Kategorien Blog Business News

Blog: Krankenhäuser – Anforderungen an die IT-Sicherheit steigen

Welche Risiken bringt die Digitalisierung in den Krankenhäusern mit sich? Wie kann man sie vermeiden? Und welchen rechtlichen Anforderungen an die IT-Sicherheit unterliegen die Kliniken? Fragen, denen sich Betreiber immer öfter stellen müssen. Mareike Gehrmann und Dr. Carolin Monsees sind Fachanwältinnen für IT-Recht in der Wirtschaftskanzlei Taylor Wessing und wissen, worauf es zu achten gilt. In ihrem Blogbeitrag beleuchten sie die Rechtslage in Deutschland und werfen einen Blick in die Niederlande.

Mareike Gehrmann, Taylor Wessing
Mareike Gehrmann

Online-Terminvergabe für Patienten, Künstliche Intelligenz zur Tumorerkennung, Medikamentenpläne anhand von Online-Datenbanken, kommunizierende Herzschrittmacher, Cloud-Speicher für Patientenakten oder digitales Entlassmanagement: Von der ersten Kontaktaufnahme, über die Diagnose und Therapie bis hin zur Nachversorgung – die Digitalisierung ist aus dem medizinischen Bereich nicht mehr wegzudenken. Um diese im Krankenhaus-Bereich weiter voranzutreiben, hat das Bundesamt für Soziale Sicherung in Deutschland erst letztes Jahr den Krankenhauszukunftsfonds mit einem Fördervolumen in Höhe von bis zu 4,3 Milliarden Euro errichtet.

Doch bei allen Vorteilen, welche die Digitalisierung bietet, steigt damit auch das Risiko von Angriffen aus dem Cyberraum. Dabei ist die Anzahl der Cyberattacken in den letzten Jahren gestiegen: So hat sich die Zahl der Straftaten im Bereich der Cyberkriminalität von 2015 auf 2020 in Deutschland mehr als verdoppelt, wie sich aus den jeweiligen Bundeslageberichten des Bundeskrimimalamtes zu Cybercrime ergibt. Wie real diese Gefahr tatsächlich ist, zeigt exemplarisch ein Hackerangriff auf die IT-Systeme der Uniklinik Düsseldorf im September 2020.

Gesetzliche Vorgaben in Deutschland

Der Gesetzgeber hat dieses Risiko vor allem bei größeren Krankenhäusern gesehen und entsprechend geregelt. Nach Maßgabe BSI-Kritisverordnung (BSI-KritisV) zählen Krankenhäuser zu Betreibern kritischer Infrastruktur (KRITIS), sofern sie einen Schwellenwert von 30.000 vollstationären Fällen pro Jahr überschreiten. Im BSI-Gesetz (BSIG) wird den KRITIS-Betreibern die Pflicht auferlegt, ihr IT-System durch angemessene organisatorische und technische Vorkehrungen vollumfänglich zu schützen und dabei den Stand der Technik einzuhalten. Darüber hinaus sind die Betreiber verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre den Nachweis über die Erfüllung der entsprechenden Anforderungen zu erbringen, eine jederzeit erreichbare Kontaktstelle zu benennen und erhebliche Störungen umgehend zu melden. Bei einem Pflichtverstoß drohen empfindliche Geldbußen von bis zu 20 Millionen Euro.

Carolin Monsees, Taylor Wessing
Carolin Monsees

Diese Verpflichtungen galten bisher nur für als KRITIS-Betreiber eingestufte Krankenhäuser. Dies wird sich durch das im Oktober 2020 erlassene Patientendatenschutzgesetz (PDSG) und den neu eingeführten § 75c SGB V zukünftig allerdings ändern. Demnach sind ab dem 1. Januar 2022 ausnahmslos alle Krankenhäuser verpflichtet, Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Kurzgefasst bedeutet dies, dass nun auch kleinere Krankenhäuser verpflichtet sind, ihre IT-Systeme nach dem Stand der Technik durch angemessene Vorkehrungen zu schützen.

Diese Verpflichtungen können Krankenhausbetreiber insbesondere erfüllen, indem sie die branchenspezifischen Sicherheitsstandards (B3S) in der jeweils gültigen Fassung umsetzen. Der B3S beschreibt informationssicherheitstechnische Prozesse und Maßnahmen, anhand derer ein angemessenes Schutzniveau erreicht werden kann. Die Einhaltung der B3S ist in § 75c Absatz 2 SGB V als Empfehlung normiert.

Prüfpflicht für kleine Krankenhäuser?

Während als KRITIS-Betreiber eingestufte Krankenhäuser bereits durch die BSI-KritisV zur Nachweispflicht gegenüber dem BSI verpflichtet wurden, ergibt sich eine solche Anforderung für kleine Krankenhäuser weder aus § 75c SGB V noch aus dem PDSG. Dennoch haben auch kleinere Krankenhäuser alle zwei Jahre ihre IT-Sicherheitsmaßnahmen an den aktuellen Stand der Technik anzupassen (siehe § 75c Absatz 1 S. 3 SGB V).

Unbeschadet dessen ist die Einhaltung der Schutzmaßnahmen für den Träger essentiell. Werden etwa in Folge eines Cyberangriffes Patienten nicht behandelt oder versterben schlimmstenfalls, ist nicht auszuschließen, dass etwaige Schadensersatzansprüche gegen den Träger geltend gemacht werden. In einem Prozess kann der Nachweis darüber, angemessene Vorkehrungen zum Schutz der IT-Systeme getroffen zu haben, entlastend wirken. Auch könnten unter Umständen strafrechtliche Konsequenzen drohen.

Auch der Datenschutz fordert IT-Sicherheitsmaßnahmen

Doch nicht nur aus den vorgenannten Gründen bedarf es angemessener IT-Sicherheitsmaßnahmen. Vielmehr ist zu beachten, dass nahezu jeder IT-Sicherheitsvorfall auch eine (meldepflichtige) Datenschutzverletzung nach sich zieht. Hierbei ist nicht nur an Cyberattacken zu denken, sondern auch an den Umgang mit personenbezogenen Daten im Rahmen des operativen Betriebs. Eine der häufigsten Datenschutzverletzungen, die ein Bußgeld nach sich zog, war ein nicht vorhandenes oder unzureichendes Rollen- und Berechtigungssystem für die Patientendaten. So war es allen Beschäftigten eines Krankenhauses in Den Haag möglich, auch ohne entsprechende Veranlassung jederzeit auf Patientenakten zuzugreifen. Für diesen eklatanten Sicherheitsmangel, verhängte die zuständige Aufsichtsbehörde ein Bußgeld von 460.000 Euro. Sie folgt damit dem Beispiel einer portugiesischen Aufsichtsbehörde, die bereits aus demselben Grund im Jahr 2018 ein Bußgeld von 400.000 Euro gegen ein Krankenhaus verhängte. Aber auch die Datenschutzbehörde in Rheinland-Pfalz ahndete ein Krankenhaus aufgrund mehrerer Datenschutzverletzungen im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme. Sie verhängte ein Bußgeld in Höhe von 105.000 Euro.

Blick in die Niederlande

Mit Blick in die Niederlande wird die Anfälligkeit von IT-Systemen im Gesundheitssektor noch deutlicher: etwa ein Drittel der 2018 gemeldeten Datenschutzverstöße kamen aus dem Gesundheitssektor. Davon beruhten zwar nur 4 Prozent auf Hacking, Malware oder Phishing, die übrigen 96 Prozent basierten aber auf mangelnden organisatorischen Maßnahmen. So wurden personenbezogene Daten beispielsweise an einen falschen Empfänger gesendet oder weitergegeben, Briefe oder Datenträger gingen verloren oder wurden gestohlen. In wenigen Fällen lag der Datenschutzverstoß in der versehentlichen Veröffentlichung personenbezogener Daten.

Eine Studie von Cybersprint im Auftrag der niederländischen Zeitschrift Elservier Weekblad aus dem Jahr 2019 zeigt, dass alle im Rahmen dieser Studie untersuchten 28 Krankenhäuser Schwachstellen in ihrer Cybersicherheit aufwiesen. Das sog. Computer Emergency Response Team, kurz Z-CERT, welches sich um die spezifische Überwachung, Vorbeugung und Behebung von Informationssicherheitsverletzungen im Gesundheitswesen sowei bei medizinischen Geräten kümmert, berichtete von einem Anstieg der ihnen gemeldeten Vorfälle für das Jahr 2020. Wegen unzureichender Absicherung der Akten vor unberechtigtem Zugriff von Mitarbeitern wurde erst im Februar 2021 gegen das Amsterdamer Krankenhaus OLVG ein Bußgeld in Höhe von 440.000 Euro verhängt.

Seit 2018 gilt das Gesetz über die Sicherheit der Netze und Informationssysteme (Wet beveiliging netwerk- en informatiesystemen – WBNI), das, wie das deutsche BSIG, auf der Umsetzung der EU-Richtlinie 2016/1148 beruht. Ähnlich wie bei den deutschen KRITIS-Betreibern unterliegen Anbieter sog. „essentiële dienst“ (lebenswichtiger Dienst) Melde- und Sorgfaltspflichten. Die Konkretisierung, welche Anbieter vom WBNI erfasst sind, erfolgt vergleichbar mit der KRITIS-VO durch die Sicherheitsentscheidung für Netzwerk- und Informationssysteme (Besluit beveiliging netwerk- en informatiesystemen – BBNI). Doch anders als in Deutschland gelten Krankenhäuser in den Niederlanden – unabhängig ihrer Größe – nicht grundsätzlich als lebenswichtiger Dienst. Prämisse für diese Einordnung ist, dass ein Ausfall folgende Konsequenzen zur Folge hat:

  • mehr als 5 Milliarden Euro Schaden oder 1,0 % Rückgang des Realeinkommens der Niederlande,
  • mehr als 1.000 Tote, Schwerverletzte oder chronisch kranke Menschen oder
  • mehr als 100.000 Menschen mit emotionalen Problemen oder ernsthaften sozialen Problemen beim Überleben.

Der niederländische Gesundheitsminister begründet die Entscheidung des Gesetzgebers, Gesundheitsdienstleister nicht als lebenswichtige Anbieter zu klassifizieren, mit der dezentralen Organisation der Gesundheitsinfrastruktur. Bei einem hypothetischen Ausfall könnten immer auch andere Gesundheitsdienstleister aushelfen. Nach aktueller Gesetzeslage stellen Krankenhäuser damit keine lebenswichtigen Dienste im Sinne des WBNI dar und sind folglich auch nicht zur Einhaltung der WBNI-spezifischen Maßnahmen verpflichtet.

Doch auch unabhängig ihrer Einordnung: die Verbesserung der IT-Sicherheitssysteme in Krankenhäusern rückt immer weiter in den Fokus. Mit dem 2018 entworfenen „Actieplan Informatiebeveiligingdaraus“ (Aktionsplan für Informationssicherheit) soll die Informationssicherheit und der Schutz der Privatsphäre im Gesundheitswesen strukturell auf ein höheres Niveau gehoben werden. Zudem gibt es auch in den Niederlanden nationale branchenspezifische Sicherheitsstandards, wie die NEN Norm 7510. Diese Norm attestiert bei Umsetzung den Schutz vertraulicher und sensibler Daten durch Protokolle und geeignete Maßnahmen – ähnlich wie der deutsche B3S.

Allerdings ist die Einhaltung der NEN 7510 Norm nur in bestimmten Fällen obligatorisch. Eine freiwillige Zertifizierung kann aber für Krankenhäuser von Vorteil sein. Sie können dadurch ihrer Rechenschaftspflicht nachkommen, ausreichende organisatorischen und technischen Maßnahmen zur Einhaltung der DSGVO getroffen haben.

Eine entsprechende Verpflichtung, alle zwei Jahre die IT-Sicherheitsmaßnahmen an den aktuellen Stand der Technik anzupassen, wie sie für deutsche Krankenhäuser ab dem 1. Januar 2022 gilt, ist in den Niederlanden – Stand jetzt – nicht vorgesehen.

Ausblick NIS-Richtlinie 2.0

Derzeit befindet sich eine Neuerung der EU-Richtlinie 2016/1148 im Gesetzgebungsverfahren, die sog. NIS-Richtlinie 2.0. Zur Vermeidung großer Unterschiede zwischen den EU-Mitgliedsstaaten sieht der Entwurf vor, dass die Schwellenwerte nicht mehr durch die Mitgliedsstaaten selbst, sondern direkt durch die NIS-Richtlinie 2.0 bestimmt werden. So wird sich der Anwendungsbereich nach aktueller Planung auf alle mittleren und großen Unternehmen in den kritischen Sektoren erstrecken. Für Einrichtungen, bei denen sich eine potenzielle Störung der erbrachten Dienste auf die öffentliche Gesundheit auswirken könnte, soll in Artikel 2 Abs. 2 lit. d) NIS-Richtlinie 2.0 allerdings eine Ausnahme gemacht werden. Hier sollen die IT-Sicherheitsanforderungen unabhängig von der Größe der Einrichtung gelten. Dies könnte zur Folge haben, dass die Niederlande bei der Umsetzung der NIS-Richtlinie 2.0 Krankenhäuser zwingend als lebenswichtige Dienste in das BBNI aufnehmen müssen.

Fazit und Empfehlung

Krankenhäuser sind zukünftig angehalten, noch mehr auf die IT-Sicherheit zu achten. Die zunehmende Digitalisierung ist sowohl für Patient als auch für Ärzte, Pflegende und Krankenhausbetreiber wünschenswert, jedoch nur unter Einhaltung der Sicherheitsstandards. Wir empfehlen Krankenhausbetreibern deshalb dringend, die bestehenden IT-Sicherheitsstrukturen mit Blick auf die steigenden Anforderungen noch einmal zu überprüfen und etwaige Schutzlücken zu schließen. Bei Bedarf sollte Unterstützung durch Rechts- und Technikexperten eingeholt werden.

Die Autorinnen

Mareike Gehrmann und Dr. Carolin Monsees: Die Autorinnen sind Fachanwältinnen für IT-Recht und Salary Partnerinnen bei der Wirtschaftskanzlei Taylor Wessing.