Cyberangriffe auf Krankenhäuser nehmen zu – was bedeutet das rechtlich, und wie können Kliniken sich schützen? In diesem Artikel werden die rechtlichen Pflichten beleuchtet, die Kliniken im Falle eines Cyberangriffs beachten müssen. Tipps, Pflichtenhinweise und praxisnahe Strategien für mehr digitale Sicherheit geben Steffen Groß, Rechtsanwalt für Datenschutz-, KI- und IT-Sicherheitsrecht, externer Datenschutzbeauftragter, und Dipl. Inform. Michael Engelhorn, ExperMed GmbH, Berlin. 

Ein einziger Klick kann reichen, um ein Krankenhaus lahmzulegen. Monitore flackern, Operationspläne verschwinden, lebenswichtige Geräte verlieren ihre Verbindung zum Netzwerk – und das mitten im Klinikalltag. Cyberangriffe auf Krankenhäuser sind längst keine Ausnahmeerscheinungen mehr, sondern stellen eine der größten Bedrohungen für die Patientensicherheit und den Klinikbetrieb dar. Durch professionell organisierte Ransomware-Kampagnen, Datendiebstahl oder Manipulation medizinischer Informationen entstehen nicht nur gravierende Versorgungsprobleme, sondern auch erhebliche rechtliche Risiken.  Krankenhäuser sehen sich als Teil der kritischen Infrastruktur einem komplexen Geflecht aus datenschutzrechtlichen, ITsicherheitsrechtlichen, strafrechtlichen und zivilrechtlichen Anforderungen gegenüber. In diesem Artikel werden die rechtlichen Pflichten beleuchtet, die Kliniken im Falle eines Cyberangriffs beachten müssen. Dabei wird erläutert, welche Melde- und Informationspflichten bestehen, wie die Zusammenarbeit mit Behörden und Betroffenen rechtssicher gestaltet werden kann und welche organisatorischen Vorkehrungen erforderlich sind, um Sanktionen und Haftungsrisiken zu vermeiden. 

Ziel ist es, Verantwortlichen in Krankenhäusern einen praxisnahen Überblick zu geben und aufzuzeigen, wie sich rechtliche Vorgaben mit effektiven Maßnahmen im Vorfall-Management verbinden lassen, um im Ernstfall schnell, koordiniert und rechtskonform reagieren zu können.

Bedrohungslage und rechtlicher Rahmen

Die Bedrohungslage durch Cyberkriminalität für Krankenhäuser und Kliniken hat sich in den vergangenen Jahren deutlich verschärft. Angriffe erfolgen zunehmend professionalisiert. Angreifer nutzen sämtliche verfügbaren Angriffsvektoren, um die zentralen IT-Systeme von Gesundheitseinrichtungen lahmzulegen und anschließend hohe Lösegeldforderungen zu stellen. Häufig kommt dabei das sogenannte „DoubleExtortion“-Verfahren zum Einsatz, bei dem die Täter nicht nur die Systeme verschlüsseln, sondern zugleich sensible Patientendaten und Behandlungsakten entwenden. Durch die Androhung, diese Informationen zu veröffentlichen oder zu verkaufen, entsteht ein doppelter Erpressungsdruck. Neben direkten finanziellen Schäden entstehen durch die Hacks auch massive Beeinträchtigungen der medizinischen Versorgung, z.B. durch geschlossene Notaufnahmen und abgesagte Operationen. 70 % der dokumentierten Cybervorfälle beeinflussen dabei unmittelbar die Patientenversorgung. Neben der Herausforderung, die akute IT-Störungen zu bewältigen, tritt die Herausforderung, die gesetzlichen Meldepflichten zu erfüllen, um Bußgelder und Haftungsszenarien zu vermeiden. Die knapp bemessenen gesetzlichen Fristen zur Erfüllung der Meldepflichten verschärfen dabei den Zeitdruck betroffener Einrichtungen.

2 Datenschutzrechtliche Anforderungen – Meldung an Aufsichtsbehörden und Patienten

In aller Regel stellt ein erfolgreicher Cyberangriff auf eine Klinik zugleich einen meldepflichtigen Datenschutzverstoß dar, da in aller Regel personenbezogene Gesundheitsdaten betroffen sind. Ein Datenschutzverstoß im Sinne der DSGVO liegt dabei vor, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit von Gesundheitsdaten beeinträchtigt ist. Die Vertraulichkeit ist bereits dann verletzt, wenn unbefugte Dritte Zugriff auf Patientendaten erhalten. Ein drohender Datenabfluss und eine Veröffentlichung der Informationen verschärfen das Risiko für Betroffene. Die Integrität ist betroffen, wenn medizinische Daten manipuliert werden – etwa durch die Veränderung von Laborwerten, Diagnosen oder Behandlungsplänen. Hieraus ergeben sich unmittelbare Gesundheitsgefahren für die betroffenen Patienten. Oft übersehen wird, dass auch eine eingeschränkte Verfügbarkeit von Gesundheitsdaten eine Meldepflicht auslösen kann.

Dies ist der Fall, wenn ein zeitgerechter Zugriff auf Patientendaten nicht mehr möglich ist, etwa durch den Ausfall zentraler Anwendungen im Krankenhaus-Informationssystem. Auch dies kann zu unmittelbaren Gesundheitsgefahren für Patienten führen. Sobald ein begründeter Verdacht auf eine solche Beeinträchtigung besteht, beginnen die knappen Meldefristen zu laufen. Die Meldung an die zuständige Datenschutzaufsichtsbehörde soll dann grundsätzlich innerhalb von 72 Stunden erfolgen. Entscheidend ist dabei, dass eine vollständige Aufklärung des Vorfalls für den Fristbeginn nicht erforderlich ist. Bereits nach einer ersten Einschätzung der Sachlage sollte daher unbedingt eine Erstmeldung erfolgen. Später kann diese dann noch durch detaillierte Informationen ergänzt werden. Parallel zur Behördenmeldung müssen häufig auch die Patienten über den Vorfall informiert werden. Die Informationen sollten dabei klar und verständlich formuliert sein und die betroffenen Patienten (z.B. auf der Webseite des Krankenhauses) über die wesentlichen Umstände des Datenschutzverstoßes informieren. Die rechtliche Gesamtverantwortung für die ordnungsgemäße Erfüllung dieser Pflichten liegt bei der Klinikleitung.

Nur bei ordnungsgemäßer und nachweisbarer Erfüllung der Organisationsverantwortung kann eine Enthaftung für die oberste Führungsebene juristisch erfolgreich begründet werden. Versäumnisse in diesem Bereich können zu erheblichen Bußgeldern sowie zu zivilrechtlichen Schadensersatzforderungen von betroffenen Patienten führen. In Betracht kommt sogar eine persönliche Haftung der Klinikleitung. 

3 IT-Sicherheitsrechtliche Vorgaben – BSIG und NIS2

Neben den datenschutzrechtlichen Anforderungen greifen die spezialgesetzlichen Vorgaben des IT-Sicherheitsrechts, die durch das BSI-Gesetz und die europäische NIS2-Richtlinie verschärft werden. Ziel dieser Gesetze ist die Aufrechterhaltung und Resilienzstärkung der kritischen Infrastruktur. Erhebliche IT-Sicherheitsvorfälle sind unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Die NIS2-Richtlinie, die derzeit in nationales Recht umgesetzt wird, sieht dabei ein gestuftes Meldeverfahren vor. Das dreistufige Verfahren beginnt mit einer Erstmeldung binnen 24 Stunden nach Kenntniserlangung des Vorfalls.

Diese Erstmeldung soll eine grundlegende Einschätzung der Situation ermöglichen und die Behörden in die Lage versetzen, gegebenenfalls sofortige Unterstützungs- und Reaktionsmaßnahmen einzuleiten.  Innerhalb von 72 Stunden muss dann ein detaillierter Zwischenbericht erfolgen, der eine fundierte Analyse des Vorfalls, der betroffenen Systeme und der ergriffenen Gegenmaßnahmen enthält. Spätestens nach einem Monat ist dann ein abschließender Bericht vorzulegen, der eine vollständige Aufarbeitung des Vorfalls, eine Bewertung der Wirksamkeit der Reaktionsmaßnahmen und konkrete Verbesserungsvorschläge umfasst. Wichtig ist dabei, dass die Meldepflicht an das BSI schon dann ausgelöst wird, wenn eine realistische Möglichkeit eines schwerwiegenden Vorfalls besteht. 

4 Strafrechtliche Bewertung und zivilrechtliche Haftungsrisiken

Strafrechtlich führen Hacks zur Erfüllung verschiedener Straftatbestände. In Betracht kommen hier insbesondere das Ausspähen (§ 202a StGB) oder Abfangen von Daten (§ 202b StGB), eine strafbare Datenveränderung (§ 303a StGB) oder Computersabotage bzw. Computerbetrug (§ 303b StGB, § 263a StGB). Schließlich kommt auch Datenhehlerei (§ 202d StGB) in Betracht, wenn erlangte Patientendaten weitergegeben, verkauft oder anderweitig verwertet werden. Angesichts der strafrechtlichen Relevanz sollte frühzeitig die Zentrale Ansprechstelle Cybercrime (ZAC) des jeweiligen Landeskriminalamts eingebunden werden. Sie verfügt über die notwendige Ermittlungskompetenz und technische Expertise, um die Aufklärung und Bewältigung eines Cybervorfalls effektiv zu unterstützen. Ihre Erfahrung mit bekannten Hackergruppen ermöglicht zudem eine auf das Angreiferprofil abgestimmte Verhandlungsstrategie Ebenso ist eine frühzeitige anwaltliche Begleitung dringend zu empfehlen. Sie gewährleistet eine rechtssichere Kommunikation mit Ermittlungs- und Aufsichtsbehörden sowie mit betroffenen Patienten und hilft, Bußgelder, Regressforderungen und Haftungsrisiken zu minimieren. Ziel ist es, gesetzliche Meldepflichten ordnungsgemäß zu erfüllen und gleichzeitig die rechtlichen Interessen der Einrichtung zu wahren – insbesondere durch die Vermeidung vorschneller Schuldeingeständnisse oder unbedachter Stellungnahmen, die auch zivilrechtliche Regressansprüche verhindern kann.

5 Praktisches Vorfallmanagement – Vorbereitung als Erfolgsfaktor

Angesichts des erheblichen Gefahren- und Haftungspotenzials ist eine vorausschauende Vorbereitung unerlässlich. Zentrale Bedeutung hat dabei ein interdisziplinäres Incident-Response-Team mit klar definierten Zuständigkeiten und Entscheidungsbefugnissen. Es sollte Vertreter der Geschäftsführung, IT, Datenschutz, Rechtsabteilung und medizinischen Leitung einbinden, wobei die Organisation und Ressourcenzuteilung ausdrücklich eine Führungs- und Managementaufgabe ist. Ebenfalls einbezogen werden sollten alternative Kommunikationswege, die auch bei Ausfall der Kern-IT-Systeme eine Aufrechterhaltung des Betriebs und eine effektive Krisenbewältigung ermöglichen. In Verträgen mit IT-Dienstleistern sind Reaktionszeiten, Verfügbarkeitsgarantien, Notfallkontakte und Eskalationsprozesse verbindlich zu regeln. Ergänzend kann eine Cyber-Versicherung mit ausreichender Deckung sinnvoll sein – idealerweise mit präventiven Leistungen wie Sicherheitsaudits oder Incident-Response-Unterstützung. Schließlich ist die schnelle Einbindung forensischer Experten entscheidend, um Beweise rechtssicher zu sichern und im weiteren Verfahren verwerten zu können.

6. Fazit – Rechtssicherheit durch systematische Vorbereitung

Cyberangriffe auf Kliniken sind längst kein rein technisches Problem mehr, sondern ein erhebliches rechtliches und organisatorisches Risiko. Die gesetzlichen Meldepflichten und Fristen sind eng bemessen; wer erst im Krisenfall reagiert, gefährdet nicht nur die Funktionsfähigkeit der Einrichtung, sondern riskiert zugleich erhebliche haftungsrechtliche und wirtschaftliche Konsequenzen.  Die Leitungsebene sollte daher im eigenen Interesse  für eine professionelle Vorbereitung auf den Ernstfall sorgen, um dem Vorwurf des Organisationsverschuldens im Haftungsfall entgegentreten zu können. Klinikleitungen sind daher gut beraten, das Thema zur Chefsache zu erklären.

Quelle: Krankenhaus-IT Journal, Ausgabe 06/2025 - Stand Dezember 2025

Bild: AdobeStock / Karo