Krankenhäuser fallen unter IT-Sicherheitsgesetz

Seit Juni gelten auch bestimmte Krankenhäuser als „kritische Infrastruktur“ im Sinne des IT-Sicherheitsgesetz. Wer mehr als 30.000 Behandlungsfälle pro Jahr aufweist, muss in Sachen IT-Sicherheit und Datenschutz nachrüsten.

Insgesamt müssen sich nun 110 Krankenhäuser nun nach den Vorgaben des IT-Sicherheitsgesetzes richten. Das IT-Sicherheitsgesetz ist zwar seit 2015 gültig. Allerdings galten die Bereiche Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr noch nicht als „kritische Infrastruktur“. Mit einer am 31.5.2017 angenommenen Änderung ist dies mit Wirkung zum 1.6.2017 angepasst worden.

Gesundheitswesen muss in Datenschutz investieren

Wie schon vom Deutschen Ärztetag gefordert, muss das Gesundheitswesen verstärkt in den Datenschutz und die IT-Sicherheit investieren. Die Ärzteschaft nahm u.a. die weltweit grassierende Randsomware „WannaCry“ für ihre Forderungen zum Anlass. WannaCry hatte auch Krankenhäuser angegriffen und teilweise lahmgelegt.

Worauf die Betreiber der betroffenen Krankenhäuser achten müssen, darüber informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zusammenfassend müssen Betreiber kritischer Infrastrukturen in ihrer Einrichtung eine Kontaktstelle für die Behörden schaffen, die bei einem meldepflichtigen Zwischenfall die Behörden informiert und die Kommunikation mit diesen führt. IT-Störungen müssen die betroffenen Krankenhäuser fortan an das BSI melden. Die eingesetzte Technik muss dem aktuellen Stand entsprechen. Diese Vorgabe findet sich schon seit langem im deutschen Datenschutzrecht. Zudem müssen die Krankenhäuser den aktuellen Stand der eingesetzten Technik im Zwei-Jahres-Turnus gegenüber dem BSI nachweisen.

Soll Sicherheitsgesetz auch auf kleinere Krankenhäuser ausgeweitet werden?

Der Ärzteverband „Marburger Bund“ kritisiert das Vorhaben – weil nur die großen Krankenhäuser davon erfasst werden. Kleinere Krankenhäuser müssen die strikteren Sicherheitsvorgaben nicht einhalten, obwohl auch sie bspw. in Deutschland von der WannaCry-Attacke betroffen waren und Schäden in Millionenhöhe zu verzeichnen haben. Kleinere Krankenhäuser nicht als kritische Infrastruktur einzubinden gehe folglich an der Versorgungsrealität vorbei, so die Ärzte des Marburger Bundes.

Es ist ohnehin fraglich, ob zur Bewertung als kritische Infrastruktur langfristig die Behandlungszahlen herangezogen werden. Electronic und Digital Healthcare wachsen, ebenso wie Nutzung von Wearables zur Aufzeichnung der Gesundheitsdaten. In absehbarer Zeit können für Ärzte erforderliche Daten bei Bedarf (in Echtzeit) übermittelt werden, unbenommen wie groß das Krankenhaus ist. Neue elektronische und digitale Behandlungsmethoden mögen aktuell noch großen Krankenhäusern vorbehalten sein. Mit weiterem Fortschritt, erschwinglicherer Technik und breiterer Ausbildung für das Personal wird Electronic und Digital Healthcare nicht großen Einrichtungen vorbehalten bleiben. Am Ende der Entwicklung werden auch Hausärzte mit der entsprechenden Technik ausgestattet sein. Die Beschränkung des IT-Sicherheitsgesetzes auf große Krankenhäuser dürfte daher nur von kurzer Dauer sein.