Auswirkungen des Patientendaten-Schutz-Gesetzes auf die IT-Sicherheit in Krankenhäusern

Mit dem Patientendaten-Schutz-Gesetz (PDSG) kommt nicht nur die vieldiskutierte elektronische Patientenakte nach Deutschland. Das PDSG bringt auch deutlich gestiegene Anforderungen an die IT- und Informationssicherheit von Krankenhäusern mit sich. Letzte Änderungen an dem Gesetzentwurf brachten gewissermaßen durch die Hintertür KRITIS-Anforderungen für alle Kliniken in Deutschland. Für die Verantwortlichen bleibt wenig Zeit, den Stand Ihrer Informationssicherheit entsprechend aufzurüsten und nachzuweisen.

Ab wann greifen die Vorschriften des PDSG?

Das Patientendaten-Schutz-Gesetz (wörtlich: Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur) wurde am 19. Oktober 2020 im Bundesgesetzblatt veröffentlicht und gilt deshalb seit dem Folgetag.

Die im Folgenden diskutierten Anforderungen an die Informationssicherheit von Krankenhäusern durch das PDSG müssen bereits ab dem 1. Januar 2022 nachgewiesen werden können.

Welche IT-Sicherheits-Anforderungen kommen mit dem PDSG?

Alle Krankenhäuser in Deutschland werden sich künftig mit deutlich gestiegenen Anforderungen im Bereich der Informations- bzw. IT-Sicherheit konfrontiert sehen. Zumindest in den Bereichen, in denen Patientendaten im Anwendungsbereich des Gesetzes verarbeitet werden, gelten faktisch Vorgaben, die bisher nur für Krankenhäuser relevant waren, die als kritische Infrastruktur (KRITIS) gelten. KRITIS-Krankenhäuser sind Kliniken oder Gruppen, in deren IT-System mindestens 30.000 vollstationäre Fälle verwaltet werden.

In der breiten Öffentlichkeit ist vorwiegend der Entwurf des Patientendaten-Schutz-Gesetzes in seiner Fassung vom April 2020 bekannt. Vom Bundestag im Juli beschlossen wurde jedoch ein in entscheidenden Punkten ergänzter Entwurf mit Empfehlungen des Ausschusses für Gesundheit mit Stand von Anfang Juli. In dieser Version sind einige Neuerungen enthalten. Einzelne davon haben für Krankenhäuser erhebliche Auswirkung

So wird es unter anderem künftig einen neuen § 75c SGB V (Sozialgesetzbuch – Fünftes Buch) geben, der lautet:

(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

Die Vorschrift spricht für sich selbst. Faktisch werden die Anforderungen, die bisher nur für KRITIS-Krankenhäuser galten, künftig für alle Krankenhäuser verbindlich. Der jeweils aktuelle branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser wird als Normallfall deklariert. Der für Kliniken relevante B3S wurde von der Deutschen Krankenhausgesellschaft (DKG) entwickelt. Vor dem Hintergrund des PDSG gebotene Anpassungen des B3S werden nach Auskunft der DKG aktuell erörtert.

Der B3S ist als Nachweis allerdings nicht zwingend. Alternative Lösungen sind möglich. Ein niedrigeres Niveau als das durch den B3S festgelegte dürfte aber kaum akzeptiert werden. Es ist daher aus rein praktischer Sichtweise kaum zu empfehlen, mit enormem Aufwand über die Entwicklung eines eigenen Standards nachzudenken und diesen dann gegen den Maßstab des B3S verteidigen zu müssen.

Damit stehen alle Krankenhäuser, unabhängig ihrer Größe und Bedeutung, nun vor Aufgabe, in der verbleibenden Zeit bis zum 31. Dezember 2021 den B3S bzw. dessen noch abzuwartende Abwandlung umzusetzen.

Herauszuheben ist, dass diese Anforderung allgemein gilt und nicht nur für die IT-Systeme, die im Zusammenhang mit der Telematikinfrastruktur eingesetzt werden. Hier ergreift der Gesetzgeber die Gelegenheit, eine Änderung einzuführen, die deutlich über den engeren Sinn des PDSG hinausgeht. Aufgrund der allgemein gestiegenen Bedrohung sollen alle Krankenhäuser zur Umsetzung eines dem B3S entsprechenden Sicherheitsniveaus gezwungen werden. Der einzige verbleibende Unterschied zu KRITIS-Krankenhäusern ist, dass andere Krankenhäuser die Umsetzung nicht selbstständig regelmäßig nachweisen müssen.

Fazit: Die Zeit zur Umsetzung des B3S drängt

Die zeitliche Anforderung bis Ende 2021 ist bestenfalls als sportlich zu bezeichnen. Ohne fachkundige und erfahrene externe Beratung wird die rechtzeitige Umsetzung vielen Häusern nicht gelingen.

Angesichts der kurzen Umsetzungsfrist dürften Beraterkapazitäten innerhalb sehr kurzer Zeit knapp werden. Verantwortliche in den betroffenen Krankenhäusern sollten sich daher sehr schnell Gedanken über die Umsetzung machen und rechtzeitig zu geeigneten Beratern Kontakt aufnehmen.

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Krankenhaus und wir begleiten Sie bis zum erfolgreichen Nachweis Ihrer IT-Sicherheit nach B3S!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.