Zusammenfassung
Cybervorfälle bedrohen Krankenhäuser sämtlicher Größen. Daher gelten für sie besondere Rechtspflichten. Krankenhäuser müssen bereits im Normalfall IT-Schutzmaßnahmen ergreifen. Krankenhäuser, die Kritische Infrastrukturen darstellen, müssen die Einhaltung dieser Vorschriften regelmäßig nachweisen. Bei einem Cybernotfall müssen alle Krankenhäuser aktiv werden. Denn regelmäßig ergeben sich Melde- und Benachrichtigungspflichten aus der DS-GVO. Für Kritische Infrastrukturen gilt darüber hinaus eine besondere Meldepflicht aus dem BSIG. Zur Einhaltung der vielfältigen Rechtspflichten ist ein strukturiertes Vorgehen in den Krankenhäusern notwendig, da bei Missachtung erhebliche Sanktionen drohen.
Abstract
Cyber incidents threaten hospitals of all sizes. They therefore have special legal obligations. Hospitals must undertake protective measures in IT even in normal cases. In addition, hospitals that represent critical infrastructures must regularly prove that they have adhered to these regulations. In the event of a cyber incident, all hospitals must take action. Reporting and notification obligations regularly arise from the GDPR. For critical infrastructures, an additional notification obligation arises from the Federal Office for Information Security (BSIG). In order to comply with all legal obligations, a structured approach is necessary as there is a risk of significant sanctions if they are disregarded.
Die im ersten Teil dieses BeitragsFootnote 1 aufgezeigte Bedrohungslage für die Cybersicherheit von Krankenhäusern wirkt sich bei einem Cybervorfall auf die Handlungspflichten des Krankenhauses aus. Denn der Gesetzgeber beabsichtigt, dass die zuständigen Behörden kontinuierlich einen Überblick über den Stand der Cybersicherheitslage sowie die Datensicherheit haben. Das gilt nicht nur im Notfall, sondern auch im Normalfall, d. h. wenn die Krankenhäuser präventive Maßnahmen zur Verringerung von Cyberrisiken ergreifen müssen, es aber nicht zu einem akuten Ereignis gekommen ist. Daher sehen insbesondere das BSIG und die DS-GVO Pflichten vor, bei deren Missachtung Sanktionen drohen.
1 Rechtspflichten von Krankenhäusern im Normalfall
Die Cybersicherheit von Krankenhäusern ist insbesondere im BSIG, in § 75c SGB V sowie in der DS-GVO geregelt.Footnote 2 Das BSIG und die DS-GVO entsprechen in ihrer Konzeption dem Stil moderner Gesetze mit einer Verknüpfung von „Kooperation und Sanktion“Footnote 3. Das bedeutet, die Regelungen messen der Kooperation von Unternehmen mit den zuständigen Behörden eine große Bedeutung zu und koppeln diese an einen umfassenden Sanktionskatalog bei Verstößen.
a. Nachweispflichten Kritischer Infrastrukturen nach § 8a BSIG
Die wohl bedeutendste Rechtspflicht für Krankenhäuser im „Normalfall“ stellt die Nachweispflicht nach § 8a Abs. 3 BSIG dar. Danach müssen die Betreiber Kritischer Infrastrukturen, zu denen Krankenhäuser ab einem Schwellenwert von 30.000 stationären Behandlungsfällen pro Jahr zählenFootnote 4, in einem 2‑Jahres-Rhythmus gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Nachweis erbringen, dass sie die organisatorischen und technischen Vorkehrungen (OTV) i. S. d. § 8a Abs. 1 und Abs. 1a BSIG getroffen haben.
Nicht nur größere Krankenhäuser, die zur Kritischen Infrastruktur gehören und dem § 8a SBIG unterfallen, müssen für eine ausreichende IT-Sicherheit sorgen. Für sämtliche Krankenhäuser gilt die Pflicht zum Ergreifen von IT-Sicherheits-Maßnahmen nach dem inhaltlich nahezu deckungsgleichen § 75c SGB V, „soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a BSIG angemessene technische Vorkehrungen zu treffen haben“Footnote 5. Allerdings stellt die Nachweispflicht einen signifikanten Unterschied zwischen den beiden Regelungen dar. Das SGB V enthält keinerlei Kooperationspflichten, weshalb ihm vielmehr eine Appell- und Anreizfunktion zukommt.Footnote 6
aa. Zeitpunkt und inhaltliche Ausgestaltung des Nachweises
Die Einrichtungen müssen die OTV nach § 8a Abs. 1 BSIG spätestens am ersten Werktag nach der erstmaligen oder erneuten Einstufung der Einrichtung als Kritische Infrastruktur nach der BSI-KritisV ergreifen. Hieran orientiert sich auch der Nachweisrhythmus des § 8a Abs. 3 BSIG. Die Betreiber haben die Erfüllung der Anforderungen spätestens zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt und anschließend alle 2 Jahre dem BSI nachzuweisen.
Nach § 8a Abs. 3 S. 2 BSIG kann der Nachweis durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.Footnote 7 Hier zeigt sich die Relevanz von branchenspezifischen Sicherheitsstandards (B3S) i. S. d. § 8a Abs. 2 BSIG. Einen solchen hat das BSI im Jahr 2019 für den Bereich der Krankenhäuser für angemessen erklärt.Footnote 8 Der B3S orientiert sich zwar an der ISO 27001 (Informationssicherheitsmanagementsysteme, ISMS) und ISO 27799 (Medizinische Informatik – Informationssicherheitsmanagement im Gesundheitswesen). Gemäß des spezifischen B3S ist eine Zertifizierung nach ISO 27001 aber nicht zwingend notwendig.
Die Betreiber der Kritischen Infrastrukturen übermitteln dem BSI nach § 8a Abs. 3 S. 3 BSIG die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Zudem kann das BSI die Vorlage der Dokumentation verlangen, die der Überprüfung zugrunde gelegt wurde. Ein Sicherheitsmangel ist nicht zu verwechseln mit der Sicherheitslücke i. S. d. § 2 Abs. 6 BSIG.Footnote 9 Das BSI selbst definiert einen Sicherheitsmangel als Abweichung zu den Anforderungen nach § 8a Abs. 1 BSIG.Footnote 10 Ausweislich einer Orientierungshilfe des BSI müssen sowohl geringfügige als auch schwerwiegende/erhebliche Sicherheitsmängel in die Mängelliste aufgenommen werden, während von der prüfenden Stelle ausgesprochene Empfehlungen nur freiwillig auch an das BSI übermittelt werden können.Footnote 11
bb. Verstoß gegen die Nachweispflicht
Nach § 14 Abs. 1 BSIG handelt ordnungswidrig, wer entgegen § 8a Abs. 3 S. 1 BSIG einen „Nachweis nicht richtig oder nicht vollständig“ erbringt. Der Bußgeldrahmen liegt gem. § 14 Abs. 5 S. 1 BSIG bei bis zu einer Million Euro. Über § 14 Abs. 5 S. 3 BSIG i. V. m. § 30 Abs. 2 S. 3 OWiG kann die Geldbuße im Fall juristischer Personen und Personenvereinigungen verzehnfacht werden.
Nach § 10 OWiG wird nur vorsätzliches Handeln geahndet. Der besondere Unrechtsgehalt liegt im vorsätzlichen Zurückhalten von wichtigen Informationen für das BSI.Footnote 12 Vorsätzlich handelt, wer bspw. einen Hinweis oder eine Mahnung des BSI bezüglich der Umsetzung der Nachweispflicht missachtet. Dadurch stellt der Betreiber der Kritischen Infrastruktur seine Individualinteressen (bspw. Wirtschaftlichkeitserwägungen, Vermeidung von Folgemaßnahmen) nach der Gesetzesbegründung vor das öffentliche Interesse, was besonders zu missbilligen sei.Footnote 13
Nach der „Auffangvorschrift“Footnote 14 des § 14 Abs. 2 Nr. 3 BSIG handelt ordnungswidrig, wer vorsätzlich oder fahrlässig entgegen § 8a Abs. 3 BSIG einen „Nachweis nicht oder nicht rechtzeitig“ erbringt. Aufgrund der Öffnung für fahrlässiges Verhalten dürfte dieser Bußgeldtatbestand in der Praxis deutlich relevanter sein.
cc. Beseitigungsverlangen des BSI
Vorrangig sollen Betreiber Sicherheitsmängel selbst beheben. Zur Stärkung der Cyberresilienz dieser Einrichtungen ist dies ausdrücklich erwünscht. Die Behebung ist zur Bewertung des Mangels in einem Umsetzungsplan zu dokumentieren.Footnote 15 Anderenfalls kann das BSI nach § 8a Abs. 3 S. 5 BSIG im Benehmen mit der zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.Footnote 16
Nach § 14 Abs. 2 Nr. 1 lit. a BSIG handelt ordnungswidrig, wer vorsätzlich oder fahrlässig einer „vollziehbaren Anordnung nach (…) § 8a Abs. 3 S. 5 BSIG zuwiderhandelt“. Der Verstoß kann nach § 14 Abs. 5 S. 1 BSIG mit einer Geldbuße bis zu zwei Millionen Euro belegt werden. Diese hohe Geldbuße wird im Regierungsentwurf zum „IT-Sicherheitsgesetz 2.0“ damit begründet, dass die Weigerung, einer Anordnung Folge zu leisten, zu einer Gefahr sowohl für die von den Betreibern versorgten Adressaten (im Krankenhausbereich: die Patienten) als auch für andere Betreiber aus der betroffenen Branche führen kann, wenn Cyberkriminelle Kenntnisse über Sicherheitsmängel und Angriffsvektoren ausnutzen können.Footnote 17
dd. Überprüfung durch das BSI
Das BSI ist nicht darauf beschränkt, auf die Nachweise der Kritischen Infrastrukturen über die Umsetzung der Anforderungen an die OTV zu warten. Nach § 8a Abs. 4 S. 1 BSIG kann das BSI beim Betreiber Kritischer Infrastrukturen die Einhaltung der Anforderungen an die OTV überprüfen und sich hierfür auch eines qualifizierten unabhängigen Dritten bedienen. Die Überprüfung unterliegt keinem Begründungserfordernis. Ist das BSI jedoch aufgrund von Anhaltspunkten tätig geworden, die berechtigte Zweifel an der Umsetzung der OTV haben aufkommen lassen, kann es für die Überprüfung sogar Gebühren erheben bzw. Auslagen ersetzt verlangen.
Der Betreiber der Kritischen Infrastruktur hat bei einer Überprüfung dem eingesetzten Personal nach § 8a Abs. 4 S. 2 BSIG das Betreten der Geschäfts- und Betriebsräume zu den üblichen Betriebszeiten zu gestatten und auf Verlangen Unterlagen in geeigneter Weise vorzulegen bzw. Auskunft zu erteilen. Bei vorsätzlichen oder fahrlässigen Verstößen gegen die Mitwirkungspflichten in § 8a Abs. 4 S. 2 BSIG droht nach § 14 Abs. 2 Nr. 4, Abs. 5 S. 2 BSIG eine Geldbuße bis zu 100.000 €.
b. Datenschutzüberprüfungen nach Art. 58 DS-GVO
Die Datensicherheit spielt eine wichtige Rolle für die Cybersicherheit. Dies gilt im Gesundheitswesen umso mehr, da eine Vielzahl an personenbezogenen Daten in sensiblem Kontext (Art. 4 Nr. 15 DS-GVO: Gesundheitsdaten) verarbeitet werden. Gem. Art. 5 Abs. 1, Art. 32 DS-GVO haben Krankenhäuser die Pflicht, ein ausreichendes Schutzniveau bei der Datenverarbeitung zu gewährleisten. Sie müssen bei der Datenverarbeitung technische und organisatorische Maßnahmen (TOM) zur Gewährleistung der Datensicherheit treffen.Footnote 18
Nach Art. 58 Abs. 1 lit. b DS-GVO sind Datenschutzaufsichtsbehörden befugt, Datenschutzüberprüfungen durchzuführen unabhängig davon, ob der Datenverarbeiter individuell Anlass dazu gegeben hat. Sie sind daher auch im „Normalfall“ möglich.Footnote 19 Eine Überprüfung der TOM im Krankenhaus kann die stichprobenartige Kontrolle u. a. der Organisationsstrukturen des Klinikums mit seinen Zuständigkeiten und Verantwortlichkeiten, aber auch des Zugriffs- und Berechtigungsmanagements sowie der Sicherheitsfunktionen der eingesetzten IT-Systeme umfassen.Footnote 20
2 Rechtspflichten von Krankenhäusern im Cybernotfall
Cybernotfälle in Krankenhäusern treten in vielfältigen Erscheinungsformen auf. Die Umsetzungshinweise der Deutschen Krankenhausgesellschaft zu § 75c SGB V nennen Ransomware-Angriffe als größte Bedrohung für die Krankenhaus-IT, bei denen über Schadsoftware Daten in den IT-Systemen der Opfer zunächst kopiert und anschließend verschlüsselt werden, um sowohl mit der Verschlüsselung selbst als auch der Androhung, die entwendeten Daten zu veröffentlichen, Lösegeldzahlungen zu erreichen.Footnote 21 DDoS-Attacken können ebenfalls zu Funktionsbeeinträchtigungen der IT-Systeme führen, bei denen Server durch breitgefächerte Angriffe gezielt überlastet werden und so Systeme zusammenbrechen.Footnote 22 Cybernotfälle können sowohl von innen durch Mitarbeitende verursacht als auch auf verschiedene Arten durch Angreifer von außen ausgelöst werden. Außerdem können Dritte außerhalb des Krankenhauses die Ursache setzen, wie der Cyberangriff auf einen IT-Dienstleister im Herbst 2021 zeigte, der eine Vielzahl von Arztpraxen mit Software ausstattete.Footnote 23
Auch die Auswirkungen auf den Krankenhausalltag sind mannigfaltig. Neben dem Verlust von sensiblen Patientendaten können Cybervorfälle zu Gefährdungen von Patienten führen. Die Aufrechterhaltung der Patientenversorgung kann bereits durch einen Ausfall des Krankenhausinformationssystems stark beeinträchtigt sein. Besondere Gefahr besteht, wenn vernetzte medizinische Geräte unmittelbar betroffen sind.Footnote 24 Ausfälle können zu Verschiebungen von geplanten Operationen führen sowie interne oder externe Patientenverlegungen notwendig machen. Außerdem müssen Rettungsdienste, nachdem sich Notaufnahmen vorübergehend von der Notfallversorgung abgemeldet haben, andere, ggf. weiter entfernte Krankenhäuser anfahren. Die Beeinträchtigung kann vom Minuten- bis in den Wochenbereich reichen.
a. Pflicht zum Heranziehen des MIRT nach § 5b BSIG?
Liegt ein Cybervorfall vor, muss das Krankenhaus umgehend Maßnahmen einleiten, um eine mögliche Beeinträchtigung des Krankenhausbetriebs zu reduzieren und den reibungslosen Klinikbetrieb wiederherzustellen. Der Krisenstab und vor allem die IT-Abteilung stehen besonders in der Verantwortung, wobei ggf. auf Unterstützung durch externe Dienstleister zurückgegriffen werden kann.
Das BSIG sieht aber auch eine Unterstützung durch das BSI vor. Nach § 5b Abs. 1 BSIG können Betreiber Kritischer Infrastrukturen bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines IT-Systems in einem „herausgehobenen Fall“ das BSI um Unterstützungsmaßnahmen ersuchen. Ein herausgehobener Fall ist bei Cybervorfällen im Gesundheitswesen aufgrund der Nähe zu Patientengefährdungen und Gefahren für sensible Gesundheitsdaten regelmäßig anzunehmen.Footnote 25 Die Möglichkeit steht aber nicht nur Betreibern von Kritischen Infrastrukturen zu, sondern gem. § 5b Abs. 7 BSIG auch bei einem Ersuchen durch andere Krankenhäuser.
Das BSI kann sowohl aus der Ferne als auch vor Ort unterstützend eingreifen. Zuständig hierfür ist das Mobile Incident Response Team (MIRT). Das BSI bezeichnet das MIRT als mobilen Arm des CERT-Bund (Computer Emergency Response Team für Bundesbehörden).Footnote 26 Bei einem Einsatz des MIRT übernimmt dieses zunächst Analysetätigkeiten hinsichtlich des Vorfalls und kann anschließend bei der Vorfallbewältigung beraten, u. a. durch die Sichtung von Logdaten, die technische Beweissicherung und die gemeinsame Erarbeitung einer Strategie zur Eindämmung und Behebung des Vorfalls inklusive der Empfehlung von Maßnahmen, damit die Organisation nicht erneut Opfer eines Angriffs wird.Footnote 27 Soweit das BSI erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort ergreift, erhebt es nach § 5b Abs. 1 S. 2 BSIG hierfür keine Gebühren oder Auslagen für die Tätigkeit des Bundesamtes. „Hiervon unberührt bleiben etwaige Kosten für die Hinzuziehung qualifizierter Dritter.“
Die ergänzende Hinzuziehung des BSI bietet gegenüber einem (rein) eigenständigen Notfallkonzept des Krankenhauses Vorteile, da die Behörde im Gegensatz zu Privatpersonen aufgrund besonderer gesetzlicher Kompetenzen bestimmte Maßnahmen einleiten und dadurch das eigenständige Notfallkonzept ergänzen kann. Das BSI kann bspw. nach § 5 Abs. 6 BSIG vom Hersteller eines informationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken, wenn es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit erforderlich ist. Kommt der Hersteller dieser Aufforderung nicht nach, droht ihm nach § 14 Abs. 2 Nr. 1 lit. a, Abs. 5 S. 1 BSIG eine Geldbuße von bis zu zwei Millionen Euro.
Den Leitungspersonen eines Krankenhauses steht ein unternehmerisches Ermessen zu, ob sie das BSI um Hilfe ersuchen. Allerdings ist bei Ausübung dieses Ermessens die sog. Business Judgment Rule (BJR) zu beachten, die ausdrücklich in § 93 Abs. 1 S. 2 AktG geregelt ist, aber für sämtliche Formen unternehmerischer Betätigung gilt.Footnote 28 Danach liegt eine Pflichtverletzung nur dann nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Das unternehmerische Ermessen wird demnach durch das Unternehmenswohl begrenzt. Sind diese Vorgaben erfüllt, liegt keine Pflichtverletzung der Leitungsperson vor (die zu einer Schadensersatzpflicht führen würde), selbst wenn sich eine Entscheidung nachträglich als falsch herausstellt.
Eine Voraussetzung für die Ausübung dieses pflichtgemäßen Ermessens ist zunächst eine ausreichende Informationslage. Die Leitungsperson muss für die Entscheidung, ob das BSI um Hilfe ersucht wird, hinreichend informiert sein, welche Cyberbedrohung vorliegt, welche Maßnahmen selbstständig durchführbar sind und was für das Hinzuziehen des MIRT sprechen kann.
Der unternehmerische Ermessensspielraum wird aber umso kleiner, je mehr die Risikoentscheidung mit einer möglichen Existenzgefährdung des Unternehmens einhergeht.Footnote 29 Kommt die Leitungsperson im Krankenhaus bei einem Cybervorfall zu dem Ergebnis, dass man bspw. auf Maßnahmen des BSI gegenüber einem IT-Hersteller angewiesen ist, der nicht freiwillig mitwirkt, erstarkt § 5b BSIG zu einer Rechtspflicht, da der Verzicht auf die Hinzuziehung des MIRT das Kriterium der Rechtsprechung für ein „schlechthin unvertretbares“ Leitungshandeln erfüllt.Footnote 30
b. Meldepflicht nach § 8b BSIG
Für eine Meldepflicht seitens der Betreiber Kritischer Infrastrukturen sieht § 8b Abs. 4 BSIG zwei mögliche Konstellationen vor: Meldung einer Störung bei tatsächlich eingetretener Beeinträchtigung der Funktionsfähigkeit gem. § 8b Abs. 4 S. 1 Nr. 1 BSIG unter Nennung des Betreibers und pseudonyme Meldung einer Störung mit potenzieller Beeinträchtigung der Funktionsfähigkeit, soweit sie erheblich wäre, gem. § 8b Abs. 4 S. 1 Nr. 2 BSIG.Footnote 31 Die inhaltlichen Anforderungen einer Meldung ergeben sich aus dem Meldeformular des BSI.Footnote 32 Für die Abgabe der Meldung steht den Betreibern Kritischer Infrastrukturen ein Melde- und Informationsportal des BSI zur Verfügung.Footnote 33
aa. Störungsbegriff
Es stellt sich zunächst die Frage, wann eine Störung i. S. d. § 8b Abs. 4 S. 1 BSIG vorliegt. Aus der Entwurfsbegründung für das IT-Sicherheitsgesetz 2015Footnote 34 folgt, dass der Begriff der Störung entsprechend der höchstrichterlichen Rechtsprechung zu § 100 Abs. 1 TKG aF funktional zu verstehen ist und dann vorliegt, „wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken“Footnote 35. Dazu zählen insbesondere Fälle von Sicherheitslücken, Schadprogrammen und erfolgten, versuchten oder erfolgreich abgewehrten Cyberangriffen auf die Sicherheit in der Informationstechnik sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (zum Beispiel nach Softwareupdates, einem Ausfall der Serverkühlung oder einem Brandereignis im Serverraum).Footnote 36
Bei potenziellen Ausfällen besteht die Meldepflicht nur, soweit sie erheblich wären. Eine erhebliche Störung soll dann vorliegen, wenn sie nicht mit automatisierten Mechanismen bzw. wenig Aufwand i. S. d. Maßnahmen nach § 8a BSIG abgewehrt werden kann, wenn es sich um gezielte Angriffe handelt sowie bei Vorfällen, die nur mit deutlich erhöhtem Ressourcenaufwand bewältigt werden können.Footnote 37 Dem Betreiber der Kritischen Infrastruktur steht für die Einschätzung einer potenziellen Auswirkung ein Prognosespielraum zu.Footnote 38
bb. Unverzüglichkeit der Meldung
Im Unterschied zu Art. 33 Abs. 1 DS-GVO ist der Begriff „unverzüglich“ nicht näher konkretisiert und bedeutet gem. § 121 BGB „ohne schuldhaftes Zögern“.Footnote 39 In der Literatur wird aufgrund des Telos des § 8b Abs. 4 BSIG eine gestufte Meldepflicht vertreten, die aus einer unverzüglichen Vorabmeldung an das BSI und einer späteren Meldung nach Ermittlung aller notwendigen Meldeinhalte besteht.Footnote 40 Wenngleich eine solche Interpretation nach dem Wortlaut nicht zwingend ist, scheint sie dennoch sinnvoll, da das BSI zur Wahrnehmung seiner Aufgaben auf ein aktuelles Lagebild angewiesen und ein rascher Informationsfluss an das BSI durch die geforderte Unverzüglichkeit vom Gesetzgeber intendiert ist.Footnote 41
cc. Folgen der Meldung
Die gesetzlich vorgeschriebene Meldung einer Störung kann verschiedene Konsequenzen für das Krankenhaus und dessen Leitungspersonen haben. Auf das Krankenhaus können weitere Anordnungen zukommen, da das BSI nach Eingang einer Meldung selbst eine Unterrichtungspflicht gegenüber anderen Aufsichtsbehörden hat (§ 8b Abs. 2 Nr. 4 BSIG).
Sollte im Zusammenhang mit der Störung gegen die Leitungsperson ein Ordnungswidrigkeitenverfahren wegen einer Aufsichtspflichtverletzung nach § 130 OWiG bzw. ein Straf- oder Ordnungswidrigkeitenverfahren wegen einer Datenschutzverletzung nach §§ 42, 43 BDSG eingeleitet werden, stellt sich die Frage, ob der Inhalt der Meldung gem. § 8b BSIG zum Tat- und Schuldnachweis gegen die Leitungsperson verwendet werden kann. Eine ausdrückliche Beweisverwertungsregelung fehlt für die Meldungen nach dem BSIG. Allerdings können die Wertungen der § 42 Abs. 4 BDSG und § 168 TKG herangezogen werden.Footnote 42
c. Keine Meldepflicht nach § 75c SGB V
Während das BSIG für die Kritischen Infrastrukturen Meldepflichten bei Störfällen vorsieht, fehlt eine entsprechende Regelung in § 75c SGB V. Das überzeugt nicht. Zwar mag es noch angemessen erscheinen, kleinere Krankenhäuser von einer regelmäßigen Nachweispflicht (s. oben 2.a.) zu befreien, wobei auch diesen die freiwillige selbstständige IT-Zertifizierung zu empfehlen ist, die einen Nachweis erleichtern würde. Dass hingegen bislang keine Meldepflicht für sämtliche Krankenhäuser implementiert wurde, ist aber kaum nachvollziehbar. Die Meldepflicht dient neben ihrer Disziplinierungsfunktion gegenüber den Einrichtungen vor allem dazu, dass das BSI sich stets einen Überblick über die Cybersicherheitslage in Deutschland verschaffen und infolgedessen Hilfsmaßnahmen einleiten und Warnungen aussprechen kann.Footnote 43 Ohne eine Meldepflicht ist das BSI auf die freiwillige Meldung von Sicherheitsvorfällen angewiesen, die jedoch aufgrund einer damit einhergehenden Offenlegung von Geschäftsgeheimnissen und möglichen Fehlern nicht flächendeckend erfolgen dürfte.
d. Meldepflicht nach Art. 33 DS-GVO
Sämtliche Krankenhäuser verarbeiten personenbezogene Daten und sind daher als Verantwortliche für die Datenverarbeitung i. S. d. Art. 4 Nr. 7 DS-GVO bei einer Datenschutzverletzung (Art. 4 Nr. 12 DS-GVO) verpflichtet, unverzüglich und möglichst binnen 72 h nach Kenntnis über die Verletzung eine Meldung an die zuständige Datenschutzbehörde zu erstatten.Footnote 44 Es wird auf die juristische Person abgestellt, die Trägerin des Krankenhauses ist. Eine Konzernverantwortlichkeit existiert nicht.Footnote 45 Die Landesaufsichtsbehörden für den Datenschutz halten Onlineportale für die Meldungen nach Art. 33 DS-GVO bereit.Footnote 46
Von der Meldepflicht gilt gem. Art. 33 Abs. 1 S. 1 Hs. 2 DS-GVO eine Ausnahme, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Es muss demnach bei einem Cybervorfall stets sofort eine Abschätzung darüber erfolgen, ob möglicherweise Patientendaten erfasst sein könnten. Wenn technisch möglich, ist dies zu verhindern.Footnote 47
Es ist nicht erforderlich, dass die Verletzung der Rechte und Freiheiten der betroffenen Person final eingetreten ist, sondern eine Meldepflicht gilt bereits bei der Verletzung der getroffenen Schutzmaßnahmen i. S. e. Verletzung der Datensicherheit.Footnote 48 Der Mindestumfang der Meldung ergibt sich aus Art. 33 Abs. 3 DS-GVO.Footnote 49 Auch bei der Meldung nach Art. 33 DS-GVO ist bei Unklarheiten eine stufenweise Sachstandsmeldung abzugeben.Footnote 50 In der Meldung ist nach Art. 33 Abs. 3 DS-GVO auch eine „Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen“ abzugeben.
Bei Cyberangriffen kann sich die Meldelage im Verlauf noch ändern. Werden bspw. Daten bei einem Ransomware-Angriff zunächst „nur“ verschlüsselt, kann dies einen meldepflichtigen Datenschutzvorfall darstellen.Footnote 51 Erfolgt anschließend durch die Täter noch eine Veröffentlichung von abgeflossenen DatenFootnote 52, muss das Krankenhaus ggf. die Meldung an die Behörde aktualisieren oder bei einem bisherigen Rückgriff auf den Ausnahmegrund des Art. 33 Abs. 1 S. 1 Hs. 2 DS-GVO seine Einschätzung überdenken.
Bei einer verspäteten oder gänzlich unterlassenen Meldung droht ein Bußgeld gem. Art. 83 Abs. 4 lit. a DS-GVO von bis zu 10 Mio. € bzw. bis zu 2 % des konzernweiten Jahresumsatzes bei Krankenhauskonzernen. Ausweislich Erwägungsgrund 87 S. 3 DS-GVO kann die Meldung zu einem Tätigwerden der Aufsichtsbehörde führen. Die Verantwortlichen stehen daher in einem Zwiespalt zwischen Meldepflicht und Konsequenzen der Meldung. Bei Meldepflichten zur Abwehr von Gefahren und Vermeidung von Schäden untersagt das Gebot der Selbstbelastungsfreiheit die Verwertung in einem anschließenden Sanktionsverfahren.Footnote 53 Daher kommt der Beweisverwertungsregelung in § 42 Abs. 4 BDSG für das Strafverfahren bzw. § 43 Abs. 3 BDSG für das Ordnungswidrigkeitenverfahren bei der Individualverfolgung von Datenschutzverstößen eine wichtige Bedeutung zu.Footnote 54 Danach darf die Meldung nach Art. 33 DS-GVO bzw. die Benachrichtigung nach Art. 34 DS-GVO in einem Strafverfahren/Ordnungswidrigkeitenverfahren gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden. Es wird außerdem in der Literatur auch vermehrt die Anwendbarkeit des § 43 Abs. 4 BDSG auf juristische Personen im Ordnungswidrigkeitenverfahren angenommen.Footnote 55
e. Benachrichtigungspflicht nach Art. 34 DS-GVO
Bei einem Cybervorfall kann zusätzlich zur Meldung an die Datenschutzbehörde noch eine Benachrichtigungspflicht nach Art. 34 DS-GVO gegenüber der durch die Datenschutzverletzung betroffenen Person notwendig sein, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der natürlichen Person zur Folge hat. Auch diese Benachrichtigung hat unverzüglich zu erfolgen. Aus der Behördenpraxis ist bekannt, dass die Benachrichtigungspflicht nicht lapidar mit der Begründung verneint werden darf, man habe das Risiko als gering oder nicht vorhanden betrachtet.Footnote 56 Bei Verstößen gegen die Benachrichtigungspflichten kann ein Bußgeld im identischen Rahmen zur Meldepflichtverletzung drohen.
Die Benachrichtigungspflicht kann nach Art. 34 Abs. 3 DS-GVO entfallen, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen auf die von der Verletzung betroffenen Daten angewandt hat, damit kein Zugang mehr zu den Daten erfolgen kann. Beruft der Datenverarbeitende sich auf einen unverhältnismäßigen Aufwand bei der Benachrichtigung (Art. 33 Abs. 3 lit. c DS-GVO), muss eine öffentliche Bekanntmachung zur Information der Betroffenen erfolgen. Von dieser Möglichkeit sollten Krankenhäuser möglichst keinen Gebrauch machen. Denn von einer solchen Benachrichtigung an die Öffentlichkeit sind massive Reputationsschäden zu erwarten, da der Schutz der Gesundheitsdaten in der Bevölkerung einen hohen Stellenwert einnimmt.
f. Zukünftige Melde- und Benachrichtigungspflichten nach Art. 20 NIS-2-RL-E
Nach dem im Zuge der EU Cybersecurity StrategyFootnote 57 geplanten Art. 20 NIS-2-RL‑E sollen sich die Meldepflichten zukünftig sowohl auf jeden Sicherheitsvorfall als auch auf erhebliche Cyberbedrohungen beziehen. Bei näherer Betrachtung kann sich v. a. für den Gesundheitssektor die Besonderheit ergeben, dass nicht nur die Beeinträchtigung von IT-Systemen als solche eine Meldepflicht auslösen könnte, sondern auch mögliche Schädigungen von anderen Personen.Footnote 58
Außerdem sieht Art. 20 Abs. 2 S. 2 NIS-2-RL‑E eine Benachrichtigungspflicht der Einrichtungen an die potenziell von einer erheblichen Cyberbedrohung betroffenen Empfänger ihrer Dienste vor. Die Benachrichtigung muss unverzüglich über alle Maßnahmen oder Abhilfemaßnahmen erfolgen, die die Empfänger als Reaktion auf diese Bedrohung ergreifen können. Die Einrichtungen informieren diese Empfänger gegebenenfalls auch über die Bedrohung selbst. Entsprechend der Benachrichtigungspflicht aus Art. 34 DS-GVO müssen Krankenhäuser möglicherweise in Zukunft auch die potenziell von einem Cybervorfall betroffenen Patienten informieren.
g. Anzeigepflicht bei einer Cyberversicherung
Im ersten Teil des Beitrags wurde auf die Möglichkeit des Abschlusses einer Cyberversicherung bei Schäden durch eine Informationssicherheitsverletzung hingewiesen.Footnote 59 Besteht eine solche Cyberversicherung, gilt dort ebenfalls eine Anzeigepflicht im Schadensfall (AVB Cyber B3‑3.2). Der Versicherungsnehmer hat den Schadeneintritt anzuzeigen, unverzüglich nachdem er von ihm Kenntnis erlangt hat. Zudem hat er dem Versicherer innerhalb einer Woche die Tatsachen anzuzeigen, die seine Verantwortlichkeit gegenüber einem Dritten zur Folge haben könnten. Macht der Dritte anschließend seinen Anspruch gegenüber dem Versicherungsnehmer geltend, besteht eine Anzeigepflicht innerhalb einer Woche nach der Geltendmachung des Dritten. Als letzter Anknüpfungspunkt für eine unverzügliche Anzeigepflicht im Cyberversicherungsverhältnis dient die Einleitung eines staatsanwaltschaftlichen, behördlichen oder gerichtlichen Verfahrens gegen den Versicherungsnehmer. Dies gilt auch für den Erlass eines Mahnbescheids sowie die Streitverkündung.
h. Erstattung einer Strafanzeige
Zuletzt ist noch auf die Möglichkeit der Erstattung einer Strafanzeige gegen die oftmals unbekannten Täter des Cyberangriffs hinzuweisen. Es handelt sich zwar nicht um eine Rechtspflicht. Das BSI weist aber auf die Wichtigkeit der Erstattung einer Strafanzeige hin. Polizeiliche Ermittlungen könnten weitergehende Untersuchungen ermöglichen, etwa die Verfolgung des Geldflusses bei einer Lösegeldzahlung oder die Informationsgewinnung durch Überwachung von Command-and-control-Servern.Footnote 60
Die Landeskriminalämter haben spezielle Anlaufstellen eingerichtet, um Anzeigen von Cyberstraftaten entgegenzunehmen. Eine Strafanzeige beim Landeskriminalamt wird zwar in der Regel nicht sofort zur Ergreifung der Tätergruppe führen. Agieren die Täter jedoch über längere Zeit nach einem wiederkehrenden Schema, können die Informationen im Rahmen einer häufig länderübergreifenden Operation zu Ermittlungserfolgen beitragen. Ermittlungsbehörden können zudem weitere potenzielle Geschädigte vor neuen Angriffsformen warnen.
3 Krisenmanagement
Die Vielzahl an Rechtspflichten macht deutlich, dass eine Reaktion auf einen Cybervorfall nicht nur aus technischer Sicht planvoll erfolgen sollte, sondern auch aus rechtlicher Sicht. Für die IT-Abteilung ergeben sich erste Impulse für ein Krisenmanagement bspw. aus einer vom Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) veröffentlichten Checkliste.Footnote 61
Die Reaktion auf einen Cybervorfall zeichnet sich durch eine strukturierte Zusammenarbeit von Spezialisten aus. Für die rechtliche Beurteilung einer Meldepflicht sind Juristen etwa auf die Expertise der IT-Spezialisten angewiesen, um nachvollziehen zu können, ob ein meldepflichtiger Vorfall vorliegen könnte oder ob bspw. eine festgestellte Sicherheitslücke geschlossen werden konnte und dies ggf. eine Meldung an die Aufsichtsbehörde obsolet macht.
Sollten nach einem Cyberangriff die personellen Ressourcen innerhalb des Krisenstabs gebunden sein, können weitere Aufgaben, wie die Erstattung einer Strafanzeige und die Kommunikation/Kooperation mit den Strafverfolgungsbehörden sowie den Landesdatenschutzbeauftragten und dem BSI, an externe Rechtsanwälte ausgelagert werden.
4 Fazit
Im Bereich der Cybersicherheit treffen Krankenhäuser bereits im „Normalfall“ eine Reihe von rechtlichen Verpflichtungen, was insbesondere für Betreiber Kritischer Infrastrukturen nach dem BSIG gilt. Die dort geregelte Nachweispflicht über die Einhaltung von organisatorischen und technischen Vorkehrungen hilft Großkrankenhäusern im Idealfall, ein hohes Sicherheitsniveau zu erreichen und zu halten. Kooperationspflichten treffen zudem sämtliche Krankenhäuser über das Datenschutzrecht der DS-GVO.
Im Fall eines Cybervorfalls im Krankenhaus bestehen verschiedene Rechtspflichten, die unterschiedliche Voraussetzungen und Adressaten haben. Hier bedarf es eines koordinierten und kooperativen Vorgehens von IT- und Rechtsspezialisten, damit sämtliche Pflichten beachtet und ordnungsgemäß erfüllt werden. Die notwendigen Strukturen sollten in einem Notfallplan festgeschrieben sein und nicht erst bei einem Cybervorfall etabliert werden.
Sowohl die Pflichten im „Normalfall“ als auch bei einem Cybervorfall haben gemein, dass ihre Missachtung zu Sanktionen führen kann, die den ursprünglichen Schaden für das Krankenhaus nochmals erweitern. Zusätzlich zu unmittelbaren finanziellen Schäden können bei einem Cybervorfall aufgrund der Sensibilität von personenbezogenen Daten erhebliche Reputationsschäden eintreten.
Notes
Nadeborn/Dittrich, Cybersicherheit in Krankenhäusern – Teil 1: IT-Compliance als Leitungsaufgabe, ICLR 1/2022, [10, S. 47 ff.]
§ 10 BSIG i. V. m. § 6 Abs. 1 Nr. 1, Abs. 4 und Anhang 5 Teil 3 BSI-KritisV.
Siehe § 75c Abs. 3 SGB V. Es dürfte sich um ein redaktionelles Versehen handeln, dass hier nicht auch die organisatorischen Vorkehrungen i. S. v. § 8a Abs. 1 BSIG genannt sind.
Dochow, MedR 2022 [4, S. 100 (104)] mwN.
Das BSI hat eine Orientierungshilfe zu Nachweisen gemäß § 8a Abs. 3 BSIG veröffentlicht: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/oh-nachweise.html (zuletzt abgerufen am 05.07.2022). [7]
https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/ (zuletzt abgerufen am: 05.07.2022).
Diese ist bspw. relevant für Sicherheitswarnungen nach § 7 BSIG, vgl. VG Köln v. 01.04.2022–1 L 466/22, BeckRS 2022, 7471 und OVG Münster v. 28.04.2022–4 B 473/22, NJW 2022, 1547.
Vgl. die Orientierungshilfe des BSI (Fn. 7), S. 30.
Vgl. die Orientierungshilfe des BSI (Fn. 7), S. 31; hierzu auch Woitke, DuD 2021 [18, 584 (588)].
BT-Drs. 19/26106, 90.
BT-Drs. 19/26106, 90.
BT-Drs. 19/26106, 91.
zu den Aufsichtsbehörden vgl. Quaas/Zuck/Clemens, Medizinrecht, § 25 Rn. 104. [14]
BT-Drs. 19/26106, 91.
Eichler, in: BeckOK Datenschutzrecht, 40. Ed., Art. 58 DSGVO, Rn. 9; Körffer, in: Paal/Pauly, DSGVO/BDSG, 3. Aufl. 2021 [12], Art. 58 DSGVO Rn. 10.
Vgl. hierzu einen Praxisbericht in: „Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 39. Tätigkeitsbericht 2021“, S. 51; https://www.datenschutzzentrum.de/tb/tb39/, zuletzt abgerufen am: 05.07.2022.
„Umsetzungshinweise nach § 75c SGB V – Informationssicherheit in Krankenhäusern“, Stand v. 07.12.2021, S. 8. Abrufbar unter: https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/ (zuletzt abgerufen am: 05.07.2022).
Dochow, MedR 2022 [4], 100 m. w. N.
„Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“, Stand v. 22.10.2019, S. 78 schreibt deshalb bspw. vor: „Die Aufrechterhaltung des Betriebs medizintechnischer Anlagen MUSS auch bei Verlust von Kommunikationsverbindungen oder Netzwerkintegrationen möglich sein, bzw. über entsprechende organisatorische Ersatzverfahren sichergestellt werden, soweit dies im Verantwortungsbereich des Betreibers der medizintechnischen Anlage liegt“.
Vgl. BT-Drs. 18/11242, 40 f.: „Einrichtungen, von denen potenzielle Gefahren für Leib und Leben der Bevölkerung ausgehen (z. B. Chemieanlagen)“. Dies muss ebenso für Einrichtungen gelten, bei deren Ausfall potenzielle Gefahren für Leib und Leben der Bevölkerung ausgehen.
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/Vorfallunterstuetzung/MIRT/mirt_node.html, zuletzt zugegriffen am: 05.07.2022.
Vgl. Fn. 25.
BT-Drs. 15/5092, 12: „findet sich auch ohne positivrechtliche Regelung in allen Formen unternehmerischer Betätigung“.
MüKo-AktG/Spindler, 5. Aufl. 2019, § 93 Rn. 63 f. [6]
BGH NJW 2017, 578 (579 f.) mwN.
Zur pseudonymen Meldung: Freimuth, Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen, 325 ff. [5]
Ein Musterformular des BSI ist verfügbar unter: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/IT-Stoerungen-melden/it-stoerungen-melden_node.html (zuletzt abgerufen am: 05.07.2022).
Zum Melde- und Informationsportal des BSI: https://mip.bsi.bund.de/ (zuletzt abgerufen am: 05.07.2022).
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme v. 17.07.2015 (BGBl. I S. 1324).
BT-Drs. 18/4096, 27 f.
BT-Drs. 18/4096, 27 f.
BT-Drs. 18/4096, 28.
Schneider, Meldepflichten im IT-Sicherheitsrecht, 454. [15]
Vgl. hierzu auch: BT-Drs. 18/4096, 28.
Zur Verwertung von Meldungen vgl. 3.d.
Freimuth, Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen, 312; Schneider, Meldepflichten im IT-Sicherheitsrecht, 397 f. [5]
Zur Fristenberechnung nach der Fristen-VO bei DSGVO-Verstößen vgl. Piltz/Pradel, ZD 2019 [13, S. 152 (156 f.)].
Schild, in: BeckOK Datenschutzrecht, 40. Ed., Art. 4 DSGVO, Rn. 88. [1]
Bspw. der LfDI in Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/ (zuletzt abgerufen am: 05.07.2022).
Winter, CR 2020 [17, S. 576 (579)].
Paal, ZD 2020 [11, S. 119 (123)].
Paal, ZD 2020 [11, S. 119 (122)].
Wybitul, NJW 2020 [19, S. 2577 (2578)]; vgl. auch das Working Paper 250 der Art. 29-Gruppe, S. 9 (abrufbar unter: https://datenschutz-hamburg.de/working-papers/wp-250/, zuletzt abgerufen am: 05.07.2022).
Man spricht bei einer solchen Veröffentlichung von Ransomleaks. Insgesamt wird die Vorgehensweise, bei der Daten vor der Verschlüsselung noch für eine Androhung der Veröffentlichung kopiert werden, als Double Extortion bezeichnet. Teilweise wird mittlerweile sogar auf die Verschlüsselung verzichtet (hierzu ein Bericht: https://www.chip.de/news/Neue-Ransomware-Angriffe-Kriminelle-vereinfachen-die-Erpressung_184319980.html, zuletzt abgerufen am: 05.07.2022).
Müllmann/Volkamer, ZD 2021 [9, S. 8 (9 f.)].
„35. Tätigkeitsbericht 2019 des Landesbeauftragten für Datenschutz in Baden-Württemberg“, S. 22 (abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/, zuletzt zugegriffen am: 05.07.2022).
Siehe hierzu Art. 20 Abs. 3 lit. b NIS-2-RL-E: „Ein Sicherheitsvorfall gilt als erheblich, wenn der Sicherheitsvorfall andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Verlust geschädigt hat oder potenziell schädigen könnte“.
Dazu bereits ausführlich: Nadeborn/Dittrich, Cybersicherheit in Krankenhäusern – Teil 1: IT-Compliance als Leitungsaufgabe, ICLR 1/2022 [10, S. 147 (158 f.)].
„Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ des BSI, S. 23 (abrufbar unter: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/Fortschrittliche-Angriffe/Fortschrittliche-Angriffe_node.html, zuletzt abgerufen am: 05.07.2022).
„Cybersicherheit für medizinische Einrichtungen – Checkliste mit Prüfkriterien nach Art. 32 DSGVO“ des BayLfD mit Stand v. 22.07.2020, abrufbar unter: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_medizin.pdf (zuletzt abgerufen am: 05.07.2022).
Literatur
Brink S, Wolff HA (2022) BeckOK Datenschutzrecht, 40. Aufl. C. H. Beck, München
Dittrich T (2022) Sanktionskompetenz des BSI im Kampf für mehr Cybersicherheit – Eine kritische Untersuchung der „Bußgeldpraxis“ nach dem BSIG. MMR 4:267–272
Dittrich T, Dochow C, Ippach J (2021) Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richlinie und der „Resilienz-Richtlinie“. GesR 10:613–625
Dochow C (2022) Cybersicherheitsrecht im Gesundheitswesen. MedR 2:100–112
Freimuth C (2018) Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen. Duncker & Humblot, Berlin
Goette W, Habersack M, Kalss S (2019) Münchener Kommentar zum Aktiengesetz, 5. Aufl. C. H. Beck, München
Gola P, Heckmann D (2019) Bundesdatenschutzgesetz, 13. Aufl. C. H. Beck, München
Hornung G (2015) Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes. NJW 46:3334–3340
Müllmann D, Volkamer M (2021) Meldepflicht von Mitarbeitenden bei IT-Sicherheits- und Datenschutzvorfällen. ZD 1:8–13
Nadeborn D, Dittrich T (2022) Cybersicherheit in Krankenhäusern – Teil 1: IT-Compliance als Leitungsaufgabe. ICLR 1:147–161. https://doi.org/10.1365/s43439-022-00049-8
Paal B (2020) Meldepflicht bei Datenschutzverstößen nach Art. 33 DS-GVO. ZD 3:119–124
Paal B, Pauly D (2021) Datenschutz-Grundverordnung, 3. Aufl. C. H. Beck, München
Piltz C, Pradel M (2019) Wie lange dauern 72 Stunden? ZD 4:152–157
Quaas M, Zuck R, Clemens T (2018) Medizinrecht, 4. Aufl. C. H. Beck, München
Schneider F (2017) Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste. Nomos, Baden-Baden
Wenzel M, Wybitul T (2019) Vermeidung hoher DS-GVO-Bußgelder und Kooperation mit Datenschutzbehörden. ZD 7:290–296
Winter N (2020) Meldepflichten bei Cyberangriffen. CR 9:576–584
Woitke A (2021) Prüfgrundlagen nach § 8a – Welche Prüfgrundlagen gibt es und wer trifft die Entscheidung, welche zu nutzen ist? DuD 9:584–588
Wybitul T (2020) Vermeidung von DS-GVO-Risiken nach Datenpannen und Cyberangriffen. NJW 36:2577–2582
Funding
Open Access funding enabled and organized by Projekt DEAL.
Author information
Authors and Affiliations
Corresponding author
Additional information
Hinweis des Verlags
Der Verlag bleibt in Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutsadressen neutral.
Rights and permissions
Open Access Dieser Artikel wird unter der Creative Commons Namensnennung 4.0 International Lizenz veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Artikel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
Weitere Details zur Lizenz entnehmen Sie bitte der Lizenzinformation auf http://creativecommons.org/licenses/by/4.0/deed.de.
About this article
Cite this article
Nadeborn, D., Dittrich, T. Cybersicherheit in Krankenhäusern – Teil 2: vom Normalfall zum Notfall. Int. Cybersecur. Law Rev. 3, 273–287 (2022). https://doi.org/10.1365/s43439-022-00060-z
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s43439-022-00060-z