1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Cybersecurity und Datenschutz im Krankenhaus

Cybersecurity und Datenschutz im Krankenhaus

Veröffentlicht 07.11.2025 10:00, Kim Wehrs

Hochsensible Patientendaten, kritische Infrastruktur und historisch gewachsene IT-Systeme machen moderne Krankenhäuser zu attraktiven Zielen für Cyberangriffe. Gleichzeitig steigen die gesetzlichen Anforderungen. Für Verantwortliche bedeutet das, dass sie sich nicht nur gegen technische Bedrohungen wappnen, sondern auch regulatorische Vorgaben strategisch umsetzen müssen. Von Dr. Maximilian Wagner, Rechtsanwalt bei Schürmann Rosenthal Dreyer Rechtsanwälte.

Verschärfte Bedrohungslage

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Jahren vor einer Verschärfung der Bedrohungslage. Die Zahl der DDoS- und Ransomware-Angriffe steigt stetig. Angriffe auf Cloud-Infrastrukturen und Lieferketten nehmen weiter zu. Cyberkriminelle folgen dem Weg des geringsten Widerstandes und haben nicht nur umsatzstarke Großunternehmen im Visier, sondern zunehmend auch Krankenhäuser. Die Durchdringung des Gesundheitswesens mit Informationstechnik hat die Angriffsflächen stark erweitert. Auch das Internet of Medical Things (IoMT) wird zunehmend zum Einfallstor.

Dynamische Rechtslage

Der deutsche Gesetzgeber hat auf die angespannte Bedrohungslage reagiert und Krankenhäuser dazu verpflichtet, angemessene Sicherheitsmaßnahmen zu treffen. Häuser mit mehr als 30.000 vollstationären Behandlungen jährlich gelten als Kritische Infrastruktur und müssen den branchenspezifischen Sicherheitsstandard (B3S) in der Medizinischen Versorgung einhalten.

Mit der europäischen NIS2-Richtlinie ändert sich diese Systematik. Die überkommene Orientierung an der vollstationären Behandlungen wird teilweise aufgegeben zugunsten einer umfassenderen Betrachtung. Krankenhäuser fallen bereits dann in den Anwendungsbereich, wenn sie mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über zehn Millionen Euro aufweisen.

Betroffene Einrichtungen müssen umfassende Dokumentations-, Melde-, Nachweis-, Registrierungs- und Kooperationspflichten erfüllen sowie Managementsysteme für Informationssicherheit aufbauen oder anpassen. Für Geschäftsleitungen ergeben sich weitreichende Billigungs-, Überwachungs- und Schulungspflichten. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Dienstleister im Fokus

Viele Krankenhäuser setzen bei der Umsetzung der steigenden Anforderungen auf externe Dienstleister. Diese Auslagerung ist oft sinnvoll, entbindet jedoch nicht von der eigenen Verantwortung. Krankenhäuser müssen bei der Beschaffung konsequent auf Compliance sowie entsprechende Zertifizierungen und Kennzeichen achten. Für Cloud-Dienste bedeutet das beispielsweise ein aktuelles Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien des BSI und das Hosting im Inland, einem EU-Mitgliedstaat oder einem sicheren Drittland.

Entscheidend ist zudem die vertragliche Weitergabe eigener Pflichten zur Gewährleistung der Informationssicherheit und die Vereinbarung konkreter Verfügbarkeitsgarantien, kurzer Reaktionszeiten und regelmäßiger Sicherheitsupdates. Darüber hinaus sollten Dienstleister periodisch auditiert werden, um sicherzustellen, dass sie diese Anforderungen auch tatsächlich erfüllen.

Datenschutz gegen Informationssicherheit

Während sich die NIS2-Richtlinie auf die Sicherheit informationstechnischer Systeme bezieht, regelt die Datenschutz-Grundverordnung (DSGVO) die Verarbeitung personenbezogener Daten. Die Erwägungsgründe der DSGVO stellen zwar klar, dass die Gewährleistung der Fähigkeit eines Netzes oder Informationssystems, Störungen oder Eingriffe abzuwehren, ein berechtigtes Interesse darstellen kann. Gesundheitsdaten dürfen aber gerade nicht zur Wahrung berechtigter Interessen, sondern nur in besonders geregelten Ausnahmefällen verarbeitet werden. Das sonderbare Ergebnis: Der besonders hohe Schutz sensibler Daten kann in bestimmten Fällen verhindern, dass besonders effektive Schutzmaßnahmen getroffen werden.

Dieser Widerspruch lässt sich praktisch nur durch eine ganzheitliche Herangehensweise auflösen. Datenschutz und Informationssicherheit dürfen nicht gegeneinander ausgespielt, sondern müssen zusammengedacht werden. Sicherheitsmaßnahmen, die personenbezogene Gesundheitsdaten betreffen, müssen im Rahmen einer umfassenden Datenschutz-Folgenabschätzung bewertet und hinsichtlich der besonderen Erforderlichkeitsmaßstäbe der DSGVO gerechtfertigt werden. Umgekehrt müssen datenschutzrechtliche Grundprinzipien wie Transparenz und Zweckbindung auch bei der Maßnahmenplanung berücksichtigt werden. Verstöße gegen die DSGVO sind ebenfalls bußgeldbewährt und können im Einzelfall Sammel-oder Massenklagen nach sich ziehen.

Strategische Resilienz

IT-Sicherheit ist längst keine reine Technik- oder Dienstleisterfrage mehr, sondern eine strategische Führungsaufgabe. Angesichts der Komplexität der rechtlichen Anforderungen und der erheblichen Haftungsrisiken hat sich in der Praxis bewährt, frühzeitig spezialisierte Rechtsberatung einzubeziehen. Dies gilt besonders bei der Prüfung der Einhaltung regulatorischer Vorgaben und der vertraglichen Einbindung von Dienstleistern. So gelingt der Spagat zwischen Cybersecurity und Informationssicherheit im Krankenhaus.

Maximilan_Wagner

Autor: Dr. Maximilian Wagner, Rechtsanwalt bei Schürmann Rosenthal Dreyer Rechtsanwälte.


Quelle: Krankenhaus-IT Journal, Ausgabe 05-2025 / Stand Oktober 2025


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Ende des Supports für Microsoft Exchange: BSI warnt vor massiven Sicherheitsrisiken für zehntausende Server in Deutschland
IT-Sicherheit & Kritis
BSI

Ende des Supports für Microsoft Exchange: BSI warnt vor massiven Sicherheitsrisiken für zehntausende Server in Deutschland

Über reaktive Patches hinaus: Proaktives Angriffsflächenmanagement im Krankenhaus
IT-Sicherheit & Kritis
ITSec

Über reaktive Patches hinaus: Proaktives Angriffsflächenmanagement im Krankenhaus

Belastbar unter Beschuss: Deutschlands Krankenhäuser fit machen für den Ernstfall
IT-Sicherheit & Kritis
KAEP

Belastbar unter Beschuss: Deutschlands Krankenhäuser fit machen für den Ernstfall

Neue Entwicklungen im Gesundheitsdatenrecht: Was CIOs in Krankenhäusern wissen müssen
IT-Sicherheit & Kritis
DigiG

Neue Entwicklungen im Gesundheitsdatenrecht: Was CIOs in Krankenhäusern wissen müssen

Cyber-Resilienz als Schlüssel zur Zukunftssicherung: Schutz, Wiederherstellung und Anpassungsfähigkeit im digitalen Zeitalter
IT-Sicherheit & Kritis
Security

Cyber-Resilienz als Schlüssel zur Zukunftssicherung: Schutz, Wiederherstellung und Anpassungsfähigkeit im digitalen Zeitalter

Notfallarbeitsplätze: Handlungsfähigkeit von Krankenhäusern bei Cyberangriffen sichern
IT-Sicherheit & Kritis
Cyber

Notfallarbeitsplätze: Handlungsfähigkeit von Krankenhäusern bei Cyberangriffen sichern

Lesen Sie hier die neuesten Beiträge

Patientensicherheit zwischen Risiko, Prävention und digitaler Transformation
Digitalisierung
IOT

Patientensicherheit zwischen Risiko, Prävention und digitaler Transformation

Digitale Gesundheitsanwendungen – der Integrations-Job im Versorgungsalltag
Digitalisierung
CIO

Digitale Gesundheitsanwendungen – der Integrations-Job im Versorgungsalltag

Agentic Vulnerability Management: Zwischen Automatisierung und Verantwortung
IT-Management
AVM

Agentic Vulnerability Management: Zwischen Automatisierung und Verantwortung

Diese Webseite verwendet Cookies.   Mehr Info.      oder