Skip to main content
SpringerLink
Log in

Anforderungen an die Cybersicherheit bei der Erbringung von IT-Dienstleistungen für Arztpraxen sowie Krankenhäuser und Möglichkeiten der Vertragsgestaltung

Cybersecurity requirements when supplying IT services for medical practices and hospitals and possibilities of contract drafting

  • Published:
International Cybersecurity Law Review Aims and scope Submit manuscript

Zusammenfassung

Cybersicherheit gewinnt auch im Gesundheitswesen eine immer größere Bedeutung. Dies gilt insbesondere für die Betreiber von Arztpraxen sowie Krankenhäusern, welche sich der Hilfe von IT-Dienstleistern bedienen, um den erheblichen rechtlichen Anforderungen an eine umfassend verstandene IT-, Daten- und Informationssicherheit gerecht zu werden. Dabei werden die Möglichkeiten der Vertragsgestaltung derzeit mit Blick auf die Belange von Arztpraxen und Krankenhäusern, wenn überhaupt, eher randständig behandelt. Der nachfolgende Beitrag möchte dem Abhilfe schaffen und versteht sich als ein Beitrag zur Cybersicherheits-Compliance im Gesundheitswesen.

Abstract

Cybersecurity is also becoming increasingly important in the healthcare sector. This applies in particular to the operators of medical practices and hospitals, who enlist the help of information technology (IT) service providers to meet the considerable legal requirements for comprehensive IT, data, and information security. At the same time, the options for drafting contracts with regard to the concerns of medical practices and hospitals currently receive little attention, if any at all. The following article aims to remedy this situation and intends to contribute to cybersecurity compliance in the healthcare sector.

This is a preview of subscription content, log in via an institution to check access.

Access this article

Log in via an institution

Price excludes VAT (USA)
Tax calculation will be finalised during checkout.

Instant access to the full article PDF.

Institutional subscriptions

Notes

  1. Vgl. die Informationen von Medatixx in FAQ für die betroffenen Kunden: https://medatixx.de/fileadmin/user_upload/Stoerung/2021_11_17_12Uhr_FAQ_medatixx_Kunden_V5-0.pdf (zuletzt abgerufen am 23.07.2022).

  2. Im Folgenden wird (medizinische) Leistungserbringer als Oberbegriff für Krankenhäuser, Arztpraxen und Medizinische Versorgungzentren verwendet.

  3. Im Dezember 2021 war CompuGroup Medical (CGM) Ziel eines Ransomware-Angriffs, vgl. https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/cgm-cyber-attacke-kostete-vier-millionen-euro (zuletzt abgerufen am 23.07.2022). Zu weiteren Ereignissen Grzesiek, GuP 2021 [11, S. 171, 172]; Dittrich, MMR 2022 [5, S. 267, 268].

  4. Für ein derart weites Verständnis zu Recht Dochow, MedR 2022 [9, S. 100, 105 f.] im Anschluss an Kipker, in: Kipker, Cybersecurity, 2020, Kap. 1, Rn. 1 ff.

  5. Dochow, MedR 2022 [9, S. 100, 102].

  6. Dochow, MedR 2022 [9, S. 100, 106].

  7. Vgl. zur Bedeutung eines Anschlusses an die Telematikinfrastruktur für die Leistungserbringung und deren vertragsarzthonorarrechtliche Absicherung: SG Stuttgart – Urt. v. 27.01.2022 – S 24 KA 166/20. In Bezug auf Krankenhäuser vergütungsrechtliche Konsequenzen ablehnend Dittrich, GuP 2021 [4, S. 165, 169 f.].

  8. Dittrich, MMR 2022 [5, S. 267].

  9. Im Hinblick auf den wesentlich ausgreifenderen Ansatz des Entwurfs der NIS-2-Richtlinie kritisch Dittrich/Dochow, GesR 2022 [6, S. 414, 420].

  10. Dochow, MedR 2022 [9, S. 100, 104 f.]; Dittrich/Ippach, GesR 2021 [8, S. 285, 288].

  11. Dittrich, GuP 2021 [4, S. 165, 166].

  12. Dittrich/Dochow, GesR 2022 [6, S. 414, 423].

  13. Insofern geht es nicht nur um eine „Cybersicherheits-Awareness“, vgl. zu einer solchen Dittrich/Dochow, GesR 2022 [6, S. 414, 422 f.]. Eine mit der NIS-2-RL womöglich einhergehende Änderung des BSIG könnte zu einer Compliance-Pflicht führen, Dittrich/Dochow/Ippach, GesR 2021 [7, S. 613, 620].

  14. Um Missverständnisse zu vermeiden, ist hervorzuheben, dass die Vereinbarung vertraglicher Klauseln allerdings nur eine taugliche Grundlage für Compliance ist, wenn es nicht dabei verbleibt. Vielmehr muss deren Einhaltung in einem iterativen Prozess kontrolliert und etwaige, bei der Durchführung der Verträge auftretende Mängel mit entsprechenden Rechtsfolgen belegt werden. Schließlich muss ggf. Abhilfe geschaffen werden. Ein solches umfassendes Konzept eines „Plan-Do-Check-Act“-Zyklus in Bezug auf Datenschutzprozesse wird von Haag in: Forgo/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019 [10Kap. 2, Rn. 48] vorgestellt. Zur Compliance siehe Habbe/Gergen, CCZ 2020 [12, S. 281].

  15. Vgl. exemplarisch das vom Bayerischen Landesamt für Datenschutzaufsicht frei zugänglich gemachte Muster: https://www.lda.bayern.de/media/muster_adv.pdf (zuletzt abgerufen am 25.07.2022).

  16. Vgl. in Bezug auf Arztpraxen: Dittrich/Dochow, GesR 2022 [6, S. 414, 420 ff.].

  17. Auch angesichts dieser sich in ein Regelungskonzept einfügenden Bestimmung gelangt das BSG, Urt. v. 07.01.2021 – B 1 KR 7/20 R, Rn. 85 ff., 89, 104 zum Ergebnis, dass die Normen zur Telematikinfrastruktur den verfassungsrechtlichen Anforderungen gerecht werden.

  18. Dittrich/Dochow, GesR 2022 [6, S. 414, 422].

  19. BT-Drucksache 19/18793, S. 100; Scholz, in: BeckOK-Sozialrecht, 65. Ed., Stand: 01.06.2022, § 307, Rn. 3 f.

  20. Dittrich/Dochow, GesR 2022 [6, S. 414, 421 f.], dort auch zur Kritik an dieser gesetzgeberischen Entscheidung. Ebenso Dochow, MedR 2020, 979, 984 ff.

  21. Dittrich/Dochow, GesR 2022 [6, S. 414, 423].

  22. Sog. IT-Sicherheitsrichtlinie, abrufbar unter: https://www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistung_IT-Sicherheit.pdf (zuletzt abgerufen am 23.07.2022). Die jährliche Anpassung der Richtlinie steht noch aus.

  23. Dittrich/Ippach, GesR 2021 [8, S. 285, 285 f.].

  24. Richtlinie zur Zertifizierung nach § 75 b Abs. 5 SGB V der Kassenärztlichen Bundesvereinigung vom 16.12.2020, abrufbar unter: https://www.kbv.de/media/sp/2020-12-16_RiLi___75b_Abs._5_SGB_V_Zertifizierung.pdf (zuletzt abgerufen am 23.07.2022).

  25. BT-Drucksache 19/14867, S. 93; Hesral, in: Schlegel/Voelzke, jurisPK – SGB V, Stand: 30.03.2021, Rn. 18; Grzesiek, GuP 2021 [11, S. 171, 173].

  26. Dittrich/Dochow, GesR 2022 [6, S. 414, 424].

  27. § 6 Abs. 6 Nr. 2 i. V. m. Anhang 5, Teil 3, Spalte D KritisV, BGBl I, 2021, 1858. Siehe Dittrich/Ippach, GesR 2021 [8, S. 285, 286].

  28. BeckOK Sozialrecht – Wendtland, 65. Edition, Stand: 01.06.2022, § 75c SGB V, Rn. 8.

  29. Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S), Stand: 22.10.2019, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Textbausteine/DE/KRITIS/B3S/Gesundheit/b3s-krankenhaus.html (zuletzt abgerufen am 23.07.2022). Die Reevaluation des B3S steht noch aus. Siehe auch Dittrich, GuP 2021 [4, S. 165, 166] und Dittrich/Ippach, GesR 2021 [8, S. 285, 287].

  30. Gem. § 75 c Abs. 2 SGB V können auch Krankenhäuser, die nicht unter § 8 a BSIG fallen, den B3S heranziehen, vgl. Dittrich, GuP 2021 [4, S. 165, 167].

  31. Dittrich, MMR 2022 [5, S. 267, 270].

  32. Am 13.05.2022 haben sich das Europäische Parlament und der Rat auf eine neue NIS-2-Richtlinie (Vorschlag für eine RL des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union und zur Aufhebung der RL (EU) 2016/1148, COM(2020) 823 final) verständigt. Diese muss mehrheitlich durch das Europäische Parlament beschlossen werden, was voraussichtlich Ende des Jahres 2022 geschehen soll. Vgl. zum Entwurf Dittrich/Dochow/Ippach, GesR 2021 [7, S. 613].

  33. Dittrich, MMR 2022 [5, S. 267, 270 f.].

  34. Wendtland, in: BeckOK-Sozialrecht, 65. Edition, Stand: 01.06.2022, § 75c SGB V, Rn. 3.

  35. Martini, in: Paal/Pauly, DS-GVO, BDSG, 3. Aufl. 2021, Art. 28, Rn. 77.

  36. Spoerr, in: BeckOK Datenschutzrecht, Wolff/Brink, 40. Edition, Stand: 01.05.2022, Art. 28 DS-GVO, Rn. 104.

  37. Siehe oben 2.

  38. Vgl. auch Art. 82 Abs. 3 DSG-VO, siehe dazu unten Fn. 44.

  39. Siehe unten 4.4.

  40. Demgegenüber wird in nicht medizinrechtlicher Kommentarliteratur teilweise eine Freizeichnung im Außenverhältnis dann für möglich gehalten, wenn die betroffenen Daten nicht auf Systemen des Auftraggebers, sondern in einem Rechenzentrum des IT-Dienstleisters „liegen“ und dort die Leistungserbringung erfolgt, so z. B. Thalhofer/Zdanowiecki, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 19, Rn. 157. Dies überzeugt jedenfalls in Bezug auf Arztpraxen und Krankenhäuser nicht, für welche spezifische Regelungen, insbesondere §§ 75b, 75c SGB V gelten.

  41. Freilich bezieht sich Erwägungsgrund 71 nur auf Faktoren, die bei der Bemessung von Sanktionen eine Rolle spielen können. Dies könnte dafür sprechen, dass derartige Umstände der Verhängung eines Bußgeldes dem Grunde nach nicht entgegengehalten werden können.

  42. Vgl. zur Parallelität dieses Katalogs im Sinne der NIS-2-RL und Art. 83 Abs. 2 Satz 2 DS-GVO: Dittrich, MMR 2022 [5, S. 267, 271].

  43. Art. 82 Abs. 3 DS-GVO spricht davon, dass der Verantwortliche oder Auftragsverarbeiter nur von der Haftung befreit wird, wenn er nachweist, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Dazu Dittrich/Dochow, GesR 2022 [6, S. 414, 424 m.w.N.].

  44. Mann, MMR 2012 [14, S. 499].

  45. Vgl. Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021 [13]; Muster „Service-Level-Agreement“ und „Outsourcingvertrag“ von Nägele, in: Beck’sche Online-Formulare IT- und Datenrecht, 11. Ed. 2022, Stand: 01.05.2022 [2], Muster 1.13 und 1.16; Bräutigam, in: Bräutigam, IT-Outsourcing und Cloud-Computing, 4. Auflage 2019 [3, Kap. 13]; Ergänzende Vertragsbedingungen des Bundes für die Beschaffung von IT-Leistungen (EVB-IT), abrufbar unter: https://www.cio.bund.de/Web/DE/IT-Beschaffung/EVB-IT-und-BVB/evb-it_bvb_node.html (zuletzt abgerufen am 25.07.2022).

  46. Wie bei jeder musterhaften Formulierung ist auch in diesem Zusammenhang der Hinweis darauf angebracht, dass sich eine schematische Übernahme derartiger Klauseln verbietet. Es bedarf in jedem Einzelfall einer Überprüfung, ob und inwieweit eine derartige Regelung in die vertraglichen Beziehungen zwischen IT-Dienstleister und Leistungserbringer implementiert werden kann. Die nachfolgenden Vorschläge sind daher als Anregungen an die kautelarjuristisch tätige Anwaltschaft zu verstehen.

  47. Wenn es schwerpunktmäßig um die Anpassung von Software an Kundenbedürfnisse geht: Ruks, in: Ebers/Steinrötter (Hrsg.), Künstliche Intelligenz und smarte Robotik im IT-Sicherheitsrecht [15, S. 315].

  48. Ruks, in: Ebers/Steinrötter (Hrsg.), Künstliche Intelligenz und smarte Robotik im IT-Sicherheitsrecht [15, S. 313].

  49. Mann, MMR 2012 [14, S. 449].

  50. Vgl. Kraus, in: Schuster/Grützmacher, IT-Recht, 2020 [17], § 339 BGB, Rn. 11.

  51. Nägele, in: Beck’sche Online-Formulare IT- und Datenrecht, 11. Edition 2022, Stand: 01.05.2022 [2], Formular 1.16, Anm. 16.

  52. Ruks, in: Ebers/Steinrötter (Hrsg.), Künstliche Intelligenz und smarte Robotik im IT-Sicherheitsrecht [15, S. 316 f.].

  53. Dies wird von Mann, MMR 2012 [14, S. 499, 500], als „zentrale Herausforderung“ bezeichnet.

  54. Hier sollten nicht abschließend („insbesondere“) die für den betroffenen Leistungserbringer geltenden Regelungen aufgeführt werden.

  55. Vgl. § 4 des Outsourcingvertrages von Nägele, in: Beck’sche Online-Formulare IT- und Datenrecht, 11. Edition 2022, Stand: 01.05.2022 [2], Formular 1.16.

  56. Ob dies bei ordnungsgemäßer Zulassung der Komponenten technisch möglich ist, ist unklar. Einer Vernetzung von IT-Systemen dürfte aber stets das Risiko einer Kompromittierung sämtlicher Systeme zumindest immanent sein.

  57. Siehe dazu Bräutigam, in: Bräutigam, IT-Outsourcing und Cloud-Computing, 4. Auflage 2019 [3, Kap. 13, Rn. 252].

  58. Siehe oben 2.2.

  59. Insoweit kommt eine Anlehnung an die Anforderungen an Videodienste-Anbieter gemäß § 5 der Anlage 31 b zum BMV‑Ä in Betracht, siehe dazu Scholz, in: BeckOK – Sozialrecht, 65. Ed., Stand: 01.06.2022, (§ 5), BMV‑Ä, Anlage 31 b, Rn. 4.

  60. Vgl. § 9 des Outsourcingvertrages von Nägele, in: Beck’sche Online-Formulare IT- und Datenrecht, 11. Edition 2022, Stand: 01.05.2022 [2], Formular 1.16.

  61. Siehe dazu 4.1.

  62. Siehe dazu Schaub, in: Ebers/Steinrötter (Hrsg.), Künstliche Intelligenz und smarte Robotik im IT-Sicherheitsrecht [16, S. 339].

  63. Kartellrechtlich dürfen Bußgelder bei gesamtschuldnerischer Haftung unter mehreren Kartellanten durch Vereinbarung „verteilt“ werden: EuGH-Urt. v. 10.04.2014 – C-247/11; BGH-Urt. v. 18.11.2014 – KZR 15/12. Daher und wegen des Schutzzwecks des IT-Dienstleistungsvertrages dürfte eine interne „Überwälzung“ eines Bußgeldes auf den IT-Dienstleister statthaft sein, so auch Dittrich/Dochow, GesR 2022 [6, S. 414, 423]. AA Grunewald, NZG 2016, 1121, 1123 f.

  64. Die Möglichkeit eines Freistellungsanspruchs nennend Dittrich/Dochow, GesR 2022 [6, S. 414, 424].

  65. Neben der unter 4.4 vorgeschlagenen Klausel.

  66. Vgl. Schaub, in: Ebers/Steinrötter (Hrsg.), Künstliche Intelligenz und smarte Robotik im IT-Sicherheitsrecht [16, S. 339, 358 f.], die eine Haftungslücke bei Vermögensschäden des Betreibers beklagt.

  67. Nägele, in: Beck’sche Online-Formulare IT- und Datenrecht, 11. Edition 2022, Stand: 01.05.2022 [2], Formular 1.16, Anm. 17.

  68. Diese Klausel knüpft global an sämtliche vom IT-Dienstleister versprochenen Leistungen an. In Betracht kommt auch, nur einzelne Pflichten mit einer Vertragsstrafe zu bewehren (z. B. Absicherung der Cybersicherheit, der rechtzeitigen Leistungserbringung oder der Einhaltung von Reaktionszeiten). Dann müssten an dieser Stelle die entsprechende Pflichten enthaltenden vertraglichen Bestimmungen genau in Bezug genommen werden.

  69. Aus der Perspektive des IT-Dienstleisters kommt eine Begrenzung auf den Betrag, „der bei ordnungsgemäßer und regelmäßiger Sicherung der Daten zu deren Wiederherstellung angefallen“ wäre, in Betracht, vgl. dazu Meents, in: Beck’sches Formularbuch Zivil‑, Wirtschafts- und Unternehmensrecht, 5. Auflage 2022 [1], Formular Q.3., Anm. 60.

  70. Ständige Rechtsprechung: BGH – Urt. v. 16.09.2021 – IX ZR 165/19; BGH – Urt. v. 21.06.2018 – IX ZR 80/17.

Literatur

  1. Beck’sches Formularbuch Zivil‑, Wirtschafts- und Unternehmensrecht, 5. Auflage 2022

  2. Beck’sche Online-Formulare IT- und Datenrecht, 11.Ed. 2022, Stand: 1. Mai 2022

  3. Bräutigam, IT-Outsourcing und Cloud-Computing, 4. Auflage 2019

  4. Dittrich, Die Verankerung der IT-Sicherheit von Krankenhäusern im Sozialrecht – wo liegt der Nutzen von § 75 c SGB V? GuP 2021, 165

  5. Dittrich, Sanktionskompetenz des BSI im Kampf für mehr Cybersicherheit, MMR 2022, 267.

  6. Dittrich/Dochow, Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022, 414

  7. Dittrich/Dochow/Ippach, Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der „Resilienz-Richtlinie“, GesR 2021, 613

  8. Dittrich/Ippach, IT-Sicherheit betrifft nicht nur Großkrankenhäuser – die Regulierung der IT-Sicherheit im ambulanten und stationären Bereich, GesR 2021, 285

  9. Dochow, Cybersicherheitsrecht im Gesundheitswesen, MedR 2022, 100. https://doi.org/10.1007/s00350-021-6108-3

  10. (2019) Forgo/Helfrich, 3. Aufl. Schneider, Betrieblicher Datenschutz

  11. Grzesiek, Neue Anforderungen an die IT-Sicherheit in der Arztpraxis, GuP 2021, 171

  12. Habbe/Gergen, Compliance vor und bei Cyberangriffen – Pflichten der Geschäftsführung und deren konkrete Umsetzung in der Praxis, CCZ 2020, 281.

  13. Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021

  14. Mann, Vertragsgestaltung beim IT-Outsourcing, MMR 2012, 499

  15. Ruks, Gewährleistungsrechte bei IT-Sicherheitsmängeln, in: Ebers/Steinrötter (Hrsg.), Künstliche Intelligenz und smarte Robotik im IT-Sicherheitsrecht, § 12, S. 313 ff.

  16. Schaub, Außervertragliche Haftung bei Verletzung von IT-Sicherheitsmängeln, in: Ebers/Steinrötter (Hrsg.), Künstliche Intelligenz und smarte Robotik im IT-Sicherheitsrecht, § 13, S. 339 ff.

  17. Schuster/Grützmacher, IT-Recht, 2020

Download references

Author information

Authors and Affiliations

  1. Plagemann Rechtsanwälte Partnerschaft mbB, Frankfurt am Main, Deutschland

    Ole Ziegler

Authors
  1. Ole Ziegler
    View author publications

    You can also search for this author in PubMed Google Scholar

Corresponding author

Correspondence to Ole Ziegler.

Additional information

Hinweis des Verlags

Der Verlag bleibt in Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutsadressen neutral.

Rights and permissions

Springer Nature or its licensor (e.g. a society or other partner) holds exclusive rights to this article under a publishing agreement with the author(s) or other rightsholder(s); author self-archiving of the accepted manuscript version of this article is solely governed by the terms of such publishing agreement and applicable law.

Reprints and permissions

About this article

Check for updates. Verify currency and authenticity via CrossMark

Cite this article

Ziegler, O. Anforderungen an die Cybersicherheit bei der Erbringung von IT-Dienstleistungen für Arztpraxen sowie Krankenhäuser und Möglichkeiten der Vertragsgestaltung. Int. Cybersecur. Law Rev. 4, 61–77 (2023). https://doi.org/10.1365/s43439-022-00075-6

Download citation

  • Received:

  • Accepted:

  • Published:

  • Issue Date:

  • DOI: https://doi.org/10.1365/s43439-022-00075-6

Schlüsselwörter

Keywords

Search

Navigation