Krankenhäuser fallen unter IT-Sicherheitsgesetz

Seit Juni gelten auch bestimmte Krankenhäuser als „kritische Infrastruktur“ im Sinne des IT-Sicherheitsgesetz. Wer mehr als 30.000 Behandlungsfälle pro Jahr aufweist, muss in Sachen IT-Sicherheit und Datenschutz nachrüsten.

Insgesamt müssen sich nun 110 Krankenhäuser nun nach den Vorgaben des IT-Sicherheitsgesetzes richten. Das IT-Sicherheitsgesetz ist zwar seit 2015 gültig. Allerdings galten die Bereiche Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr noch nicht als „kritische Infrastruktur“. Mit einer am 31.5.2017 angenommenen Änderung ist dies mit Wirkung zum 1.6.2017 angepasst worden.

Gesundheitswesen muss in Datenschutz investieren

Wie schon vom Deutschen Ärztetag gefordert, muss das Gesundheitswesen verstärkt in den Datenschutz und die IT-Sicherheit investieren. Die Ärzteschaft nahm u.a. die weltweit grassierende Randsomware „WannaCry“ für ihre Forderungen zum Anlass. WannaCry hatte auch Krankenhäuser angegriffen und teilweise lahmgelegt.

Worauf die Betreiber der betroffenen Krankenhäuser achten müssen, darüber informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zusammenfassend müssen Betreiber kritischer Infrastrukturen in ihrer Einrichtung eine Kontaktstelle für die Behörden schaffen, die bei einem meldepflichtigen Zwischenfall die Behörden informiert und die Kommunikation mit diesen führt. IT-Störungen müssen die betroffenen Krankenhäuser fortan an das BSI melden. Die eingesetzte Technik muss dem aktuellen Stand entsprechen. Diese Vorgabe findet sich schon seit langem im deutschen Datenschutzrecht. Zudem müssen die Krankenhäuser den aktuellen Stand der eingesetzten Technik im Zwei-Jahres-Turnus gegenüber dem BSI nachweisen.

Soll Sicherheitsgesetz auch auf kleinere Krankenhäuser ausgeweitet werden?

Der Ärzteverband „Marburger Bund“ kritisiert das Vorhaben – weil nur die großen Krankenhäuser davon erfasst werden. Kleinere Krankenhäuser müssen die strikteren Sicherheitsvorgaben nicht einhalten, obwohl auch sie bspw. in Deutschland von der WannaCry-Attacke betroffen waren und Schäden in Millionenhöhe zu verzeichnen haben. Kleinere Krankenhäuser nicht als kritische Infrastruktur einzubinden gehe folglich an der Versorgungsrealität vorbei, so die Ärzte des Marburger Bundes.

Es ist ohnehin fraglich, ob zur Bewertung als kritische Infrastruktur langfristig die Behandlungszahlen herangezogen werden. Electronic und Digital Healthcare wachsen, ebenso wie Nutzung von Wearables zur Aufzeichnung der Gesundheitsdaten. In absehbarer Zeit können für Ärzte erforderliche Daten bei Bedarf (in Echtzeit) übermittelt werden, unbenommen wie groß das Krankenhaus ist. Neue elektronische und digitale Behandlungsmethoden mögen aktuell noch großen Krankenhäusern vorbehalten sein. Mit weiterem Fortschritt, erschwinglicherer Technik und breiterer Ausbildung für das Personal wird Electronic und Digital Healthcare nicht großen Einrichtungen vorbehalten bleiben. Am Ende der Entwicklung werden auch Hausärzte mit der entsprechenden Technik ausgestattet sein. Die Beschränkung des IT-Sicherheitsgesetzes auf große Krankenhäuser dürfte daher nur von kurzer Dauer sein.

Datenschutzverstöße in Krankenhäusern

Erneut haben das bayerische Landesamt für Datenschutzaufsicht (BayLDA) und der bayerische Landesbeauftragte für Datenschutz (BayLfD) bei der Überprüfung von Krankenhäusern Mängel und Verstöße gegen das Datenschutzrecht festgestellt. Die Behörden veröffentlichten nun einen Leitfaden.

Auslöser für die Überprüfung von über 100 Krankenhäusern und Krankenhausverbünden war der Fund von mehreren hundert Röntgenbildern mit Patientendaten auf einer Straße in Bayern im letzten Jahr. Die Behörde prüfte daraufhin die Beauftragung externer Dienstleistungsunternehmen durch die Krankenhäuser, insbesondere externe IT-Dienstleister, Archivierungs- und Scandienstleister sowie Entsorgungs- und Aktenvernichtungsunternehmen. Das BayLDA überprüfte die öffentlichen Einrichtungen, der BayLfD war für die privaten verantwortlich.

Mängel bei der Auftragsdatenverarbeitung

Beide Behörden stellten Mängel bei der Vergabe und Durchführung von Auftragsdatenverarbeitungen, wie bspw. Aktenvernichtung, fest. Als Resultat wurde nun ein gemeinsamer Leitfaden vorgestellt, an den sich öffentliche und private Krankenhäuser halten sollten. In dem Leitfaden stemmen sich die Behörden gegen die Kritik, dass der Art. 27 Abs. 4 Bayerisches Krankenhausgesetz (BayKrG) nicht mehr zeitgemäß sei und die Anwendung von Auftragsdatenverarbeitungen im Rahmen neuer innovativer Technologien erschwere oder unmöglich mache. Beide betonen explizit, dass es für „alle Konstellationen sehr wohl datenschutzgerechte Lösungen gibt“. Es ist daher davon auszugehen, dass weitere Überprüfungen folgen.