de en
Nexia Ebner Stolz

Branchen

Das neue Patientendaten-Schutz-Gesetz - Auswirkungen für Krankenhäuser im Informationssicherheitsumfeld

„Schluss mit der Zettelwirtschaft“: Der Bundesrat hat am 18.9.2020 das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) gebilligt, das der Bundestag bereits Anfang Juli verabschiedet hatte. Am 19.10.2020 wurde es im Bundesgesetzblatt veröffentlicht.

Ziel des PDSG ist eine stär­kere Digi­ta­li­sie­rung im Gesund­heits­be­reich unter ste­ti­ger Anpas­sung im Hin­blick auf den tech­no­lo­gi­schen Fort­schritt. Dar­un­ter sind kon­k­re­ti­sie­rende Vor­ga­ben im Zusam­men­hang mit der elek­tro­ni­schen Pati­en­ten­akte (ePa), dem E-Rezept, Vor­ga­ben zur Sicher­heit in der Tele­ma­tik­in­fra­struk­tur, aber auch höhere Anfor­de­run­gen zur IT-Sicher­heit bzw. Infor­ma­ti­ons­si­cher­heit in Kran­ken­häu­s­ern.

Ände­run­gen durch das PDSG

Beim PDSG han­delt es sich um ein Arti­kel-Gesetz, d. h. das PDSG ändert inhalt­lich eine Viel­zahl ande­rer Gesetze, so z. B. die Sozial­ge­setz­bücher (spe­zi­ell SGB V), das Apo­the­ken­ge­setz oder das Kran­ken­haus­fi­nan­zie­rungs­ge­setz.

Nach­fol­gend haben wir die wich­tigs­ten Punkte in Aus­zü­gen dar­ge­s­tellt:

  • Elek­tro­ni­sche Paa­ti­en­ten­akte:
    Die elek­tro­ni­sche Pati­en­ten­akte ist nicht neu. Nach bereits gel­ten­dem Recht müs­sen Kran­ken­kas­sen eine elek­tro­ni­sche Pati­en­ten­akte (ePa) ab 2021 anbie­ten. Ab 2022 erhal­ten auch die Ver­si­cher­ten selbst Zugriff auf ihre ePa. In der ePa kön­nen ent­sp­re­chende Doku­mente und Daten gesam­melt und abge­legt wer­den (z. B. Befunde, Rönt­gen­bil­der, Vor­sor­ge­un­ter­su­chun­gen, etc.). Bei einem Kas­sen­wech­sel kön­nen Ver­si­cherte ihre Daten aus der ePA über­tra­gen las­sen. Die Nut­zung der ePa ist für den Ver­si­cher­ten frei­wil­lig.Die der­zei­tige Aus­ge­stal­tung der ePa steht in daten­schutz­recht­li­cher Hin­sicht in der Kri­tik, die auch vom Bun­des­da­ten­schutz­be­auf­trag­ten (BfDI) geteilt wird. So kön­nen zum Start der ePa 2021, z. B. nur rudi­men­täre Zugriffs­rechte durch den Ver­si­cher­ten ver­ge­ben wer­den. Im Kon­k­re­ten bedeu­tet dies, dass zwar die Ver­si­cher­ten fest­le­gen kön­nen, wel­che Daten über­haupt in der Pati­en­ten­akte gespei­chert wer­den dür­fen und wel­cher Arzt die Daten/Doku­mente ein­se­hen darf, detail­lier­tere Ein­stel­lungs­mög­lich­kei­ten der Zugriffe, dif­fe­ren­ziert nach Arzt und Doku­ment, sind jedoch erst ab 2022 vor­ge­se­hen.

  • E-Rezept:
    Mit Ein­füh­rung des E-Rezepts kön­nen Ärzte Rezepte direkt digi­tal ers­tel­len und ver­schlüs­selt spei­chern. Der Pati­ent kann das Rezept dann über eine App mit­tels eines Schlüs­sels (z. B. per QR-Code) bei jeder Apo­theke ein­lö­sen. Die Ein­füh­rung des E-Rezepts ist bereits mit dem „Gesetz für mehr Sicher­heit in der Arzn­ei­mit­tel­ver­sor­gung (GSAV)“, das am 16.8.2019 in Kraft get­re­ten ist, erfolgt. Das PDSG ergänzt das GSAV nicht nur im Hin­blick auf die sichere Tele­ma­tik­in­fra­struk­tur, son­dern legt auch die ver­bind­li­che Ein­füh­rung des E-Rezep­tes für Anfang 2022 fest. Die genauen tech­ni­schen Vor­ga­ben und pro­zes­sua­len Vor­ga­ben sind aber der­zeit noch nicht voll­um­fäng­lich spe­zi­fi­ziert.

  • Vor­ga­ben zur Sicher­heit in der Tele­ma­tik­in­fra­struk­tur:
    Unter Tele­ma­tik wird die Ver­net­zung ver­schie­de­ner IT-Sys­teme sowie die Ver­knüp­fung von Infor­ma­tio­nen aus unter­schied­li­chen Quel­len bezeich­net. Nach Vor­stel­lung des Gesetz­ge­bers ver­netzt die Tele­ma­tik­in­fra­struk­tur (TI) alle Akteure des Gesund­heits­we­sens (z. B. Ärzte, Kran­ken­häu­ser und Kran­ken­kas­sen) und stellt einen sek­to­ren- und sys­tem­über­g­rei­fen­den sowie siche­ren Aus­tausch von Infor­ma­tio­nen und medi­zi­ni­schen Daten sicher (z. B. Ein­sicht in die ePa, Aus­tausch des E-Rezepts, etc.). Es han­delt sich dabei um ein gesch­los­se­nes Netz, zu dem nur regi­s­trierte Nut­zer Zugang erhal­ten. Im Hin­blick auf neue Kom­po­nen­ten und Dienste, die in der TI genutzt wer­den, müs­sen gemäß den Anfor­de­run­gen des PDSG diese Kom­po­nen­ten und Dienste eine Zulas­sung durchlau­fen. Die Zulas­sung setzt als Nach­weis eine Sicher­heits­zer­ti­fi­zie­rung der Kom­po­nente und/oder des Diens­tes vor­aus. Anbie­ter müs­sen für ihre Kom­po­nen­ten und Dienste zudem unter Berück­sich­ti­gung des Stands der Tech­nik, ange­mes­sene orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen zur Ver­mei­dung von Stör­un­gen der Ver­füg­bar­keit, Inte­gri­tät, Authen­ti­zi­tät und Ver­trau­lich­keit umset­zen. Vor­ga­ben, die mit den orga­ni­sa­to­ri­schen und tech­ni­schen Vor­keh­run­gen in Ver­bin­dung ste­hen, müs­sen je nach Rele­vanz von den Teil­neh­mern der TI berück­sich­tigt wer­den. So müs­sen z. B. auch Arzt­pra­xen sicher­s­tel­len, dass nur noch zuge­las­sene, d. h. zer­ti­fi­zierte Kom­po­nen­ten zur Anbin­dung an die TI genutzt wer­den.

Die vor­an­ge­gan­ge­nen Punkte ver­deut­li­chen: Das PDSG ver­langt einen stär­ke­ren Fokus auf die Infor­ma­ti­ons- und IT-Sicher­heit. Dies hat erwar­tungs­ge­mäß erheb­li­che Aus­wir­kun­gen auf die Dienst­leis­ter und Lie­fe­r­an­ten von Kom­po­nen­ten bzw. Anwen­dun­gen für die TI. Was häu­fig jedoch unter­schätzt wird, sind die tech­ni­schen und orga­ni­sa­to­ri­schen Anfor­de­run­gen, die an die ope­ra­ti­ven und nicht aus der IT stam­men­den Teil­neh­mer der TI, wie z. B. die Ärzte und Kran­ken­häu­ser, ges­tellt wer­den.

Infor­ma­ti­ons­si­cher­heit bzw. IT-Sicher­heit nun für alle und nicht nur für KRI­TIS-rele­vante Kran­ken­häu­ser

Durch das PDSG ergab sich eine wei­tere weit­rei­chende Ände­rung in § 75c Sozial­ge­setz­buch – Fünf­tes Buch (SGB V). Diese betrifft alle Kran­ken­häu­ser und legt den Fokus auf die Infor­ma­ti­ons­si­cher­heit. Nach­dem der Geset­zes­text sehr pla­ka­tiv dar­s­tellt, dass Infor­ma­ti­ons­si­cher­heit nun für alle Kran­ken­häu­ser gilt, sofern diese nicht KRI­TIS Bet­rei­ber sind und sich dem­nach noch zusätz­lich prü­fen las­sen müs­sen, haben wir die drei Absätze des § 75c SGB V hier abge­druckt:

(1) Ab dem 1.1.2022 sind Kran­ken­häu­ser verpf­lich­tet, nach dem Stand der Tech­nik ange­mes­sene orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen zur Ver­mei­dung von Stör­un­gen der Ver­füg­bar­keit, Inte­gri­tät und Ver­trau­lich­keit sowie der wei­te­ren Sicher­heits­ziele ihrer infor­ma­ti­ons­tech­ni­schen Sys­teme, Kom­po­nen­ten oder Pro­zesse zu tref­fen, die für die Funk­ti­ons­fähig­keit des jewei­li­gen Kran­ken­hau­ses und die Sicher­heit der ver­ar­bei­te­ten Pati­en­ten­in­for­ma­tio­nen maß­geb­lich sind. Orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen sind ange­mes­sen, wenn der dafür erfor­der­li­che Auf­wand nicht außer Ver­hält­nis zu den Fol­gen eines Aus­falls oder einer Beein­träch­ti­gung des Kran­ken­hau­ses oder der Sicher­heit der ver­ar­bei­te­ten Pati­en­ten­in­for­ma­tio­nen steht. Die infor­ma­ti­ons­tech­ni­schen Sys­teme sind spä­tes­tens alle zwei Jahre an den aktu­el­len Stand der Tech­nik anzu­pas­sen.

(2) Die Kran­ken­häu­ser kön­nen die Verpf­lich­tun­gen nach Absatz 1 ins­be­son­dere erfül­len, indem sie einen bran­chen­spe­zi­fi­schen Sicher­heits­stan­dard für die infor­ma­ti­ons­tech­ni­sche Sicher­heit der Gesund­heits­ver­sor­gung im Kran­ken­haus in der jeweils gül­ti­gen Fas­sung anwen­den, des­sen Eig­nung vom Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik nach § 8a Abs. 2 des BSI-Geset­zes fest­ge­s­tellt wurde.

(3) Die Verpf­lich­tung nach Absatz 1 gilt für alle Kran­ken­häu­ser, soweit sie nicht ohne­hin als Bet­rei­ber Kri­ti­scher Infra­struk­tu­ren gemäß § 8a des BSI-Geset­zes ange­mes­sene tech­ni­sche Vor­keh­run­gen zu tref­fen haben.

Bis­her erga­ben sich umfas­sende Anfor­de­run­gen in Bezug auf die IT-Sicher­heit bzw. Infor­ma­ti­ons­si­cher­heit für Kran­ken­häu­ser zum einen im Wesent­li­chen aus § 8a BSIG für sog. „Kri­ti­sche Infra­struk­tu­ren“ (Kran­ken­häu­ser mit min­des­tens 30.000 voll­sta­tio­nä­ren Behand­lungs­fäl­len im Jahr), zum ande­ren aus § 75b SBG V für ver­trags­ärzt­li­che Leis­tun­gen, die im Kran­ken­haus erbracht wer­den. In die­sem Zusam­men­hang muss­ten Sys­teme und Pro­zesse der betref­fen­den Kran­ken­häu­ser die Vor­ga­ben der Kas­se­n­ärzt­li­chen Bun­des­ve­r­ei­ni­gung (KBV) oder die Anfor­de­run­gen des Bran­chen­spe­zi­fi­schen Sicher­heits­stan­dards (B3S) der Deut­schen Kran­ken­haus­ge­sell­schaft sicher­s­tel­len.

Mit Aus­nahme der Melde- und Prü­fungspf­licht sind die neuen Vor­ga­ben des § 75c SGB V somit nun für alle Kran­ken­häu­ser ver­bind­lich umzu­set­zen. Die Vor­ga­ben zur IT-Sicher­heit (vgl. § 75c SGB V […] ange­mes­sene orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen zur Ver­mei­dung von Stör­un­gen der Ver­füg­bar­keit, Inte­gri­tät und Ver­trau­lich­keit […] [ihrer] Sys­teme, Kom­po­nen­ten oder Pro­zesse zu tref­fen […]) sind somit nicht mehr auf die Kran­ken­häu­ser im KRI­TIS Umfeld beschränkt. Jedes Kran­ken­haus ist somit ange­hal­ten, aus­rei­chend Maß­nah­men nach dem Stand der Tech­nik für die Auf­rech­t­er­hal­tung von Ver­sor­gungs­di­enst­leis­tung zu tref­fen und diese Maß­nah­men ent­sp­re­chend zu steu­ern.

Als Ori­en­tie­rung zur Umset­zung die­ser Anfor­de­run­gen kann auch für Kran­ken­häu­ser im Nicht-KRI­TIS Umfeld der bran­chen­spe­zi­fi­sche Sicher­heits­stan­dard (B3S) für die Gesund­heits­ver­sor­gung in Kran­ken­häu­s­ern her­an­ge­zo­gen wer­den. Der B3S umfasst dabei 168 Anfor­de­run­gen, die umzu­set­zen sind, um die Sicher­stel­lung und die Auf­rech­t­er­hal­tung der benö­t­ig­ten Ver­sor­gung­s­pro­zesse zu gewähr­leis­ten. Dabei ist fest­zu­hal­ten, dass in die­sem Zusam­men­hang nicht nur auf die TI, son­dern auch auf wei­tere für die Ver­sor­gungs­di­enst­leis­tung not­wen­di­gen Pro­zesse, Anwen­dun­gen und Infra­struk­tur­kom­po­nen­ten abzu­s­tel­len ist.

Zusam­men­ge­fasst sind Kran­ken­häu­ser verpf­lich­tet, orga­ni­sa­to­ri­sche und tech­ni­sche Maß­nah­men zur Sicher­stel­lung der IT- und Infor­ma­ti­ons­si­cher­heit umzu­set­zen. Ent­sp­re­chend der Vor­ga­ben des B3S und auch aus Erfah­rung ande­rer Berei­che und Bran­chen, die ähn­li­che For­de­run­gen umset­zen hat­ten, kann eine Umset­zung der Anfor­de­run­gen des § 75c SGB V nur mit dem Auf­bau eines umfas­sen­den Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ments (ISMS) gelin­gen. Im Hin­blick auf die sehr kurze Umset­zungs­frist bis 31.12.2021 soll­ten Kran­ken­häu­ser zeit­nah mit der Umset­zung der Anfor­de­run­gen begin­nen.

Fazit

Mit dem PDSG gehen Ände­run­gen in unter­schied­li­chen Bran­chen im Gesund­heits­sek­tor ein­her. Spe­zi­ell Anfor­de­run­gen an die IT-Sicher­heit bzw. Infor­ma­ti­ons­si­cher­heit fin­den stär­kere Beach­tung und soll­ten zeit­nah umge­setzt wer­den. Dies betrifft im Hin­blick auf die TI sowohl die Arzt­pra­xis von „nebe­n­an“ als auch Kran­ken­kas­sen.

Spe­zi­ell Kran­ken­häu­ser soll­ten vor dem Hin­ter­grund der Anfor­de­run­gen des § 75c SGB V zumin­dest den Stand der Umset­zung der Infor­ma­ti­ons­si­cher­heit im eige­nen Haus prü­fen und ggf. ein ISMS imp­le­men­tie­ren oder anpas­sen. Es gilt, die ver­b­lei­bende Zeit in allen Berei­chen effi­zi­ent zu nut­zen.

Bei der Imp­le­men­tie­rung eines Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment­sys­tems sollte keine iso­lierte Stand Alone-Umset­zung vor­ge­nom­men wer­den, son­dern zur Stei­ge­rung der Effi­zi­enz ein inte­grier­ter Mana­ge­men­t­an­satz gewählt wer­den. Bei der Umset­zung ganz­heit­li­cher und inte­grier­ter Mana­ge­ment­sys­teme, wie z. B. ISMS/DSMS/KRI­TIS, haben wir aus unse­rer Erfah­rung eine effi­zi­ente Metho­dik zur Her­an­ge­hens­weise erar­bei­tet.

Ergän­zend wei­sen wir dar­auf hin, dass das Bun­des­ka­bi­nett ein För­der­pro­gramm für die Kran­ken­haus-IT besch­los­sen hat. Hier­bei sol­len Kran­ken­haus­trä­ger beim Abbau von Defi­zi­ten bei der Digi­ta­li­sie­rung und Ver­net­zung unter­stützt wer­den. Zu den wei­te­ren För­der­be­rei­chen zäh­len auch Inves­ti­tio­nen in die Infor­ma­ti­ons­si­cher­heit und das Not­fall­ma­na­ge­ment, die zur Stär­kung der Ver­sor­gungs­struk­tur bei­tra­gen.

nach oben