IT-Sicherheitsrichtlinie für Arztpraxen – strafrechtlich relevant?
Seit April 2021 bestehen für Arztpraxen erstmals konkrete Standards für die Gewährleistung von IT-Sicherheit. Die „Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragspsychotherapeutischen Versorgung“ (IT-Sicherheitsrichtlinie) verpflichtet die Betreiber von Arztpraxen, ein Mindestmaß an IT-Sicherheit in ihren Systemen sicherzustellen. Vorrangig werden mit der Richtlinie datenschutzrechtliche Anforderungen umgesetzt. Arztpraxen sollten sich aber auch unter Compliance- und strafrechtlichen Aspekten genauer mit der Richtlinie befassen.
Hintergrund der IT-Sicherheitsrichtlinie
IT-Sicherheit ist ein immer größer werdendes Thema. Gerade im Gesundheitssektor können Hacker-Angriffe gravierende Folgen haben, wie die Cyberattacke auf die Universitätsklinik Düsseldorf gezeigt hat. Aufgrund der durch den Systemausfall eingeschränkten Versorgung kam ein Patient ums Leben.
Für Betreiber kritischer Infrastrukturen (sog. KRITIS) sind bereits im Gesetz für das Bundesamt in der Informationstechnik weitreichende Pflichten zur Gewährleistung von IT-Sicherheit festgelegt. Auch der stationäre Gesundheitssektor gehört zu den KRITIS (§ 6 BSI-Kritisverordnung).
Vertragsärztliche Praxen gehören allerdings nicht zu den KRITIS und unterliegen damit nicht den Pflichten des BSIG. Für die medizinische Versorgung der Bevölkerung sind sie allerdings ebenso essenziell. Auch sie verwalten hochsensible Patientendaten, sodass bei ihnen ähnliche Risiken bestehen, Opfer von Cyberkriminellen zu werden, wie bei Krankenhäusern.
Hier setzt nun die von der Kassenärztlichen Bundesvereinigung (KBV) in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellte Richtlinie an.
Was regelt die IT-Sicherheitsrichtlinie?
Die Richtlinie formuliert Sicherheitsanforderungen an Arztpraxen gestaffelt nach deren Größe. Die Anforderungen sind nach ihrer Komplexität gestaffelt seit dem 1.4.2021, zum 1.1.2022 oder zum 1.7.2022 umzusetzen. Dabei werden drei Praxistypen unterschieden:
Bei einer „kleinen Praxis“ im Sinne der Richtlinie sind bis zu fünf Personen ständig mit der Datenverarbeitung betraut. Diese Praxen müssen die Anforderungen aus Anlage 1 und 5 umsetzen. Dazu gehören das Nutzen sicherer Apps (Anl. 1 Nr. 1) und deren laufende Aktualisierung (Nr. 2). Diese Anforderungen sind gut in den laufenden Alltag der Praxis zu integrieren und daher bereits seit dem 1.4.21 verpflichtend. Ab dem 1.1.22 müssen die Praxen aufwändigere Punkte umsetzen wie etwa die sichere Speicherung lokaler App-Daten (Nr. 3) sowie das Einrichten einer Firewall (Nr. 9).
Um eine „mittlere Praxis“ handelt es sich, wenn zwischen sechs und 20 Personen ständig mit der Datenverarbeitung betraut sind. Diese haben, zusätzlich zu den Vorgaben aus Anlagen 1 und 5, die Anforderungen der Anlage 2 zu beachten. Dazu zählen seit dem 1.4.21 die Kontrolle und Minimierung von App-Berechtigungen (Nr. 1) sowie ab dem 1.1.22 die Regulierung der Mitnahme von Wechseldatenträgern (Nr. 10). Weitergehende Anforderungen wie die Erstellung einer Richtlinie für Mitarbeiter zur Nutzung von mobilen Geräten (Nr. 6) müssen bis zum 1.7.22 umgesetzt werden.
In einer „Großpraxis“ sind über 20 Personen ständig mit der Datenverarbeitung vertraut. Für diese gelten die zusätzlichen Anforderungen aus Anlage 3. Dazu gehören eine wirksame Datenträgerverschlüsselung (Nr. 10; seit 1.4.21) und eine von der Praxis festzulegende Definition der erlaubten Informationen und Applikationen auf mobilen Endgeräten (Nr. 3; ab dem 1.1.22).
Nutzt eine Praxis medizinische Großgeräte (CT, MRT, PET oder LINAC), hat sie unabhängig von ihrer Größe die Anlage 4 zu beachten. Dort sind die Anforderungen an die Nutzung der Geräte festgesetzt (z.B. Protokollierung von Systemereignissen, Nr. 3), die alle frühestens zum 1.1.22 umzusetzen sind.
Schärfere IT-Compliance für Arztpraxen
Für Arztpraxen gilt es zu berücksichtigen, dass die von ihnen erhobenen Gesundheitsdaten nach Art. 9 DSGVO als besonders sensibel eingestuft werden. Werden die in der IT-Sicherheitsrichtlinie für Arztpraxen normierten Sicherheitsstandards verletzt, dürften die Datenschutzbehörden zugleich auch eine Verletzung des Art. 32 DSGVO annehmen, der die Sicherheit der Datenverarbeitung regelt.
Der Verstoß gegen das in Art. 32 normierte Gebot der Datensicherheit hat in den ersten Bußgeldverfahren der Aufsichtsbehörden nach der DSGVO eine überragende Rolle gespielt. Auch bei den beiden bisher prominentesten Gerichtsentscheidungen im Datenschutzrecht, der des LG Berlin [BLOG Beitrag Schorn) und des LG Bonn (Beitrag Gehrmann-Basar), stand das Gebot der Sicherheit der Datenverarbeitung im Mittelpunkt.
Mögliche strafrechtliche Konsequenzen
Eine fehlende Auseinandersetzung mit den IT-Sicherheitsstandards wird nicht zuletzt auch strafrechtlich in Zukunft eine stärkere Rolle spielen. Die Rechtsprechung hat in einer Reihe von Entscheidungen die Anforderungen für die Haftung von Managern im Betrieb erhöht. Auch vor diesem Hintergrund müssen sich Arztpraxen in Zukunft verstärkt mit der IT auf Compliance auseinandersetzen.
Die Vernachlässigung der in der Richtlinie niedergelegten Standards kann bei einem Systemausfall und/oder einem Datenabfluss dazu führen, dass sich der Inhaber oder der für die IT-Verantwortliche zugleich strafrechtlichen Ermittlungen ausgesetzt sieht. Das dürfte zwar nicht regelmäßig der Fall sein. Gleichwohl sind Konstellationen denkbar, in denen der technische Ausfall ganzer Anlagen die Frage aufwirft, ob fehlende Sicherheitsmaßnahmen den Ausfall hätten verhindern können. In großen Praxen wären dann Ermittlungen wegen Computersabotage durch Unterlassen (§ 303b StGB) vorstellbar. Bei einem (zeitgleichen) Abfluss von Patientendaten könnte – neben einem Datenschutzrechtlichen Bußgeld – außerdem eine Verletzung der ärztlichen Verschwiegenheit durch Unterlassen (§ 203, 13 StGB) in Betracht kommen. In Extremfällen – so wie beim Fall des Krankenhauses – ist auch eine Ermittlung wegen fahrlässiger Körperverletzung oder Tötung denkbar. Das muss die Praxisorganisation im Blick behalten.
Praxishinweis
Mit den Mindeststandards der IT-Sicherheitsrichtlinie bestehen erstmals klare Handlungsanweisungen für die Gewährleistung von IT-Sicherheit in Arztpraxen. Diese Standards umzusetzen, wird damit ein integraler Bestand der IT-Compliance. Arztpraxen sind daher gut beraten, sich – sofern noch nicht geschehen – mit den Inhalten der Richtlinie vertraut zu machen und die Vorgaben zu den genannten Fristen umzusetzen. Sollte es zu einem Hacker-Angriff auf die Praxis kommen, werden Aufsichts- und Ermittlungsbehörden in jedem Fall prüfen, ob und inwieweit die Sicherheitsstandards umgesetzt und aufrechterhalten wurden. Ist dies nicht der Fall, drohen in jedem Fall Bußgeldverfahren nach der DSGVO. In schwerwiegenden Fällen sind auch strafrechtliche Ermittlungen denkbar. Alle Praxen sind daher gut beraten, sich mit der Richtlinie vertraut zu machen.
* Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Formen männlich, weiblich oder divers verzichtet. Sämtliche Bezeichnungen gelten gleichermaßen für alle Geschlechter.