Einrichtungen des Gesundheitswesens sind vermehrt Cyberbedrohungen ausgesetzt. Das betrifft längst nicht mehr nur Krankenhäuser, sondern ebenso die kleineren ambulanten Leistungserbringer bis hin zur örtlichen Hausarztpraxis. Auch der Gesetzgeber hat das 2019 erkannt und mit dem Digitale-Versorgung-Gesetz eine Vorschrift zur "IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung" eingeführt. Sie ist heute im § 390 SGB V (Fünftes Sozialgesetzbuch) zu finden. Der Gesetzgeber hat dort die Kassenärztlichen und Kassenzahnärztlichen Bundesvereinigungen (KBV und KZBV) dazu verpflichtet, die Anforderungen zur Gewährleistung der IT-Sicherheit in einer Richtlinie zu konkretisieren. Die KBV hat ihre Richtlinie nun am 1. April 2025 aktualisiert.
Stand der Richtlinien
Die ersten KBV- und KZBV-Richtlinien wurden 2020 veröffentlicht. Der gesetzlich vorgeschriebene Überarbeitungsturnus von zwei Jahren wurde bislang nicht eingehalten. Erst am 1. April 2025 wurde die Überarbeitung der KBV-Richtlinie veröffentlicht, die in weiten Teilen aber bereits ab dem Folgetag gilt. Für die neu hinzugekommenen Anforderungen räumt die Richtlinie eine Vorbereitungszeit ein – die betroffenen Praxen haben bis zum 1. Oktober 2025 Gelegenheit, diese umzusetzen. Die Erneuerung der KZBV-Richtlinie ist auch demnächst zu erwarten.
Die KBV-Richtlinie enthält insgesamt fünf Anlagen mit umfangreichen Detailregelungen, die den Stand der Technik in der IT-Sicherheit wiedergeben sollen. Nur wenige Leistungserbringer müssen jedoch sämtliche Anlagen beachten – welche Anlagen ein Leistungserbringer tatsächlich befolgen muss, richtet sich nach seiner Größe. Alle Leistungserbringer haben dabei die Basis-Anforderungen der Anlage 1 sowie die Anforderungen an die Telematik-Infrastruktur der Anlage 5 einzuhalten. Für mittlere und große Praxen sowie bei Nutzung von Großgeräten gelten auch die weiteren Anlagen.
Fokus auf den Sicherheitsfaktor "Mensch"
Die neue KBV-Richtlinie legt einen verstärkten Fokus auf den Sicherheitsfaktor "Mensch". Unabhängig von ihrer Größe sollen Praxen gezielte Maßnahmen zur Sensibilisierung ihrer Mitarbeitenden für die IT-Sicherheit ergreifen und so die "Security-Awareness" steigern. Die KBV-Richtlinie nimmt hierfür die Praxisleitung in die Pflicht, von der ein gesteigertes Bewusstsein für Sicherheitsfragen verlangt wird. Ihr kommt eine Vorbildfunktion zu: Die Praxisleitung muss sämtliche Schulungsmaßnahmen und Sicherheitskampagnen unterstützen.
Besondere Bedeutung misst die neue KBV-Richtlinie zudem der Bildung von IT-Kompetenzen zu. Mitarbeitende und auch externe Benutzer sind in den sicheren Umgang mit IT-Komponenten einzuweisen und für Risiken zu sensibilisieren. Mitarbeitende sollen zudem hinsichtlich ihrer Aufgaben und Verantwortlichkeiten in Informationssicherheitsthemen geschult werden. Zusätzlich empfiehlt es sich, dass sich auch die Leitungsebene selbst über Schulungen die Fachkenntnisse in diesem Bereich sichert, um ihren Aufgaben nachkommen zu können – die Richtlinie sieht hierzu jedoch keine Pflicht vor.
Die neue KBV-Richtlinie verschärft darüber hinaus die Sicherheitsvorkehrungen im Personalmanagement. Das reicht von der geregelten Einarbeitung von Mitarbeitenden bis zum Umgang mit Mitarbeitenden, die eine Arztpraxis verlassen. Arztpraxen müssen gerade diese Vorgaben umfassend beachten, um etwa der Bedrohung durch ehemalige oder abwandernde Mitarbeitenden zu begegnen, die aufgrund ihrer Zugangsberechtigungen und IT-Kenntnisse ernsthafte Schäden verursachen können.
Sicherheit bei der Cloudnutzung im Gesundheitswesen
Schließlich hat es auch das Cloud-Computing in die KBV-Richtlinie geschafft. So wurde eine klarstellende Regelung aufgenommen, die berücksichtigt, dass seit dem Digitalgesetz 2024 Gesundheits- und Sozialdaten nur noch unter besonderen Sicherheitsanforderungen verarbeitet werden dürfen. Praxen dürfen darum nur Cloud-Dienste von Anbietern nutzen, die über ein sog. C5-Testat des Bundesamts für Sicherheit in der Informationstechnik verfügen. In diesem Zusammenhang ist aber die kürzlich in Kraft getretene C5-Gleichwertigkeits-Verordnung zu beachten, wenn ein Cloud-Dienst (noch) nicht über ein solches Testat verfügt.
Kein Gesetz ohne Sanktion
Die Regelung zur KBV-Richtlinie im SGB V sieht keine Konsequenzen für Praxen vor, die die IT-Sicherheit nicht hinreichend umsetzen. Trotzdem ist die Missachtung der IT-Sicherheit nicht risikolos. Neben der Bedrohung durch Cyberangriffe besteht für Praxen das Risiko einer Sanktion nach dem Datenschutzrecht, wenn sie die Richtlinie nicht befolgen. Das ist darin begründet, dass die Richtlinie laut ihrer Präambel den "Stand der Technik" der Datensicherheit gemäß der Datenschutz-Grundverordnung (DSGVO) für Arztpraxen standardisieren soll. Diese Auslegung ist bemerkenswert, da sie weder eindeutig aus dem Gesetzestext selbst noch aus den Materialien zu dessen Entstehung abzuleiten ist. Wer die Vorgaben zur Datensicherheit nicht umsetzt, gerät damit potentiell in den Fokus der Datenschutzaufsichtsbehörden und es droht ein beträchtliches Bußgeld.
Außerdem sind Arztpraxen zur Verschwiegenheit verpflichtet – kommt es durch einen Cyberangriff zu einem Leak von Patientendaten, so können neben Geldbußen auch Schadensersatzforderungen im Raum stehen. Im "Worst Case" einer Patientenschädigung sind sogar strafrechtliche Konsequenzen nicht ausgeschlossen.
Hinweis: Die Autoren Dr. Tilmann Dittrich, LL.M. (Medizinrecht) und Christian Heinelt sind Rechtsanwälte der auf das IT- und Medizinstrafrecht spezialisierten Kanzlei Wessing & Partner Rechtsanwälte mbB in Düsseldorf.
(mack)
English (US) ·