POLITIK

Gesundheitstelematik: Zwei Gesetze, viele offene Fragen

Dtsch Arztebl 2015; 112(18): A-807 / B-683 / C-659

Krüger-Brand, Heike E.

Neben dem geplanten E-Health-Gesetz enthält auch der Entwurf für ein IT-Sicherheitsgesetz neue Anforderungen an ein zunehmend digitalisiertes Gesundheitswesen.

Foto: CanStockPhoto

Derzeit gibt es mehr als 250 Millionen Schadprogramme, und täglich kommen nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) etwa 300 000 neue hinzu. Der Ausfall informationstechnischer Systeme kann das gesellschaftliche Leben in zentralen Bereichen, wie Energieversorgung, Banken, Verkehr oder auch Gesundheit, bedrohen und dramatische Folgen haben. Für ein Krankenhaus etwa ist eine funktionierende IT essenziell. „Krankenhäuser erbringen . . . vielfältige medizinische und pflegerische Dienstleistungen und zählen daher zu den Kritischen Infrastrukturen unserer Gesellschaft“, schreibt das BSI in einer 2013 veröffentlichten „Risikoanalyse Krankenhaus-IT“.

Anzeige

Vor diesem Hintergrund gibt es mit dem geplanten Gesetz zur „Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) neben dem Referentenentwurf zum E-Health-Gesetz ein weiteres Gesetzesvorhaben der Bundesregierung, das für die fortschreitende Digitalisierung des Gesundheitswesens eine Rolle spielt. Das E-Health-Gesetz regele nur die Verbesserung der Telematikinfrastruktur im Zusammenhang mit der elektronischen Gesundheitskarte, erläuterte Bertram Raum, Referatsleiter bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), bei einer Fachtagung zum Datenschutz in der Medizin in Wiesbaden. Das sei aber mit Blick auf Telemedizin und telematische Anwendungen in der Medizin bei weitem nicht alles in diesem Bereich. „Das E-Health-Gesetz ist ergänzend zum umfassenden IT-Sicherheitsgesetz zu sehen. Das sind zwei Gesetze, die zusammengehören“, betonte Raum.

Ziel: Schutz kritischer Infrastrukturen

Grundsätzlich halten Datenschützer und Sicherheitsexperten das geplante IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen in einer zunehmend digital vernetzten Welt für sinnvoll. Die zentralen Punkte des Gesetzes: Betreiber kritischer Infrastrukturen sollen künftig IT-Sicherheitsvorfälle an das BSI melden, das diese Informationen sammelt, auswertet und die Erkentnisse an die Betreiber zur Verbesserung des Schutzes zurückmeldet. Zudem sind die Betreiber verpflichtet, bestimmte Mindeststandards an IT-Sicherheit einzuhalten.

Darüber hinaus wird das BSI als zentrale Behörde für IT-Sicherheit ausgebaut und mit einer Reihe zusätzlicher Rechte ausgestattet. Ebenso soll das Bundeskriminalamt bundesweit für mehr Straftaten bei EDV-Anwendungen (Cyberdelikte, Betrug mit Chipkarten et cetera) zuständig sein.

Dennoch gibt es auch Anlass zur Kritik, denn: „Inhaltlich ist vieles noch im Nebel“, meinte der Datenschützer. Die Rechtsverordnung, auf die der Gesetzentwurf an mehreren Stellen zur näheren Bestimmung und Ausgestaltung verweist, liegt nämlich noch nicht vor, „nicht einmal als Entwurf“, bemängelte Raum. Dies führe zu vielen unbestimmten Rechtsbegriffen.

So stehe etwa der Begriff der kritischen Infrastrukturen bei der Schaffung des Gesetzes noch nicht fest, rügte Raum (Kasten). Zudem seien die Betreiber kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme zu treffen und dabei den Stand der Technik zu berücksichtigen. „Was ,Stand der Technik‘ heißt, ist dabei nicht näher spezifiziert und wird daher zum Zankapfel bei Streitigkeiten werden“, erklärte Raum.

Von den Pflichten der Betreiber kritischer Infrastrukturen werden Raum zufolge auch die Krankenhäuser betroffen sein – das lege die BSI-Risikoanalyse nahe. Die Behörde entscheide letztlich auch darüber, ob die vom Betreiber ergriffenen Maßnahmen „angemessen“ waren. Stelle das BSI fest, dass die organisatorischen und technischen Maßnahmen im Verhältnis zu den Folgen eines IT-Ausfalls oder einer Beeinträchtigung einer kritischen Infrastruktur nicht angemessen waren, werde das in aller Regel auch mit einem finanziellen Risiko für die Krankenhäuser verbunden sein, erläuterte Raum.

Ein weiterer Kritikpunkt aus Sicht des Datenschützers ist die Regelung, dass das BSI künftig mit der Festlegung von Mindeststandards für die IT-Sicherheit auch Regeln für die Verarbeitung personenbezogener Daten festlegt, ohne dass dabei eine verpflichtende Anhörung der BfDI vorgesehen oder geplant ist.

Vorratsdatenspeicherung steht erneut an

Auf die in den Vorentwürfen vorgesehene Vorratsdatenspeicherung wurde laut Raum im IT-Sicherheitsgesetz bislang verzichtet. Allerdings hätten der Bundesjustiz- und der Bundesinnenminister kürzlich angekündigt, doch noch möglichst rasch ein Vorratsdatengesetz vorzulegen. Änderungen im laufenden Gesetzesvorhaben seien daher noch möglich.

„Packt das E-Health-Gesetz die aktuellen Herausforderungen eines digitalisierten Gesundheitswesens an?“, fragte Prof. Dr. med. Dr. jur. Christian Dierks, Berlin. Die Antwort fällt ihm zufolge in zentralen Punkten negativ aus. Beispiel Interoperabilität: Ein großes Problem ist die derzeit fehlende Kompatibilität der IT-Systeme, die den intersektoralen Datenaustausch und den Systemwechsel erschwert. Hinzu komme „der große Berg an privat erfassten Daten“ über Apps, ohne Möglichkeiten, diese Daten für die Diagnostik und Behandlung des Patienten zu nutzen, erläuterte Dierks.

Nach dem geplanten E-Health-Gesetz soll Interoperabilität durch ein von der verantwortlichen Betreibergesellschaft Gematik zu erstellendes Verzeichnis erreicht werden, das technische und semantische Standards und Profile festlegt. Ein Expertengremium soll hierzu der Gematik Empfehlungen aussprechen. „Was mir da fehlt, ist eine Verbindlichkeit des Interoperabilitätsverzeichnisses“, meinte Dierks. Er empfiehlt, einen von der Gematik unabhängigen Expertenrat als eigenständiges Entscheidungsgremium zu etablieren, das ein Zertifikat für Interoperabilität erteilen kann. Zudem sei es effektiver, einen finanziellen Anreiz zur Nutzung von Standards zu setzen, etwa indem bestimmte Förderungen an die verpflichtende Verwendung interoperabler Systeme geknüpft würden.

Auch Fernbehandlung und Telemedizin würden im E-Health-Gesetz kaum behandelt, monierte der Medizinrechtsexperte. Das Verbot der ausschließlichen Fernbehandlung nach § 7 Abs. 4 (Muster-)Berufsordnung der Ärzte, die in den Landes-Berufsordnungen für Ärzte unterschiedlich umgesetzt ist, sollte ihm zufolge durch eine bundesweit einheitliche Regelung ersetzt werden, denn „Datenübertragung macht an Ländergrenzen nicht halt“. Dabei sollte unter anderem definiert werden, was genau eine zulässige Fernbehandlung umfasst. Gegebenenfalls könnte zusätzlich berücksichtigt werden, dass eine Zweitmeinung auch telematisch erbracht werden kann. Schließlich sollten die Regelungen auch im Patientenrechtegesetz durch eine Erweiterung der Paragrafen zum Behandlungsvertrag mit aufgenommen werden.

Regelungsbedarf bei Auftragsdatenverarbeitung

Dringenden Regelungsbedarf gibt es laut Dierks auch beim Sozialdatenschutz im Kontext mit der Auftragsdatenverarbeitung. Letztere sei ein wichtiges Werkzeug für das Outsourcing von Daten, befreie derzeit jedoch nicht von der ärztlichen Schweigepflicht nach § 203 Strafgesetzbuch, wonach der Arzt anlässlich der Behandlung erfahrene Geheimnisse nicht unbefugt weitergeben dürfe. Befugnisse könnten die Einwilligung des Betroffenen, eine gesetzliche Regelung oder das konkludente Einvernehmen des Patienten sein, führte der Rechtsexperte aus. Ob eine Auftragsdatenverarbeitung auch eine solche Befugnis darstelle, sei unklar. Zuletzt habe die 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder* im März erneut bekräftigt, dass hier Rechtssicherheit gebraucht werde.

Heike E. Krüger-Brand

*siehe http://d.aerzteblatt.de/TY94ND97: „3. Der Bundesgesetzgeber muss klare Rahmenbedingungen für die Einschaltung externer Dienstleister durch Berufsgeheimnisträger schaffen und den Vertraulichkeitsschutz bei den Dienstleistern sicherstellen. Die Einschaltung von externen Dienstleistern ist für Berufsgeheimnisträger oft ohne Alternative, wenn sie – wie auch vom Gesetzgeber beispielsweise mit dem eHealth-Gesetz gewünscht – moderne Informationstechnik nutzen wollen. Jedoch ist damit regelmäßig die Gefahr eines Verstoßes gegen die Schweigepflicht verbunden. (. . .)

@Risikoanalyse Krankenhaus-IT:
www.aerzteblatt.de/15807

Kritische Infrastrukturen

Nach § 2 Abs. 10 des geplanten IT-Sicherheitsgesetzes sind kritische Infrastrukturen „Einrichtungen, Anlagen oder Teile davon, die

1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und

2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.“

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Alle Leserbriefe zum Thema

Login

Loggen Sie sich auf Mein DÄ ein

E-Mail

Passwort

Anzeige