Logo der activeMind AG

Informationssicherheit für Krankenhäuser

Schützen Sie Patienten, Mitarbeitende und Ihre gesamte Organisation durch eine starke IT- und Informationssicherheit.

Erbringen Sie für Ihr KRITIS-Krankenhaus den Nachweis gemäß B3S medizinische Versorgung.

Zufriedene Kunden der activeMind AG

Gehört Ihr Krankenhaus zur Kritischen Infrastruktur (KRITIS)?

Ihr Krankenhaus ist dann Teil der Kritischen Infrastruktur Deutschlands, wenn Sie mehr als 30.000 vollstationäre Fälle pro Jahr haben.

Krankenhäuser müssen ihre Fallzahl jeweils bis zum 31. März für das Vorjahr überprüfen und bei Erreichen bzw. Überschreiten eine Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) machen.

Achtung: Diese Krankenhäuser gelten bereits ab dem Folgetag (1. April) als KRITIS!

Welche Informationssicherheits-Vorgaben gelten für KRITIS-Krankenhäuser?

Krankenhäuser, die als Kritische Infrastruktur gelten, müssen die Vorgaben des § 8a BSI-Gesetz (BSIG) erfüllen.

Die IT-Sicherheit von KRITIS-Krankenhäusern ist gemäß dem Stand der Technik umzusetzen und die Einhaltung dessen ist regelmäßig gegenüber dem BSI nachzuweisen.

Insbesondere sind Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme von Krankenhäusern sicherzustellen. Zudem müssen Systeme zur Angriffserkennung etabliert werden.

Der Nachweis gegenüber dem BSI geschieht am besten über eine Prüfung gemäß eines Branchenspezifischen Sicherheitsstandards (B3S).

Wie kann activeMind Krankenhäusern bei der Informationssicherheit helfen?

Um die gesetzlichen bzw. normativen Vorgaben zu erfüllen und in der Praxis effizient umzusetzen, ist es für die allermeisten Kliniken und Krankenhäuser sinnvoll, einen Experten als externen Informationssicherheitsbeauftragten zu bestellen.

Unser Experte hilft Ihnen als KRITIS-Krankenhaus ein geeignetes Managementsystem zu errichten. Das kann ein Datenschutz-Managementsystem (DSMS), ein Informationssicherheits-Managementsystem (ISMS) oder – am sinnvollsten – ein integriertes Managementsystem sein, welches alle Aspekte gleichermaßen berücksichtigt.

Um den Nachweis gegenüber dem BSI zu erbringen, greifen wir für KRITIS-Krankenhäuser in der Regel auf den von der Deutschen Krankenhausgesellschaft (DKG) entwickelten Branchenspezifischen Sicherheitsstandard (B3S) Medizinische Versorgung (auch B3S Krankenhaus genannt) zurück.

Drei gute Gründe für activeMind als Ihren Partner

Erfahrung mit Krankenhäusern

Die Experten von activeMind verfügen über jahrelange Erfahrung in der Umsetzung von Branchenstandards wie B3S in Krankenhäusern. So können Sie unmittelbar loslegen.

Macher-Mentalität

Wir wissen nicht nur, was der B3S vorschreibt – sondern auch, wie Sie das in der Praxis am besten umsetzen. So kommen Sie deutlich schneller ans Ziel.

Echte Befähigung

Wir bringen Ihr Krankenhaus auf den aktuellen Stand der Technik und befähigen Sie, Ihre Informationssicherheit dauerhaft zu verbessern. So sind Sie auch für zukünftige Gefahren bestens gewappnet.

Ausgewählte Experten

Unsere Consultants bringen Ihr Krankenhaus bis zum erfolgreichen B3S-Nachweis.

Consultant Datenschutz und Informationssicherheit
Senior Partner und Vorstand
Consultant Datenschutz und Informationssicherheit
Partner
Consultant Datenschutz und Informationssicherheit
Manager

Kostenlose Erstberatung

Lassen Sie uns gemeinsam herausfinden, welche Anforderungen Ihr Krankenhaus erfüllen muss – und was der beste Weg dorthin ist.

Schreiben Sie uns jetzt und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag für eine kostenlose Erstberatung bei Ihnen!

Compliance ist unsere
Unternehmes-DNA
TISAX Siegel

Häufig gestellte Fragen zur Informationssicherheit von Krankenhäusern

Die wichtigste Anforderung an die Informationssicherheit von Krankenhäusern ist die Gewährleistung sogenannter Schutzziele, insbesondere Verfügbarkeit, Integrität, Vertraulichkeit sowie Patientensicherheit und Behandlungseffektivität. Dafür müssen technische und organisatorische Maßnahmen getroffen werden, die dem Stand der Technik entsprechen.

Für Krankenhäuser gelten allgemeine Schutzziele der Informationssicherheit sowie die branchenspezifischen Schutzziele der Patientensicherheit und der Behandlungseffektivität:

  • Verfügbarkeit sagt aus, dass Daten immer dann und dort nutzbar sein müssen, soweit dies vorgesehen ist. Gezielt wird dabei sowohl auf den Datenbestand an sich als auch alle Systeme und Netzwerke, die benötigt sind, um die Daten zur richtigen Zeit am richtigen Ort nutzbar zu machen.
  • Integrität bezeichnet die Sicherstellung der Korrektheit bzw. Unversehrtheit von Daten und der korrekten Funktionsweise von Systemen.
  • Vertraulichkeit stellt den Schutz vor unbefugter Preisgabe von Informationen sicher. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in zulässiger Weise zugänglich sein.
  • Patientensicherheit im Sinne des B3S für Krankenhäuser umfasst die Maßnahmen und Prozesse, die darauf abzielen, Risiken und Fehler im Gesundheitswesen zu minimieren, um die Sicherheit und das Wohlbefinden der Patienten zu gewährleisten. Dies beinhaltet unter anderem die Sicherstellung der IT-Sicherheit, den Schutz sensibler Patientendaten, die Vermeidung medizinischer Fehler und die Gewährleistung einer kontinuierlichen und sicheren Patientenversorgung.
  • Behandlungseffektivität im Sinne des B3S für Krankenhäuser beschreibt die Fähigkeit, medizinische Behandlungen erfolgreich und zielgerichtet durchzuführen, um die bestmöglichen gesundheitlichen Ergebnisse für die Patienten zu erzielen.

Technische und organisatorische Maßnahmen (TOM) ist der Sammelbegriff für die Prozesse, die notwendig sind, um zu regeln, wie genau die einzelnen Anforderungen erfüllt werden sollen, und letztlich die diesen Vorgaben entsprechende tatsächliche und technische Umsetzung.

Der Begriff Stand der Technik wird verwendet, wenn es darum geht, die Weiterentwicklung technischer Systeme zu berücksichtigen und ggf. die entsprechende Anpassung oder Erneuerung von Lösungen zu erzwingen. Im Grunde geht es um Updates oder den Austausch veralteter Lösungen.

Mehr dazu auch in unserem Ratgeber zum Stand der Technik.

Die Anforderungen an die IT- bzw. Informationssicherheit und an den (technischen) Datenschutz in Krankenhäusern ergeben sich aus diversen Gesetzen:

  • Auf europäischer Ebene ist dies zunächst die Datenschutz-Grundverordnung (DSGVO).
  • In Deutschland kommen übergreifend hinzu:
    • die durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) angestoßenen Änderungen des BSI-Gesetzes,
    • die BSI-Kritisverordnung und
    • das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens – kurz Digital-Gesetz (DigiG) – (ursprünglich als Patientendaten-Schutz-Gesetz (PDSG) in Kraft getreten).
  • Für Krankenhäuser in konfessioneller Trägerschaft gelten zudem das Gesetz über den Kirchlichen Datenschutz (KDG) bzw. das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz).
  • Auch in anderen Gesetzen verstecken sich Vorschriften, die erheblichen Einfluss auf die eingesetzten Lösungen haben können, insbesondere wenn diese über Dienstleister bezogen werden.

Für die Informationssicherheit in KRITIS-Krankenhäusern sind die Vorgaben des § 8a BSIG entscheidend. Demnach müssen Betreiber Kritischer Infrastrukturen ihre IT-Sicherheit nach dem Stand der Technik umsetzen und die Einhaltung dessen regelmäßig gegenüber dem BSI nachweisen.

Der später hinzugefügte § 8a Absatz 1a BSIG fordert zudem ausdrücklich den Einsatz von Systemen zur Angriffserkennung.

Auch das Erreichen eines angemessenen Datenschutzniveaus gemäß DSGVO muss auf Anfrage von Aufsichtsbehörden aktiv nachgewiesen werden.

Durch das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens – kurz Digital-Gesetz (DigiG) wird unter anderem der bisherige § 75c SGB V gestrichen. Seit 25. März 2024 gilt hierfür der § 391 SGB V.

Demnach müssen auch Krankenhäuser, die nicht zur Kritischen Infrastruktur gehören, bereits aktuell nachweisen können, dass sie angemessene, dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz von Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme getroffen haben.

Um den Nachweis gegenüber dem BSI zu erbringen, können KRITIS-Krankenhäuser auf den von der Deutschen Krankenhausgesellschaft (DKG) entwickelten Branchenspezifischen Sicherheitsstandard (B3S) zurückgreifen.

Dieser B3S ist als Prüfkatalog zwar nicht zwingend, es ist aber fraglich, ob es sinnvoll ist, einen eigenen Ansatz zu suchen und diesen dann möglicherweise gegenüber einem Prüfer und dem BSI verteidigen zu müssen.

Bei Verstößen gegen die Vorgaben zur Informationssicherheit müssen KRITIS-Krankenhäuser mit Bußgeldern von bis zu 20 Millionen Euro rechnen.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.