Disclaimer: Dieser Artikel bietet keine Rechtsberatung, sondern dient lediglich der allgemeinen Information. Bei konkreten rechtlichen Fragen sollten Sie sich an einen Rechtsexperten wenden.
Die Informationssicherheit in Krankenhäusern ist von höchster Bedeutung. Sie schützt nicht nur die sensiblen Daten von Patientinnen und Patienten, sondern ist auch entscheidend für den reibungslosen Betrieb der medizinischen Einrichtungen. Der § 75c des Sozialgesetzbuches (SGB) V legt nun spezifische Anforderungen an die IT-Sicherheit von Krankenhäusern fest.
Der § 75c SGB V im Überblick
Der § 75c SGB V verpflichtet Krankenhäuser seit dem 1. Januar 2022, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer IT-Systeme zu treffen. Diese Verpflichtung gilt für alle nach § 108 SGB V zugelassenen Krankenhäuser, die nicht bereits zu den KRITIS-Krankenhäusern gehören, also weniger als 30.000 vollstationäre Fälle pro Jahr behandeln. Diese dabei zu berücksichtigenden Systeme, Komponenten und Prozesse müssen für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sein.
Gemäß dem Gesetzestext müssen die informationstechnischen Systeme spätestens alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Angemessenheit wird dabei in Relation zu den potenziellen Folgen eines Ausfalls oder einer Beeinträchtigung der IT-Systeme des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen definiert.
Der branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser
Eine Möglichkeit für Krankenhäuser, die Anforderungen des § 75c SGB V zu erfüllen, besteht in der Anwendung eines branchenspezifischen Sicherheitsstandards (B3S) für die IT-Sicherheit der Gesundheitsversorgung im Krankenhaus. Dieser Standard, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt wurde, bietet eine spezifische Orientierung für die IT-Sicherheit in Krankenhäusern.
Konsequenzen bei Nichterfüllung und Bedeutung der Fristen
Die Nichterfüllung der Anforderungen des § 75c SGB V kann erhebliche Konsequenzen für Krankenhäuser haben. Sie könnten nicht nur in rechtliche Schwierigkeiten geraten, sondern auch das Vertrauen ihrer Patienten verlieren. Darüber hinaus könnten sie anfälliger für Cyberangriffe sein, die die medizinische Versorgung beeinträchtigen können. Die Fristen in § 75c SGB V sind klar definiert: Ab dem 1. Januar 2022 müssen die Krankenhäuser die angemessenen Vorkehrungen getroffen haben. Zusätzlich müssen die IT-Systeme mindestens alle zwei Jahre an den aktuellen Stand der Technik angepasst werden.