0 Rechtsentwicklung
Rz. 1
Die Vorschrift ist mit dem Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG) v. 8.12.2019 (BGBl. I S. 2562) mit Wirkung zum 19.12.2019 in Kraft getreten.
Mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) sind mit Wirkung zum 20.10.2020 Abs. 2 neu gefasst sowie Abs. 4 Satz 2 geändert und der Satz 3 angefügt worden. In Abs. 5 Satz 1 sind nach der Angabe "30. Juni 2020" die Wörter "die Mitarbeiterinnen und Mitarbeiter der" und nach dem Wort "diese" das Wort "Personen" und in Satz 3 nach dem Wort "Zertifizierung" die Wörter "der Mitarbeiterinnen und Mitarbeiter" eingefügt worden.
1 Allgemeines
Rz. 2
Grundlage der elektronischen Vernetzung ist der Aufbau eines hochsicheren Netzwerks, an das alle Arzt-, Psychotherapeuten- und Zahnarztpraxen, Krankenhäuser und Apotheken sowie weitere Leistungserbringer angeschlossen sein sollen, die sog. Telematikinfrastruktur (TI).
Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien in der medizinischen Versorgung. Gleichzeitig wächst die Abhängigkeit von IT-Systemen in der vertragsärztlichen und vertragszahnärztlichen Versorgung. Auch das Bedrohungspotenzial selbst wächst durch zunehmend zielgerichtete, technologisch ausgereifte und komplexere Angriffe. Die Informationssicherheit ist daher Voraussetzung für den Erfolg der Digitalisierung.
Bei den Arzt- und Zahnarztpraxen handelt es sich i. d. R. um kleinere und mittlere Unternehmen, die nicht in den Anwendungsbereich der IT-Sicherungsregelungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) zu kritischen Infrastrukturen fallen; die vertragsärztliche und vertragszahnärztliche Versorgung durch Ärzte, Psychotherapeuten und Zahnärzte gehören damit auch nicht zu den Gegenständen der vom Bundesministerium des Innern im Einvernehmen mit
- dem Bundesministerium für Wirtschaft und Energie,
- dem Bundesministerium der Justiz und Verbraucherschutz,
- dem Bundesministerium für Finanzen,
- dem Bundesministerium für Arbeit und Soziales,
- dem Bundesministerium für Ernährung und Landwirtschaft,
- dem Bundesministerium für Gesundheit,
- dem Bundesministerium für Verkehr und digitale Infrastruktur,
- dem Bundesministerium für Verteidigung und
- dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit
nach Anhörung der beteiligten Kreise auf der Grundlage des § 10 BSI-Gesetzes erlassenen "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)".
In § 6 BSI-KritisV sind wegen ihrer besonderen Bedeutung für das Funktionieren des Gemeinwesens im Sektor Gesundheit folgende kritische Dienstleistungen i. S. d. § 10 BSI-Gesetz aufgeführt:
- die stationäre medizinische Versorgung,
- die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind,
- die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmaprodukten zur Anwendung im oder am menschlichen Körper,
- die Laboratoriumsdiagnostik.
Nach § 8d Abs. 2 Nr. 2 BSI-Gesetz ist § 8a mit der Überschrift "Sicherheit in der Informationstechnik Kritischer Infrastrukturen" nicht anzuwenden auf die Gesellschaft für Telematik nach §§ 291a und 291b, auf die Betreiber von Diensten der Telematikinfrastruktur im Hinblick auf die nach § 291b Abs. 1a und 1e zugelassenen Dienste und Betreiber von Diensten, soweit sie die Telematikinfrastruktur für nach § 291b Abs. 1b bestätigten Anwendungen nutzen. Damit sind in der ambulanten vertrags(zahn)ärztlichen Versorgung die Betreiber kritischer Infrastrukturen z. B. auch nicht verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastruktur maßgeblich sind.
Gleichwohl besteht nach der Gesetzesbegründung ein großes Bedrohungspotenzial auch für die in Arzt- und Zahnarztpraxen eingesetzten informationstechnischen Systeme. So wäre z. B. die Vertraulichkeit von Gesundheitsdaten, die ungewollt öffentlich gemacht werden, für immer verloren. Der Patient könnte zwar Schadenersatz erhalten, aber die Veröffentlichung kann nicht mehr ungeschehen gemacht werden. Darüber hinaus könnten durch das ungewollte Bekanntwerden von Gesundheitsdaten, im sozialen wie auch im beruflichen Umfeld unerwünschte Folgen mit erheblichen Auswirkungen entstehen. Sollte z. B. ein Angreifer in der Lage sein, Gesundheitsdaten eines Dritten zu manipulieren und damit deren Integrität verletzen, könnte dies einen wesentlichen Einfluss auf die Therapieentscheidungen und letztlich auf die Gesundheit des Betroffenen haben.
Mit der Vorschrift haben daher die Kassenärztlichen Bundesvereinigungen, also die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztli...