Mit dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens – kurz Digital-Gesetz (DigiG) – ändern sich die Vorgaben für die IT- und Informationssicherheit von Krankenhäusern. Wir erklären Ihnen die wichtigsten Neuerungen.
PDSG und DigiG
Das Projekt um das ehemals am 14. Oktober 2020 in Kraft getretene Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (PDSG) wird mittels DigiG erweitert. Es bringt zahlreiche Änderungen des Sozialgesetzbücher, insbesondere des SGB V.
Das DigiG trat am 26. März 2024 in Kraft (bei activeMind.legal Rechtsanwälte finden Sie eine ausführliche Besprechung des DigiG). Die Anforderungen an die Informationssicherheit von Krankenhäusern durch das DigiG gelten bereits seit dem Tag des Inkrafttretens nach Maßgabe des § 9 Abs. 1 DigiG.
Inhaltlich wird der ehemals durch das PDSG eingeführte § 75c SGB V (Sozialgesetzbuch – Fünftes Buch) gestrichen und durch § 391 SGB V ersetzt. Die wichtigsten Änderungen für Krankenhäuser stellen wir für Sie in diesem Artikel dar.
IT-Sicherheits-Anforderungen des neuen § 391 SGB V
Alle Krankenhäuser in Deutschland werden sich weiterhin mit Anforderungen im Bereich der Informations- bzw. IT-Sicherheit konfrontiert sehen. Zumindest in den Bereichen, in denen Patientendaten im Anwendungsbereich des Gesetzes verarbeitet werden, gelten weiterhin Vorgaben, die historisch nur für diejenigen Krankenhäuser relevant waren, die als kritische Infrastruktur (KRITIS) gelten. Damit gibt es durch den neunen § 391 SGB V keine Abkehr der bisherigen Verpflichtung aus § 75 c SGB V.
Neben KRITIS-Krankenhäusern, also Kliniken oder Gruppen, in deren IT-System jährlich mindestens 30.000 vollstationäre Fälle verwaltet werden, werden alle übrigen Krankenhäuser vom Anwendungsbereich des § 391 SGB V umfasst.
In inhaltlicher Weiterentwicklung lautet der neue § 391 SGB V:
IT-Sicherheit in Krankenhäusern
(1) Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.
(2) Vorkehrungen nach Absatz 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern.
(3) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.
(4) Die Krankenhäuser können die Verpflichtungen nach den Absätzen 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.
Praktische Einschätzung der neuen Vorschriften für Krankenhäuser
In der Praxis sind die Anforderungen, die de jure nur für KRITIS-Krankenhäuser gelten, weiterhin für alle Krankenhäuser verbindlich. Der jeweils aktuelle branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser wird als Normallfall deklariert. Der für Kliniken relevante B3S medizinische Versorgung wurde von der Deutschen Krankenhausgesellschaft (DKG) entwickelt.
Der B3S ist als Nachweis allerdings nicht zwingend, alternative Lösungen sind möglich. Ein niedrigeres Niveau als das durch den B3S festgelegte dürfte aber in der Praxis kaum akzeptabel sein. Zumindest bedarf es eines Standards, der mit dem Maßstab aus dem B3S vergleichbar ist. Andernfalls würde man als Krankenhaus Gefahr laufen, eine Angemessenheit ergriffener technischer und organisatorischer Maßnahmen nicht nachweisen zu können.
Daraus folgend ist aus rein praktischer Sichtweise kaum zu empfehlen, mit enormem Aufwand über die Entwicklung eines eigenen Standards nachzudenken und diesen dann gegen den Maßstab des B3S verteidigen zu müssen.
Krankenhäuser, die nicht den strengeren KRITIS-Vorgaben unterfallen, können in der Praxis jedoch vereinfacht vorgehen. Ohne an dieser Stelle verbindlich Aussagen über den tatsächlich eingeforderten Maßstab an die Angemessenheit des § 391 Abs. 1 SGB V treffen zu können, wäre eine denkbare Vorgehensweise, die Anforderungen aus dem B3S auf die Muss-Anforderungen zu beschränken. Schließlich wird im B3S zwischen Muss-, Soll- und Kann-Anforderungen unterschieden – und damit auch eine Aussage über die Wichtigkeit bestimmter technischer und organisatorischer Maßnahmen getroffen.
Im Ergebnis sind weiterhin alle Krankenhäuser, unabhängig ihrer Größe und Bedeutung, aufgefordert, die Verpflichtung aus § 391 Abs. 1 SGB V belastbar nachweisen zu können.
Hierneben bedarf es nach § 391 Abs. 2 SGB V eines Nachweises verpflichtender Maßnahmen zur Steigerung der Security-Awareness von Mitarbeitern und Mitarbeiterinnen. Dies kann grundsätzlich in Form von Online-Trainings oder aber auch Präsenzschulungen realisiert werden. Sinnig ist sicher, ein mehrstufiges Schulungskonzept aufzustellen, welches auf individuelle Bedarfe des Klinikpersonals eingeht.
Fazit: Anwendung des B3S empfehlenswert
Auch für Nicht-KRITIS-Krankenhäuser ist die Anwendung des B3S medizinische Versorgung weiterhin empfehlenswert. In welchem Umfang man dies tut, kann aufgrund individueller Faktoren der jeweiligen Einrichtung nochmals in Eigenregie definiert werden. Hier wird man sich den umfangreichen B3S-Anforderungen annähern müssen, je näher man an den Schwellwert (gemäß BSI-KritisV) einer KRITIS unterliegenden Einrichtung heranreicht – Stichwort 30.000 vollstationäre Fälle/Jahr.
Einrichtungen, die sich auf Grund des seit 1. Januar 2022 verpflichtenden Nachweises (§ 75c SGB V (alt)) in den letzten Jahren bereits auf diese Reise begeben haben, brauchen sich nicht um weitere Vorgaben im Zuge des neuen DigiG kümmern.
Wenden Krankenhäuser hinsichtlich des Nachweises die B3S-Version 1.2 vom 8. Dezember 2022 an, erfüllen sie zugleich auch die Verpflichtungen an Awareness-Maßnahmen nach § 391 SGB V, da auch nach B3S-Anforderung 0074 Sensibilisierungsmaßnahmen für ein Informationssicherheitsbewusstsein des Krankenhauspersonals mindestens alle zwei Jahre verpflichtend sind.
Alle anderen Adressaten des § 391 V SGB V sind dringend angehalten, fachkundige und erfahrene Experten zu Rate zu ziehen, um die neuen Anforderungen an die Informationssicherheit schnellstmöglich erfüllen zu können.