Home
Intern
veröffentlicht am 18. Oktober 2021
Datenschutz und Datensicherheit bekommen mit dem am 14.10.2020 verabschiedeten und zum Anfang des Jahres 2021 in Kraft getretenen Patientendatenschutzgesetz (PDSG) eine noch höhere Bedeutung für Krankenhausbetreiber. Im Spannungsverhältnis von Digitalisierung des Gesundheitswesens und Sicherheit von Patientendaten müssen praktikable und verlässliche Lösungen in der Gesundheitswirtschaft entwickelt werden. Diesem Spannungsverhältnis trägt der Beitrag Rechnung.
Mit dem am 14.10.2020 verabschiedeten und zum Anfang des Jahres 2021 in Kraft getretenen Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur – kurz: Patientendatenschutzgesetz (PDSG) soll die Digitalisierung des Gesundheitswesens in Deutschland weiter vorangetrieben werden. Neben den Rahmenbedingungen für die elektronische Patientenakte beinhaltet es insbesondere Vorgaben hinsichtlich der Sicherheit von Patientendaten. Auf Krankenhäuser, Ärzte, Krankenkassen und andere Akteure des Gesundheitswesens kommen seitdem neue Herausforderungen in den Bereichen Datenschutz und Datensicherheit zu.
Das Patientendatenschutzgesetz regelt unterschiedliche Bereiche, die im Ergebnis alle das Recht des Patienten auf eine moderne Gesundheitsversorgung zum Ziel haben. Das bedeutet u. a., dass die Krankenkassen ihren Versicherten ab diesem Jahr eine elektronische Patientenakte (ePA) anbieten müssen. Gleichzeitig erhalten die Patienten einen Anspruch darauf, dass ihre Ärzte die entsprechenden Daten in die ePA eintragen. Zudem besteht ab 2022 auch die Möglichkeit, neben Befunden, Arztberichten oder Röntgenbildern den Impfausweis, den Mutterpass, das gelbe Untersuchungsheft für Kinder sowie das Zahn-Bonusheft in der elektronischen Patientenakte speichern zu lassen. Auch ein Krankenkassenwechsel soll unkompliziert möglich sein. Ab 2022 können die entsprechenden Daten aus der ePA übertragen werden.
Zusammenfassend ergibt sich daher folgendes Bild:
Dort, wo eine große Menge sensibler Daten gesammelt und verarbeitet wird, bedarf es selbstverständlich auch eines besonderen Schutzes. Eine wesentliche Änderung bringt daher § 75c SGB V hinsichtlich der Anforderungen an die IT-Sicherheit in Krankenhäusern mit sich:
(Absatz 1, Satz 1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.
Neu ist in diesem Zusammenhang, dass die Umsetzung angemessener Maßnahmen im Bereich der Informationssicherheit nach dem Stand der Technik auch für kleinere Krankenhäuser verbindlich vorgegeben wird. Bisher waren ausschließlich Universitätskliniken und Maximalversorger als sog. kritische Infrastrukturen durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) betroffen. Kleinere Krankenhäuser stehen daher vor großen Herausforderungen, da neben technischen Anpassungen und Investitionen auch Anpassungen an interne Verfahren notwendig werden. Gleichzeitig ist die Personalausstattung in der Regel ohnehin angespannt und die Möglichkeiten Personal zu beschaffen und langfristig zu binden sind insbesondere im öffentlichen Bereich begrenzt. Neben dem Tages- und Projektgeschäft sowie der herausfordernden Anbindung an die Telematik-Infrastruktur gesellen sich nun verstärkt regulatorische Anforderungen zur Datensicherheit.
Umso wichtiger ist es, dieses Thema möglichst gezielt und ressourceneffizient anzugehen. Folgende Fragestellungen sind hierfür von Bedeutung:
Zu beachten ist dabei, dass die Maßnahmen nicht zwingend technischer Natur sein müssen (z. B. Einführung neuer Systeme zur Absicherung). Häufig sind organisatorische Maßnahmen (z. B. Neugestaltung von Zugriffsrechten, Festlegung von Verantwortlichkeiten) sehr viel zielführender als große Investitionsmaßnahmen. Diese Maßnahmen sparen Zeit und andere Ressourcen. Welches jeweils die zielführendste Maßnahme ist, sollte gemeinsam mit Mitarbeitern der Krankenversorgung und der IT ermittelt werden. Datenschutz und Datensicherheit sind eine Unternehmensaufgabe, bei der abteilungsübergreifend zusammengearbeitet werden muss, um angemessene und effiziente Maßnahmen umzusetzen.
Koordinierende Stelle ist hier im Normalfall der Informationssicherheitsbeauftragte (ISB) des Krankenhauses. Dieser ist wesentlicher Bestandteil des Informationssicherheits-Management-Systems (ISMS). Der ISB muss mit einem ausreichenden Zeitbudget versehen werden, um seinen Aufgaben nachkommen zu können. Bei der Besetzung ist insbesondere darauf zu achten, dass Interessenskonflikte durch Überschneidungen mit anderen Tätigkeiten (z. B. gleichzeitige Leitung der IT-Abteilung) ausgeschlossen werden. Weiterhin empfiehlt es sich, bei der Auswahl auf Branchenerfahrung zu achten, denn es bedarf im Umgang mit Ärzten und dem Pflegepersonal erfahrungsgemäß der richtigen Ansätze, um auch unpopuläre, aber durchaus notwendige Sicherheitsmaßnahmen zu platzieren und durchsetzen zu können.
(Absatz 1, Satz 2) Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht.
Kurzum:
Soviel wie nötig, so wenig wie möglich!
Von elementarer Bedeutung bei der Umsetzung von Maßnahmen ist dabei, dass die jeweiligen Schutzziele erreicht werden. Die Zauberformel lautet „VAPIBV”:
Die Schutzziele Patientensicherheit und Behandlungseffektivität stammen aus dem branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung in Krankenhäusern. Der B3S geht mit der Festlegung dieser Ziele über die Anforderungen einschlägiger Normen, wie dem BSI Grundschutz, deutlich hinaus. Mit Blick auf die wesentlichen Ziele eines Krankenhauses und das Wohl von Patienten ist dies jedoch zielführend und nachvollziehbar.
Eine rein wirtschaftliche Betrachtung bei der Planung von Maßnahmen ist nicht ausreichend. Die Umsetzung einer Maßnahme darf nicht aus dem Grund unterbleiben, weil sie beispielsweise „zu teuer” ist. Es muss dabei immer abgewogen werden, welche Risiken durch Unterlassung von Maßnahmen auf die Schutzziele bestehen und ob ein angemessener Schutz besteht.
(Absatz 1, Satz 3) Die informationstechnischen Systeme sind spätestens alle 2 Jahre an den aktuellen Stand der Technik anzupassen.
Die Umsetzung des Stands der Technik orientiert sich an den Vorgaben des BSI-Gesetzes, laut dem alle 2 Jahre ein entsprechender Nachweis gefordert ist. Gegenüber Betreibern kritischer Infrastrukturen gibt es jedoch eine entscheidende Erleichterung: Der Stand der Technik ist zwar umzusetzen, die Umsetzung ist allerdings nicht – zwingend – gegenüber dem BSI nachzuweisen. Ein Nachweis der Umsetzung kann unter Umständen aber dennoch nützlich sein, z. B. bei Abschluss einer Cyber-Versicherung, als Nachweis der Wirksamkeit des Management-Systems für Informationssicherheit oder unter Compliance Gesichtspunkten.
(Absatz 2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
Es gibt verschiedene Grundlagen, an denen sich die Krankenhäuser orientieren können, um die Verpflichtungen zur Datensicherheit strukturiert umzusetzen. Am bekanntesten sind dabei vermutlich die Norm ISO/IEC 27001 und der BSI IT-Grundschutz. Letzterer ist allerdings sehr formal, umfangreich und wenig prozessorientiert. Es lohnt sich daher, Verfahren am branchenspezifischen Sicherheitsstandard (B3S) „Medizinische Versorgung”, der vom Branchenarbeitskreis „Medizinische Versorgung” erstellt wurde, auszurichten.
Weder das BSI-Gesetz noch die Kritis-Verordnung enthalten konkrete Maßnahmen innerhalb einer spezifischen Branche, um die im BSI-Gesetz abstrakt formulierten Anforderungen umzusetzen. Der branchenspezifische Sicherheitsstandard entspricht einer Interpretation für sinnvolle und notwendige Maßnahmen im Bereich der medizinischen Versorgung und bietet durch die Freigabe des BSI Sicherheit. Die Aufrechterhaltung des Versorgungsniveaus der kritischen Infrastruktur steht stets im Mittelpunkt der Maßnahmen. Hierfür ist ein Informationssicherheits-Management-System (ISMS) obligatorisch.
Wesentlicher Bestandteil des Managementsystems ist die Risikoverwaltung. Es sind strukturierte Verfahren für die Identifikation, Bewertung und Überwachung von Risiken im Bereich der Informationssicherheit zu etablieren und aufrechtzuerhalten. Neben dem Risikomanagement enthält der B3S außerdem die folgenden Bereiche:
(Absatz 3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.
Für Kritis-Häuser ergeben sich durch § 75c SGB V keine Änderungen, da sie bereits ohnehin durch das BSI-Gesetz zur Umsetzung des Stands der Technik verpflichtet sind. Durch das Patientendatenschutzgesetz sollen im Ergebnis alle Krankenhäuser auf das Schutzniveau von Kritis-Häusern kommen, unabhängig von der Fallzahl (sog. Kritis-light). Derzeit definiert die Kritis-Verordnung lediglich Krankenhäuser mit einer jährlichen Zahl von mindestens 30.000 vollstationären Fällen als kritische Infrastrukturen.
Zum aktuellen Zeitpunkt ist für Nicht-Kritis-Häuser kein Nachweis über die Umsetzung im Rahmen von zweijährlichen Prüfungen gegenüber dem BSI geplant. Dabei handelt es sich jedoch um eine Momentaufnahme. Seit Veröffentlichung der Kritis-Verordnung wird mit einer sukzessiven Erweiterung des Kreises der Betreiber kritischer Infrastrukturen durch Senkung der Schwellenwerte gerechnet.
Nichtsdestotrotz sollte die Geschäftsleitung über eine freiwillige Prüfung, beispielsweise auf Basis des branchenspezifischen Sicherheitsstandards, nachdenken. Hierdurch können wesentliche Schwachstellen und Angriffspunkte frühzeitig aufgedeckt und nachgebessert werden. Einen Ausfall der medizinischen IT-Systeme können und dürfen sich große wie kleine Krankenhäuser nicht erlauben. Gut, wenn man vorher nachweislich durch ein Audit Auswirkungen und Wahrscheinlichkeiten von Schadensereignissen auf ein akzeptables Maß reduzieren konnte. Sollten dennoch umfangreichere IT-Investitionen notwendig werden, kein Problem.
Das Krankenhauszukunftsgesetz (KHZG) sieht in einem der Förderprogramme vor, dass Projekte zur Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer oder kommunikationstechnischer Anlagen, Systeme oder Verfahren unterstützt werden. Gleiches gilt für die Modernisierung der vorhandenen Systeme. Förderungen nach § 12a Abs. 1 S. 4 Nr. 3 des KHZGs (Vorhaben zur Verbesserung der informationstechnischen Sicherheit der Krankenhäuser aus dem Strukturfond) sind sogar vorrangig.
Sprechen Sie uns gerne an. Unsere Experten, die auch über die Berechtigung nach § 21 KHSFV verfügen, sind gerne für Sie da!
Ausgabe Oktober 2021
Jürgen Schwestka
Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW
Partner
Anfrage senden
Norman Lenger-Bauchowitz, LL.M.
Mediator & Rechtsanwalt, Fachanwalt für Steuerrecht, Fachberater für Restrukturierung & Unternehmensplanung (DStV e.V.)
Profil
