Update Datenschutz Nr. 154 & Update Health Care 3/2023
Der neue Entwurf des Digital-Gesetzes – Neue Vorgaben zur IT-Sicherheit im Gesundheitswesen
Die Digitalisierung nimmt in der Welt des Gesundheitswesens immer mehr an Fahrt auf. Diese Entwicklung spiegelt sich auch in der erhöhten Aufmerksamkeit wider, die der Gesetzgeber diesem Thema in der jüngeren Vergangenheit entgegenbringt.
So liegt seit kurzem neben einem Entwurf der Bundesregierung für ein Gesundheitsdatennutzungsgesetz nun auch ein (aktualisierter) Entwurf zum Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens („Digital-Gesetz“ bzw. „DigiG“) vor. Beide Gesetzen sollen nach dem Ziel des Gesetzgebers die digitale Transformation im Gesundheitswesen beschleunigen.
Ein wesentlicher Punkt des Digital-Gesetzes ist die Erhöhung der IT-Sicherheit im Gesundheitsbereich. Der Gesetzgeber reagiert damit auf die zunehmenden Sicherheitsvorfälle, die in den letzten Jahren vor allem Einrichtungen und Lieferanten im Gesundheitsbereich getroffen haben. Verdeutlicht wird dies durch den kürzlichen veröffentlichen Bericht der Agentur der Europäischen Union für Cybersicherheit („ENISA“) zur Bedrohungslage im Gesundheitssektor, wonach vor allem Krankenhäuser und entsprechende Lieferanten für die Gesundheitsbranche als primäre Ziele von Cyber-Angriffen identifiziert werden (der Report der ENISA ist hier abrufbar).
Hieran anknüpfend sollen nach dem Entwurf des Digital-Gesetzes die erfassten Einrichtungen und Organisationen technische und organisatorische Maßnahmen treffen, um die Resilienz ihrer IT-Systeme zu erhöhen. Ein wesentliches Element ist dabei die Umsetzung von Maßnahmen zur Sensibilisierung der Mitarbeiter für IT-Sicherheit, um so das Sicherheitsbewusstsein zum Schutz von Informationen (sog. Security-Awareness) zu verbessern.
Im Folgenden wird ein kurzer Überblick über die geplanten Vorgaben im Bereich der IT-Sicherheit nach dem neuen Digital-Gesetz gegeben.
I. Die wesentlichen Vorgaben zur IT-Sicherheit im Digital-Gesetz
Mit Blick auf die IT-Sicherheit im Gesundheitswesen sind vor allem vier Punkte des Gesetzesentwurf relevant.
Diese befassen sich mit der IT-Sicherheit in der vertragsärztlichen und -zahnärztlichen Versorgung, in Krankenhäusern, bei den gesetzlichen Krankenkassen sowie beim Cloud-Einsatz im Gesundheitswesen.
1. IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung
Nach dem neuen Gesetzesentwurf werden die bisher für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung geltenden Regelungen in § 75b SGB V vollständig gestrichen und stattdessen in einen neu eingeführten § 390 SGB V aufgenommen.
Inhaltlich sind die in dem § 390 SGB V vorgesehenen Regelungen weitestgehend identisch mit den bisherigen Vorgaben in § 75b SGB V. So ist insbesondere weiterhin vorgesehen, dass die Anforderungen zur IT-Sicherheit in einer von der Kassenärztlichen Bundesvereinigung zu erstellenden Richtlinie (sog. IT-Sicherheitsrichtlinie) verbindlich festgelegt werden sollen, die jährlich an den Stand der Technik und das Gefährdungspotential angepasst werden muss.
Neu ist dabei, dass die IT-Sicherheitsrichtlinie nun explizit auch Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern für Informationssicherheit zwecks Steigerung der Security-Awareness vorsehen muss. Die bisherige IT-Sicherheitsrichtlinie sieht je nach Praxisgröße verschiedene technische und organisatorische Maßnahmen vor. Bislang nicht enthalten sind dort hingegen entsprechende Maßnahmen zur Sensibilisierung. Im Falle einer Umsetzung des neuen Digital-Gesetzes wäre somit diesbezüglich eine Anpassung der IT-Sicherheitsrichtlinie notwendig, um die Vorgaben des neuen § 390 SGB V umzusetzen.
In der Praxis dürfte dies bedeuten, dass Praxisinhaber ihre Mitarbeiterinnen und Mitarbeiter zukünftig im Zusammenhang mit der IT-Sicherheit schulen müssen bzw. schulen lassen müssen. Allerdings bleibt abzuwarten, welche konkreten Vorgaben letztlich in die IT-Sicherheitsrichtlinie neu aufgenommen werden.
2. IT-Sicherheit in Krankenhäusern
Auch die IT-Sicherheit in Krankenhäusern wird in einen neuen gesetzlichen Regelungskontext gebettet. So wird der bisherige § 75c SGB V durch einen neuen § 391 SGB V ersetzt.
Inhaltlich gilt auch hier, dass die bisherigen Regelungen in § 75c SGB V weitestgehend übernommen und lediglich redaktionell angepasst werden. So sind Krankenhäuser – die nicht bereits aufgrund ihrer Stellung als Betreiber kritischer Infrastrukturen in den Anwendungsbereich des BSI-Gesetzes fallen – weiterhin verpflichtet, angemessene technische und organisatorische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind. Hierbei können Krankenhäuser weiterhin auf vom BSI zertifizierte branchenspezifische Sicherheitsstandards (sog. B3S) zurückgreifen. Im Bereich der Krankenhäuser ist dies aktuell der branchenspezifische Sicherheitsstandard „Medizinische Versorgung“.
Krankenhäuser, die unter die Schwellenwerte der KRITIS-VO fallen und damit als Betreiber kritischer Infrastrukturen im Sinne des BSI-Gesetzes einzustufen sind, unterliegen wiederum weiterhin den speziellen Vorgaben im BSI-Gesetz. Zu beachten ist dabei, dass die Regelungen im BSI-Gesetz im Zuge der geplanten Umsetzung der NIS-2-Richtlinie ebenfalls erheblich angepasst und zudem durch ein neu geplantes KRITIS-Dachgesetz ergänzt werden sollen (siehe hierzu unsere Update Datenschutz Nr. 136 und Nr. 151).
Neu vorgesehen ist hier nunmehr, dass Krankenhäuser ebenfalls verpflichtende Maßnahmen zur Steigerung der Security-Awareness ihrer Mitarbeiterinnen und Mitarbeiter vornehmen müssen. Diese Verpflichtung gilt unabhängig davon, ob das jeweilige Krankenhaus als Betreiber kritischer Infrastrukturen unter die Regelungen des BSI-Gesetzes fällt oder nicht.
3. IT-Sicherheit bei gesetzlichen Krankenkassen
Gänzlich neu sind die Vorschriften zur IT-Sicherheit bei den gesetzlichen Krankenkassen, die nun in § 392 SGB V geregelt werden sollen. Bisher gelten besondere Anforderungen nur für solche Krankenkassen, die als Betreiber kritischer Infrastruktur unter die Schwellenwerte der KRITIS-VO fallen. Während für solche Krankenkassen, die als Betreiber kritischer Infrastruktur einzustufen sind, die Vorgaben im BSI-Gesetz gelten, sind für sämtliche sonstigen Krankenkassen nunmehr die neuen Vorgaben in § 392 SGB V maßgeblich.
Diese Vorschriften in dem neuen § 392 SGB V sind analog zu den vorgenannten Anforderungen an die IT-Sicherheit bei Krankenhäusern ausgestaltet. Dies bedeutet, dass sämtliche gesetzlichen Krankenkassen nach dem neuen Digital-Gesetz ebenfalls ausdrücklich verpflichtet sind, angemessene technische und organisatorische Vorkehrungen nach dem Stand der Technik umzusetzen, wobei die Krankenkassen ebenfalls auf vom BSI zertifizierte branchenspezifische Sicherheitsstandards zurückgreifen können. Das ist aktuell der „Branchenspezifische Sicherheitsstandard für gesetzliche Kranken- und Pflegeversicherer“.
Der neue § 392 SGB V enthält zu den branchenspezifischen Sicherheitsstandards für Krankenkassen verschiedene Vorgaben. So müssen die Krankenkassen, repräsentiert durch ihre Verbände und den Bund der Krankenkassen als Spitzenverband, zukünftig darauf hinwirken, dass der jeweilige branchenspezifische Sicherheitsstandard auch Vorgaben zu den folgenden Themen enthält:
- geeignete Maßnahmen zur Erhöhung der Cybersecurity-Awareness
- Einsatz von Systemen zur Angriffserkennung
- Sicherheitsanforderungen für IT-Dienstleister.
Der Fokus liegt somit auch hier auf einer Sensibilisierung der Mitarbeiterinnen und Mitarbeiter, um die Cybersecurity Awareness zu erhöhen. Ebenfalls auffällig ist, dass Anforderungen an den Einsatz von Systemen zur Angriffserkennung in dem maßgeblichen branchenspezifischen Sicherheitsstandard festgelegt werden müssen. Die Pflicht zum Einsatz von Systemen zur Angriffserkennung ist bislang nur im BSI-Gesetz für Betreiber kritischer Infrastrukturen geregelt. Dadurch, dass der Einsatz von Systemen zur Angriffserkennung nach der neuen Konzeption in § 392 SGB V nun auch in dem jeweiligen branchenspezifischen Sicherheitsstandard für Krankenkassen berücksichtigt werden muss, bedeutet dies nach jetzigem Stand, dass zukünftig sämtliche Krankenkassen entsprechende Systeme zur Angriffserkennung umsetzen müssen.
Schließlich ist zu beachten, dass nach § 392 Abs. 6 SGB V die branchenspezifischen Sicherheitsstandards auch dann gelten müssen, wenn die Krankenkasse IT-Dienstleister in Anspruch nimmt. Entsprechend müssen Krankenkassen durch geeignete vertragliche Vereinbarungen sicherstellen, dass die von ihnen eingesetzten IT-Dienstleister ebenso die branchenspezifischen Sicherheitsstandards einhalten.
4. Cloud-Einsatz im Gesundheitswesen
Ebenfalls neu in dem Entwurf zum neuen Digital-Gesetz sind die Regelungen für die IT-Sicherheit beim Einsatz der Cloud durch Krankenkassen und Leistungserbringer.
Hierzu legt der neue § 393 SGB V zunächst allgemein fest, dass Sozialdaten im Sinne des § 67 SGB X und Gesundheitsdaten auch im Rahmen von Cloud Computing Diensten verarbeitet werden dürfen, sofern die weiteren Voraussetzungen in dieser Norm eingehalten werden. Zu diesen Voraussetzung gehört, dass die Verarbeitung der Daten nur im Inland, innerhalb der Europäischen Union oder einem durch Angemessenheitsbeschluss gleichgestellten Staat erfolgen darf und die datenverarbeitenden Stelle (gemeint ist wohl der Anbieter des jeweiligen Cloud Computing Dienstes) zumindest über eine Niederlassung in Deutschland verfügt.
Die Verarbeitung im Rahmen des Cloud Computing muss dabei wiederum dem Stand der Technik entsprechen und angemessene Maßnahmen zum Schutz der IT-Sicherheit beinhalten. Insbesondere muss bei der datenverarbeitenden Stelle auch ein aktuelles C5-Testat vorliegen. Der C5-Katalog enthält Mindestanforderungen für sichere Cloud Computing Dienste und wird vom BSI veröffentlicht.
II. Fazit und Ausblick
Der Gesetzgeber schafft mit dem Entwurf für das Digital-Gesetz einen neuen Regelungsrahmen für die IT-Sicherheit bei Vertragsärzten und Vertragszahnärzten, in Krankenhäusern, bei Krankenkassen und beim Einsatz von Cloud Computing-Diensten.
Ein wesentlicher Fokus liegt dabei klar auf einer stärkeren Sensibilisierung von Mitarbeiterinnen und Mitarbeitern, um allgemein die Security-Awareness zu steigern. Dieses Ziel des deutschen Gesetzgebers erscheint konsequent, da Sicherheitsvorfälle oftmals aufgrund fehlenden Sicherheitsbewusstseins der involvierten Mitarbeiterinnen und Mitarbeiter eintreten. Insofern besteht also ein erhebliches Verbesserungspotential, wenn die Security-Awareness von Angestellten im Gesundheitssektor erhöht wird.
Insgesamt nimmt der Rechtsrahmen zur Digitalisierung im Gesundheitswesen mit dem Entwurf zum Digital-Gesetz in Kombination mit dem geplanten Gesundheitsdatennutzungsgesetz weiter Form an. Es ist davon auszugehen, dass dies viele Organisationen und Einrichtungen vor Herausforderungen stellen wird. Erfahrungsgemäß ist die Umsetzung von Maßnahmen im Bereich der IT- oder Cybersicherheit oftmals mit erheblichem personellen und finanziellen Aufwand verbunden. Es ist daher zu empfehlen, dass die betroffenen Adressaten die weitere Entwicklung dieses Gesetzesvorhabens im Blick behalten, um frühzeitig mit der Anpassung an die neuen gesetzlichen Vorgaben beginnen zu können.