Cyberangriff (be)trifft Datenschutz – aktiv altern in NRW und überall

Deutschland belegt bei der Digitalisierung des Gesundheitswesens einen der hinteren Plätze. Sind wir technikfeindlich, unsensibel, gar fahrlässig?

Die Sozial-Holding der Stadt Mönchengladbach ist am 17.3.2025 Opfer eines Cyberangriffs geworden. Im Jahr 2024 sind mindestens 40 Pflegeheime gehackt worden. Die Nachricht ohne Hintergrund ist wenig hilfreich. Hier der Bericht. Der Angriff auf das Netzwerk kann auch die Daten der Bewohner, Mitarbeiter und An- und Zugehörigen betreffen, sie müssen informiert werden. Die Notwendigkeit ergibt sich aus dem Schutzgesetz, dies wollen wir beleuchten.

Die Bewohnerbeiräte sind gefordert,

sie sollten nicht darauf vertrauen, dass Ihre Daten sicher geschützt sind und müssen vorsorglich nachfragen, wie die Datensicherheit gewährleistet wird. Unser Hinweis: lassen sie sich auch die Zertifizierung der IT-Leister nach der (gematik) bestätigen. Alle TI-Komponenten und -Dienste müssen vor ihrer Zulassung ein mehrstufiges Prüfverfahren durchlaufen. Die Grundlage zur Nachfrage ergibt sich aus § 22 Abs. 2 WTG NRW in Verbindung mit § 30 Abs. 2 WTG DVO NRW. So auch der noch geltende § 3 Abs. 3 BW-LandesheimmitwirkungsVO. Dem Betreiber/Träger der Einrichtung wird so die notwendige Datensicherheit vor Augen geführt, die wir weiter ausführen.

Bislang waren Betreiber von Krankenhäusern aber Pflegeeinrichtungen kaum im Visier von Cyberkriminellen und nur in Visier spezialisierter IT-Firmen.

Noch steht die Regierung im Bund nicht, versprechen IT-Firmen 80 % schneller durch Digitalisierung und ein effizienteres Gesundheitswesen.

Gesundheitsdaten sind mehr als Einsen und Nullen

Pflegeheime und ambulante Dienste werden durch den Anschlusszwang des E-Rezeptes ab dem 1.7.2025 häufiger von Cyberangriffen betroffen sein.

Verantwortliche Einrichtungsträger haben sich vorbereitet und die elektronische Patientenakte, der Notfalldatensatz, das E-Rezept hat Einzug in der Pflege gehalten.

Es braucht eine Verknüpfung mit Software-Systemen für die Pflegedokumentation und eine Verzahnung mit internen IT-Strukturen, damit es für Pflegekräfte und medizinisches Personal einfacher und zeitsparend ist, mit anderen Akteuren – soweit datenschutzrechtlich zulässig – Daten auszutauschen. Die Anforderungen des Datenschutzes werden dann über die Telematikinfrastruktur (TI) technisch sichergestellt.

Die IT-Infrastruktur ist die Gesamtheit aller Gebäude, Kommunikationsdienste (Netzwerk), Maschinen (Hardware) und Programme (Software), die einer übergeordneten Ebene durch eine untergeordnete Ebene (lateinisch infra‚Unter‘) zur automatisierten Informationsverarbeitung zur Verfügung gestellt werden.

Nur durch die Nutzung der EDV kann die notwendige Kooperation zwischen Arzt, Apotheke, Pflege und Krankenhaus wirklich gelingen. Die Sicherheit der Personen-Daten muss gewährleistet werden. Die gematik trägt formal die Gesamtverantwortung für die Telematikinfrastruktur (TI), die zentrale Plattform für digitale Anwendungen im deutschen Gesundheitswesen (vgl. § 306 SGB V). Als Hintergrund: Gesellschafter und Gremien.

Es darf nicht sein, dass

der Einrichtungsbetreiber am falschen Ende spart und
ein hilfsbereiter Bekannter oder der Verkäufer der Hardware sich um die IT-Sicherheit kümmert.

Ein professionelles zertifiziertes Team ist gefragt,

das sich mit den Systemen richtig gut auskennt –
das sollte dem Betreiber allein aus haftungsrechtlichen Gründen wichtig sein.

Die Digitalisierung darf nur Helfer sein und ist den sozialen Beziehungen untergeordnet.

Sorgen und Ängste der Menschen müssen im Mittelpunkt stehen.

Schaut man sich die Digitalisierung des Gesundheitswesens in den europäischen Ländern an, belegt Deutschland einen der hinteren Plätze. Der Verzicht auf die Digitalisierung kann sich besonders im Gesundheitsbereich dadurch erklären, dass eine Effizienzsteigerung durch fehlende Mitarbeiter nicht gesehen wird; die Erlöse sind gesichert. Dies ist im Sinne der Nachhaltigkeit und Ressourcensparend nicht unternehmerisch gedacht. Die notwendigen Strukturreformen und Digitalisierung führen zu einer besseren Versorgung bei sinkenden Kosten. Wer nicht vorsorgend handelt, zahlt auch als Monopolist spätestens „Lehrgeld“ im Gesundheitswesen bei Hackerangriffen.

Cyberangriffe müssen ein Weckruf für alle Beteiligten sein

Die Angriffsfolgen: Systeme und Daten müssen wiederhergestellt, und die IT-Infrastruktur muss komplett neu aufgebaut werden. Das verursacht Kosten, die in die Millionen gehen können. Es sind Sonderkosten, die nicht durch das zukünftige Heimentgelt refinanziert werden dürfen. Dies zu überwachen, obliegt nach § 85 Abs. 3 Satz 2 SGB XI dem gewählten Heimbeirat vor der Verhandlung und notwendigen Stellungnahme neuer Heimentgelte. Die direkten Kosten durch die Fahrlässigkeit sind nur ein Teil des Schadens. Ein weit größerer Schaden kann sich durch den Datenverlust, insbesondere durch die Personen-Daten im Darknet ergeben. Bewohner und Mitarbeiter können darauf vertrauen, dass Ihre Daten sicher geschützt sind.

Schadensersatzansprüche

Schon der Kontrollverlust über personenbezogene Daten kann Schadensersatzansprüche auslösen – unabhängig von einem konkreten Schaden, so die Entscheidung des Bundesgerichtshofs (BGH) vom 18. November 2024 Grundsatzentscheidung (Az. VI ZR 10/24) zu einer schweren Datenschutzlücke, dann ist bei Diebstahl erst Recht ein Schadensersatzanspruch gegeben.

Der EuGH entschied bereits im Urteil vom 14. Dezember 2023 (Rs. C-340/21), dass der Verantwortliche hinsichtlich der Geeignetheit der von ihm vorgehaltenen technischen und organisatorischen Maßnahmen im Rahmen einer Schadensersatzklage nach Art. 82 DSGVO beweisbelastet sei. Dies ergebe sich aus einer Betrachtung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, wonach der Verantwortliche für die Einhaltung der Verarbeitungsgrundsätze aus Art. 5 Abs. 1 DSGVO verantwortlich ist und deren Einhaltung nachweisen können muss.

Nachtrag vom 7.4.25

Datenschutz im Krankenhaus: Die wichtigsten Punkte

Inhalt im Überblick