Was Krankenhäuser beachten sollten
Gerade auch in Krankenhäusern werden Cyber-Risiken zunehmend als eine reale Bedrohung wahrgenommen. Und diese Wahrnehmung ist zutreffend. Aktuelle Zahlen zeigen, dass die Anzahl erfasster Cyber-Straftaten im Jahr 2021 um über zwölf Prozent gestiegen ist. Fast täglich wird über Fälle berichtet, in denen Kriminelle die IT von Krankenhäusern angreifen. Solche Angriffe können vielfältig sein. Häufig werden ganze Datenbestände verschlüsselt und blockiert und erst nach Zahlung eines Lösegelds wieder freigegeben. Manchmal kommt es dabei zusätzlich zum Abfluss von Daten. Dann wird damit gedroht, patientenbezogene Daten öffentlich zumachen. Das hätte gravierende Folgen, wenn das Krankenhaus aus datenschutzrechtlichen Gründen gezwungen wäre, die Datenschutzbehörden und die betroffenen Patienten zu informieren. Ein weitreichender Schaden in Form eines erheblichen Reputationsverlusts wäre kaum zu vermeiden.
Angriffe können aber auch anders gelagert sein. So sind Fälle bekannt geworden, in denen von außen in die Haustechnik eingegriffen wurde, so dass zum Beispiel Aufzüge stillgelegt wurden. Dies bedeutet erhebliche Einschränkungen für den Transport von Patienten und kann sogar so weit führen, dass lebenswichtige Operationen nicht oder nur eingeschränkt durchgeführt werden können. Man mag sich kaum vorstellen, was es bedeuten würde, wenn durch Cyber-Angriffe gar Patientendaten (z.B. Medikationen) verändert würden.
Schon diese Beispiele zeigen, dass Cyber-Risiken eine ganz erhebliche Bedrohung für Krankenhäuser darstellen. In den Compliance-Bemühungen von Krankenhäusern fanden solche Risiken in der Vergangenheit allerdings (zu) wenig Berücksichtigung. Angesichts des erheblichen Schadenpotenzials sollte hier unbedingt ein Umdenken stattfinden. Die Abwehr von Cyber-Attacken gehört auf die Agenda der Compliance-Beauftragten. Solange solche im Krankenhaus noch nicht explizit bestellt sind, bleibt das Thema originäre Verantwortung der Geschäftsleitung.
Ein wichtiger Aspekt ist, dass Geschäftsgeheimnisse nach dem Geschäftsgeheimnisgesetz nur dann geschützt sind, wenn der Inhaber des Geheimnisses angemessene Geheimhaltungsmaßnahmen ergriffen hat. Von zentraler Bedeutung ist in den dargestellten Konstellationen, dass ausreichende IT-Sicherheitsmaßnahmen ergriffen worden sind, um sensible Daten vor Attacken zu schützen. Neben rein technischen Maßnahmen (z.B. Zugriffsberechtigungen oder Datenspeicherungs-Konzepte) müssen im Krankenhaus die zugehörigen Regelwerke geschaffen, implementiert und durchgesetzt werden. Weitere wichtige Komponenten sind z.B. die sorgfältige Auswahl von Mitarbeitenden, die mit Geschäftsgeheimnissen zu tun haben, regelmäßige Schulungen, stichprobenhafte Kontrollen und klar beschriebene Meldewege, wenn Verstöße oder verdächtige Verhaltensweisen wahrgenommen werden. Von Bedeutung ist dabei auch, das Bewusstsein der Mitarbeitenden für Cyber-Angriffe zu schärfen. Sie sollen Cyber-Angriffe – z.B. verdächtige E-Mails – möglichst erkennen und melden. Schon dies ist ein wichtiger Baustein der Gefahrenabwehr.
Für diese Maßnahmen muss kein eigenständiges Compliance-Management aufgebaut werden. Einfacher und meines Erachtens sinnvoller ist es, das Thema IT-Compliance in die allgemeine Compliance einzubinden. Compliance-Beauftragte sollten dann auch für diesen Bereich mit zuständig sein. Dies ist ein Beitrag zur Vermeidung von Doppelstrukturen und damit von Aufwand. Allerdings ist das Thema nicht so einfach zu handhaben, wie es auf den ersten Blick erscheint. Denn einerseits ist es in einem ständigen Wandel, weil sich die Technik und damit die Angriffsmöglichkeiten stetig fortentwickeln. Auf der anderen Seite erfordert das Thema IT-Compliance spezifische Erfahrungen und Kenntnisse, die zumeist in den Krankenhäusern nicht vorhanden sind. Betriebliche Datenschutzbeauftragte können zwar eine wertvolle Unterstützung sein, aber auch sie kennen die maßgeblichen (straf-)rechtlichen Implikationen meist nicht. Dann hilft nur die externe fachliche Beratung durch Rechtsanwältinnen und Rechtsanwälte, die auf IT-Strafrecht spezialisiert sind. Nur sind die leider rar.
Autor: Rechtsanwalt Volker Ettwig, Certified Compliance Expert, Tsambikakis & Partner Rechtsanwälte mbB
Erschienen in KU Gesundheitsmanagement 08/2022