1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Prognose Digitalgesetze 2026 – Zwischen Datenhunger und Verteidigungsmodus

Prognose Digitalgesetze 2026 – Zwischen Datenhunger und Verteidigungsmodus

Veröffentlicht 08.01.2026 10:00, Kim Wehrs

Die Architektur der Digitalgesetze markiert im deutschen Gesundheitswesen eine paradoxe Doppelbewegung: massive Öffnung der Gesundheitsdaten bei gleichzeitig nur inkrementell wachsenden Schutzkapazitäten. Das Bundesgesundheitsministerium (BMG) riskiert damit, politisch auf „Ermöglichung“ optimiert zu sein, während die operative Realität der Kliniken im Verteidigungsmodus verbleibt.

Mit Digital-Gesetz (DigiG), Gesundheitsdatennutzungsgesetz (GDNG) und dem Europäischen Gesundheitsdatenraum (EHDS) entsteht bis 2026 eine hochgradig vernetzte Dateninfrastruktur für Versorgung und Forschung. Zentrale Hebel sind ePA für alle mit Opt-out, E Rezept als Standard und die Öffnung der Daten des Forschungsdatenzentrums für Industrie und Wissenschaft.

Gleichzeitig werden Koordinierungsstellen und Datenzugangsplattformen geschaffen, die den Zugang zu bislang fragmentierten Quellen wie Krankenkassendaten, Registern und ePA-Daten bündeln. Die reale Systemkomplexität steigt damit schneller als die Governance-Reife in vielen Einrichtungen.

Gesundheitsdatennutzung: Opt-out als Stress Test

Das Opt-out-Prinzip bei ePA-Daten und Sekundärnutzung verschiebt die normative Basis: Schweigen wird zur impliziten Zustimmung. Damit wächst der Druck auf transparente Aufklärung, differenzierte Widerspruchsmöglichkeiten und technisch robuste Anonymisierungs- und Pseudonymisierungsverfahren.

Die Forschung, einschließlich privatwirtschaftlicher Akteure, erhält bis 2026 einen deutlich erleichterten Zugang zu Abrechnungs-, Register- und ePA-Daten. Ohne konsequente Zweckbindung, Auditierbarkeit und wirksame Sanktionen droht jedoch ein funktionaler Drift von „gemeinwohlorientierter Nutzung“ hin zu datenökonomischer Verwertung.

Cybersicherheit: Hinterherlaufende Schutzlogik

Parallel dazu treibt die EU einen sektorspezifischen Aktionsplan zur Cybersicherheit im Gesundheitswesen voran, inklusive Frühwarnsystem, Schnellreaktionsmechanismen und Cybersicherheitsgutscheinen ab 2025/26. Deutschland muss zudem NIS2 vollziehen, was strengere Meldepflichten, erweiterte Betreiberkreise und stärkere Rolle des BSI bedeutet.

Die Diskrepanz bleibt jedoch: Während Datenflüsse durch DigiG und GDNG massiv intensiviert werden, sind viele Krankenhäuser 2026 noch mit Grundhausaufgaben wie segmentierten Netzen, Identity-Management und 24/7-SOC überfordert. Die Regulierung produziert damit ein perfektes Angriffsziel: hohe Datenkonzentration, hohe Vernetzung, heterogene Sicherheitsniveaus.

Perspektiven bis 2026: Drei Bruchlinien

Governance-Bruch: Normativ wird der Umgang mit Gesundheitsdaten europäisch harmonisiert, faktisch bleibt die Haftung und operative Verantwortung bei Einrichtungen, die personell und finanziell oft unterdimensioniert sind.

Vertrauensbruch: Erste mediale Datenpannen oder Ransomware-Wellen in hochdigitalisierten Settings können das fragile Vertrauen in ePA, FDZ und EHDS schnell erodieren.

Souveränitätsbruch: Cloud-Öffnung und industrieoffene Datennutzung verstärken das Spannungsfeld zwischen Innovationsversprechen und digitaler Souveränität des Gesundheitswesens.

Krankenhäuser agieren 2026 im permanenten Verteidigungsmodus: Sie müssen zugleich Versorgungsauftrag, Kostendruck, Digitalgesetze und ein eskalierendes Cyberbedrohungsniveau ausbalancieren.

Statt strategischer Digitaloffensive dominieren Notfallpläne, Ad-hoc Patches, Incident-Response und der Versuch, Mindestanforderungen aus NIS2, KRITIS- und Datenschutzrecht überhaupt erreichbar zu halten. Viele Häuser kompensieren strukturelle Unterfinanzierung von Resilienz durch „Prinzip Hoffnung“ – in der Erwartung, nicht Ziel eines größeren Angriffs oder Blackouts zu werden. Damit wird Cybersicherheit zum Engpassfaktor, der nicht Innovation begrenzt, sondern zunehmend die Frage, ob der Klinikbetrieb im Krisenfall überhaupt aufrechterhalten werden kann

Im Verteidigungsfall gelten keine völlig neuen eigenen „IT-Sicherheitsrichtlinien“, sondern die bestehenden IT-Sicherheits- und KRITIS-Vorgaben bleiben Grundlage, werden aber durch Notstands- und Verteidigungsrecht überlagert und verschärft koordiniert.

Verfassungs- und Notstandsrahmen

Der Verteidigungsfall wird nach Artikel 115a Grundgesetz festgestellt; dann greifen Notstandsgesetze, die besondere Eingriffs- und Koordinierungsbefugnisse des Bundes vorsehen.

Zivile Einrichtungen, einschließlich kritischer Infrastrukturen, können unter Schutz- und Unterstützungsaufgaben der Bundeswehr und Bundesbehörden gestellt werden.

IT-Sicherheit und Cyberabwehr

Fachlich bleibt der Rahmen durch BSI-Gesetz, IT-Sicherheitsgesetz/NIS-Regime und KRITIS-Anforderungen vorgegeben; im Verteidigungsfall werden Meldewege, Lagebilder und staatliche Eingriffsbefugnisse verdichtet.

Nationaler Cyber-Sicherheitsrat, Cyber-AZ und BSI koordinieren verstärkt, teilweise im NATO-/EU-Rahmen, um Cyberangriffe als Teil der Verteidigungslage zu behandeln.

Fazit 2026: Vom Leuchtturm zum Angriffsvektor

Bis Ende 2026 dürfte Deutschland formal eine der ambitioniertesten Rechtsarchitekturen für Gesundheitsdatennutzung in Europa besitzen. Ob daraus ein resilienter Lernraum oder ein hochattraktiver Angriffsvektor entsteht, entscheidet sich weniger im BMG als in den Rechenzentren, SOCs und Ethikgremien der Versorgungseinrichtungen. Ohne eine echte Gleichzeitigkeit von Datennutzungs- und Sicherheitsinvestitionen droht die Digitalstrategie zum unfreiwilligen Stresstest für Vertrauen in Staat, Gesundheitswesen und digitale Moderne zu werden.

 

Autor: Wolf-Dietrich Lorenz 

Symbolbild: Tex vector / AdobeStock

 


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Zweiter Schritt zur NIS-2-Registrierung: BSI-Portal ab sofort freigeschaltet
IT-Sicherheit & Kritis
NIS-2

Zweiter Schritt zur NIS-2-Registrierung: BSI-Portal ab sofort freigeschaltet

IT-Sicherheit zwischen Prinzip Hoffnung und Prinzip Vorsicht
IT-Sicherheit & Kritis
CIO

IT-Sicherheit zwischen Prinzip Hoffnung und Prinzip Vorsicht

NIS-2-Umsetzungsgesetz tritt in Kraft – Neuer Maßstab für Cybersicherheit in Deutschland
IT-Sicherheit & Kritis
NIS-2

NIS-2-Umsetzungsgesetz tritt in Kraft – Neuer Maßstab für Cybersicherheit in Deutschland

Health IT Talk: Cybersecurity - Geschäftsleiter haften jetzt privat
IT-Sicherheit & Kritis
NIS-2

Health IT Talk: Cybersecurity - Geschäftsleiter haften jetzt privat

Finanzielle Dimensionen und Investitionsbedarf bei IT-Sicherheit in KRITIS-Krankenhäusern
IT-Sicherheit & Kritis
KRITIS

Finanzielle Dimensionen und Investitionsbedarf bei IT-Sicherheit in KRITIS-Krankenhäusern

Cybersicherheit an Hochschulen im Stresstest: ATHENE-Langzeitstudie zeigt massive Zunahme kritischer Schwachstellen
IT-Sicherheit & Kritis
ATHENE

Cybersicherheit an Hochschulen im Stresstest: ATHENE-Langzeitstudie zeigt massive Zunahme kritischer Schwachstellen

Lesen Sie hier die neuesten Beiträge

Strahlkraft für die Krebsforschung: BZKF stärkt Würzburger Leuchtturm „Präklinische Modelle"
Radiologie
BZKF

Strahlkraft für die Krebsforschung: BZKF stärkt Würzburger Leuchtturm „Präklinische Modelle"

Lage an vom Stromausfall betroffenen Kliniken entspannt sich
Blog
Berlin

Lage an vom Stromausfall betroffenen Kliniken entspannt sich

genomDE: Digitale Infrastruktur für Genomdaten stärkt Klinik-IT und personalisierte Medizin
Digitalisierung
BfArM

genomDE: Digitale Infrastruktur für Genomdaten stärkt Klinik-IT und personalisierte Medizin

Diese Webseite verwendet Cookies.   Mehr Info.      oder