de en
Nexia Ebner Stolz

Branchen

Das neue Patientendaten-Schutz-Gesetz - Auswirkungen für Krankenhäuser im Informationssicherheitsumfeld

„Schluss mit der Zet­tel­wirt­schaft“: Der Bun­des­rat hat am 18.9.2020 das Ge­setz zum Schutz elek­tro­ni­scher Pa­ti­en­ten­da­ten in der Te­le­ma­tik­in­fra­struk­tur (Pa­ti­en­ten­da­ten-Schutz-Ge­setz – PDSG) ge­bil­ligt, das der Bun­des­tag be­reits An­fang Juli ver­ab­schie­det hatte. Am 19.10.2020 wurde es im Bun­des­ge­setz­blatt veröff­ent­licht.

Ziel des PDSG ist eine stärkere Di­gi­ta­li­sie­rung im Ge­sund­heits­be­reich un­ter ste­ti­ger An­pas­sung im Hin­blick auf den tech­no­lo­gi­schen Fort­schritt. Dar­un­ter sind kon­kre­ti­sie­rende Vor­ga­ben im Zu­sam­men­hang mit der elek­tro­ni­schen Pa­ti­en­ten­akte (ePa), dem E-Re­zept, Vor­ga­ben zur Si­cher­heit in der Te­le­ma­tik­in­fra­struk­tur, aber auch höhere An­for­de­run­gen zur IT-Si­cher­heit bzw. In­for­ma­ti­ons­si­cher­heit in Kran­kenhäusern.

Änderungen durch das PDSG

Beim PDSG han­delt es sich um ein Ar­ti­kel-Ge­setz, d. h. das PDSG ändert in­halt­lich eine Viel­zahl an­de­rer Ge­setze, so z. B. die So­zi­al­ge­setzbücher (spe­zi­ell SGB V), das Apo­the­ken­ge­setz oder das Kran­ken­haus­fi­nan­zie­rungs­ge­setz.

Nach­fol­gend ha­ben wir die wich­tigs­ten Punkte in Auszügen dar­ge­stellt:

  • Elek­tro­ni­sche Paa­ti­en­ten­akte:
    Die elek­tro­ni­sche Pa­ti­en­ten­akte ist nicht neu. Nach be­reits gel­ten­dem Recht müssen Kran­ken­kas­sen eine elek­tro­ni­sche Pa­ti­en­ten­akte (ePa) ab 2021 an­bie­ten. Ab 2022 er­hal­ten auch die Ver­si­cher­ten selbst Zu­griff auf ihre ePa. In der ePa können ent­spre­chende Do­ku­mente und Da­ten ge­sam­melt und ab­ge­legt wer­den (z. B. Be­funde, Rönt­gen­bil­der, Vor­sor­ge­un­ter­su­chun­gen, etc.). Bei einem Kas­sen­wech­sel können Ver­si­cherte ihre Da­ten aus der ePA über­tra­gen las­sen. Die Nut­zung der ePa ist für den Ver­si­cher­ten frei­wil­lig.Die der­zei­tige Aus­ge­stal­tung der ePa steht in da­ten­schutz­recht­li­cher Hin­sicht in der Kri­tik, die auch vom Bun­des­da­ten­schutz­be­auf­trag­ten (BfDI) ge­teilt wird. So können zum Start der ePa 2021, z. B. nur ru­di­mentäre Zu­griffs­rechte durch den Ver­si­cher­ten ver­ge­ben wer­den. Im Kon­kre­ten be­deu­tet dies, dass zwar die Ver­si­cher­ten fest­le­gen können, wel­che Da­ten über­haupt in der Pa­ti­en­ten­akte ge­spei­chert wer­den dürfen und wel­cher Arzt die Da­ten/Do­ku­mente ein­se­hen darf, de­tail­lier­tere Ein­stel­lungsmöglich­kei­ten der Zu­griffe, dif­fe­ren­ziert nach Arzt und Do­ku­ment, sind je­doch erst ab 2022 vor­ge­se­hen.

  • E-Re­zept:
    Mit Einführung des E-Re­zepts können Ärzte Re­zepte di­rekt di­gi­tal er­stel­len und ver­schlüsselt spei­chern. Der Pa­ti­ent kann das Re­zept dann über eine App mit­tels ei­nes Schlüssels (z. B. per QR-Code) bei je­der Apo­theke einlösen. Die Einführung des E-Re­zepts ist be­reits mit dem „Ge­setz für mehr Si­cher­heit in der Arz­nei­mit­tel­ver­sor­gung (GSAV)“, das am 16.8.2019 in Kraft ge­tre­ten ist, er­folgt. Das PDSG ergänzt das GSAV nicht nur im Hin­blick auf die si­chere Te­le­ma­tik­in­fra­struk­tur, son­dern legt auch die ver­bind­li­che Einführung des E-Re­zep­tes für An­fang 2022 fest. Die ge­nauen tech­ni­schen Vor­ga­ben und pro­zes­sua­len Vor­ga­ben sind aber der­zeit noch nicht voll­umfäng­lich spe­zi­fi­ziert.

  • Vor­ga­ben zur Si­cher­heit in der Te­le­ma­tik­in­fra­struk­tur:
    Un­ter Te­le­ma­tik wird die Ver­net­zung ver­schie­de­ner IT-Sys­teme so­wie die Verknüpfung von In­for­ma­tio­nen aus un­ter­schied­li­chen Quel­len be­zeich­net. Nach Vor­stel­lung des Ge­setz­ge­bers ver­netzt die Te­le­ma­tik­in­fra­struk­tur (TI) alle Ak­teure des Ge­sund­heits­we­sens (z. B. Ärzte, Kran­kenhäuser und Kran­ken­kas­sen) und stellt einen sek­to­ren- und sys­temüberg­rei­fen­den so­wie si­che­ren Aus­tausch von In­for­ma­tio­nen und me­di­zi­ni­schen Da­ten si­cher (z. B. Ein­sicht in die ePa, Aus­tausch des E-Re­zepts, etc.). Es han­delt sich da­bei um ein ge­schlos­se­nes Netz, zu dem nur re­gis­trierte Nut­zer Zu­gang er­hal­ten. Im Hin­blick auf neue Kom­po­nen­ten und Dienste, die in der TI ge­nutzt wer­den, müssen gemäß den An­for­de­run­gen des PDSG diese Kom­po­nen­ten und Dienste eine Zu­las­sung durch­lau­fen. Die Zu­las­sung setzt als Nach­weis eine Si­cher­heits­zer­ti­fi­zie­rung der Kom­po­nente und/oder des Diens­tes vor­aus. An­bie­ter müssen für ihre Kom­po­nen­ten und Dienste zu­dem un­ter Berück­sich­ti­gung des Stands der Tech­nik, an­ge­mes­sene or­ga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen zur Ver­mei­dung von Störun­gen der Verfügbar­keit, In­te­grität, Au­then­ti­zität und Ver­trau­lich­keit um­set­zen. Vor­ga­ben, die mit den or­ga­ni­sa­to­ri­schen und tech­ni­schen Vor­keh­run­gen in Ver­bin­dung ste­hen, müssen je nach Re­le­vanz von den Teil­neh­mern der TI berück­sich­tigt wer­den. So müssen z. B. auch Arzt­pra­xen si­cher­stel­len, dass nur noch zu­ge­las­sene, d. h. zer­ti­fi­zierte Kom­po­nen­ten zur An­bin­dung an die TI ge­nutzt wer­den.

Die vor­an­ge­gan­ge­nen Punkte ver­deut­li­chen: Das PDSG ver­langt einen stärke­ren Fo­kus auf die In­for­ma­ti­ons- und IT-Si­cher­heit. Dies hat er­war­tungs­gemäß er­heb­li­che Aus­wir­kun­gen auf die Dienst­leis­ter und Lie­fe­ran­ten von Kom­po­nen­ten bzw. An­wen­dun­gen für die TI. Was häufig je­doch un­ter­schätzt wird, sind die tech­ni­schen und or­ga­ni­sa­to­ri­schen An­for­de­run­gen, die an die ope­ra­ti­ven und nicht aus der IT stam­men­den Teil­neh­mer der TI, wie z. B. die Ärzte und Kran­kenhäuser, ge­stellt wer­den.

Informationssicherheit bzw. IT-Sicherheit nun für alle und nicht nur für KRITIS-relevante Krankenhäuser

Durch das PDSG er­gab sich eine wei­tere weit­rei­chende Ände­rung in § 75c So­zi­al­ge­setz­buch – Fünf­tes Buch (SGB V). Diese be­trifft alle Kran­kenhäuser und legt den Fo­kus auf die In­for­ma­ti­ons­si­cher­heit. Nach­dem der Ge­set­zes­text sehr pla­ka­tiv dar­stellt, dass In­for­ma­ti­ons­si­cher­heit nun für alle Kran­kenhäuser gilt, so­fern diese nicht KRI­TIS Be­trei­ber sind und sich dem­nach noch zusätz­lich prüfen las­sen müssen, ha­ben wir die drei Absätze des § 75c SGB V hier ab­ge­druckt:

(1) Ab dem 1.1.2022 sind Kran­kenhäuser ver­pflich­tet, nach dem Stand der Tech­nik an­ge­mes­sene or­ga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen zur Ver­mei­dung von Störun­gen der Verfügbar­keit, In­te­grität und Ver­trau­lich­keit so­wie der wei­te­ren Si­cher­heits­ziele ih­rer in­for­ma­ti­ons­tech­ni­schen Sys­teme, Kom­po­nen­ten oder Pro­zesse zu tref­fen, die für die Funk­ti­onsfähig­keit des je­wei­li­gen Kran­ken­hau­ses und die Si­cher­heit der ver­ar­bei­te­ten Pa­ti­en­ten­in­for­ma­tio­nen maßgeb­lich sind. Or­ga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen sind an­ge­mes­sen, wenn der dafür er­for­der­li­che Auf­wand nicht außer Verhält­nis zu den Fol­gen ei­nes Aus­falls oder ei­ner Be­einträch­ti­gung des Kran­ken­hau­ses oder der Si­cher­heit der ver­ar­bei­te­ten Pa­ti­en­ten­in­for­ma­tio­nen steht. Die in­for­ma­ti­ons­tech­ni­schen Sys­teme sind spätes­tens alle zwei Jahre an den ak­tu­el­len Stand der Tech­nik an­zu­pas­sen.

(2) Die Kran­kenhäuser können die Ver­pflich­tun­gen nach Ab­satz 1 ins­be­son­dere erfüllen, in­dem sie einen bran­chen­spe­zi­fi­schen Si­cher­heits­stan­dard für die in­for­ma­ti­ons­tech­ni­sche Si­cher­heit der Ge­sund­heits­ver­sor­gung im Kran­ken­haus in der je­weils gülti­gen Fas­sung an­wen­den, des­sen Eig­nung vom Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik nach § 8a Abs. 2 des BSI-Ge­set­zes fest­ge­stellt wurde.

(3) Die Ver­pflich­tung nach Ab­satz 1 gilt für alle Kran­kenhäuser, so­weit sie nicht oh­ne­hin als Be­trei­ber Kri­ti­scher In­fra­struk­tu­ren gemäß § 8a des BSI-Ge­set­zes an­ge­mes­sene tech­ni­sche Vor­keh­run­gen zu tref­fen ha­ben.

Bis­her er­ga­ben sich um­fas­sende An­for­de­run­gen in Be­zug auf die IT-Si­cher­heit bzw. In­for­ma­ti­ons­si­cher­heit für Kran­kenhäuser zum einen im We­sent­li­chen aus § 8a BSIG für sog. „Kri­ti­sche In­fra­struk­tu­ren“ (Kran­kenhäuser mit min­des­tens 30.000 voll­sta­tionären Be­hand­lungsfällen im Jahr), zum an­de­ren aus § 75b SBG V für ver­tragsärzt­li­che Leis­tun­gen, die im Kran­ken­haus er­bracht wer­den. In die­sem Zu­sam­men­hang muss­ten Sys­teme und Pro­zesse der be­tref­fen­den Kran­kenhäuser die Vor­ga­ben der Kas­senärzt­li­chen Bun­des­ver­ei­ni­gung (KBV) oder die An­for­de­run­gen des Bran­chen­spe­zi­fi­schen Si­cher­heits­stan­dards (B3S) der Deut­schen Kran­ken­haus­ge­sell­schaft si­cher­stel­len.

Mit Aus­nahme der Melde- und Prüfungs­pflicht sind die neuen Vor­ga­ben des § 75c SGB V so­mit nun für alle Kran­kenhäuser ver­bind­lich um­zu­set­zen. Die Vor­ga­ben zur IT-Si­cher­heit (vgl. § 75c SGB V […] an­ge­mes­sene or­ga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen zur Ver­mei­dung von Störun­gen der Verfügbar­keit, In­te­grität und Ver­trau­lich­keit […] [ih­rer] Sys­teme, Kom­po­nen­ten oder Pro­zesse zu tref­fen […]) sind so­mit nicht mehr auf die Kran­kenhäuser im KRI­TIS Um­feld be­schränkt. Je­des Kran­ken­haus ist so­mit an­ge­hal­ten, aus­rei­chend Maßnah­men nach dem Stand der Tech­nik für die Auf­recht­er­hal­tung von Ver­sor­gungs­dienst­leis­tung zu tref­fen und diese Maßnah­men ent­spre­chend zu steu­ern.

Als Ori­en­tie­rung zur Um­set­zung die­ser An­for­de­run­gen kann auch für Kran­kenhäuser im Nicht-KRI­TIS Um­feld der bran­chen­spe­zi­fi­sche Si­cher­heits­stan­dard (B3S) für die Ge­sund­heits­ver­sor­gung in Kran­kenhäusern her­an­ge­zo­gen wer­den. Der B3S um­fasst da­bei 168 An­for­de­run­gen, die um­zu­set­zen sind, um die Si­cher­stel­lung und die Auf­recht­er­hal­tung der benötig­ten Ver­sor­gungs­pro­zesse zu gewähr­leis­ten. Da­bei ist fest­zu­hal­ten, dass in die­sem Zu­sam­men­hang nicht nur auf die TI, son­dern auch auf wei­tere für die Ver­sor­gungs­dienst­leis­tung not­wen­di­gen Pro­zesse, An­wen­dun­gen und In­fra­struk­tur­kom­po­nen­ten ab­zu­stel­len ist.

Zu­sam­men­ge­fasst sind Kran­kenhäuser ver­pflich­tet, or­ga­ni­sa­to­ri­sche und tech­ni­sche Maßnah­men zur Si­cher­stel­lung der IT- und In­for­ma­ti­ons­si­cher­heit um­zu­set­zen. Ent­spre­chend der Vor­ga­ben des B3S und auch aus Er­fah­rung an­de­rer Be­rei­che und Bran­chen, die ähn­li­che For­de­run­gen um­set­zen hat­ten, kann eine Um­set­zung der An­for­de­run­gen des § 75c SGB V nur mit dem Auf­bau ei­nes um­fas­sen­den In­for­ma­ti­ons­si­cher­heits­ma­nage­ments (ISMS) ge­lin­gen. Im Hin­blick auf die sehr kurze Um­set­zungs­frist bis 31.12.2021 soll­ten Kran­kenhäuser zeit­nah mit der Um­set­zung der An­for­de­run­gen be­gin­nen.

Fazit

Mit dem PDSG ge­hen Ände­run­gen in un­ter­schied­li­chen Bran­chen im Ge­sund­heits­sek­tor ein­her. Spe­zi­ell An­for­de­run­gen an die IT-Si­cher­heit bzw. In­for­ma­ti­ons­si­cher­heit fin­den stärkere Be­ach­tung und soll­ten zeit­nah um­ge­setzt wer­den. Dies be­trifft im Hin­blick auf die TI so­wohl die Arzt­pra­xis von „ne­be­nan“ als auch Kran­ken­kas­sen.

Spe­zi­ell Kran­kenhäuser soll­ten vor dem Hin­ter­grund der An­for­de­run­gen des § 75c SGB V zu­min­dest den Stand der Um­set­zung der In­for­ma­ti­ons­si­cher­heit im ei­ge­nen Haus prüfen und ggf. ein ISMS im­ple­men­tie­ren oder an­pas­sen. Es gilt, die ver­blei­bende Zeit in al­len Be­rei­chen ef­fi­zi­ent zu nut­zen.

Bei der Im­ple­men­tie­rung ei­nes In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems sollte keine iso­lierte Stand Alone-Um­set­zung vor­ge­nom­men wer­den, son­dern zur Stei­ge­rung der Ef­fi­zi­enz ein in­te­grier­ter Ma­nage­men­tan­satz gewählt wer­den. Bei der Um­set­zung ganz­heit­li­cher und in­te­grier­ter Ma­nage­ment­sys­teme, wie z. B. ISMS/DSMS/KRI­TIS, ha­ben wir aus un­se­rer Er­fah­rung eine ef­fi­zi­ente Me­tho­dik zur Her­an­ge­hens­weise er­ar­bei­tet.

Ergänzend wei­sen wir dar­auf hin, dass das Bun­des­ka­bi­nett ein Förder­pro­gramm für die Kran­ken­haus-IT be­schlos­sen hat. Hier­bei sol­len Kran­ken­hausträger beim Ab­bau von De­fi­zi­ten bei der Di­gi­ta­li­sie­rung und Ver­net­zung un­terstützt wer­den. Zu den wei­te­ren Förder­be­rei­chen zählen auch In­ves­ti­tio­nen in die In­for­ma­ti­ons­si­cher­heit und das Not­fall­ma­nage­ment, die zur Stärkung der Ver­sor­gungs­struk­tur bei­tra­gen.

nach oben