IT-Sicherheitgesetz

KRITIS-Verordnung mit Wechselwirkungen

Seit Juni ist der zweite Teil der „Kritis“-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft. Bis Dezember müssen sich 110 Kliniken bei der zuständigen Aufsichtsbehörde registrieren und binnen zwei Jahren eine ausreichende Absicherung nachweisen. kma sprach mit dem Medizinjuristen Prof. Hans-Hermann Dirksen über mögliche rechtliche Fallstricke.

Prof. Dr. Hans-Hermann Dirksen

Silke Brenner

Prof. Dr. Hans-Hermann Dirksen ist Anwalt für Wirtschaftsrecht in Frankfurt am Main und hat sich besonders auf das Recht der Digitalisierung spezialisiert.

Herr Prof. Dirksen, die seit Juni gültige Kritis-Rechtsverordnung zwingt betroffene Kliniken dazu, einen Mindestschutz bei der IT-Sicherheit auf „Stand der Technik“ nachzuweisen. Eine Formulierung, die viel Interpretation zulässt. Wie ist „Stand der Technik“ juristisch definiert?

Nun, es gibt verschiedene Möglichkeiten. Der Nachweis kann nach den Regeln des BSI-Grundschutz oder durch Zertifizierung nach ISO 27 001 erfolgen. Es besteht auch die Möglichkeit, einen branchenspezifischen Standard (B3S) zu entwickeln. Interessanterweise orientiert sich der neue Branchenstandard für Abwasser/Wasser, der im August anerkannt wurde, am BSI-Grundschutz. Für den Gesundheitsbereich liegt so etwas aber noch nicht vor.

Von der Kritis-Verordnung sind Kliniken betroffen, die jährlich mehr als 30 000 stationäre Patienten haben. Gleichwohl hieß es seitens des federführenden Wirtschaftsministeriums, dass der Bund auch von kleineren Kliniken einen IT-Schutz auf dem Stand der Technik erwarte. Drohen damit diesen Bußgelder, wenn sie aufgrund schlechter IT-Absicherung Opfer einer Attacke werden?

Nein, die Regelungen der Verordnung sind nur für die Kliniken bindend, die unter Kritis fallen. Allerdings sehe ich eine andere Gefahr: Krankenhäuser, die nicht unter die Verordnung fallen, können sich jetzt entspannt zurücklehnen und sagen, „Puh, Glück gehabt, das trifft uns nicht.“ So wird die gute Idee eines flächendeckenden Mindeststandards verpuffen. Dass jede Einrichtung schon aufgrund der bestehenden gesetzlichen Regelungen für eine mangelhafte IT-Sicherheit zur Verantwortung gezogen werden kann, haben viele Klinikchefs dagegen nicht im Sinn.

Kann eine Klinik selbst bei vollständiger Umsetzung der Kritis-Vorgaben im Schadensfall in Haftung geraten?

Das muss man unterscheiden. IT-Sicherheitsgesetz und Kritis-Verordnungen wollen einen IT-Mindeststandard für kritische Infrastrukturen etablieren. Da geht es nicht um die Regulierung eines individuellen Schadens. Dennoch könnte sich eine Wechselwirkung ergeben. Führt eine Cyberattacke zu einem Schaden und war die IT-Sicherheit der Klinik nicht auf dem Stand der Technik, könnte es wegen eines Organisationsverschuldens zu einer Beweislastumkehr kommen. Sofern die Klinik aber Kritis-konform war, könnte sie damit einer Beweislastumkehr begegnen.

Werden Cyberattacken zu Klagen von geschädigten Patienten gegen Kliniken führen?

Von meinen Mandanten weiß ich, dass hier erhebliche Besorgnis besteht. Glücklicherweise konnte bisher durch Verlegung von Patienten das Schlimmste verhindert werden. Sofern aber bei einer laufenden OP die Lichter ausgehen, wird es sicher zu einem Regress gegen die jeweilige Einrichtung durch den Geschädigten oder seine Erben kommen. Trotz juristischem Interesse an der Klärung dieser Frage wünsche ich mir aber, dass ein solcher Fall niemals eintritt.

  • Schlagwörter:
  • KRITIS
  • IT-Sicherheitsgesetz
  • Hans-Hermann Dirksen

Kommentare (0)

Kommentar hinzufügen

Um einen Kommentar hinzuzufügen melden Sie sich bitte an oder registrieren Sie sich.

Jetzt anmelden/registrieren