Seit dem 01.01.2021 gilt das neue Patientendaten-Schutz-Gesetz, kurz PDSG nunmehr. Wie wir bereits 2020 berichtet haben, enthält es viele Neuerungen in Bezug auf die Digitalisierung des Gesundheitswesens, wie z.B. die Einführung der elektronischen Patientenakte oder des E-Rezept, es kommen damit aber auch erhöhte Anforderungen an die IT-Sicherheit betroffener Stellen zum Tragen [1]. Krankenhäuser nehmen hierbei eine besondere Rolle ein.
Bislang galt im Gesundheitssektor nach § 8a BSIG lediglich für Betreiber Kritischer Infrastrukturen (KRITIS), dass diese technische und organisatorische Vorkehrungen zu ergreifen haben, um ihre IT-Systeme nach dem „Stand der Technik“ abzusichern [2]. Für Krankenhäuser ist, gemäß BSI-Kritis Verordnung, in Anhang 5 Teil 3 Nr. 1, beispielsweise ein Schwellenwert von 30.000 vollstationären Fällen pro Jahr bestimmt, der die Häuser als KRITIS einordnet. Diese haben hiernach spezifische Anforderungen an ihre Informationssicherheit zu erfüllen sowie deren Einhaltung regelmäßig gegenüber dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) nachzuweisen [3].
Nicht mehr nur KRITIS-Krankenhäuser, sondern alle!
Auf Grundlage des PDSG wurden die IT-Anforderungen für Krankenhäuser, die aufgrund des Schwellenwertes (noch) nicht zur Kritischen Infrastruktur gehören, nun erhöht. Ab dem 01.01.2022 sind ausdrücklich alle Krankenhäuser in Deutschland verpflichtet, angemessene Schutzmaßnahmen zur Informationssicherheit zu treffen und damit insbesondere auch die Sicherheit von Patientendaten zu gewährleisten. Das PDSG fügt hierzu eigens die neue Vorschrift des § 75c in das Sozialgesetzbuch (SGB) V ein [4].
Konkretisierter Datenschutz?
Zumindest der Schutz von Patienteninformationen dürfte den Krankenhäusern jedoch nicht fremd sein. Patientendaten sind Gesundheitsdaten und unterliegen daher bereits dem besonderen Schutz nach Art. 9 Abs. 1 DSGVO. Die Gewährleistung eines angemessenen Schutzniveaus der Datenverarbeitung ergibt sich für die Verantwortlichen aus Art. 32 DSGVO. Die Verordnung fordert insbesondere geeignete technische und organisatorische (Schutz-)Maßnahmen (sogenannte TOM). Davon umfasst sind nicht nur IT-bezogene Schritte wie z.B. Passwortschutz, sondern auch über die reine IT hinausgehende Datensicherheitsmaßnahmen wie z.B. Mitarbeiterschulungen oder Blickschutzfolien auf Monitoren [5]. Zur Umsetzung der Anforderungen können sich Verantwortliche in der Praxis bereits heute an verschiedenen Modellen wie z.B. dem Standard-Datenschutz-Modell (SDM), der ISO 27000er Reihe oder dem BSI-Grundschutz orientieren [6].
Nach § 75c SGB V sind darüber hinaus ab 01.01.2022 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele informationstechnischer Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Zusätzlich ist wiederum der sogenannte „Stand der Technik“ einzuhalten [7]. Man könnte demnach sagen, dass der Datenschutz nun nochmals dahingehend konkretisiert und erweitert wurde.
Im Gegensatz zu KRITIS-Krankenhäusern müssen die Häuser, die ausschließlich § 75c SGB V unterfallen, jedoch keinen Nachweis an das BSI übermitteln. Das Gesetz spricht in Abs. 2 bislang lediglich eine Empfehlung aus, einen branchenspezifischen Sicherheitsstandard (Anmerkung der Redaktion: gemeint ist B3S sowie ein entsprechendes Informationssicherheits-Managementsystems-ISMS) einzuführen und diesen als Orientierungshilfe zu nutzen.
Bestehen Konsequenzen bei fehlender oder verspäteter Umsetzung?
Konsequenzen für Krankenhäuser, die ihre IT-Sicherheit nicht fristgerecht umsetzen sind jedenfalls nach dem SGB V nicht vorgesehen.
ABER: Krankenhäuser die § 75c SGB V missachten, setzten sich in jedem Falle einem hohen Haftungsrisiko aus, wenn es z.B zu Cyber-Angriffen etc. kommt. Die Uni-Klinik Düsseldorf wurde jüngst im September 2020 Opfer einer solchen Hacker-Attacke in deren Zusammenhang es sogar zu einem Todesfall kam [8].
Darüber hinaus bewegt sich ein Krankenhaus bzw. dessen Betreiber, der wissentlich gesetzliche Auflagen nicht erfüllt, im Bereich der groben Fahrlässigkeit und damit im strafrechtlichen Bereich.
Verstöße gegen die DSGVO sind zudem mit teils empfindlichen Bußgeldern versehen und können bis zu 4% des weltweiten Jahresumsatzes betragen[9]. Gerade die deutschen Behörden sind im europäischen Vergleich alles andere als gnädig und verhängten nach Italien bislang die höchsten Bußgelder seit Inkrafttreten der DSGVO [10].
Von zentraler Rolle in Bezug auf die IT-Sicherheit sowie den Datenschutz in Krankenhäusern ist demnach die Schaffung und regelmäßige Kontrolle eines spezifischen Berechtigungsmanagements sowie eine Infrastruktur mit Kontrollmechanismen, die auf etablierten (IT)-Sicherheitsstandards aufbaut.
Sie haben Fragen?
Sprechen Sie uns an! Wir beraten Sie und Ihr Krankenhaus gerne bei der Verbesserung Ihrer IT-Sicherheit und der Anpassung an die aktuelle Gesetzeslage.
[1] Vgl. https://www.bundesregierung.de/breg-de/suche/patientendaten-schutz-gesetz-1738402.
[2] Vgl. § 8a Abs.1 BSIG.
[3] Vgl. Ritter, „Corona-Ferien für Kritische Infrastrukturen?“, RDV, 5/2020, S. 237 f.
[4] Vgl. BGBl. 2020 Teil I Nr. 46 vom 14.10.2020, S. 2116 f.
[5] Vgl. Schwartmann/ Jaspers/ Thüsing/ Kugelmann: DS-GVO/BDSG zu Art. 32 DSGVO, Rn. 26.
[6] Vgl. Schwartmann/ Jaspers/ Thüsing/ Kugelmann: DS-GVO/BDSG zu Art. 32 DSGVO, Rn. 129.
[7] Siehe § 75c SGB V.
[8] Siehe https://www.heise.de/news/Cyber-Angriff-auf-Uniklinik-Duesseldorf-Shitrix-schlug-zu-4904979.html.
[9] Siehe Art. 83 DSGVO.
[10] Siehe https://www.heydata.eu/europa-im-datenschutz-ranking.