NIS2 und DSGVO: Zwischen Sicherheitspflichten und Datenschutzkonflikten

Die Digitalisierung hat die IT-Systeme im Gesundheitswesen verwundbar gemacht. Laut dem Bundesamt für Sicherheit in der Informationstechnik steigt die Zahl der Angriffe auf Kliniken kontinuierlich. Besonders Ransomware und Cloud-Angriffe nehmen zu. Krankenhäuser gelten als kritische Infrastruktur und müssen den branchenspezifischen Sicherheitsstandard einhalten.

Mit der europäischen NIS2-Richtlinie erweitert sich der Kreis der betroffenen Einrichtungen deutlich. Schon Häuser mit mehr als 50 Beschäftigten oder über zehn Millionen Euro Umsatz fallen unter die neuen Vorgaben. Diese bringen umfangreiche Dokumentations-, Melde- und Nachweispflichten mit sich. Verstöße können Bußgelder bis zu zehn Millionen Euro nach sich ziehen. Viele Einrichtungen setzen auf externe IT-Dienstleister. Die Verantwortung für Informationssicherheit bleibt jedoch beim Krankenhaus. Wichtig sind geprüfte Zertifizierungen, klare Vertragsbedingungen und regelmäßige Audits.

Datenschutz und Informationssicherheit dürfen sich nicht widersprechen. Maßnahmen zum Schutz personenbezogener Gesundheitsdaten müssen im Rahmen einer Datenschutz-Folgenabschätzung bewertet werden. Nur ein abgestimmtes Konzept von Technik, Recht und Organisation kann die Versorgung sicherstellen. IT-Sicherheit wird damit zu einer zentralen Führungsaufgabe.