Das Gesundheitswesen ist im Zuge der Digitalisierung und der weitgehenden Vernetzung durch die Telematikinfrastruktur zwingend auf die Gewährleistung der Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der verarbeiteten Gesundheitsdaten angewiesen.[1] Dabei enthalten insbesondere die §§ 291 ff. SGB V seit dem Erlass des Gesetzes für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (eHealth-Gesetz) eine Vielzahl von Regelungen, die Bezüge zur IT-Sicherheit aufweisen.[2]
Besonders im eHealth-Bereich ist die IT-Sicherheit der verwendeten Systeme von großer Bedeutung: eHealth-Systeme verarbeiten Gesundheitsdaten, die gemäß § 9 BDSG als besondere persönliche Daten zu qualifizieren sind und daher stärker geschützt werden müssen.[3] Datenschutz und IT-Sicherheit sind dabei zwar nicht gleichbedeutend, jedoch stark miteinander verknüpft.[4]
Grundsätzlich ist davon auszugehen, dass die Telematikinfrastruktur und viele der über sie betriebenen Dienste nach den §§ 291a, 291b SGB wohl als kritische Infrastruktur i.S.v. § 2 Abs. 10 BSI-G einzustufen sind.[5] Da jedoch für die Telematikinfrastruktur durch das eHealth-Gesetz spezielle Sonderregelungen zur Informationssicherheit in den §§ 291a, b SGB V vorgesehen sind, wurde in den § 8c Abs. 2 Nr. 3, Abs. 3 Nr. 3 BSI-G (§ 8 d BSI-G n.F.) bestimmt, dass die §§ 8a, b BSI-G und damit ein wesentlicher Teil des IT-Sicherheitsgesetzes auf die Gesellschaft für Telematik sowie auf die Betreiber von Diensten der Telematikinfrastruktur nicht anzuwenden sind.[6]
§ 291a Abs. 7 S. 1 SGB V ist Grundlage für die Schaffung einer Telematikinfrastruktur, die zunächst die erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen schafft. Die Telematikinfrastruktur ist dabei jedoch nicht auf die elektronische Gesundheitskarte beschränkt. Nach § 291a Abs. 7 S. 3 SGB V kann die Telematikinfrastruktur neben den Anwendungen der elektronischen Gesundheitskarte auch für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung geöffnet werden, also insbesondere auch für eigene Netze bzw. Systeme der Leistungserbringer.[7] Dazu gehören nach der Gesetzesbegründung beispielsweise die direkte sichere elektronische Kommunikation zwischen Ärzten, die Unterstützung telemedizinischer Leistungen, sowie Anwendungen für das öffentliche Gesundheitswesen und Systeme für den sicheren Datenaustausch zwischen Versorgung und Gesundheitsforschung.[8]
Hierfür darf die Telematikinfrastruktur aber nur zum Einsatz kommen, wenn die in § 291a Abs. 7 S. 3 Nr. 1 – 2 SGB V festgelegten Pflichten zur Gewährleistung der Sicherheit der Telematikinfrastruktur sowie der betroffenen Daten erfüllt werden. Dabei ist insbesondere zu beachten, dass die Wirksamkeit von Maßnahmen zur Gewährleistung von Datensicherheit sowie Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt (Nr. 1) und die erforderlichen technischen Maßnahmen getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten (Nr. 2). Die Erforderlichkeit der technischen Maßnahmen dürfte sich dabei insbesondere an den vorgegebenen Standards des § 9 S. 1 BDSG orientieren.
Des Weiteren gelten für die Betreiber von nach §§ 291b Abs. 1a, 1e SGB V zugelassenen Diensten und nach Abs. 1b bestätigten Anwendungen entsprechende Meldepflichten gem. § 291b Abs. 6 S. 2 SGB V. Hiernach haben solche Betreiber erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Unter „erheblichen Störungen“ sind solche zu verstehen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der meldepflichtigen Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben. Solche erheblichen Störungen hat die Gesellschaft für Telematik unverzüglich an das BSI weiterzuleiten (§ 291b Abs. 6 S. 4 SGB V). Zudem hat die Gesellschaft der Telematik die Befugnis, Dienste zur Gefahrenabwehr zu gestatten oder nur unter der Maßgabe zuzulassen, dass bestimmte Maßnahmen zur Sicherheit getroffen werden (§ 291b Abs. 6 S. 5 SGB V). Darüber hinaus kann die Gesellschaft für Telematik Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, in Abstimmung mit dem BSI Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten (vgl. § 291b Abs. 7 S. 1 SGB V).
Weitere elektronische Anwendungen des Gesundheitswesens können beispielsweise sogenannte mHealth-Produkte darstellen, also mobile Geräte, die IT und Medizin verbinden.[9] Diese Geräte können zu einer besser auf den einzelnen Patienten abgestimmten medizinischen Versorgung beitragen, indem sie Gesundheitsdaten erheben und auswerten.[10] Krankenhäuser können sie beispielsweise zur Überwachung und Auswertung von Gesundheitsdaten ihrer Patienten nutzen, ohne dass der Patient persönlich vor Ort sein muss.[11] Hier kann der unbefugte Zugriff von außen besonders schwerwiegende Folgen haben, da je nach mHealth-Produkt unmittelbar auf die Gesundheit des Betroffenen eingewirkt werden kann.[12]
Für mHealth-Produkte gelten über die oben genannten Bestimmungen hinaus noch das MPG (Medizinproduktegesetz) und die MPBetreibV (Medizinproduktebetreiberverordnung). Nach § 3 Nr. 1 MPG sind Medizinprodukte Gegenstände oder Software mit medizinischer Zweckbestimmung. Dabei kommt es sowohl auf die Erklärung des Herstellers als auch auf die objektive Eignung an.[13] Nicht erfasst sind jedoch Arzneimittel, also pharmakologisch oder immunologisch wirkende Produkte.[14] mHealth-Produkte müssen vor Inverkehrbringen und z.B. bei Aktualisierungen der Software ein Konformitätsbewertungsverfahren durchlaufen, bei dem sie mittels CE-Kennzeichnung in Risikoklassen unterteilt werden. Vor der Anwendung müssen sie auf ihre Funktionsfähigkeit überprüft werden und bei implantierten, also im Körper verbleibenden, Produkten müssen zudem Informations- und Dokumentationspflichten erfüllt werden.[15]
Bei alledem ist immer zu beachten, dass IT-Sicherheit relativ ist und ein gemeinsames Tätigwerden aller beteiligten Stellen erfordert.[16] Bräutigam/Klindt fordern zudem, dass IT-Sicherheit und Produktsicherheit zusammen gedacht werden und angelehnt an „privacy by design“ ein „IT-security by design“ eingeführt wird.[17]
[1] Kuhls/Starnecker, jurisPR-ITR 15/2015 Anm. 2.
[2] Vgl. Kuhls/Starnecker, jurisPR-ITR 15/2015 Anm. 2; Heckmann, MMR 2015, 289, 290.
[3] Ortner/Daubenbüchel, NJW 2016, 2918, 2920 f.
[4] Hornung/Sixt, CR 2015, 828, 835.
[5] Vgl. Kuhls/Starnecker, jurisPR-ITR 15/2015 Anm. 2.
[6] Vgl. Paland/Holland, NZS 2016, 247, 255.
[7] BT-Drs. 18/5293, S. 46.
[8] BT-Drs. 18/5293, S. 46.
[9] Ortner/Daubenbüchel, NJW 2016, 2918, 2918.
[10] Dietel/Lewalter, PharmR 2017, 53, 53.
[11] Ortner/Daubenbüchel, NJW 2016, 2918, 2919 und 2921.
[12] Hornung/Sixt, CR 2015, 828, 835 f.
[13] Dietel/Lewalter, PharmR 2017, 53, 54.
[14] Ortner/Daubenbüchel, NJW 2016, 2918, 2919.
[15] Dietel/Lewalter, PharmR 2017, 53, 55; Ortner/Daubenbüchel, NJW 2016, 2918, 2919.
[16] Rockstoh/Kunkel, MMR 2017, 77, 78.
[17] Bräutigam/Klindt, NJW 2015, 1137, 1140 f.