key: cord-1019788-irztc39u
authors: Dochow, Carsten
title: Cybersicherheitsrecht im Gesundheitswesen
date: 2022-02-28
journal: Medizinrecht
DOI: 10.1007/s00350-021-6108-3
sha: d98d3ffc02c99028332e5aa95c9c04b4b430b2c9
doc_id: 1019788
cord_uid: irztc39u

nan

Lage der IT-Sicherheit in Deutschland 2021, S. 15. 14) Angriffe gegen Krankenhäuser sollen im Jahr 2020 innerhalb von zwei Monaten um 45 lich vorsorglich ihre Passwörter für u. a. Server, Router, Firewalls oder die der TI-Konnektoren zu ändern, weil nicht ausgeschlossen werden konnte, dass beim Dienstleister gespeicherte Daten entwendet worden seien. Die Fälle zeigen, dass Cybersicherheit ebenso in Auftragsverhältnissen oder gar Auftragsketten mittelbar von großer Bedeutung sein kann 18 . Angriffsziele sind ferner staatliche Einrichtungen, wie der DDoS-Angriff auf das COVID-19-Impfportal des Bundeslands Thüringen 19 oder eine Ransomware-Attacke auf das irische Gesundheitssystem im Jahr 2020 20 belegen. Auch andere Institutionen des Gesundheitswesens, wie z.B. die Bayrische Krankenhausgesellschaft, waren schon Ziel von "Hackerangriffen" 21 . Für Aufsehen gesorgt hat ferner ein Cyber-Angriff auf die Europäische Arzneimittelagentur (EMA), bei dem Dokumente von Pharmaunternehmen, insbesondere Antragsunterlagen für die Zulassung eines Impfstoffs gegen das Coronavirus SARS-CoV-2 sowie interne, vertrauliche E-Mail-Korrespondenz, erlangt und anschließend "geleakt" werden konnten 22 .

Zudem entstehen Gefährdungen durch Fehlkonfigurationen, unterbliebene Updates und Sicherheitslücken in Software (wie zuletzt die Log4j-Schwachstelle Log4Shell) sowie wegen Fehlverhaltens, Unachtsamkeit und Bedienungsfehlern des Personals 23 bzw. der Anwender. So waren Arztpraxen von Datenleaks betroffen 24 und es traten Fälle auf, bei denen 30.000 Patientenakten und weitere Dokumente sowie radiologische Bilddaten von sog. PACS-Servern abruf bar waren 25 . Ungeachtet dessen sollen im Jahr 2021 im Internet weltweit mehr als 45 Millionen medizinische Bilddateiendarunter Röntgen-, CT-und MRT-Scans -auf ungeschützten Servern für jedermann frei zugänglich gewesen sein 26 Enge Verbindungen des Cybersicherheitsrechts im Gesundheitswesen bestehen zudem mit den bedeutsamen Vertraulichkeitserwartungen aufgrund bestehender Berufsgeheimnisverpflichtungen, wie der ärztlichen Schweigepflicht 32 . Vertrauen zählt mit dem BVerfG zu den "Grundvoraussetzungen ärztlichen Wirkens, weil es die Chancen der Heilung vergrößert und damit -im Ganzen gesehen -der Aufrechterhaltung einer leistungsfähigen Gesundheitsfürsorge dient" 33 . Ein besonderes Schutzziel der Cybersicherheit im Gesundheitswesen ist daher die Bewahrung der Vertraulichkeit vor einer unbefugten Offenlegung oder einem unbefugten Zugang zu Patientengeheimnissen.

Besonders schädlich sind im Bereich der Gesundheitsversorgung außerdem eine mangelnde Erreichbarkeit, eine Vernichtung, ein Verlust oder eine Manipulation oder Verfälschung von Informationen. Ein weiteres wichtiges Schutzziel ist insoweit die Sicherstellung von Verfügbarkeit und Integrität der Informationen 34 . Im Kontext der Cybersicherheit ist dabei auch die Verfügbarkeit der IT-Systeme von Bedeutung. Wegen der Angewiesenheit auf den verlässlichen Einsatz von IuK-Technologien im Rahmen der Patientenversorgung ist Cybersicherheit also zugleich eine Voraussetzung für die individuelle Patientensicherheit und Sicherheit der Gesundheitsversorgung im Gemeinwesen. Ein Ausfall oder eine Unterbrechung der Versorgung kann zur Gefährdung von wichtigen Rechtsgütern wie Gesundheit und Leben führen. Sie ist damit nicht nur Grundvoraussetzung einer jeden Datenverarbeitung, sondern ebenso Voraussetzung für Vertrauen in digitale Techniken, die im Gesundheitswesen zunehmend Verbreitung finden sollen. Ein besonderer Schutzbedarf besteht regelmäßig für Gesundheitsdaten i. S. v. Art. 9 DSGVO, da konkrete Verarbeitungskontexte oftmals besonders sensibel sind. Diese Sichtweise entspricht dem "risikobasierten Ansatz" der DS-GVO, aber auch im Standard-Datenschutzmodell (SDM) ist für Gesundheitsdaten die Schutzbedarfskategorie "hoch" vorgesehen 35 . Art. 9 Abs. 2 DSGVO betont vereinzelt "Bedingungen und Garantien", "angemessene und spezifische Maßnahmen" oder "geeignete Garantien" zur Wahrung der (Grund-)rechte der von der Datenverarbeitung betroffenen Personen. Gemeint sind damit prozedurale, technische und organisatorische Maßnahmen, also ebenfalls Maßnahmen der IT-, Informations-und Datensicherheit 36 .

Das Ziel von "technischen und organisatorischen Maßnahmen" (vgl. Art. 32 DSGVO) ist die Gewährleistung von Schutzzielen (auch Gewährleistungs-oder Sicherheitsziele) der Informations-und Datensicherheit 37 . Sie sind der "normative Anker" für die Auswahl und Bestimmung von Schutzmaßnahmen gegen Risiken 38 

Im stationären Sektor muss zwischen den Einrichtungen unterschieden werden, die aufgrund einer bestimmten Größe und Relevanz für die Gesundheitsversorgung zu den Kritischen Infrastrukturen (KRITIS) gehören, und kleineren Einrichtungen, die freilich keine geringere Bedeutung für eine funktionierende Krankenhausversorgung haben. Für Kritische Infrastrukturen sind neben den Anforderungen der DSGVO 51 insbesondere die Regelungen des BSIG 52 (dazu a.) und für andere Einrichtungen sind im Geltungsbereich des SGB bestimmte Spezialvorschriften (dazu b.) einschlägig.

Für Großkrankenhäuser, die regelmäßig zu den Kritischen Infrastrukturen zählen, sind die Bestimmungen des BSIG bedeutsam. Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden 53 . Sie werden nach Sektoren und Branchen unterteilt und durch die BSI-KritisV 54 festgelegt. Dem Sektor "Gesundheit" unterfallen gem. § 6 Abs. 1 BSI-KritisV als KRITIS neben größeren Krankenhäusern im Übrigen auch Hersteller von Arzneimitteln und Medizinprodukten, Labore und Apotheken, soweit für bestimmte kritische Dienstleistungen, meist mit lebenserhaltender Relevanz, soweit bestimmte Schwellenwerte überschritten werden 55 . Bemessungskriterien sind dabei z. B. Umsätze pro Jahr, hergestellte oder abgegebene Arzneipackungen oder die Anzahl von Aufträgen zur Laboriumsdiagnostik. Die Einrichtungen werden wegen ihrer Bedeutung für das Funktionieren des Gemeinwesens zu den KRITIS gezählt unabhängig davon, ob sie privatwirtschaftlich oder öffentlich-rechtlich getragen sind.

Krankenhäuser zählen gem. § 2 Abs. 10 BSIG i. V. mit § 6 BSI-KritisV erst ab 30.000 vollstationären Behandlungsfällen pro Jahr zu den KRITIS 56 . Wenn dieser Schwellenwert überschritten ist, bestehen für sie bestimmte Pflichten insbesondere nach § 8 a, § 8 b BSIG. Danach sind IT-Systeme und IT-Prozesse durch angemessene organisatorische und technische Vorkehrungen nach dem "Stand der Technik" abzusichern ( Die hier exemplarisch betrachtete Richtlinie der KBV "über die Anforderungen zur Gewährleistung der zur IT-Sicherheit" (nachfolgend "IT-Sicherheitsrichtline") 82 differenziert einerseits nach der Größe der Praxis und andererseits mit Blick auf den Einsatz medizinischer Großgeräte. Es sind mithin je nach Größe der Praxis unterschiedliche technische und organisatorische Anforderungen für konkrete Sicherheitsmaßnahmen definiert. Die Arztpraxen werden dabei in drei Kategorien eingeteilt: Kleine, mittelgroße und große Praxen. Maßgeblich für die Klassifizierung ist die Anzahl von Personen, die ständig mit der Datenverarbeitung betraut sind. In kleinen Praxen sind fünf, in mittleren Praxen sechs bis 20 und großen Praxen mehr als 20 "datenverarbeitende" Personen tätig. Großpraxen sollen außerdem solche Praxen sein, in denen die Datenverarbeitung über den "normalen" Umfang hinausgeht 83 , wobei "Groß-MVZ mit krankenhausähnlichen Strukturen" und Labore genannt werden.

Die Unterscheidung nach Praxisgrößen überzeugt nicht vollständig, weil die Größe der Praxis nicht notwendigerweise mit möglichen Cybersicherheits-Risiken korrelieren muss 84 . Das Risiko hängt nicht allein von der Anzahl der Personen ab, die mit der Datenverarbeitung betraut sind, sondern vielmehr von der Art und vom Umfang der Daten und ihrer Verarbeitung sowie von den eingesetzten IT-Systemen und Anwendungen oder vom Grad der Vernetzung und Automatisierung 85 . Eine dementsprechende Abstufung der Anforderungen im Verhältnis zum Gefährdungspotential und dem Schutzbedarf wäre möglich gewesen (vgl. § 75 c Abs. 2 SGB V). Sachgemäß ist vor diesem Hintergrund die Abstufung im Hinblick auf den Einsatz von Großgeräten, weil dies mit höheren Risiken einhergehen kann.

Neben den allgemeinen Regelungen (Anwendungsbereich, Adressaten, Ziele, Praxisgrößen etc.), die zum Teil lediglich den Inhalt von § 75 b SGB V wiederholen, definiert die IT-Sicherheitsrichtlinie in fünf Anlagen spezifische Anforderungen für einzelne "Zielobjekte" nach den Kategorien "Software" (Programme, Apps) und "Hardware" (Endgeräte und IT-Systeme) 86 

Wegen der übergreifenden Bedeutung von Informationstechnologie und digitalisierten Arbeitsweisen in einer immer stärker vernetzten Gesundheitsversorgung lässt sich die Cybersicherheit nicht mehr allein in den Grenzen der Sektoren betrachten. Daher sind besondere, vorliegend nicht abschließend aufgeführte Bereiche zu betrachten, für welche die allgemeinen Regelungen nach der DSGVO und des BDSG gelten, soweit personenbezogene Daten der Schutzgegenstand sind 101 . Für bestimmte kritische Dienstleistungen, z. B. für Hersteller von Arzneimitteln und Medizinprodukten, Labore und Apotheken, gelten darüber hinaus die oben erwähnten KRITIS-Vorgaben 102 . Nachfolgend sollen indes lediglich die spezifischen Anforderungen in dem Bewusstsein skizziert werden, dass die vorgenannten rechtlichen Vorgaben ebenfalls zu berücksichtigen sind, soweit sie nicht durch spezialgesetzliche Bestimmungen vollständig verdrängt werden 103 . Spezifische Anforderungen gelten etwa im Bereich von Medizinprodukte (s. dazu nachfolgend 1.) oder für Digitale Gesundheitsanwendungen (s. dazu 2.) und -nur rudimentär ausgeprägt -im Bereich Telemedizin (s. dazu 3.). Daneben ist Cybersicherheit bei den hier nicht näher betrachteten Biobanken oder Register im Gesundheitswesen (z. B. Krebsregister, Transplantationsregister, Samenspenderregister, Implantateregister) 104 , im Rahmen des Melde-und Informationssystems im Bereich des Infektionsschutzes (DE-MIS) sowie bei Cloud-Computing oder Online-Prozesse zur Terminorganisation sicherzustellen.

Cybersicherheit kann auch bei Medizinprodukten ein bisweilen existenzielles Thema sein. Sicherheitsschwachstellen treten z. B. bei Insulinpumpen, Beatmungsgeräten oder Patientenmonitoren auf 105 

Bernd-Rüdiger Kern* Über die Zulässigkeit der Überkreuzspende nach dem geltenden Recht wird gestritten. Drei Meinungen lassen sich ausmachen. Die Überkreuzspende wird einerseits für unzulässig gehalten und andererseits nur dann für zulässig gehalten, wenn ein Näheverhältnis besteht oder aufgebaut wird. Diese beiden Ansichten dominieren die Diskussion. Als drittes kommt die direkte Anwendung von § 8 TPG ins Gespräch. Das Bundesministerium für Gesundheit hat am 29. 6. 2021 ein Symposion unter dem Titel: "Erweiterung des Spenderkreises bei der Lebendorganspende -eine Perspektive für Deutschland? Chancen und Risiken von cross-over-Lebendspenden, Pool-Spenden oder nicht gerichteten Lebensspenden in Deutschland" veranstaltet. Bezüglich der Überkreuzspende war das Ergebnis in hohem Maße unbefriedigend. Das gibt Anlass, sich erneut mit dem Gesetzestext auseinanderzusetzen. Das unterblieb -bei den Vertretern der Mehrheitsmeinungen -merkwürdigerweise bisher weithin.

Die Lebendspende ist als Möglichkeit in § 8 TPG geregelt, wurde aber auch schon vor 1997 in Deutschland durchgeführt 1 , obwohl es sich für den Spender nicht um einen Heileingriff handelt 2 . In einzelnen Fällen kann sich eine Lebendspende aus medizinischen Gründen aber als unmöglich oder jedenfalls nachteilig erweisen. Bei HLA-Antigen-oder Blutgruppen-Inkompatibilität kann es zu starken Abstoßungsreaktionen beim Empfänger kommen.

Diese können zwar durch entsprechende Vorbehandlungen vermieden oder überwunden werden; das lässt aber teilweise weniger gute Ergebnisse und eine erhöhte Rate an Komplikationen/Nebenwirkungen für den Empfänger erwarten 3 . Zudem belastet eine solche Behandlung die Versichertengemeinschaft weitaus stärker.

Dieses Problem kann medizinisch durch eine Überkreuzspende gelindert oder ganz gelöst werden. Überkreuzspende bedeutet, dass zwei Paare nicht dem jeweiligen Partner spenden, sondern dem Partner des anderen Paares. Der spendebereite Partner des Paares A spendet an den Organpatienten des Paares B, und der spendebereite Partner des Paares B spendet an den potentiellen Organempfänger des Paares A 4 . Grundsätzlich ist auch der Austausch zwischen drei und mehr Paaren denkbar und medizinisch sinnvoll (Dominospende). Die Überkreuzspende verfolgt das Ziel, die Paare so auszusuchen, dass es zu möglichst wenigen Abstoßungsreaktionen beziehungsweise zum bestmögli-Prof. Dr. iur. Bernd-Rüdiger Kern, Institut für Recht und Ethik in der Medizin, Lange Reihe 33, 04299 Leipzig, Deutschland

Weitere (gleichwertige) Schutzziele sind z. B. die Authentizität, Verbindlichkeit, Zurechenbarkeit, Nichtverkettung, Intervenierbarkeit und Transparenz. Vgl. zu den Schutzzielen Art

Abs. 1 lit. f DSGVO; § 75 b SGB V sowie zu deren Bedeutung im Gesundheitswesen Dochow/Herpers/Raptis, in: Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1. Halbjahr 2022), Kap. 16, Rdnrn. 5 ff

Es bestehen Überschneidungen von Datenschutz und Cyberbzw. Informationssicherheit, was deutlich wird, da zahlreiche Schutzziele des Datenschutzes auch für die Cyber-und Informationssicherheit von Bedeutung sind, vgl. BMI, Cybersicherheitsstrategie für Deutschland 2021

Datenschutz in der Arztpraxis

Regeln der Technik

Im Krankenhausbereich s. DKG, Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus

2020, BAnz. AT 8. 12. 2020 B2; überzeugend herausgearbeitet im Hinblick auf § 75 c SGB V von Dittrich

Zur Bezugnahme auf lediglich die stationäre medizinische Versorgung s. § 6 Abs. 1 Nr. 1, Abs. 5 i

§ 8 a Abs. 3 BSIG. Auch Meldepflichten wie nach § 8 b Abs. 4 BSIG bestehen nicht. Zu den Unterschieden im Detail s. Dittrich

mit § 14 Abs. 2 Nr. 2 BSIG und § 8 a Abs. 3 i. V. mit § 14 Abs. 1 BSIG. Denkbar wäre eine Aufnahme einer Bußgeldbewehrung in § 397 SGB V gewesen

Gesetz für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz -KHZG) v. 23. 10. 2020 (BGBl. I S. 220); s. dazu Dillschneider/Gross

14 a KHG); s. dazu Dochow/Herpers/Raptis

GuP 2021, 171 m. w. N

den Auftrag zur Erstellung einer Richtlinie zur Zertifizierung von IT-Sicherheitsunternehmen ( § 75 b Abs. 5 S. 1 SGB V), um die Leistungserbringer bei der Auswahl eines geeigneten Dienstleisters zu unterstützen; s. dazu Dochow/Herpers/Raptis

19/13438, S. 48; vgl. auch Kircher

Datensicherheit und technischen und organisatorischen Sicherheitsmaßnahmen s

Richtlinie nach § 75 b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit

Die rechtliche Verpflichtung allein dazu genügt nicht; die Maßnahmen nach BSIG sind tatsächlich umzusetzen

DSGVO, s. o. bei III. sowie unten IV., 2., b)

GesR 2021

Richtlinie nach § 75 b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit, Stand: 22. 1. 2021; näher Dochow/Herpers/Raptis, in: Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1

Vgl. zur ähnlichen Problematik bei § 38 BDSG Dochow

Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1. Halbjahr 2022), Kap. 16, Rdnr

Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1. Halbjahr 2022), Kap. 16

Zu dem Gedanken s. Dochow/Herpers/Raptis, in: Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1

Die Lage der IT-Sicherheit in Deutschland 2021, S. 52; s. a. zur Alternative der Reihenschaltung Dochow/Herpers/Raptis, in: Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1

Präambel der Richtlinie, s. a. Dittrich/Ippach, GesR

Erinnert sei bereits von Inkrafttreten der DSGVO an die Anlage zu § 9 S. 1 BDSG a. F., deren Anforderungen zum Teil auch in der früheren "Technische Anlage" zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis von BÄK und KBV konkretisiert waren

Kap. 16, Rdnr. 262; vgl. auch Grzesiek, GuP 2021, 171, 175 ff. mit Hinweisen auf ergänzende Maßnahmen

§ 1 Abs. 2 S. 1 und 2 BDSG. Für die DSGVO gilt das wegen ihres Anwendungsvorrangs nur

Vgl. zu den noch nicht näher ausgeleuchteten Bereichen im Überblick Dochow/Herpers/Raptis, in: Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1. Halbjahr 2022), Kap. 16, Rdnrn. 21 ff

Lage der IT-Sicherheit in Deutschland 2021

/745 des Europäischen Parlaments und des Rates über Medizinprodukte v. 5. 4. 2017 (ABl. L 117 v. 5. 5. 2017, S. 1) -Medizinprodukteverordnung (MDR) und Medizinprodukterecht-Durchführungsgesetz (MPDG) mit ausführenden Rechtsverordnungen

Zum Konformitätsbewertungsverfahren und zur CE-Kennzeichnung s. Art. 10 Abs. 5 MDR

Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung

Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1. Halbjahr 2022), Kap. 16

Grundlagen und normativer Rahmen der Telematik im Gesundheitswesen

Näher seit der Geltung des PDSG Dochow

Die rechtliche Grundkonzeption wurde schon mit dem GMG im Jahr 2004 angelegt (s. § 219 b Abs. 6, 7 und Abs. 8 und § 307 SGB V a. F.). Nach zwischenzeitlichen Anpassungen von § 219 b SGB V a. F. an die NIS-RL erfolgte zuletzt mit dem PDSG eine systematische Neugestaltung im SGB V

18/11242, S. 56, s. a. zum Entwurf der NIS-2-RL Dittrich/Dochow/Ippach

§ 291 Abs. 2 und § 340 SGB V

291 Abs. 8 und § 340 Abs. 6-8 SGB V

§ 352 SGB V für die elektronische Patientenakte

Zur Ausnahme s. § 323 Abs. 2 S. 3 SGB V. Zu den Aufgaben der gematik s. ausf. Dochow/Herpers/Raptis

§ 311 Abs. 1 Nr. 1 lit. a und Abs. 2 SGB V. Beschlüsse der gematik zu den Regelungen, dem Auf bau und dem Betrieb der TI sind u. a. für die Leistungserbringer und die Krankenkassen verbindlich ( § 315 Abs. 1 SGB V)

Dazu freilich § 306 Abs. 3 SGB V und § 311 Abs. 4 S. 1

BeckOK Sozialrecht, § 323 SGB V

dag. zutr. auf die missverständliche Lesart hinweisend Schifferdecker

§ 311 Abs. 4 S. 2 SGB V: "zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur

§ 311 Abs. 1 Nr. 1 lit. c, Nr. 2, § 323 Abs. 1 SGB V

§ 311 Abs. 1 Nr. 1 lit. a, Abs. 2 SGB V

der Verzeichnisdienst gem. § 313 SGB V

Auf seinen Antrag hin ergeht ein Verwaltungsakt über die Bestätigung, der mit Nebenbestimmungen versehen werden kann 154

2 SGB V). Außerdem hat sie dem BSI Störungen bezogen auf die Komponenten oder Dienste sowie weitere bedeutende Störungen mit "beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur" ( § 329 Abs. 4 SGB V) zu melden. Die Meldungen sind jeweils "unverzüglich" vorzunehmen und Unterlagen "innerhalb von zwei Wochen" vorzulegen 161 . Anbieter, die vorsätzlich oder fahrlässig eine Meldung gem. § 329 Abs. 2 S. 1 SGB V nicht, nicht richtig

Eine Gefahr ist dabei die eingetretene oder drohende erhebliche Beeinträchtigung der IT-Systeme 163 . Eine solche Gefahr kann von Diensten innerhalb und außerhalb der TI ausgehen 164 . Mögliche Maßnahmen sind in § 329 Abs. 3 SGB V aufgeführt. Mittels hoheitlicher Anordnungen von Maßnahmen kann die gematik z. B. Komponenten und Dienste für den Zugang zur TI sperren oder den weiteren Zugang von Bedingungen abhängig machen ( § 329 Abs. 3 S. 1 SGB V) oder sie kann verbindliche Anweisungen an Anbieter von Diensten und Anwendungen zur Beseitigung oder Vermeidung von Störungen bzw

3 SGB V eine Ordnungswidrigkeit dar, die mit einem Bußgeld von

Cybersicherheit in der TI erfolgt durch den Nachweis von Produktsicherheit (v. a. durch Zulassungen und Bestätigungen), Sicherheitsleistungen (z. B. durch Verschlüsselungen, PKI, VPN), eine Gewährleistung von Betriebssicherheit

Sicherheitsbewertung der Public-Key-Infrastruktur (PKI) sowie ein Penetrationstest des Verzeichnisdienstes und der VPN-Zugangsdienste, ein "hohes Sicherheitsniveau" 167 . Zu den geplanten Veränderungen der TI in Richtung einer "Telematikinfrastruktur 2.0" 168 äußerte sich zuletzt auch das BSI. Es stellte fest, dass dies mit "erheblichen Eingriffen in die Sicherheitsarchitektur" verbunden sei und betont, dass die "Säulen der IT-Sicherheit

VII. Fazit und Thesen Cybersicherheit -ebenso wie Cyber-Resilienz 170 -wird im Gesundheitswesen künftig von außerordentlicher Be

Forderung von Nachweisen (z. B. Durchführung von Prüfungen und Audits)

der Einsatz von geeigneten Systemen zur Erkennung von Störungen und Angriffen ( § 331 Abs. 3 SGB V)

Zum Nachfolgenden näher Dochow/Herpers/Raptis, in: Kipker, Cybersecurity, 2. Aufl. 2022 (erscheint voraussichtlich im 1. Halbjahr 2022), Kap. 16, Rdnrn. 111 ff

§ 397 SGB Abs. 3 SGB V. Zuständige Verwaltungsbehörde ist dabei das BSI (Abs. 4)

Ferner bestehen Kompetenzen des BSI zur Überprüfung mit u. a. der Möglichkeit, der gematik verbindliche Anweisungen zu geben ( § 333 Abs. 2 SGB V)

Whitepaper Telematikinfrastruktur 2.0 für ein föderalistisch vernetztes Gesundheitssystem

Die Lage der IT-Sicherheit in Deutschland 2021, S. 53; zusf. auch Grätzel von Grätz

Sicherheitsvorfällen, funktionsfähig bzw. im Ernstfall schnell wiederherstellbar sein müssen (vgl. Kammerloher, DuD 2021, 649, 650 f.; s. a. Dittrich/Dochow/Ippach, GesR 2021, 613, 624 zum Entwurf einer Resilienz-Richtlinie der EU)

Europäische Kommission v

Bernd-Rüdiger Kern hatte bis zu seiner Emeritierung (2014) an der

Zur älteren Rechtslage vgl. Kern, Zivilrechtliche Gesichtspunkte der Transplantation

Der Verfasser dankt Prof. Dr. med. Christian Hugo