Patientendaten-Schutz-Gesetz 2024: Was Krankenhäuser beachten müssen

Das Patientendaten-Schutz-Gesetz (PDSG) ist ein im Oktober 2020 in Kraft getretenes Artikelgesetz, das Änderungen an mehreren Gesetzestexten vornimmt – darunter das Sozialgesetzbuch, das Apothekengesetz und das Krankenhausfinanzierungsgesetz. Ziel des Patientendaten-Schutz-Gesetzes ist der Ausbau digitaler Gesundheitsangebote, allen voran die schrittweise Einführung der elektronischen Patientenakte (ePA), die seit 2021 im Gange ist. Auch Angebote wie digitale Rezepte und Überweisungen stehen im Fokus.

Aus diesem erweiterten Angebot ergeben sich logischerweise auch zusätzliche Anforderungen an Gesundheitsbetriebe: Einerseits die Erweiterung der Telematik-Infrastruktur, mit der Arztpraxen, Apotheken, Kliniken & Co. über ein gesichertes Netzwerk miteinander kommunizieren. Und andererseits gewinnt der Datenschutz im Krankenhaus an Bedeutung, da durch den Ausbau digitaler Gesundheitsangebote auch die Menge an Patientendaten wächst, die Kliniken sicher verarbeiten und speichern müssen.

Die wohl wichtigste Änderung für Krankenhäuser verbirgt sich im neu etablierten §75c des Sozialgesetzbuchs: Ab dem 1. Januar 2022 sind sämtliche Krankenhäuser dazu verpflichtet, angemessene technische und organisatorische Vorkehrungen zu treffen, um die Funktionsfähigkeit des Krankenhauses und die Verfügbarkeit, Integrität und Vertraulichkeit der verarbeiteten Patientendaten zu gewährleisten.

Vereinfacht gesagt bedeutet das: Die Schutzziele der KRITIS-Verordnung und des IT-Sicherheitsgesetzes, die bislang nur für Kliniken mit mehr als 30.000 vollstationären Fällen im Jahr relevant waren, gelten nun alle Krankenhäuser, unabhängig von deren Größe und Patientenzahl. Zumindest, solange der erforderliche Aufwand für die Absicherung der IT als verhältnismäßig zählt.

Für die Erfüllung der Anforderungen an die IT-Sicherheit verweist Absatz 2 auf den branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung in Krankenhäusern. Branchenvertreter haben im Rahmen der KRITIS-Verordnung die Möglichkeit, einen solchen B3S beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einzureichen. Bei diesen Sicherheitsstandards handelt es sich um eigene Regelwerke, die auf gängigen Richtlinien wie dem IT-Grundschutz oder ISO 27001 aufbauen, aber speziell auf die Herausforderungen der jeweiligen Branche zugeschnitten sind.

Bei erfolgreicher Prüfung durch das BSI sind branchenspezifische Sicherheitsstandards zwei Jahre lang gültig und können während dieses Zeitraums für die KRITIS-Zertifizierung verwendet werden. Sie müssen es aber nicht: Betreiber können ihre Informationssicherheit auch nach einem anderen Regelwerk aufbauen, solange im Rahmen der Prüfung die Anforderungen an die Informationssicherheit erfüllt werden. Auch das Patientendatenschutzgesetz legt den B3s für Krankenhäuser zwar nahe, er ist aber nicht vorgeschrieben.

Auch wenn das Patientendatenschutzgesetz nun von betroffenen Krankenhäusern ein ähnliches Maß an IT-Sicherheit fordert, bedeutet das nicht, dass diese mit KRITIS-Anlagen gleichzusetzen sind. Die KRITIS-Verordnung umfasst zahlreiche weitere Vorgaben, die kleineren Kliniken vorerst erspart bleiben: Das Einrichten einer Kontaktstelle zum BSI, die verpflichtende Meldung von Störungen, die Registrierung kritischer Komponenten, etc.

Bislang ist im Rahmen des PDSG auch keine externe Prüfung der Sicherheitsmaßnahmen vorgesehen, wie sie KRITIS-Anlagen regelmäßig durchlaufen. Und “bislang” ist dabei das entscheidende Wort: Der volle Umfang der KRITIS-Verordnung gilt zum aktuellen Zeitpunkt nur für einen Teil der deutschen Krankenhäuser, doch der Trend der vergangenen Jahre deutet klar auf eine breitere Anwendung des Sicherheitsstandards hin.

Die Gefahr durch digitale Bedrohungen wie Hackerangriffe und Ransomware wächst stetig, wie immer neue Schlagzeilen über Cyberattacken auf Krankenhäuser eindrucksvoll belegen. Auch der Gesetzgeber weiß um den Ernst der Lage und arbeitet fieberhaft an der Absicherung des Gesundheitswesens. Erst die Ausweitung durch das IT-Sicherheitsgesetz 2.0, nun KRITIS light durch das Patientendatenschutzgesetz.

Kliniken sollten sich in den kommenden Jahren also auf die laufende Verschärfung von Informationssicherheitsstandards gefasst machen und rechtzeitig auf die Erfüllung neuer Anforderungen vorbereiten.

Informationen über die Gesundheit zählen zu den sensibelsten Daten einer Person. Kein Wunder also, dass der Schutz von Patientendaten im Gesetz ein besonderer Stellenwert eingeräumt wird. Doch für Gesundheitseinrichtungen ist es angesichts hoher Belastungen und begrenzter Ressourcen oft kein Leichtes, steigende Anforderungen an die Informationssicherheit in die Tat umzusetzen.

Um trotz schwieriger Umstände mit der wachsenden Gefahr durch digitale Bedrohungen und den neuesten gesetzlichen Vorgaben Schritt halten zu können, brauchen Krankenhäuser smarte IT-Lösungen, die nicht nur die Informationssicherheit verbessern, sondern zugleich betroffene Abteilungen entlasten.

Genau das leistet leistet tenfold: Mit unserer Identity & Access Management Lösung steuern sie sämtliche Benutzerkonten über eine zentrale Plattform. Dank der automatischen Anpassung der IT-Berechtigungen sind Patientendaten bestmöglich vor unberechtigtem Zugriff geschützt. Gleichzeitig gewinnen IT-Fachkräfte Zeit für wichtigere Aufgaben zurück, da tenfold Routine-Prozesse der Benutzerverwaltung, das sogenannte User Lifecycle Management, selbstständig abwickelt. Für den Nachweis der Datenschutz-Compliance stellt tenfold zudem umfangreiche Reporting-Tools bereit.

tenfold hat sich auf die Bedürfnisse mittelständischer Organisationen spezialisiert: Damit Sie möglichst schnell von den Vorteilen unserer IAM-Lösung profitieren, erleichtern vorgefertigte Schnittstellen wie unser Orbis-Plugin die Inbetriebnahme. So ist tenfold schon in wenigen Wochen einsatzbereit, wo andere Anbieter Monate brauchen würden. Melden Sie sich jetzt für einen kostenlosen Test an und überzeugen Sie sich selbst!