Digitalisierung im Gesundheitswesens: IT-Sicherheit in Krankenhäusern

Die zunehmende Digitalisierung trägt wesentlich zur Vereinfachung von verschiedensten Prozessen bei. Auch das Gesundheitswesens wird zunehmend digitalisiert. Dabei ist jedoch zu beachten, dass Gesundheitsdaten einen besonderen gesetzlichen Schutz nach Art. 9 Datenschutz-Grundverordnung (DSGVO) genießen. Zum Schutz von Patientendaten werden Krankenhäuser mit Inkrafttreten des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) gesetzlich dazu verpflichtet ein angemessenes Informationssicherheitsmanagementsystem (ISMS) zu etablieren. Erhalten Sie nachfolgend einen Überblick über die gesetzlichen Bestimmungen sowie Umsetzungsmöglichkeiten.

1. Gesetzliche Bestimmungen

Gemäß § 75c Abs. 1 S. 1 SGB V sind Krankenhäuser ab dem 01.01.2022 dazu verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht.

75 c SGB V ist für alle Krankenhäuser unabhängig von ihren vollstationären Fällen pro Jahr verpflichtend. Der Gesetzgeber führt in der Gesetzesbegründung zu § 75c SGB V aus, dass das Bedrohungspotenzial durch zunehmend zielgerichtete, technologisch ausgereifte und komplexe Angriffe alle Krankenhäuser betreffe. Des Weiteren sieht § 75c Abs. 1 S. 3 SGB V vor, dass die informationstechnischen Systeme der Krankenhäuser zumindest alle zwei Jahre an den aktuellen Stand der Technik anzupassen sind. Damit trifft diese Verpflichtung auch die Krankenhäuser, die nicht verpflichtet sind, alle zwei Jahre die Erfüllung der Anforderungen an die Betreiber Kritischer Infrastrukturen (KRITIS) aus dem IT-Sicherheitsgesetz nachzuweisen.

2. Umsetzung

In der Gesetzesbegründung und in § 75c Abs. 2 SGB V empfiehlt der Gesetzgeber die Anwendung des branchenspezifischen Sicherheitsstandard B3S für die Gesundheitsversorgung im Krankenhaus, welcher die Anforderungen nach § 8a Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) umsetzt. Grundlage des B3S ist die Etablierung eines ISMS nach ISO 27001. Der Sicherheitsstandard B3S eignet sich bei kritischen Infrastrukturen. Zur Klassifizierung als kritische Infrastruktur ist bei Krankenhäusern der Schwellenwert von 30.000 vollstationären Behandlungsfällen pro Jahr maßgeblich. Dabei obliegt den Krankenhäusern gemäß der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (Anlage 5 Nr. 3 BSI-KritisV) die Pflicht bis spätestens 31. März zu prüfen, ob der benannte Schwellenwert im Vorjahr (Kalenderjahr) erreicht oder überschritten wurde.

Für Krankenhäuser, die diesen Schwellenwert nicht erreichen, ist der B3S nicht zwingend. Es empfiehlt sich allerdings ein entsprechendes ISMS zu etablieren. Hierfür kann sich in kleineren Häusern auch die branchenneutralen VdS-Richtlinien 10000 eignen. Die Richtlinien VdS 10000 basieren auf den anerkannten Standards ISO 27001 und BSI-Grundschutz. Laut BSI stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.

Mit voranschreitender Digitalisierung zeigt sich das Zusammenspiel von Informationssicherheit und Datenschutz. § 75c SGB V soll u.a. die Sicherheit der verarbeiteten Patienteninformationen gewährleisten. Zumindest diese Vorgaben sollten für die betroffenen Häuser nicht neu sein. Eine entsprechende Pflicht ergibt sich für die Verarbeitung personenbezogener Daten bereits aus den Vorgaben aus Art. 32 DSGVO. Dieser normiert bereits die Gewährleistung eines angemessenen Schutzniveaus der Rechte und Freiheiten natürlicher Personen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und dem Zweck der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos. Schon deshalb sind Krankenhäuser neben der ab 01.01.2022 verpflichtenden Etablierung eines ISMS sowie sonstige Unternehmen in jeder Hinsicht auch mit der Etablierung eines Datenschutzmanagement zur Erfüllung der Anforderungen aus §§ 5 Abs. 2, 24 DSGVO gut beraten.