Warnung vor russischer Sicherheitssoftware oder warum müssen sich Gesundheitseinrichtungen/Arztpraxen mit IT-Sicherheit befassen?

Das Bundesamt für Sicherheit in der Informationsgesellschaft (BSI) warnt derzeit vor dem Einsatz des Virenscanners des russischen Herstellers Kaspersky. Nach Ansicht des BSI könnte ausgerechnet von einem Virenscanner eine Gefahr für die IT-Sicherheit ausgehen.

„Antivirensoftware (…) verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. (…) Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.“

Wenn nun ein Unternehmen im medizinischen Bereich, das besonders sensible Daten seiner Patienten auf seinen Systemen speichert, eine Sicherheitssoftware einsetzt, durch die möglicherweise der Datenschutz von personenbezogenen Gesundheitsdaten gefährdet sein könnte, erhöht sich für das Unternehmen das Risiko einer Datenpanne, die durch ungeeignete technische Maßnahmen ermöglicht wurde. Daher sollte es jemand im Unternehmen bzw. in der Praxis geben, der dafür zuständig ist, die Cyber-Sicherheitswarnungen des BSI auf Relevanz für die eigenen IT-Systeme und kurzfristigen Handlungsbedarf prüfen.

Das BSI betont: „Betreiber kritischer Infrastrukturen sind in besonderem Maße gefährdet. (...) Unternehmen und andere Organisationen sollten den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen.“

Der rechtliche Hintergrund:

Neben dem strafrechtlichen Berufsgeheimnis nach § 203 StGB und der berufsrechtlichen Verschwiegenheitspflicht nach § 9 MBOÄ, ergibt sich die Pflicht zur IT-Sicherheit für personenbezogene Daten, insbesondere für die Patientendaten aus dem Datenschutzrecht. IT-Sicherheit – die Sicherheit personenbezogenen Daten vor Verlust oder unberechtigtem Zugriff (Verfügbarkeit, Integrität und Vertraulichkeit) stellen datenschutzrechtliche Grundprinzipien dar, für die jeder datenschutzrechtliche Verantwortliche zu sorgen hat, Art. 5 Abs. 1 f) DSGVO, § 24 DSGVO. Daher besteht die Pflicht, den Datenschutz auch durch Technikgestaltung zu gewährleisten, Art. 25 DSGVO und angemessene technische und organisatorische Maßnahmen zu ergreifen, Art. 32 DSGVO. Für Gesundheitsdaten gilt ergänzend die Pflicht, spezifische Schutzmaßnahmen zu ergreifen, § 22 Abs. 2 BDSG. Welche Maßnahme angemessen sind, kann sich z. B. aus den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnologie (BSI) unter dem Stichwort IT-Grundschutz erheben. Speziell im Gesundheitsbereich gilt verbindlich für die vertragsärztliche Versorgung die KBV-Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung, § 75b SGB V. Die Landesdatenschutzaufsicht Bayern hat auf seiner Website (www.lda.bayern.de) eine Checkliste nach Art. 32 DSGVO zur Prüfung der Cybersicherheit in medizinischen Einrichtungen zum Download veröffentlicht.

Nach § 75c SGB V sind alle Krankenhäuser unabhängig von ihrer Einordnung als kritische Infrastruktur i. S. d. BSI-Gesetzes (vgl. § 2 Abs. 10 BSIG, § 6 KRITIS-VO i. V. m den in Anlage 5 definierten Schwellwerten, z.B. mehr als 30.000 vollstationäre Fälle in einem Krankenhaus pro Jahr) zur IT-Sicherheit in Krankenhäusern verpflichtet.

Fehlende oder unzureichende IT-Sicherheit kann mit einem Bußgeld bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresgesamtumsatzes sanktioniert werden, Art. 83 Abs. 4a) DSGVO i. V. m. Art. 32 DSGVO. Bei der Festsetzung der Höhe des Bußgeldes ist zu berücksichtigen, ob angemessene technische und organisatorischen Maßnahmen durch den Verantwortlichen oder Auftragsverarbeiter ergriffen wurden, Art. 83 Abs. 2 d) DSGVO. Mit anderen Worten: Kommt es zu einer Datenpanne, Art. 33 DSGVO, weil keine IT-Sicherheitsmaßnahme ergriffen wurden (Beispiel: kein Virenscanner), fällt das Bußgeld deutlich höher aus, als wenn trotz guter IT-Sicherheitsmaßnahmen (Virenscanner mit automatischem Update, aber Angreifer waren schneller als das Update) eine Datenpanne nicht verhindert werden konnte.

Ein Tipp für die Praxis:

Wegen der Bedeutung des Vertrauens der Patienten für die berufliche Tätigkeit sowie mit Blick auf die Bußgeldrisiken sollte sich jeder Praxisinhaber/jede Praxisinhaberin mit dem Thema IT-Sicherheit beschäftigen und, sofern kein ausreichendes internes Know-How vorhanden ist, diese Aufgabe auf einen qualifizierten, möglichst KBV-zertifizierten IT-Dienstleister übertragen. Ein entsprechendes Verzeichnis zertifizierter Dienstleister nach § 75b Abs. 5 SGV V ist auf der Website der KBV (www.kbv.de) abrufbar.

Für weitere Fragen steht Ihnen die Redaktion gerne zur Verfügung.

Freundliche Grüße
David Seiler, Rechtsanwalt

Redaktion Datenschutz in Arztpraxen