Gesetzliche Vorgaben zur IT-Sicherheit in Krankenhäusern
Das Patientendaten-Schutz-Gesetz – PDSG
Am 20.10.2020 ist das Patientendaten-Schutz-Gesetz in Kraft getreten. Mit diesem soll die Digitalisierung des deutschen Gesundheitswesens vorangebracht werden. Im Mittelpunkt dieses Gesetzes stehen Datenschutz und Datensicherheit in der Telematikinfrastruktur, die inhaltlichen Schwerpunkte liegen auf der elektronischen Patientenakte (ePA) der Krankenkassen, digitalen Überweisungen und dem E-Rezept. Im Verlauf des Gesetzgebungsverfahrens wurde jedoch auch noch der § 75c SGB V „IT-Sicherheit in Krankenhäusern“ in das Artikelgesetz aufgenommen – im Gesetzentwurf der Bundesregierung war dieser Paragraf noch nicht enthalten.
Anforderung an die IT-Sicherheit
Die wesentlichen Anforderungen des PDSG zur IT-Sicherheit sind im Absatz 1 des § 75c SGB V zusammengefasst: „Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“
Ein weitgehend gleicher Wortlaut findet sich bereits im § 8a, Abs. 1 IT-Sicherheitsgesetz (2015). Hier richtet sich die Anforderung jedoch nur an Betreiber Kritischer Infrastrukturen. Aus der Übernahme des Regelungsumfangs aus dem IT-Sicherheitsgesetz in das Patientendaten-Schutz-Gesetz ergibt sich somit, dass die Anforderungen nunmehr für alle Krankenhäuser unabhängig der Größe gleichermaßen gelten und dass sich diese auf die Gesamtheit der IT-Strukturen eines Krankenhauses beziehen (und nicht allein auf IT-Systeme, die an die Telematikinfrastruktur angeschlossen sind).
Organisatorische und technische Vorkehrungen sind in diesem Zusammenhang angemessen, „wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht“. Eine Anpassung der informationstechnischen Systeme an den aktuellen Stand der Technik ist spätestens alle zwei Jahre vorzunehmen.
Orientierung am branchenspezifischen Sicherheitsstandard
Für das „Was“ und „Wie“ gibt der Gesetzgeber in Absatz 2 direkt eine Empfehlung zur Umsetzung: „Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.“
Der für Krankenhäuser zutreffende branchenspezifische Sicherheitsstandard (B3S) wurde von der Deutschen Krankenhausgesellschaft entwickelt und wird seit 2019 in den meisten KRITIS-Häusern genutzt. Im B3S werden die abstrakten gesetzlichen Anforderungen branchenspezifisch konkretisiert, die enthaltenen Anforderungen und Maßnahmen können krankenhausintern als Handlungsleitfaden zur Umsetzung und als Grundlage für (externe) Audits, Prüfungen und Zertifizierungen verwendet werden.
Die Anwendung des branchenspezifischen Sicherheitsstandards ist eine Empfehlung und keine Verpflichtung. Der Aufwand für die Entwicklung und Umsetzung eigener Sicherheitsstandards dürfte jedoch für das einzelne Krankenhaus ungleich höher sein, als die Anwendung der vorhandenen und praxiserprobten DKG-Vorlage. Hierbei gilt zu berücksichtigen, dass selbstentwikelte Sicherheitsstandards, die das Niveau des Branchenstandards unterschreiten, sehr wahrscheinlich nicht vom BSI akzeptiert werden.
Sind damit auch kleinere Krankenhäuser Kritische Infrastruktur?
Mit dem Patientendaten-Schutz-Gesetz werden die IT-Sicherheits-Anforderungen des IT-Sicherheitsgesetzes für alle Krankenhäuser verbindlich. Alle übrigen Anforderungen, die an KRITIS-Häuser gestellt werden, sind für Krankenhäuser unterhalb des Schwellenwertes von 30.000 vollstationären Fällen pro Jahr nicht verpflichtend. Auch und insbesondere die zweijährig wiederkehrende unabhängige Überprüfung der Umsetzung ist für diese Krankenhäuser nicht vorgeschrieben. Wenngleich die verschärften Anforderungen gerne als „KRITIS light“ bezeichnet werden: Kleinere Krankenhäuser werden hiermit nicht zu einer Kritischen Infrastruktur gemäß IT-Sicherheitsgesetz und BSI-Kritisverordnung.
Michael Schrewe
michael.schrewe(at)ecclesia(dot)de