News
Das Krankenhauszukunftsgesetz – Anforderungen an Datenschutz und IT-Sicherheit bei der Umsetzung von Digitalisierungsmaßnahmen in Krankenhäusern
Bereits am 18. September 2020 wurde vom Bundestag das Gesetz für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz - KHZG) verabschiedet. Das KHZG dient der Umsetzung des von der Bundesregierung im Juni 2020 beschlossenen „Zukunftsprogramms Krankenhäuser“ und soll vor allem Digitalisierungsmaßnahmen in Krankenhäusern fördern; hierfür werden insgesamt 4,3 Milliarden Euro bereitgestellt. Zugleich sieht das KHZG verpflichtende Anforderungen vor, deren Nichteinhaltung dazu führen kann, dass Krankenhäusern ab dem Jahr 2025 bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen vereinbarter Zu- und Abschläge abgezogen werden können. Welche Anforderungen in Bezug auf die IT-Sicherheit und den Datenschutz für eine Förderung erfüllt werden müssen, ergibt sich aus dem Gesetz nicht eindeutig und sollte daher bei jedem förderungsfähigen Vorhaben genau geklärt werden.
Ziel der Förderung durch das KHZG
Im Vordergrund des KHZG steht wie eingangs erwähnt u. a. die Förderung von Digitalisierungsmaßnahmen. Auch im Hinblick auf den Datenschutz und die IT-Sicherheit werden Investitionen in eine sichere digitale Infrastruktur gefördert. Diese wird z. B. bei der Einrichtung von Patientenportalen, der elektronischen Dokumentation von Pflege- und Behandlungsleistungen oder im digitalen Medikamentenmanagement besonders relevant.
Um die Förderung zu erhalten, müssen die Krankenhäuser ihren Förderbedarf bei der zuständigen Stelle ihres Bundeslandes melden und eine Förderung beantragen. Damit ermittelt werden kann, ob und inwieweit diese Fördermaßnahmen zu einer Verbesserung des digitalen Reifegrads der Krankenhäuser geführt haben, müssen die Krankenhäuser u. a. eine Selbsteinschätzung vorlegen. Die erste Überprüfung erfolgte bereits am 30. Juni 2021, eine zweite soll am 30. Juni 2023 stattfinden. Die Krankenhäuser müssen den Stand der Umsetzung der digitalen Maßnahmen an die vom Bundesministerium für Gesundheit (BMG) beauftragte Stelle melden.
Datenschutz und IT-Sicherheit als Förderungsvoraussetzung
Elf förderungsfähige Vorhaben werden durch das KHZG in § 19 Abs. 1 S. 1 der Krankenhausstrukturfonds-Verordnung (kurz KHSFV) eingeführt. Für sechs dieser förderungsfähigen Vorhaben müssen gemäß § 19 Abs. 2 KHSFV zusätzliche Anforderungen eingehalten werden. Zu diesen Vorhaben zählen u. a. die Schaffung eines Patientenportals, die Sicherstellung elektronischer Leistungsdokumentation sowie ein digitales Medikationsmanagement. Diese Vorhaben werden u.a. nur dann gefördert, wenn
- Maßnahmen zur Informationssicherheit nach dem jeweiligen Stand der Technik durchgehend berücksichtigt werden und
- die einschlägigen Datenschutzbestimmungen eingehalten werden.
Was genau davon umfasst ist, lässt sich aus dem Gesetz nicht ohne Weiteres ableiten. Es wird sich aller Voraussicht nach nicht um völlig neue IT-sicherheits- und datenschutzrechtliche Anforderungen handeln. Gleichwohl wird eine allgemeine Erfüllung dieser Anforderungen nicht ausreichen. Denn Krankenhäuser gelten als kritische Infrastrukturen i. S. d. BSIG und der Kritis-Verordnung und benötigen daher insbesondere mit Blick auf die IT-Sicherheit aber auch den Datenschutz erhöhte und ggf. spezielle Schutzmaßnahmen. Hier wird daher im Einzelfall eine gründliche Überprüfung der bestehenden Datenschutz- und IT-Sicherheitsmaßnahmen erforderlich sein. Die Anforderung, die „einschlägigen Datenschutzbestimmungen“ einzuhalten, mag auf dem Papier gut aussehen, erfordert unserer Erfahrung nach aber in der Praxis umfassende Vorarbeiten und ein kontinuierliches Monitoring des internen Datenschutzmanagements. Denn, wenn man hiervon jegliche anwendbare Datenschutzvorschrift umfasst sieht, bezieht sich diese Anforderungen z. B. etwa auch auf ein korrektes Verzeichnis der Verarbeitungstätigkeiten, Information von Patienten, etc.
Handlungsbedarf bei Krankenhäusern
Wie eingangs erwähnt, können Krankenhäusern, die die Anforderungen nach § 19 Abs. 1 S. 1 Nr. 2 – 6 KHSFV nicht bis zum 1. Januar 2025 eingeführt haben, bis zu 2 % des Rechnungsbetrags für jeden voll- und teilstationären Fall im Rahmen der vereinbarten Zu- und Abschläge abgezogen werden. Soweit der vom Gesetzgeber anvisierte Standard u. a. in Bezug auf Datenschutz und IT-Sicherheit nicht erreicht wird, besteht also auch das Risiko von Einnahmeverlusten.
Wir raten daher dazu, bereits jetzt aktiv zu werden und die Inanspruchnahme der Fördergelder durch Überprüfung der folgenden Aspekte sicherzustellen:
- Durchführung einer Ist-Aufnahme bezüglich:
- des Einsatzes Digitaler Dienste und deren Interoperabilität;
- der Gewährleistung der Informationssicherheit (wie wird insbesondere insoweit der Stand der Technik sichergestellt?);
- der Einhaltung anwendbarer datenschutzrechtlicher Vorschriften.
- Prüfung des Förderbedarfs auf förderungsfähige Vorhaben unter Einhaltung insbesondere der IT-sicherheits- und datenschutzrechtlichen Förderungsbedingungen.
- Dokumentation der Einhaltung der vorstehenden Vorgaben zum Nachweis im Rahmen des Förderungsverfahrens.
Gerade mit Blick darauf, dass sich die IT-sicherheits- und datenschutzrechtlichen Anforderungen nicht ohne Weiteres aus dem Gesetz ergeben, empfehlen wir Krankenhäusern, die eine Förderung nach dem KHZG anstreben, eine sorgsame Prüfung der im Einzelfall einschlägigen Normen und Vorgaben, um eine möglichst vollumfassende Förderung zu erlangen.
News
NIS-2-Richtlinie: Neue Vorgaben zur Stärkung der Cyberresilienz und -sicherheit
Die am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlichte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“, „NIS-2-RL“) dient der Harmonisierung der Cybersicherheitsvorgaben in der EU und schreibt Unternehmen neue Verpflichtungen im Bereich der Cybersicherheit vor. Sie wird die bisher geltende NIS-Richtlinie ersetzen.
Künstliche Intelligenz-Verordnung der EU: Rat beschließt eigene Position zum Thema
Im April 2021 hat die Europäische Kommission ihren Entwurf für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz („KI-Verordnung“, „KI-VO-E“) vorgestellt. Mit der Verordnung möchte die EU durch Förderung von Exzellenz im KI-Bereich das Wettbewerbspotenzial Europas stärken. Am 6. Dezember 2022 hat nun der Rat der Europäischen Union seinen gemeinsamen Standpunkt zu der KI-Verordnung beschlossen und zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.
Digital Markets Acts (DMA): Was geht uns das an?
Mit ihrer Verordnung über digitale Märkte (Digital Markets Act, kurz: DMA) hat die Europäische Union einen weiteren Baustein ihrer Digitalstrategie umgesetzt (finaler Gesetzestext vom 14. September 2022).
Die bereits im März 2022 verabschiedete Verordnung, wird ab Mai 2023 vor allem den Betreibern großer digitaler Plattformen zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen.
Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen
Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.