Cybersicherheit im Gesundheitssektor: Mehr Präv­en­tion ver­ordnet

Kaum ein anderer Bereich erlebt so rasante Fortschritte durch die Digitalisierung wie das Gesundheitswesen. Und kaum ein anderer Bereich wird durch die Digitalisierung ähnlich verwundbar. Angefangen bei elektronischer Patientenakte und elektronischem Rezept über digitale Gesundheitsanwendungen und telemedizinische Beratung bis hin zu Big-Data-Plattformen und dem Aufbau von internationalen Forschungsdatenzentren: Auch im Gesundheitsbereich sind Daten und Knowhow der Rohstoff der Zukunft.  

Im Unterschied zu anderen Industrien werden im Gesundheitswesen jedoch regelmäßig besonders schutzwürdige und vertrauliche Daten verarbeitet, die noch dazu viel häufiger an Dritte transferiert werden müssen und damit vermehrt dem Risiko eines unberechtigten Zugriffs ausgesetzt sind. Dies beginnt bereits bei der Entwicklung klassischer Gesundheitsprodukte wie Arzneimittel oder Medizinprodukte, deren Herstellung in der Regel umfangreiche und kostenintensive klinische Studien und Prüfungen vorausgehen. 

Die dabei generierten Daten werden typischerweise bereits vor dem erstmaligen Inverkehrbringen der Gesundheitsprodukte für die Anmeldung gewerblicher Schutzrechte wie Patente oder Gebrauchsmuster sowie für die Erlangung der erforderlichen Zulassungen und Zertifizierungen an die dafür jeweils zuständigen Stellen übermittelt. 

Dass bereits dieser Transfer von Produkt-Knowhow und Studiendaten Risiken für den unberechtigten Zugriff Dritter begründet, wurde jüngst durch den Cyber-Angriff auf die Europäische Arzneimittelagentur (EMA) deutlich. Dabei sollen u.a. auch Daten gestohlen worden sein, die für die damals unmittelbar bevorstehende Zulassung des Covid-19-Wirkstoffs von Biontech/Pfizer eingereicht worden waren.

Angriffspunkt Datentransfer

Aber auch während des weiteren Lebenszyklus von Arzneimitteln und Medizinprodukten kommt es zu Datentransfers, die besondere Angriffspunkte für den unberechtigten Zugriff Dritter bieten. Zum einen sind auch nach dem erstmaligen Inverkehrbringen im Rahmen gesetzlicher Pharmako- und Medizinproduktevigilanzpflichten fortlaufend produktbezogene Daten an die zuständigen Überwachungsbehörden zu melden. 

Zum anderen verfügen viele Gesundheitsprodukte v.a. aus dem medizintechnischen Bereich inzwischen über Vernetzungsschnittstellen, über die sie in IT-Netzwerke eingebunden sind oder eingebunden werden können. Schließlich erheben und verarbeiten bereits zahlreiche Medizinprodukte unmittelbar Gesundheitsdaten. Soweit diese Gesundheitsdaten einen Personenbezug aufweisen, genießen sie nach dem geltenden Datenschutzrecht besonderen Schutz und dürfen ohnehin allenfalls in Ausnahmefällen verarbeitet werden.

Datensicherheit spielt im Gesundheitswesen also nicht nur wegen der gesteigerten Schutzwürdigkeit und Vertraulichkeit der hier verarbeiteten Produkt- und Gesundheitsdaten eine entscheidende Rolle, sondern auch mit Blick auf die besondere Exponiertheit dieser Daten für den unberechtigten Zugriff Dritter.  

Neue Regelung zur IT-Sicherheit in Krankenhäusern

Zusätzlich zur Datensicherheit spielt auch die Integrität der IT-Systeme eine große Rolle dabei, eine sichere und jederzeit funktionierende Gesundheitsversorgung zu gewährleisten. Dies hat der Todesfall einer Patientin besonders drastisch vor Augen geführt, die im vergangenen Jahr wegen eines Hackerangriffs auf das Universitätsklinikum Düsseldorf dort nicht behandelt werden konnte und beim Transport in ein anderes Krankenhaus verstarb. 

Aus diesen Gründen hat der Gesetzgeber verschiedene Maßnahmen ergriffen. Zur Sicherstellung der IT-Sicherheit in Krankenhäusern hat er im Oktober 2020 § 75c in das Sozialgesetzbuch V eingefügt. Danach sind Krankenhäuser ab dem 1. Januar 2022 verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit einzuführen, soweit sie nicht ohnehin als Betreiber kritischer Infrastrukturen angemessene technische Vorkehrungen zu treffen haben. 

Zu den kritischen Infrastrukturen zählen gemäß § 2 Abs. 10 BSIG i.V.m. § 6 und Anhang V KritisV etwa die stationäre medizinische Versorgung, die Produktion von unmittelbar lebenserhaltenden Medizinprodukten sowie von Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper, die Produktion und der Vertrieb von verschreibungspflichtigen Arzneimitteln sowie die Laboratoriumsdiagnostik. 

Diese sind nach dem BSIG u.a. verpflichtet, IT-Sicherheitsmaßnahmen nach dem Stand der Technik umzusetzen und das dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. 

Gesetzentwurf zur Erhöhung der IT-Sicherheit vorgestellt

Nach fast zweijähriger Vorbereitung und politischer Diskussion hat die Bundesregierung im Januar 2021 ihren Entwurf für ein Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – das sog. IT SiG 2.0 – vorgestellt (Bundestags-Drucksache 19/26106). Dieser Gesetzentwurf sieht eine Ausweitung der Pflichten von Betreibern kritischer Infrastrukturen vor. 

Darüber hinaus führt er mit den "Unternehmen im besonderen öffentlichen Interesse" eine neue Gruppe von Regelungsadressaten ein. Es handelt sich dabei u.a. um Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Das Bundesministerium des Innern (BMI) soll den genauen Anwendungsbereich durch Rechtsverordnung bestimmen, namentlich welche wirtschaftlichen Kennzahlen bei der Berechnung der inländischen Wertschöpfung heranzuziehen sind.

Zu den erweiterten Pflichten gehört etwa, dass Betreiber kritischer Infrastrukturen zusätzlich zu den organisatorischen und technischen Vorkehrungen, die sie bereits zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse treffen müssen, nunmehr auch Systeme der Angriffserkennung zu installieren haben. Aus Sicht der Bundesregierung stellen diese Systeme eine effektive Maßnahme zur Begegnung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion. 

Experten sehen den Gesetzentwurf kritisch

Darüber hinaus begründet der Gesetzentwurf weitergehende Melde-, Registrierungs- und Informationsherausgabepflichten. Er sieht zudem zusätzliche Befugnisse des BSI vor, beispielsweise zu Maßnahmen, mit denen Sicherheitslücken (im Verborgenen) detektiert werden sollen. 

Am 1. März 2021 fand im Bundestagsausschuss für Inneres und Heimat eine Sachverständigenanhörung zum IT SiG 2.0 statt. Die Experten äußerten sich weitgehend kritisch zu dem Gesetzentwurf. Sie rügten u.a. die Unbestimmtheit verschiedener Begriffe, die angeblich zu wenig ausgeprägte Zukunftsgewandtheit sowie die kurzen Umsetzungsfristen. Es bleibt abzuwarten, ob der Gesetzgeber auf diese Kritik reagiert oder das Gesetz weitgehend unverändert "durchpeitscht", um noch in dieser Legislaturperiode einen Erfolg verzeichnen zu können.  

EU will schärfere Pflichten auch für den Gesundheitssektor 

Auch die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. Im Dezember 2020 hat sie den Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt, die die bestehende Richtlinie ablösen soll (COM(2020) 823 final). Der Entwurf sieht deutlich verschärfte Pflichten auch für Unternehmen des Gesundheitssektors vor. Beispielsweise sollen sie technische und organisatorische Risikomanagement-Maßnahmen ergreifen, die dem Stand der Technik entsprechen und ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. 

Zur Konkretisierung dieser Vorgabe definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, das etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorsehen muss. 

Große Haftungsrisiken bei Verstößen

Das Nichteinhalten der gebotenen IT-Sicherheitsmaßnahmen birgt für die verantwortlichen Stellen erhebliche Haftungsrisiken. Kommt es zu Datenschutzverstößen, drohen die dafür im Datenschutzrecht vorgesehenen Bußgeld- und Schadensersatzrisiken. Die Verletzung von Vigilanz- und Meldepflichten kann darüber hinaus als Ordnungswidrigkeit bebußt werden. Ferner kommt eine vertragliche sowie deliktische Haftung gegenüber allen infolge möglicher Rechtsverletzungen Geschädigten wie etwa Patienten, Ärzten oder sonstigen Geschäfts- und Vertragspartnern in Betracht. 

Alle Akteure im Gesundheitsbereich sollten sich mit den besonderen IT-Sicherheitsrisiken vertraut machen, die in diesem sensiblen Wirtschaftszweig drohen. Zudem sind sie verpflichtet, die für ihre Produkte und Dienstleistungen gebotenen Maßnahmen zu ergreifen, um diesen Risiken vorzubeugen. Dies liegt nicht nur im eigenen Interesse, sondern auch im übergeordneten öffentlichen Interesse an der Sicherung kritischer Infrastrukturen und am Schutz besonders sensibler und vertraulicher Daten gegen den unberechtigten Zugriff Dritter. Eine rechtliche Regelung kann hier nur den Rahmen vorgeben, die technische Umsetzung muss durch die Unternehmen passgenau und gefährdungsspezifisch erarbeitet werden. 

Die Autoren:

Dr. Gunnar Sachs ist Partner im Bereich Corporate/Healthcare sowie Mitglied der Tech Group bei Clifford Chance und begleitet Mandanten sektorübergreifend bei der digitalen Transformation sowie im Datenschutz. 

Dr. Thomas Voland ist Partner im Bereich Corporate/Regulatory sowie Mitglied der Tech Group bei Clifford Chance. Er berät zu sensiblen regulatorischen und Compliance-Themen, einschließlich Datenschutz/Cybersecurity. 

Dr. Christian Vogel ist Partner im Bereich Corporate/M&A bei Clifford Chance und berät Mandanten insbesondere zu Corporate Governance-Themen und Haftung der Geschäftsführungs- und Aufsichtsorgane.