Selbst der Gesundheitssektor ist gegen Viren und Cyberattacken nicht immun

Die Digitalisierung hält Einzug in den Gesundheitssektor und wird in Anlehnung an den Industriesektor als „Medizin 4.0“ gefeiert. Die Erhebung, Aus- und Verwertung von Daten, wie es beispielsweise bei Big Data Analysen erfolgt, spielen dabei regelmäßig eine bedeutsame Rolle und eröffnen neue Erkenntnismöglichkeiten und Geschäftspotentiale.

So analysieren beispielsweise zahlreiche Dienstleister von Gesundheitsportalen, Fitness-Apps sowie Fitness-Trackern das Bewegungsverhalten (z. B. durch Standortdaten) und das subjektive Empfinden ihrer Nutzer (z. B. Herzschlag, Puls und Hauttemperatur). Unterschätzt werden hierbei regelmäßig die strengen datenschutzrechtlichen Vorgaben bei der Verarbeitung dieser besonderen personenbezogenen Daten.

Auch für Krankenhäuser und Krankenkassen ist die „Medizin 4.0“ ein großes Thema und macht beispielsweise den Umgang mit Krankenakten, Notfalldaten und verordneten Medikamenten maßgeblich effizienter. Während hier schon ein Bewusstsein für den Datenschutz vorhanden ist, haben aktuelle Cyberattacken, wie „WannaCrypt“ im Mai 2017, gezeigt, dass bezüglich der Cybersicherheit noch Nachholbedarf besteht. So waren hiervon weltweit allein 40 Kliniken, vor allem in Großbritannien, betroffen. Schon im Februar 2016 wurden deutsche Krankenhäuser zum Hacker-Ziel. Dies führte insbesondere bei einer Klinik in Düsseldorf-Neuss nicht nur zu einem finanziellen, sondern vor allem auch zu einem erheblichen Reputationsschaden.

Die Beispiele zeigen, dass neben dem Datenschutz auch die IT-Sicherheit für Unternehmen im Gesundheitssektor einen sehr hohen Stellenwert einnehmen muss.

IT- und Datensicherheit

Datenschutzrechtliche Vorgaben Den meisten im Gesundheitssektor tätigen Unternehmen und Institutionen ist bekannt, dass sie ausreichende technische und organisatorische Maßnahmen i. S. v. § 78a SGB X i. V. m. der Anlage zu § 78a SGB X sowie den allgemeinen Datenschutzbestimmungen, wie § 9 BDSG i.V.m. der Anlage zu § 9 BDSG implementieren und befolgen müssen. Diese Schutzmaßnahmen müssen dabei in einem angemessenen Verhältnis zum Schutzzweck stehen. Bei Gesundheitsdaten gilt diesbezüglich ein sehr strenger Maßstab. Mit der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) werden zusätzliche Anforderungen gestellt. So wird mit Art. 25 DSGVO zukünftig die Verpflichtung zur sog. Data Privacy by Design and Default bestehen, wonach schon die Gestaltung der Technik und Voreinstellung von IT-Systemen die Verarbeitung personenbezogener Daten reduzieren sollen.

Ebenfalls weitestgehend bekannt ist, dass im Falle einer Datenpanne nach § 42a BDSG sowie § 83a SGB X Informationspflichten, die sog. Data Breach Notification, bestehen. Die diesbezüglichen Reaktionszeiten, innerhalb derer diese Mitteilungen an die Datenschutzbehörden und Betroffenen zu erfolgen haben, werden sich dabei jedoch mit der DSGVO dramatisch verkürzen. So sind Aufsichtsbehörden zukünftig in der Regel innerhalb von 72 Stunden zu informieren.

IT-Sicherheitsgesetz Unternehmen aus dem Gesundheitssektor sind gemäß § 2 Abs. 10 S. 1 Nr. 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) weiteren IT-sicherheitsrelevanten Pflichten ausgesetzt, soweit diese „Betreiber einer Kritischen Infrastruktur“ sind.

Kritische Infrastrukturen des Gesundheitssektors

Wer konkret als „Betreiber einer Kritischen Infrastruktur“ zu qualifizieren ist, sollte nach dem Willen des Gesetzgebers durch eine Verordnung festgelegt werden. Dies ist nun in Bezug auf den Gesundheitssektor mit der ersten Verordnung zur Änderung der BSI-Kritisverordnung, die am 30. Juni 2017 in Kraft getreten ist, erfolgt.

Hiernach sind wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens im Sektor Gesundheit zunächst folgende Dienstleistungen „kritisch“:

  • die stationäre medizinische Versorgung (Aufnahme, Diagnose, Therapie, Unterbringung/Pflege, wie auch die Entlassung von Patienten);
  • die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind (Herstellung und Abgabe);
  • die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper (Herstellung, Vertrieb und Abgabe) sowie
  • Laboratoriumsdiagnostik (Transport und Analyse).

Dabei unterfällt nicht jeder Anbieter der vorgenannten Dienstleistungen dem BSIG, sondern Betreiber einer Kritischen Infrastruktur sind nur solche, die die im Anhang 5 Teil 3 Spalte B der BSI-Kritisverordnung aufgelisteten Schwellenwerte erreichen. Ein Krankenhaus fällt beispielsweise unter das BSIG bzw. die KRITIS-VO, sofern es eine vollstationäre Fallzahl von 30.000 pro Jahr aufweist.

Pflichten nach dem IT-Sicherheitsgesetz

Nach § 8a BSIG muss ein Betreiber einer Kritischen Infrastruktur angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit seiner informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihm betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden, wobei Branchenverbände Sicherheitsstandards vorschlagen können. Die organisatorischen und technischen Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Die Erfüllung dieser Anforderungen hat der Betreiber der Kritischen Infrastruktur dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen. In der Regel erfolgt dies über entsprechende Zertifizierungen. Zu beachten ist hierbei, dass diese technischen und organisatorischen Maßnahmen nicht identisch zu denjenigen sind, die im Rahmen des Datenschutzes zu beachten sind. Dies ergibt sich aus den unterschiedlichen Schutzzwecken der Gesetze. Während beim Datenschutz der Betroffene, also z. B. der Patient, vor einer unberechtigten Verarbeitung seiner personenbezogenen Daten geschützt werden muss (ggf. sogar vor der verarbeitenden Stelle selbst), zielt das BSIG ausschließlich auf den Schutz der ITSysteme ab.

Aufgrund einer gesetzlichen Übergangsfrist haben Unternehmen aus dem Gesundheitssektor nun zwei Jahre ab Inkrafttreten der Verordnung Zeit, die Vorgaben von § 8a BSIG umzusetzen. Danach drohen den Unternehmen empfindliche Bußgelder von bis zu EUR 50.000.

Neben § 8a BSIG treffen die Betreiber der Kritischer Infrastrukturen jedoch noch weitere Verpflichtungen, wie beispielsweise dem BSI bestimmte Störungen ihrer IT-Systeme zu melden oder dem BSI eine Kontaktstelle mitzuteilen.

Praktische Handlungsempfehlung

Zwei Jahre klingt zunächst nach einem langen Zeitraum, dieser kann aber tatsächlich sehr kurz sein, wenn man bedenkt, dass die gesamte IT-Infrastruktur geprüft und die gefundenen Sicherheitsmängel behoben werden müssen, zumal diesen IT-Projekten ggf. langwierige Vergabeverfahren vorausgehen.

Zu beachten ist auch, dass es jedem einzelnen Unternehmen selbst obliegt, zu überprüfen, ob es dem BSIG unterfällt oder nicht. Dabei sollten auch Unternehmen, die gerade knapp unter den in der Kritis-VO normierten Schwellenwerten liegen, ihre IT-Systeme nach den Vorgaben des § 8a BSIG gestalten und zudem hinsichtlich der Anwendbarkeit des BSIG eine regelmäßige Prüfung vornehmen, um hier keine unangenehme Überraschung zu erleben.

Selbst Unternehmen, die weit unter den Schwellenwerten liegen, sollten ihre Systeme aus Eigeninteresse dahingehend überprüfen, ob diese dem aktuellen Stand der Technik im Hinblick auf die IT-Sicherheit entsprechen.