Sommer, SGB V § 75b Richtlinie zur IT-Sicherheit in der ... / 1 Allgemeines

Rz. 2

Grundlage der elektronischen Vernetzung ist der Aufbau eines hochsicheren Netzwerks, an das alle Arzt-, Psychotherapeuten- und Zahnarztpraxen, Krankenhäuser und Apotheken sowie weitere Leistungserbringer angeschlossen sein sollen, die sog. Telematikinfrastruktur (TI).

Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien in der medizinischen Versorgung. Gleichzeitig wächst die Abhängigkeit von IT-Systemen in der vertragsärztlichen und vertragszahnärztlichen Versorgung. Auch das Bedrohungspotenzial selbst wächst durch zunehmend zielgerichtete, technologisch ausgereifte und komplexere Angriffe. Die Informationssicherheit ist daher Voraussetzung für den Erfolg der Digitalisierung.

Bei den Arzt- und Zahnarztpraxen handelt es sich i. d. R. um kleinere und mittlere Unternehmen, die nicht in den Anwendungsbereich der IT-Sicherungsregelungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) zu kritischen Infrastrukturen fallen; die vertragsärztliche und vertragszahnärztliche Versorgung durch Ärzte, Psychotherapeuten und Zahnärzte gehören damit auch nicht zu den Gegenständen der vom Bundesministerium des Innern im Einvernehmen mit

• dem Bundesministerium für Wirtschaft und Energie,
• dem Bundesministerium der Justiz und Verbraucherschutz,
• dem Bundesministerium für Finanzen,
• dem Bundesministerium für Arbeit und Soziales,
• dem Bundesministerium für Ernährung und Landwirtschaft,
• dem Bundesministerium für Gesundheit,
• dem Bundesministerium für Verkehr und digitale Infrastruktur,
• dem Bundesministerium für Verteidigung und
• dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit

nach Anhörung der beteiligten Kreise auf der Grundlage des § 10 BSI-Gesetzes erlassenen "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)".

In § 6 BSI-KritisV sind wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens im Sektor Gesundheit folgende kritische Dienstleistungen i. S. d. § 10 BSI-Gesetz aufgeführt:

1. die stationäre medizinische Versorgung,
2. die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind,
3. die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmaprodukten zur Anwendung im oder am menschlichen Körper,
4. die Laboratoriumsdiagnostik.

Nach § 8d Abs. 2 Nr. 2 BSI-Gesetz ist § 8a mit der Überschrift "Sicherheit in der Informationstechnik Kritischer Infrastrukturen" nicht anzuwenden auf die Gesellschaft für Telematik nach §§ 291a und 291b, auf die Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 291b Abs. 1a und 1e zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Abs. 1b bestätigten Anwendungen nutzen. Damit sind in der ambulanten vertrags(zahn)ärztlichen Versorgung die Betreiber kritischer Infrastrukturen z. B. auch nicht verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastruktur maßgeblich sind.

Gleichwohl besteht nach der Gesetzesbegründung ein großes Bedrohungspotenzial auch für die in Arzt- und Zahnarztpraxen eingesetzten informationstechnischen Systeme. So wäre z. B. die Vertraulichkeit von Gesundheitsdaten, die ungewollt öffentlich gemacht werden, für immer verloren. Der Patient könnte zwar Schadenersatz erhalten, aber die Veröffentlichung kann nicht mehr ungeschehen gemacht werden. Darüber hinaus könnten durch das ungewollte Bekanntwerden von Gesundheitsdaten, im sozialen wie auch im beruflichen Umfeld unerwünschte Folgen mit erheblichen Auswirkungen entstehen. Sollte z. B. ein Angreifer in der Lage sein, Gesundheitsdaten eines Dritten zu manipulieren und damit deren Integrität verletzen, könnte dies einen wesentlichen Einfluss auf die Therapieentscheidungen und letztlich auf die Gesundheit des Betroffenen haben.

Mit der Vorschrift haben daher die Kassenärztlichen Bundesvereinigungen, also die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV), die Aufgabe erhalten, die IT-Sicherheitsanforderungen in der vertragsärztlichen und in der vertragszahnärztlichen Versorgung in einer Richtlinie bis zum 30.6.2020 festzulegen.

Die mit der Vorschrift vorgegebenen Inhalte der Richtlinie orientieren sich im Übrigen am BSI-Gesetz, sodass sich die Kassenärztlichen Bundesvereinigungen bei der Entwicklung der IT-Richtlinie am Inhalt des BSI-Gesetzes ausrichten können.

Bei den mit dem PDSG vorgenommenen Änderungen handelt es sich nach der Gesetzesbegründung um eine Klarstellung und redaktionelle Änderung. Mit der Änderung des Abs. 2 wird sichergestellt, dass sowohl allgemeine als auch weitere Schutzziele zu gewährleisten sind.

Die Änderungen in Abs. 4 Satz 2 und Satz 3 di...