durch angemessene Vorkehrungen zu schützen. Diese Verpflichtungen können Krankenhausbetreiber insbesondere erfüllen, indem sie die branchenspezifischen Sicherheitsstandards (B3S) in der jeweils gültigen Fassung umsetzen. Der B3S beschreibt informationssicherheitstechnische Prozesse und Maßnahmen, anhand derer ein angemessenes Schutzniveau erreicht werden kann. Die Einhaltung der B3S ist in § 75c Absatz 2 SGB V als Empfehlung normiert.

Während als KRITIS-Betreiber eingestufte Krankenhäuser bereits durch die BSI-KritisV zur Nachweispflicht gegenüber dem BSI verpflichtet wurden, ergibt sich eine solche Anforderung für kleine Krankenhäuser weder aus § 75c SGB V noch aus dem PDSG. Dennoch haben auch kleinere Krankenhäuser alle zwei Jahre ihre IT-Sicherheitsmaßnahmen an den aktuellen Stand der Technik anzupassen (siehe § 75c Absatz 1 S. 3 SGB V).

Unbeschadet dessen ist die Einhaltung der Schutzmaßnahmen für den Träger essenziell. Werden etwa in Folge eines Cyberangriffes Patienten nicht behandelt oder versterben schlimmstenfalls, ist nicht auszuschließen, dass etwaige Schadensersatzansprüche gegen den Träger geltend gemacht werden. In einem Prozess kann der Nachweis darüber, angemessene Vorkehrungen zum Schutz der IT-Systeme getroffen zu haben, entlastend wirken. Auch könnten unter Umständen strafrechtliche Konsequenzen drohen.

Lesetipp: Interview - So verlief die Ransomware-Attacke im Lukaskrankenhaus

IT-Sicherheit: Datenschutz nicht vergessen

Doch nicht nur aus den vorgenannten Gründen bedarf es angemessener IT-Sicherheitsmaßnahmen. Vielmehr ist zu beachten, dass nahezu jeder IT-Sicherheitsvorfall auch eine (meldepflichtige) Datenschutzverletzung nach sich zieht. Hierbei ist nicht nur an Cyberattacken zu denken, sondern auch an den Umgang mit personenbezogenen Daten im Rahmen des operativen Betriebs. Eine der häufigsten Datenschutzverletzungen, die ein Bußgeld nach sich zog, war ein nicht vorhandenes oder unzureichendes Rollen- und Berechtigungssystem für die Patientendaten.

  • So war es allen Beschäftigten eines Krankenhauses in Den Haag möglich, auch ohne entsprechende Veranlassung jederzeit auf Patientenakten zuzugreifen. Für diesen eklatanten Sicherheitsmangel verhängte die zuständige Aufsichtsbehörde ein Bußgeld von 460.000 Euro.

  • Sie folgt damit dem Beispiel einer portugiesischen Aufsichtsbehörde, die aus demselben Grund im Jahr 2018 bereits ein Bußgeld von 400.000 Euro gegen ein Krankenhaus verhängte.

  • Aber auch die Datenschutzbehörde in Rheinland-Pfalz ahndete ein Krankenhaus aufgrund mehrerer Datenschutzverletzungen im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme. Sie verhängte ein Bußgeld in Höhe von 105.000 Euro.

Krankenhäuser sind zukünftig angehalten, noch mehr auf die IT-Sicherheit zu achten. Die zunehmende Digitalisierung ist sowohl für Patient als auch für Ärzte, Pflegende und Krankenhausbetreiber wünschenswert, jedoch nur unter Einhaltung der Sicherheitsstandards. Wir empfehlen Krankenhausbetreibern deshalb dringend, die bestehenden IT-Sicherheitsstrukturen mit Blick auf die steigenden Anforderungen noch einmal zu überprüfen und etwaige Schutzlücken zu schließen. Bei Bedarf sollte Unterstützung durch Rechts- und Technikexperten eingeholt werden. (bw)