Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Das Patientendatenschutzgesetz – Sind alle Krankenhäuser nun Kritis-Betreiber?

PrintMailRate-it

veröffentlicht am 18. Oktober 2021

 

Zahlenschloss 

Datenschutz und Datensicherheit bekommen mit dem am 14.10.2020 verabschiedeten und zum Anfang des Jahres 2021 in Kraft getretenen Patientendatenschutzgesetz (PDSG) eine noch höhere Bedeutung für Krankenhausbetreiber. Im Spannungsverhältnis von Digitalisierung des Gesundheitswesens und Sicherheit von Patientendaten müssen praktikable und verlässliche Lösungen in der Gesundheitswirtschaft entwickelt werden. Diesem Spannungsverhältnis trägt der Beitrag Rechnung.


Mit dem am 14.10.2020 verabschiedeten und zum Anfang des Jahres 2021 in Kraft getretenen Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur – kurz: Patientendatenschutzgesetz (PDSG) soll die Digitalisierung des Gesundheitswesens in Deutschland weiter vorangetrieben werden. Neben den Rahmenbedingungen für die elektronische Patientenakte beinhaltet es insbesondere Vorgaben hinsichtlich der Sicherheit von Patientendaten. Auf Krankenhäuser, Ärzte, Krankenkassen und andere Akteure des Gesundheitswesens kommen seitdem neue Herausforderungen in den Bereichen Datenschutz und Datensicherheit zu.


Das Patientendatenschutzgesetz regelt unterschiedliche Bereiche, die im Ergebnis alle das Recht des Patienten auf eine moderne Gesundheitsversorgung zum Ziel haben. Das bedeutet u. a., dass die Krankenkassen ihren Versicherten ab diesem Jahr eine elektronische Patientenakte (ePA) anbieten müssen. Gleichzeitig erhalten die Patienten einen Anspruch darauf, dass ihre Ärzte die entsprechenden Daten in die ePA eintragen. Zudem besteht ab 2022 auch die Möglichkeit, neben Befunden, Arztberichten oder Röntgenbildern den Impfausweis, den Mutterpass, das gelbe Untersuchungsheft für Kinder sowie das Zahn-Bonusheft in der elektronischen Patientenakte speichern zu lassen. Auch ein Krankenkassenwechsel soll unkompliziert möglich sein. Ab 2022 können die entsprechenden Daten aus der ePA übertragen werden.


Zusammenfassend ergibt sich daher folgendes Bild:

 

Patientedatenschutzgesetz Grafik 

 

Dort, wo eine große Menge sensibler Daten gesammelt und verarbeitet wird, bedarf es selbstverständlich auch eines besonderen Schutzes. Eine wesentliche Änderung bringt daher § 75c SGB V hinsichtlich der Anforderungen an die IT-Sicherheit in Krankenhäusern mit sich:


(Absatz 1, Satz 1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.


Neu ist in diesem Zusammenhang, dass die Umsetzung angemessener Maßnahmen im Bereich der Informationssicherheit nach dem Stand der Technik auch für kleinere Krankenhäuser verbindlich vorgegeben wird. Bisher waren ausschließlich Universitätskliniken und Maximalversorger als sog. kritische Infrastrukturen durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) betroffen. Kleinere Krankenhäuser stehen daher vor großen Herausforderungen, da neben technischen Anpassungen und Investitionen auch Anpassungen an interne Verfahren notwendig werden. Gleichzeitig ist die Personalausstattung in der Regel ohnehin angespannt und die Möglichkeiten Personal zu beschaffen und langfristig zu binden sind insbesondere im öffentlichen Bereich begrenzt. Neben dem Tages- und Projektgeschäft sowie der herausfordernden Anbindung an die Telematik-Infrastruktur gesellen sich nun verstärkt regulatorische Anforderungen zur Datensicherheit.


Umso wichtiger ist es, dieses Thema möglichst gezielt und ressourceneffizient anzugehen. Folgende Fragestellungen sind hierfür von Bedeutung:

  • Wie laufen die Prozesse der medizinischen Versorgung ab und welche IT-Systeme werden dafür aktuell verwendet?
  • Was sind die kritischen IT-Systeme und welchen Schutzbedarf haben sie derzeit?
  • Wie sind die Systeme heute geschützt?
  • Welche Maßnahmen müssen ergriffen werden, um einen ausreichenden gesetzeskonformen Schutz zu gewährleisten?


Zu beachten ist dabei, dass die Maßnahmen nicht zwingend technischer Natur sein müssen (z. B. Einführung neuer Systeme zur Absicherung). Häufig sind organisatorische Maßnahmen (z. B. Neugestaltung von Zugriffsrechten, Festlegung von Verantwortlichkeiten) sehr viel zielführender als große Investitionsmaßnahmen. Diese Maßnahmen sparen Zeit und andere Ressourcen. Welches jeweils die zielführendste Maßnahme ist, sollte gemeinsam mit Mitarbeitern der Krankenversorgung und der IT ermittelt werden. Datenschutz und Datensicherheit sind eine Unternehmensaufgabe, bei der abteilungsübergreifend zusammengearbeitet werden muss, um angemessene und effiziente Maßnahmen umzusetzen.


Koordinierende Stelle ist hier im Normalfall der Informationssicherheitsbeauftragte (ISB) des Krankenhauses. Dieser ist wesentlicher Bestandteil des Informationssicherheits-Management-Systems (ISMS). Der ISB muss mit einem ausreichenden Zeitbudget versehen werden, um seinen Aufgaben nachkommen zu können. Bei der Besetzung ist insbesondere darauf zu achten, dass Interessenskonflikte durch Überschneidungen mit anderen Tätigkeiten (z. B. gleichzeitige Leitung der IT-Abteilung) ausgeschlossen werden. Weiterhin empfiehlt es sich, bei der Auswahl auf Branchenerfahrung zu achten, denn es bedarf im Umgang mit Ärzten und dem Pflegepersonal erfahrungsgemäß der richtigen Ansätze, um auch unpopuläre, aber durchaus notwendige Sicherheitsmaßnahmen zu platzieren und durchsetzen zu können.

 

Aber wann sind denn nun organisatorische und technische Vorkehrungen angemessen?

(Absatz 1, Satz 2) Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht.

 

 

 Kurzum: 

Soviel wie nötig, so wenig wie möglich!

 

 

Von elementarer Bedeutung bei der Umsetzung von Maßnahmen ist dabei, dass die jeweiligen Schutzziele erreicht werden. Die Zauberformel lautet „VAPIBV”:

  • Verfügbarkeit von Dienstleistungen, Funktionen eines Informationssystems, IT-System, IT- Netzinfrastruktur oder auch von Informationen ist dann gegeben, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
  • Authentizität der Informationen ist sichergestellt, wenn sie von der angegebenen Quelle erstellt wurden.
  • Patientensicherheit als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen. Dies schließt auch die Vermeidung einer nachhaltigen psychischen Belastung ein.
  • Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen.
  • Behandlungseffektivität stellt die wirksame Behandlung des Patienten unter Benutzung von Informationen und wirksamen Therapiemaßnahmen, ggf. auf Basis eines Informationsaustausches zwischen unterschiedlichen verantwortlichen Organisationseinheiten, sicher.
  • Vertraulichkeit stellt den Schutz vor unbefugter Preisgabe von Informationen sicher. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in zulässiger Weise zugänglich sein.


Die Schutzziele Patientensicherheit und Behandlungseffektivität stammen aus dem branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung in Krankenhäusern. Der B3S geht mit der Festlegung dieser Ziele über die Anforderungen einschlägiger Normen, wie dem BSI Grundschutz, deutlich hinaus. Mit Blick auf die wesentlichen Ziele eines Krankenhauses und das Wohl von Patienten ist dies jedoch zielführend und nachvollziehbar.


Eine rein wirtschaftliche Betrachtung bei der Planung von Maßnahmen ist nicht ausreichend. Die Umsetzung einer Maßnahme darf nicht aus dem Grund unterbleiben, weil sie beispielsweise „zu teuer” ist. Es muss dabei immer abgewogen werden, welche Risiken durch Unterlassung von Maßnahmen auf die Schutzziele bestehen und ob ein angemessener Schutz besteht.


(Absatz 1, Satz 3) Die informationstechnischen Systeme sind spätestens alle 2 Jahre an den aktuellen Stand der Technik anzupassen.


Die Umsetzung des Stands der Technik orientiert sich an den Vorgaben des BSI-Gesetzes, laut dem alle 2 Jahre ein entsprechender Nachweis gefordert ist. Gegenüber Betreibern kritischer Infrastrukturen gibt es jedoch eine entscheidende Erleichterung: Der Stand der Technik ist zwar umzusetzen, die Umsetzung ist allerdings nicht – zwingend – gegenüber dem BSI nachzuweisen. Ein Nachweis der Umsetzung kann unter Umständen aber dennoch nützlich sein, z. B. bei Abschluss einer Cyber-Versicherung, als Nachweis der Wirksamkeit des Management-Systems für Informationssicherheit oder unter Compliance Gesichtspunkten.


Wann kann man sicher sein, dass die Verpflichtungen erfüllt sind?

(Absatz 2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.


Es gibt verschiedene Grundlagen, an denen sich die Krankenhäuser orientieren können, um die Verpflichtungen zur Datensicherheit strukturiert umzusetzen. Am bekanntesten sind dabei vermutlich die Norm ISO/IEC 27001 und der BSI IT-Grundschutz. Letzterer ist allerdings sehr formal, umfangreich und wenig prozessorientiert. Es lohnt sich daher, Verfahren am branchenspezifischen Sicherheitsstandard (B3S) „Medizinische Versorgung”, der vom Branchenarbeitskreis „Medizinische Versorgung” erstellt wurde, auszurichten.


Weder das BSI-Gesetz noch die Kritis-Verordnung enthalten konkrete Maßnahmen innerhalb einer spezifischen Branche, um die im BSI-Gesetz abstrakt formulierten Anforderungen umzusetzen. Der branchenspezifische Sicherheitsstandard entspricht einer Interpretation für sinnvolle und notwendige Maßnahmen im Bereich der medizinischen Versorgung und bietet durch die Freigabe des BSI Sicherheit. Die Aufrechterhaltung des Versorgungsniveaus der kritischen Infrastruktur steht stets im Mittelpunkt der Maßnahmen. Hierfür ist ein Informationssicherheits-Management-System (ISMS) obligatorisch.

 

Wesentlicher Bestandteil des Managementsystems ist die Risikoverwaltung. Es sind strukturierte Verfahren für die Identifikation, Bewertung und Überwachung von Risiken im Bereich der Informationssicherheit zu etablieren und aufrechtzuerhalten. Neben dem Risikomanagement enthält der B3S außerdem die folgenden Bereiche:

  • Informationssicherheits-Management-System (ISMS) 
  • Organisation der Informationssicherheit
  • Meldepflichten nach § 8b Absatz 4 BSI-Gesetz
  • Betriebliches Kontinuitätsmanagement
  • Asset Management
  • Robuste/resiliente Architektur
  • Physische Sicherheit
  • Personelle und organisatorische Sicherheit
  • Vorfallerkennung und Behandlung
  • Überprüfungen im laufenden Betrieb
  • Externe Informationsversorgung und Unterstützung
  • Lieferanten, Dienstleister und Dritte
  • Technische Informationssicherheit

 

Wer ist von den Neuregelungen nicht betroffen?

(Absatz 3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

 

Für Kritis-Häuser ergeben sich durch § 75c SGB V keine Änderungen, da sie bereits ohnehin durch das BSI-Gesetz zur Umsetzung des Stands der Technik verpflichtet sind. Durch das Patientendatenschutzgesetz sollen im Ergebnis alle Krankenhäuser auf das Schutzniveau von Kritis-Häusern kommen, unabhängig von der Fallzahl (sog. Kritis-light). Derzeit definiert die Kritis-Verordnung lediglich Krankenhäuser mit einer jährlichen Zahl von mindestens 30.000 vollstationären Fällen als kritische Infrastrukturen.


Zum aktuellen Zeitpunkt ist für Nicht-Kritis-Häuser kein Nachweis über die Umsetzung im Rahmen von zweijährlichen Prüfungen gegenüber dem BSI geplant. Dabei handelt es sich jedoch um eine Momentaufnahme. Seit Veröffentlichung der Kritis-Verordnung wird mit einer sukzessiven Erweiterung des Kreises der Betreiber kritischer Infrastrukturen durch Senkung der Schwellenwerte gerechnet.

 

Nichtsdestotrotz sollte die Geschäftsleitung über eine freiwillige Prüfung, beispielsweise auf Basis des branchenspezifischen Sicherheitsstandards, nachdenken. Hierdurch können wesentliche Schwachstellen und Angriffspunkte frühzeitig aufgedeckt und nachgebessert werden. Einen Ausfall der medizinischen IT-Systeme können und dürfen sich große wie kleine Krankenhäuser nicht erlauben. Gut, wenn man vorher nachweislich durch ein Audit Auswirkungen und Wahrscheinlichkeiten von Schadensereignissen auf ein akzeptables Maß reduzieren konnte. Sollten dennoch umfangreichere IT-Investitionen notwendig werden, kein Problem.


Das Krankenhauszukunftsgesetz (KHZG) sieht in einem der Förderprogramme vor, dass Projekte zur Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer oder kommunikationstechnischer Anlagen, Systeme oder Verfahren unterstützt werden. Gleiches gilt für die Modernisierung der vorhandenen Systeme. Förderungen nach § 12a Abs. 1 S. 4 Nr. 3 des KHZGs (Vorhaben zur Verbesserung der informationstechnischen Sicherheit der Krankenhäuser aus dem Strukturfond) sind sogar vorrangig.


Sprechen Sie uns gerne an. Unsere Experten, die auch über die Berechtigung nach § 21 KHSFV verfügen, sind gerne für Sie da! 

 

Ei auf Luftpolsterfolie Banner

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Security-Auditor, IT-Auditor IDW

Partner

+49 911 9193 3508
+49 911 9193 3679

Anfrage senden

Contact Person Picture

Norman Lenger-Bauchowitz, LL.M.

Rechtsanwalt, Fachanwalt für Steuerrecht, Compliance Officer (TÜV), Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)

Partner

+49 911 9193 3713
+49 911 9193 3679

Anfrage senden

Profil

 Wir beraten Sie gern!

Downloadcenter Banner
Deutschland Weltweit Search Menu