Das krisenresiliente Krankenhaus und MVZ E-Book

Inhalt

Cover

Titelei

Geleitwort

Vorwort

Verzeichnis der Autorinnen und Autoren

1 Krisenresilienz als Aufgabe und Herausforderung für Krankenhäuser und MVZ-Strukturen

1.1 Einleitung

1.2 Die Entwicklungen der Gefahrenbereiche

1.2.1 Schadensszenario Brandereignis

1.2.2 Schadensrisiko Hygiene

1.2.3 Schadensszenario Cybervorfall

1.2.4 Schadensszenario Lieferkette

1.2.5 Schadensszenario Umweltkatastrophe

1.2.6 Szenario Pandemie

1.3 Die Verantwortung der Krankenhäuser

1.4 Die Einbindung in die Krankenhaus-Compliance

1.5 Die Verantwortung der MVZ

1.6 Rechtsfolgen einer mangelhaften Krisenresilienz unter Berücksichtigung der Abrechnung

1.6.1 Rechtsfolgen im Normalfall

1.6.2 Rechtsfolgen im Notfall

1.6.3 Krisenresilienz und Abrechnungsbetrug

1.7 Fördermöglichkeiten und gesetzgeberisches Handeln

2 Rechtsgrundlagen des BCM und Compliance

2.1 Unionsrechtliche Vorgaben und ihre Umsetzung in nationales Recht

2.1.1 Entwicklungen auf der Ebene der Europäischen Union

2.1.2 IT-Sicherheit nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, dem IT-Sicherheitsgesetz und nach § 391 SGB V

2.1.3 Zwischenergebnis

2.2 Rechtspflicht zur Einführung eines BCM

2.2.1 Rechtspflicht zur Einführung eines BCM nach § 91 Abs. 2 AktG

2.2.2 Rechtspflicht zur Einführung eines BCM nach §§ 76, 93 AktG bzw. § 43 GmbHG

2.2.3 Krisenfrüherkennung nach § 1 StaRUG

2.2.4 Fazit

2.3 BCM als Gegenstand der bilanzrechtlichen Berichterstattung

2.3.1 Vorgaben des HGB

2.3.2 Strafbarkeit nach § 331 HGB

2.4 Verrechtlichungstendenzen infolge strafrechtlicher und ordnungswidrigkeitenrechtlicher Vorgaben

2.4.1 Strafbarkeit wegen Untreue nach § 266 StGB

2.4.2 Weitere Strafbarkeitsrisiken

2.5 Compliance und ihr Verhältnis zum BCM

2.5.1 Compliance – Bedeutung und Rechtsgrundlagen

2.5.2 Folgen mangelhafter Compliance

2.5.3 Anforderungen an eine effektive Compliance

2.5.4 Parallelen und Schnittmengen von Compliance und BCM

2.5.5 Betriebskontinuität als Compliance-Pflicht?

2.6 Standardisierte Empfehlungen zum BCM

2.7 Fazit

3 Spezielle Bereiche des BCM im Krankenhaus und in MVZ-Strukturen

3.1 Cybersicherheit

3.1.1 Begrifflichkeiten beim Thema Cybersicherheit

3.1.2 Angriffsarten, das Big Game Hunting und Cybercrime-as-a-Service

3.1.3 Auswirkungen von Cybervorfällen auf Krankenhäuser und MVZ-Strukturen

3.1.4 Praxisbeispiele von Cyberangriffen im Gesundheitswesen

3.2 Cybersicherheit in Krankenhäusern

3.2.1 Verfassungsrechtliche Grundlagen der Cybersicherheit im Gesundheitswesen

3.2.2 Unionsrechtliche Regelungen zur Cybersicherheit

3.2.3 Krankenhäuser im Anwendungsbereich des BSIG

3.2.4 Krankenhäuser nach § 391 SGB V

3.2.5 Anforderungen der DS-GVO an Krankenhäuser

3.2.6 Künstliche Intelligenz im Krankenhaus: Bedrohungen und Potenziale

3.2.7 Personenschäden durch Cybervorfälle in Krankenhäusern

3.2.8 Cyberversicherungen aus rechtlicher Sicht

3.2.9 Lösegeldzahlungen als Strafbarkeitsrisiko?

3.2.10 Cybervorfall und der Kontakt mit Behörden

3.2.11 Fazit

3.3 Cybersicherheit in MVZ-Strukturen

3.3.1 Regelungsgeschichte des § 390 SGB V

3.3.2 Personeller Anwendungsbereich des § 390 SGB V

3.3.3 Regelungsinhalt des § 390 SGB V

3.3.4 Anforderungen der KBV-Richtlinie

3.3.5 Zertifizierte Dienstleister nach § 390 SGB V

3.3.6 Datensicherheit in MVZ-Strukturen

3.3.7 Sanktionen gegen MVZ-Strukturen im Bereich Cybersicherheit

3.3.8 Praxishinweise für MVZ-Strukturen

3.3.9 Auswirkungen des Digitalgesetzes

3.4 KRITIS-Dachgesetz

3.4.1 Einleitung zum KRITIS-Dachgesetz

3.4.2 Referentenentwurf des KRITIS-Dachgesetzes

3.4.3 Folgen für die Zukunft

3.5 Krankenhausalarm- und -einsatzplanung

3.5.1 Rechtsgrundlagen der KAEP

3.5.2 Inhalt des Handbuchs/Etablierung KAEP

3.5.3 Rechtsfolgen einer ineffektiven KAEP und der Blick in die Zukunft

3.6 Brandschutz im Krankenhaus

3.6.1 Einführung zum Brandschutz

3.6.2 Besondere Rechtsgrundlagen für den Brandschutz

3.6.3 Vorschriften für Leitungsorgane

3.6.4 Brandschutzleitfäden ohne Normcharakter

3.6.5 Umsetzung des Brandschutzes im Krankenhaus

3.7 Priorisierungssituationen im Krankenhaus

3.7.1 Einführung

3.7.2 Strafrechtliche Bewertung von Triage-Entscheidungen

3.7.3 Triage in der Pandemie

3.7.4 Folgen für das Krankenhaus

4 Der Cyberangriff aus Sicht der Staatsanwaltschaft

4.1 Erscheinungsformen aktueller Ransomware-Gruppierungen

4.2 Ermittlungen bei Ransomware-Angriffen – Art, Umfang und Zuständigkeiten

4.3 Warum sich Strafanzeigen lohnen

5 Versicherungslösungen für Krankenhäuser

5.1 Risiken durch Cyber-Angriffe steigen

5.2 Große Risiken durch Datenschutzverletzungen

5.3 Die Cyberversicherung als »Allheilmittel«?

5.4 Welche Voraussetzungen müssen für eine Cyberversicherung erfüllt sein?

5.5 Voraussetzungen für den Leistungsfall

5.6 Ersetzt eine D&O-Versicherung die Cyberversicherung?

5.7 Benötigt ein Krankenhaus eine eigenständige Vertrauensschadenversicherung?

5.8 Fazit

6 BCM in der Praxis

6.1 Einleitende Ausführungen zu BCM aus praktischer Sicht

6.1.1 Ziel der Implementierung eines BCMS

6.1.2 Funktionsweise des BCM

6.2 Organisationsstruktur im BCM

6.2.1 Strategische Ebene

6.2.2 Taktische Ebene

6.2.3 Operative Ebene

6.3 BCM-Programm

6.3.1 Initiierung

6.3.2 Analysephase

6.3.3 BC-Lösungskonzept

6.3.4 Implementierung risikomindernder Maßnahmen

6.3.5 Planung

6.3.6 Validierung

6.3.7 Schulung und Awareness

6.4 Fazit

7 Fazit – kurz gefasst

Verzeichnisse

Abkürzungsverzeichnis

Literaturverzeichnis

Stichwortverzeichnis

Die Herausgebenden

Prof. Dr. Dr. h. c. Gerhard Dannecker ist Seniorprofessor für Strafrecht und Strafprozessrecht an der Ruprecht-Karls-Universität Heidelberg

Tilmann Dittrich, LL.M. (Medizinrecht), ist Doktorand an der Heinrich-Heine-Universität Düsseldorf

Dr. Nadja Müller ist Rechtsanwältin und Partnerin bei der Dilling Rechtsanwälte Partnerschaftsgesellschaft mbB Köln

Marcel Schaich, MBA, ist Volljurist und Senior Consultant der Controllit AG Hamburg

Gerhard DanneckerTilmann DittrichNadja MüllerMarcel Schaich

Das krisenresiliente Krankenhaus und MVZ

Kontinuität von Betriebsabläufen in Zeiten von Krisen und Cyberangriffen sichern

Verlag W. Kohlhammer

Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechts ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und für die Einspeicherung und Verarbeitung in elektronischen Systemen.

Die Wiedergabe von Warenbezeichnungen, Handelsnamen und sonstigen Kennzeichen in diesem Buch berechtigt nicht zu der Annahme, dass diese von jedermann frei benutzt werden dürfen. Vielmehr kann es sich auch dann um eingetragene Warenzeichen oder sonstige geschützte Kennzeichen handeln, wenn sie nicht eigens als solche gekennzeichnet sind.

Es konnten nicht alle Rechtsinhaber von Abbildungen ermittelt werden. Sollte dem Verlag gegenüber der Nachweis der Rechtsinhaberschaft geführt werden, wird das branchenübliche Honorar nachträglich gezahlt.

Dieses Werk enthält Hinweise/Links zu externen Websites Dritter, auf deren Inhalt der Verlag keinen Einfluss hat und die der Haftung der jeweiligen Seitenanbieter oder -betreiber unterliegen. Zum Zeitpunkt der Verlinkung wurden die externen Websites auf mögliche Rechtsverstöße überprüft und dabei keine Rechtsverletzung festgestellt. Ohne konkrete Hinweise auf eine solche Rechtsverletzung ist eine permanente inhaltliche Kontrolle der verlinkten Seiten nicht zumutbar. Sollten jedoch Rechtsverletzungen bekannt werden, werden die betroffenen externen Links soweit möglich unverzüglich entfernt.

1. Auflage 2024

Alle Rechte vorbehalten© W. Kohlhammer GmbH, StuttgartGesamtherstellung: W. Kohlhammer GmbH, Stuttgart

Print:ISBN 978-3-17-042443-2

E-Book-Formate:pdf: ISBN 978-3-17-042444-9epub: ISBN 978-3-17-042445-6

Geleitwort

Christoph Wilhelm Hufeland war es, der in seinem 1860 erschienen Buch »Makrobiotik oder die Kunst das menschliche Leben zu verlängern« den Satz »Vorbeugen ist besser als Heilen!« formulierte. Damit assoziieren wir, dass man lieber auf Nummer sicher geht bzw. kein Risiko eingeht und sich in alle Richtungen absichern sollte, denn »Vorsicht ist die Mutter der Porzellankiste« und als Maßstab für unser Handeln gilt häufig safety first. Und wir wissen auch, dass es im Gesundheitswesen um Leben und Gesundheit geht und die Patientensicherheit daher einen sehr hohen Stellenwert hat.

Das Sicherheitsdenken haben wir verinnerlicht. Doch wie weit richten wir dabei unseren Blick auf das Nicht-Alltägliche? Ist uns bekannt, ob unsere Gesundheitseinrichtung durch ein Jahrhunderthochwasser betroffen sein wird, wer einem Krisenstab angehört und wer je nach Ereignis unverzüglich zu benachrichtigen ist, oder wer einspringt, wenn der erste Ansprechpartner aufgrund des Schadensereignisses selbst nicht helfen kann? Das sind Fragen, welche die Leitungsebene eines Krankenhauses oder medizinischen Versorgungszentrums beschäftigen müssen. Das vorliegende Buch zeigt verdienstvoll auf, inwieweit dazu rechtliche Verpflichtungen bestehen und welche Management-Prozesse jeweils proaktiv zu etablieren sind.

Krisen sind Ereignisse, durch die akute Gefahren für Menschen und andere Lebewesen, für die Umwelt, für die Vermögenswerte oder für die Reputation eines Unternehmens drohen. Sie können also vielfältigen Charakter haben und ganz unterschiedliche Reaktionen erfordern. Lange schienen Naturkatastrophen nur andere Erdregionen zu betreffen. Die Finanzkrise, die Coronakrise und zunehmende Cyberkriminalität haben uns in Erinnerung gerufen, dass das krisenresiliente Krankenhaus keine Selbstverständlichkeit ist, sondern dass wir uns auf Krisen verschiedenster Art einstellen müssen. Dass es dazu in vielen Bereichen zusätzlicher Hilfestellung bedarf, haben die Herausgeber erkannt. Ihre Themenzusammenstellung ermöglicht es, durch den Vergleich verschiedener Krisenszenarien den Blick für die jeweiligen Besonderheiten zu schärfen und alle wesentlichen Risiken zu erfassen.

Viele Krankenhäuser befinden sich aufgrund rückläufiger Fallzahlen im Nachgang zur Corona-Pandemie und der für sie ungeklärten Folgen der anstehenden großen Krankenhausfinanzreform im finanziellen Krisenmodus. Dies darf jedoch nicht dazu verleiten, in einem zunehmend digitaler werdenden Gesundheitswesen die dadurch neu entstehenden Sicherheitsrisiken zu verkennen. Wir müssen Mitarbeitende sensibilisieren, Schutzmaßnahmen zu ergreifen sowie Notfallpläne nicht nur zu implementieren, sondern deren Umsetzung auch einzuüben.

Ich wünsche dem Buch insbesondere in den Führungsebenen der Gesundheitseinrichtungen eine große Beachtung. Durch den Autorenkreis, seine Praxisnähe und zugleich sein wissenschaftliches Fundament, verfügt es dazu über die besten Voraussetzungen.

Berlin, den 26. 11. 2023

Prof. Dr. Karsten Scholz, Leiter des Dezernats Recht der Bundesärztekammer sowie Honorarprofessor an der Leibniz-Universität Hannover

Vorwort

»Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die (...) ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße (...) verantwortlich gemacht werden können.«

Diese Vorschrift entstammt der neuen NIS-2-Richtlinie, einer europäischen Richtlinie, die zum Ziel hat, die Netzwerk- und Informationssicherheit in kritischen Einrichtungen zu verbessern. Die Umsetzung dieser Richtlinie wird das BSIG mit seinen Kritischen Infrastrukturen maßgeblich beeinflussen.

Die Vorschrift macht deutlich, dass Leitungspersonen von kritischen Einrichtungen in Zeiten signifikanter Bedrohungen aus dem Cyberbereich eine wichtige Aufgabe im Kampf um die Resilienz der Einrichtung zukommt. Längst ist Cybersicherheit nicht mehr nur die Aufgabe von »IT-Nerds«, sondern der Geschäftsführung, des Vorstands und des Aufsichtsrats.

Die Herausgeber dieses Buches haben diese Herausforderung zum Anlass genommen, die rechtlichen Aspekte mit denen eines Risikomanagements zu verknüpfen. Insbesondere dem Business-Continuity-Management kommt hierbei zentrale Bedeutung zu, um über seinen präventiven Ansatz die Resilienz der Einrichtung zu stärken. Da in diesem Zusammenhang eine weitgehende Verrechtlichung stattgefunden hat, ist es notwendig, die Synergien mit dem Compliance-Management aufzuzeigen.

Gerade im Gesundheitswesen besteht für die Einrichtungen eine Vielzahl an Gefahren. Neben den genannten Cyberrisiken zählen hierzu als weitere Risikobereiche: Brand, Hygiene, Umweltkatastrophen und Lieferkettenengpässe. Für den Bereich der vertragsärztlichen wie auch der stationären Versorgung gelten hierbei eine Reihe gesetzlicher Vorschriften, bei deren Missachtung spürbare Sanktionen mit reputationsschädigenden Rechtsfolgen drohen. Nicht zuletzt geht es darum, die Gesundheitsversorgung aufrechtzuerhalten und Personenschäden zu vermeiden.

Verstärkt wird die Komplexität der hohen Gefahrenlage im Gesundheitswesen durch eine Reihe neuer Vorschriften, die auf Krankenhäuser und MVZ-Strukturen zukommen. Hierzu zählt die Umsetzung der bereits genannten NIS-2-Richtlinie für den Cyberbereich, aber auch ihres Pendants im nicht-cyberbezogenen Bereich, der Resilienz-Richtlinie, sowie das im März 2024 in Kraft getretene Gesetz zur Verbesserung der Digitalisierung des Gesundheitswesens und der AI Act der Europäischen Union. All diese Gesetzesvorhaben werden bereits in dem vorliegenden Werk aufgegriffen und finden Berücksichtigung.

Der Kreis der Herausgeber dankt den Autoren, die mit ihrem Expertenwissen und ihrer Erfahrung über die Auslegung der Rechtsnormen hinaus wertvolle Praxishinweise zum Datenschutzrecht, zur Rolle der Strafverfolgungsbehörden, zur Bedeutung von Versicherungslösungen sowie zur praktischen Umsetzung eines Business-Continuity-Managements liefern. Darüber hinaus gilt unser besonderer Dank Frau Borgböhmer und Frau Hartmann vom Kohlhammer-Verlag, die die Herausgeber bei der Veröffentlichung des Werkes stets unterstützt und insbesondere dafür gesorgt haben, dass die Aktualität trotz der Vielzahl an Gesetzesvorhaben gewahrt werden konnte.

Heidelberg, Düsseldorf, Köln und Stuttgart, im März 2024

Prof. Dr. Dr. h. c. Gerhard Dannecker, Tilmann Dittrich, Dr. Nadja Müller und Marcel Schaich

Verzeichnis der Autorinnen und Autoren

Prof. Dr. Dr. h. c. Gerhard Dannecker ist Seniorprofessor an der Universität Heidelberg. Seine Forschungs- und Tätigkeitsschwerpunkte liegen im Wirtschafts- und Steuerstrafrecht, im Kartellordnungswidrigkeitenrecht sowie im europäischen und internationalen Strafrecht. Er war seit dem Jahr 1992 Universitätsprofessor und Lehrstuhlinhaber für Strafrecht, Strafprozessrecht und Informationsrecht an der Universität Bayreuth. Ab dem Jahr 2007 war er Ordinarius an der Ruprecht-Karls-Universität Heidelberg und ab 2009 Direktor des dortigen Instituts für deutsches, europäisches und internationales Strafrecht und Strafprozessrecht. Seit Oktober 2018 ist er Seniorprofessor für Strafrecht und Strafprozessrecht an der Universität Heidelberg und Of Counsel bei einer Kanzlei im Wirtschaftsstrafrecht in Würzburg.

Dr. Johannes Dilling ist Rechtsanwalt und Partner einer auf Compliance, Organhaftung und D&O-Versicherung spezialisierten Kanzlei in Köln. Er hat über die Themen Managerhaftung und D&O-Versicherung promoviert und verfügt über langjährige Erfahrung in der Compliance-Beratung. Er ist Lehrbeauftragter für Compliance im Masterstudiengang Wirtschaftsrecht an der Universität zu Köln.

Tilmann Dittrich, LL.M. Medizinrecht, ist ausgebildeter Rettungsassistent und schloss im Jahr 2019 das erste juristische Staatsexamen in Freiburg im Breisgau ab. Im Anschluss hieran absolvierte er einen Weiterbildungs-Masterstudiengang im Medizinrecht an der Heinrich-Heine-Universität Düsseldorf und ist aktuell Rechtsreferendar im OLG-Bezirk Düsseldorf; er ist Doktorand von Herrn Prof. Dr. Frister an der Heinrich-Heine-Universität Düsseldorf. In zahlreichen wissenschaftlichen Beiträgen hat er sich mit der Cybersicherheit und Kritischen Infrastrukturen, insbesondere im Gesundheitswesen, befasst, sowie mit Fragen des Medizinstrafrechts und dem Recht der Notfallmedizin.

Jan Ippach, LL.M. Medizinrecht, ist als Rechtsanwalt in der auf den Gebieten des Medizinrechts sowie des Wirtschaftsrechts im Gesundheitswesen bundesweit tätigen Kanzlei DR. HALBE RECHTSANWÄLTE mit Standorten in Köln und Berlin beschäftigt; er veröffentlicht und hält Vorträge zu medizin- und datenschutzrechtlichen Themen. Seine Beratungsschwerpunkte liegen u. a. in dem Bereich der vertragsärztlichen Versorgung, dort insbesondere auch in den Bereichen IT-Sicherheit und Telematikinfrastruktur.

Daniel Joos ist Jurist und Referent im Innenministerium Baden-Württemberg. Zuvor war er als Referent beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg im Bereich des Beschäftigtendatenschutzes und als Rechtsanwalt für Arbeitsrecht in einer internationalen Wirtschaftskanzlei in Stuttgart tätig.

Philipp Kuhn ist Oberstaatsanwalt bei der Generalstaatsanwaltschaft Stuttgart. Er leitet dort seit 2017 die für ganz Baden-Württemberg zuständige Zentralstelle für die Bekämpfung der Informations- und Kommunikationskriminalität (»Cybercrime-Zentralstelle«; kurz: ZIK). Seit seinem Eintritt in die baden-württembergische Justiz im Jahr 2006 war er als Richter in einer Zivil- und Strafkammer des Landgerichts Stuttgart, bei der Staatsanwaltschaft Stuttgart im Bereich der Bekämpfung der Organisierten Kriminalität sowie im Rahmen einer Abordnung für vier Jahre beim Justizministerium des Landes Baden-Württemberg tätig.

Dr. Kristof Meding promovierte im Bereich des Maschinellen Lernens an der Universität Tübingen und dem Max-Planck-Institut für Intelligente Systeme. Dabei untersuchte er, wie Menschen und Algorithmen kausale Informationen verarbeiten. Anschließend erforschte er diese Themen sowie die allgemeine Funktionsweise von Maschinellem Lernen als Postdoktorand, bevor er als Referent des technischen Datenschutzes zum LfDI kam. Hier betreut er als KI-Beauftragter der Behörde die KI-Aktivitäten des LfDI BW.

Dr. Nadja Müller war seit 2005 in der Verteidigung in Wirtschaftsstrafsachen tätig, bevor sie sich auf die Compliance-Beratung spezialisierte. Hier war sie zwischenzeitlich bei einem Rechtsanwaltsarm einer großen Wirtschaftsprüfungsgesellschaft sowie als Referentin Recht und Chief Compliance Officer eines Wirtschaftsunternehmens tätig. Seit 2023 ist sie Partnerin in der Dilling Rechtsanwälte Partnerschaftsgesellschaft mbB. Neben ihrer anwaltlichen Tätigkeit habilitiert sich Frau Dr. Müller am Institut für deutsches, europäisches und internationales Strafrecht und Strafprozessrecht der Universität Heidelberg und ist seit dem Jahr 2019 Lehrbeauftragte an der Juristischen Fakultät der Universität Heidelberg im Medizin- und Gesundheitsrecht.

Matthias Rosenberg berät seit 1999 Unternehmen verschiedenster Branchen in den Bereichen Business-Continuity-Management (BCM), IT Service Continuity Management (ITSCM) und Krisenmanagement. Der erfahrene Diplom-Betriebswirt und Vorstand der Controllit AG ist darüber hinaus Dozent an der Hochschule für öffentliche Verwaltung (HfÖV) und schult Fachleute in der BCM Academy, dem führenden europäischen Institut für Trainings in diesen Fachgebieten. Seine Tätigkeiten tragen maßgeblich dazu bei, Unternehmen auf die Herausforderungen im BCM, ITSCM und Krisenmanagement vorzubereiten.

Marcel Schaich, MBA, ist Jurist und Senior Berater bei der Controllit AG in Hamburg. Er berät nationale und internationale Unternehmen im Bereich Business-Continuity-Management und Krisenmanagement und ist zertifizierter Business-Continuity-Manager (BCM Academy GmbH). Vor seiner Tätigkeit bei der Controllit AG war er als Rechtsanwalt bei einer internationalen Wirtschaftskanzlei in der Praxisgruppe Compliance und Wirtschaftsstrafrecht tätig. Parallel zu seiner Tätigkeit für die Controllit AG absolviert er derzeit die Laufbahnausbildung im höheren feuerwehrtechnischen Dienst beim Land Rheinland-Pfalz (Brand-‍, Katastrophen- & Zivilschutz).

Nikolaus Stapels ist ein renommierter Cyber-Sicherheits-Spezialist und fokussiert sich seit 2013 auf die digitalen Herausforderungen im Gesundheitswesen. Mit profundem Wissen schützt er Unternehmen vor Cyber-Risiken. Seine klare Kommunikation und Expertise machen ihn europaweit zu einem gefragten Berater in Sachen Datensicherheit.

1 Krisenresilienz als Aufgabe und Herausforderung für Krankenhäuser und MVZ-Strukturen

Gerhard Dannecker, Tilmann Dittrich, Nadja Müller, Marcel Schaich

1.1 Einleitung

Bevor die bereits im Titel angedeuteten Krisenszenarien dargestellt und diesbezügliche Hilfestellungen gegeben werden, soll in die Thematik eingeführt und der Aufbau des Handbuchs erläutert werden, um den praktischen Umgang mit diesem Buch zu erleichtern. Das Werk nähert sich den Regelungen für Krankenhäuser und MVZ-Strukturen1 zur Vorsorge vor und zum Umgang mit Krisenereignissen aus juristischer Perspektive de lege lata, geht aber auch auf bereits absehbare Rechtsentwicklungen de lege ferenda ein, um den sich bereits abzeichnenden neuen Anforderungen in diesem Bereich Rechnung zu tragen.

Das Business-Continuity-Management (BCM) stellt einen Schwerpunkt des Umgangs mit Krisen dar. Hierbei handelt es sich um einen Managementprozess, der darauf angelegt ist, die Funktionsfähigkeit einer Einrichtung bei störenden Ereignissen aufrechtzuerhalten. Es sticht durch seinen präventiven Charakter heraus. Gerade für die Gesundheitsversorgung stellt das BCM den Schlüssel dar, um den gesetzlichen Aufgaben auch in Störfällen nachkommen zu können und die Gesundheit der Bevölkerung zu sichern.

Die Besonderheit des BCM liegt darin, dass der Gesetzgeber, sei es auf EU-Ebene, auf Ebene des Bundes oder auch auf Ebene der Länder, bereits Regelungen getroffen hat, die verschiedene Aspekte des BCM betreffen. Während einige der Regelungen, wie etwa die Vorschriften zur Cybersicherheit von Kritischen Infrastrukturen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) (▸ Kap. 3.2.1), bereits in der Rechtsprechung behandelt und im Schrifttum intensiv diskutiert werden, werden andere Vorschriften, wie etwa die seit längerem bestehenden Regelungen zur Krankenhausalarm- und -einsatzplanung (KAEP) (▸ Kap. 3.5), unter rechtlichen Gesichtspunkten wenig erörtert. Die praktische Bedeutung auch solcher Vorschriften wird in Zukunft noch deutlich zunehmen. Bereits das BSIG hat in den vergangenen Jahren mehrere Überarbeitungen erlebt, welche die Verpflichtungen der Kritischen Infrastrukturen gesteigert haben. Durch die Anfang 2023 in Kraft getretene NIS-2-Richtlinie (▸ Kap. 3.2.1) wird es deutlich mehr betroffene Einrichtungen geben, für die der nationale Gesetzgeber Vorschriften erlassen muss (▸ Kap. 3.2.3, Abschnitt »Umsetzung der NIS-2-RL in Deutschland«). Der Pflichtenkanon wird durch die zeitgleich mit der NIS-2-Richtlinie verabschiedete Resilienz-RL noch einmal erweitert (▸ Kap. 3.4.1).

Bereits hieraus wird deutlich, dass das BCM längst ein Thema geworden ist, das sowohl die Führungsebene als auch die Rechts- wie auch die Compliance-Abteilung eines Krankenhauses bzw. eines MVZ-Trägers »auf dem Schirm« haben muss. Krisenresilienz ist weder alleinige Aufgabe der IT-Abteilung noch alleinige Aufgabe des Krisenmanagements. Krisenresilienz ist ein Führungsthema, das nicht vollständig delegiert werden kann und für das es spezifischer Fachkenntnisse bedarf.

Das Handbuch geht daher nach der Einführung im zweiten Kapitel (▸ Kap. 2) – »Rechtsgrundlagen des BCM und die Compliance« – dezidiert auf das Verhältnis zwischen Compliance-Management und BCM ein (▸ Kap. 2.5), um zu konkretisieren, welche Anforderungen an die Leitungsebene und welche an Compliance-Officer einer Einrichtung gestellt werden, wenn es um die Einhaltung der rechtlichen Vorgaben mit BCM-Bezug geht. Außerdem wird dargelegt, welche Compliance-Maßnahmen erforderlich sind, um auf Verstöße gegen gesetzliche Vorgaben oder interne Regelungen zu reagieren. Diese Maßnahmen betreffen sowohl interne Compliance-Verfahren als auch die Einbindung Dritter.

Anschließend folgt im dritten Kapitel (▸ Kap. 3) – »Spezielle Bereiche des BCM im Krankenhaus und in MVZ-Strukturen« – eine eingehende Erörterung der für die verschiedenen Krisenszenarien geltenden rechtlichen Regelungen sowie eine Darstellung der sich aus zukünftigen Gesetzen ergebenden Anforderungen (bspw. aus dem KRITIS-Dachgesetz, ▸ Kap. 3.4), damit die aufwändige Krisenvorsorge bereits frühzeitig in Angriff genommen werden kann und nicht eine Anpassung in kleinen Schritten erfolgen muss. Den Schwerpunkt dieses Kapitels bilden die Vorschriften zur Cybersicherheit von Krankenhäusern und MVZ-Strukturen. Außerdem wird die Einbindung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dargestellt.

Im vierten Kapitel (▸ Kap. 4) wird ausgeführt, dass die von einem Cyberangriff betroffenen Einrichtungen verpflichtet sind, sich frühzeitig an die Ermittlungsbehörden zu wenden. Den Ermittlungsbehörden in Baden-Württemberg gelang so bspw. im Jahr 2023 in Zusammenarbeit mit US-amerikanischen Behörden ein wichtiger Schlag gegen die Hacking-Gruppierung »Hive«, die auch Gesundheitseinrichtungen attackiert hatte.2 Auf diese Weise kann die Resilienz eines gesamten Systems gestärkt werden. Zudem wird dargelegt, welche Rolle die Strafverfolgungsbehörden bei Cyberangriffen spielen.

Ein ebenfalls wichtiger Akteur für Unternehmen im Bereich Cybersicherheit sind Versicherungen. Der Beitrag im fünften Kapitel (▸ Kap. 5) – »Versicherungslösungen für Krankenhäuser« – gibt daher einen Überblick, welche Erwartungen an den Dreiklang der in Betracht kommenden Versicherungslösungen – D&O-Versicherung, Cyberversicherung, Vertrauensschadensversicherung – gestellt werden können, aber auch darüber, was die Versicherungsunternehmen von den Krankenhäusern erwarten.

Das sechste Kapitel (▸ Kap. 6) – »BCM in der Praxis« – stellt die zu ergreifenden Maßnahmen anhand gängiger BCM-Standards vor. In diesem Kapitel wird dargelegt, wie die rechtlichen Vorgaben von der Leitungsebene des Unternehmens und der Compliance umgesetzt werden können und welche Anforderungen sich hieraus für die Ebene der Abteilungsleitung ergeben.

Einen letzten Kurzüberblick über die einzelnen Schwerpunkte des Buchs liefert das abschließende siebente Kapitel (▸ Kap. 7), das die wesentlichen Aspekte zusammenfassend aufgreift und so dazu beitragen will, dass sich die Verantwortlichen in Krankenhäusern und MVZ-Strukturen immer wieder die elementaren Herausforderungen im Zusammenhang mit der Krisenresilienz vor Augen führen können.

1.2 Die Entwicklungen der Gefahrenbereiche

Krankenhäuser und MVZ-Strukturen nehmen als Bestandteil der Gesundheitsversorgung eine elementare Aufgabe für das Funktionieren des Gemeinwesens wahr. Sowohl die stationäre als auch die ambulante Versorgung sind für die Bevölkerung nicht hinwegzudenken. Daher müssen sie den ihnen zugewiesenen Aufgaben umfassend und in höchster Versorgungsqualität nachkommen. Allerdings ist diese Kontinuität der Versorgung seit jeher Gefahren ausgesetzt.

Zu den »Dauerbrennern« der Bedrohungsszenarien für die Versorgungsqualität durch Brandereignisse, Hygienemängel etc. sind in den letzten Jahren neue Gefahrenbereiche hinzugekommen, die in der Praxis immer wieder zu Störungen der Funktionsfähigkeit von Gesundheitseinrichtungen geführt haben. Insbesondere das Szenario der Cyberangriffe bedroht sowohl die öffentliche Verwaltung als auch sämtliche Wirtschaftssektoren in Deutschland. Doch im Gesundheitswesen sind solche Angriffe besonders heikel, da stets nicht nur wirtschaftliche Gefahren, sondern auch solche für Gesundheit und Leben der Patientinnen und Patienten sowie der Mitarbeitenden drohen. Dies macht es notwendig, dass Krankenhäuser und MVZ-Strukturen eine Krisenresilienz aufbauen, um für solche Gefährdungen gewappnet zu sein und ihren eigenen Ansprüchen, aber auch denen des Gesetzgebers und der Krankenkassen genügen zu können.

1.2.1 Schadensszenario Brandereignis

Eine solche Gefahr geht seit jeher von Brandereignissen aus. Denn bei Krankenhäusern (und teilweise auch bei MVZ) handelt es sich um große Gebäude und oft um Gebäudekomplexe, in denen eine Vielzahl von Gefahrenherde für Brände bestehen. Kein Krankenhaus kommt heute ohne umfangreiche technische Brandschutzanlagen aus. Insbesondere die zunehmende Digitalisierung im Gesundheitswesen hat hier noch einmal zu einem deutlichen Gefahrenzuwachs geführt. Bereits kleine Brände in IT-Räumen können große Schäden für die Betriebskontinuität der Einrichtung bewirken. Brandschutz ist daher auch IT-Sicherheit. Außerdem sind in Krankenhäusern Gefahrstoffe gelagert (bspw. Sauerstoff), die für die medizinische Versorgung benötigt werden, zugleich aber auch besondere Risiken für Brände bergen. Erschwert wird die Überwachung dieses Gefahrenbereichs dadurch, dass eine Gesundheitseinrichtung, anders als etwa übliche Bürogebäude, im Brandfall nicht einfach und schnell geräumt werden kann. Es werden bettlägerige Patientinnen und Patienten versorgt, bei deren Evakuierung besondere Maßnahmen und Sicherungsvorkehrungen notwendig sind. Vergrößert wird dieser Aufwand dann, wenn die Patientinnen und Patienten für ihr Überleben oder die Aufrechterhaltung ihres Gesundheitszustands und Genesungsfortgangs auf intensivmedizinische Behandlungen angewiesen sind. Daher sind Brandschutzübungen für die Leitungspersonen sowie für die sonstigen Beschäftigten in Krankenhäusern üblich, allein aber nicht ausreichend (▸ Kap. 3.6).

1.2.2 Schadensrisiko Hygiene

Ebenfalls ein klassisches Feld betriebsbeeinträchtigender Risiken für Krankenhäuser und MVZ-Strukturen stellt der Bereich der Hygiene dar. Hygiene-Vorfälle, die zu Stationsschließungen geführt haben, haben in der Vergangenheit immer wieder für mediale Aufmerksamkeit und damit einhergehende Reputationsschäden für die betroffenen Einrichtungen gesorgt. Auf die Spitze getrieben wurde dieser Gefahrenbereich durch den Ausbruch der Corona-Pandemie im Frühjahr 2020 (▸ Kap. 1.2.6).

1.2.3 Schadensszenario Cybervorfall

Unter den neuen Gefahrenbereichen sind zuvörderst die durch Cyberangriffe und Cybervorfälle drohenden Gefahren zu nennen. Denn Krankenhäuser und MVZ-Strukturen sind hochtechnologische Einrichtungen, die ohne informationstechnologische Systeme und Prozesse in einem vernetzten Raum nicht mehr funktionsfähig sind. Dies beginnt unmittelbar bei der medizinischen Versorgung, wenn bspw. telemetrische und telemedizinische Verfahren genutzt werden, und reicht über das Verwaltungs- und Abrechnungssystem bis in die Krankenhauslogistik und das Personalmanagement solcher Einrichtungen. Krankenhäuser und MVZ können hier aber nicht nur als einzelne Einheiten in den Blick genommen werden, sondern gehören vielfach Trägergesellschaften, bei denen es sich aus Kosten- und Verwaltungsgründen anbietet, gemeinsame Systeme einzuführen und zu nutzen. Daher wird nachfolgend nicht der Begriff des MVZ, sondern der MVZ-Strukturen verwendet, sei es, weil mehrere MVZ miteinander vernetzt sind oder gemischte Strukturen aus Krankenhäusern und MVZ vorhanden sind.

Die Gefahren für die Cybersicherheit bedeuten unter mehreren Gesichtspunkten eine Herausforderung. Die Herausforderung wird bereits bei den Ursachen von Cybervorfällen ersichtlich. Vielfach wird der Begriff des Cyberangriffs herangezogen, weil Cyberkriminelle mit verschiedenen Angriffsmustern das Krankenhaus oder die MVZ-Struktur attackieren. Doch hier sind Cyberkriminelle vielfach auf die »Mithilfe« aus dem Krankenhaus angewiesen. So bedarf es bei Phishing-Attacken (▸ Kap. 3.1.2) regelmäßig der Mitwirkung von Beschäftigten, damit die Cyberkriminellen ihr Ziel erreichen können, indem Beschäftigte bspw. mit einer Schadsoftware infizierte E-Mail-Anhänge öffnen. Ein weiteres Risiko geht von Sicherheitslücken in den IT-Systemen aus, die Cyberkriminelle für ihre Angriffe ausnutzen können. Hier kann ein Fehlverhalten der Leitungsebene, der IT-Abteilung oder eines sonstigen Anwenders begünstigend sein. Die Cybersicherheit wird daher stets durch den Risikofaktor Mensch maßgeblich beeinflusst. Es bietet sich daher die Verwendung allgemeinerer Begriffe an, etwa des Cybervorfalls bzw. Cybersicherheitsvorfalls oder der Störung für die Cybersicherheit. Eine weitere Herausforderung ergibt sich aus den Variationen möglicher Folgen durch einen Cybervorfall. Dies liegt am aufgezeigten Einsatzgebiet von vernetzten Systemen im Krankenhaus und in MVZ-Strukturen. Durch einen Cybervorfall kann unmittelbar die Gesundheitsversorgung der Patientinnen und Patienten betroffen sein. Die Gesundheitsversorgung kann aber auch durch weitere Einschränkungen beeinflusst werden: Weil der Zugriff auf notwendige Daten nicht möglich ist, wenn die Kommunikation im Krankenhaus und mit Dritten nicht mehr funktioniert, der Nachschub an notwendigem Material nicht mehr gelingt oder die Planung von Operationen außer Kraft gesetzt ist und mithin planbare und elektive Eingriffe verschoben werden müssen. Zudem kann ein Abfluss von Daten über Patienten- und Mitarbeiter stattfinden, wodurch ein erheblicher Reputationsschaden neben weiteren wirtschaftlichen Folgen (▸ Kap. 3.2.5) droht.

1.2.4 Schadensszenario Lieferkette

Ein weiterer »moderner« Gefahrenbereich für Krankenhäuser und MVZ-Strukturen, der nicht auf eine einzige Gefahrenquelle reduziert werden kann, betrifft die Gefährdung von Lieferketten, die sich in unterschiedlichsten Auswirkungen zeigt. Als Beispiele der jüngeren Vergangenheit kann auf Lieferengpässe in der Corona-Pandemie oder infolge der Schiffshavarie im Suez-Kanal Ende März 2021 oder den im Februar 2022 ausgebrochenen Russland-Ukraine-Krieg verwiesen werden. Viele Gebrauchsgegenstände für Krankenhäuser werden nicht in Deutschland produziert, sondern im Ausland und haben einen langen Lieferweg. Zudem haben sich wirtschaftliche Vorgänge so entwickelt, dass keine große Rückfall-Mengen in Lagern vorgehalten werden, weshalb auch bei in Deutschland produzierten Produkten Lieferschwierigkeiten drohen können bzw. die inländischen Hersteller oft auf internationale Produkte angewiesen sind. In der Lieferkette (engl.: Supply Chain) bedarf es einer besonderen Zusammenarbeit zwischen den Geschäftspartnern, um kontinuitätsbeeinträchtigende Ereignisse frühzeitig zu erkennen und auf Ausweichpläne zurückgreifen zu können, damit nicht die Gesundheitsversorgung in Mitleidenschaft gezogen wird. Dies muss zwingend auch in den jeweiligen Vertragswerken berücksichtigt werden (▸ Kap. 6.3.3, Abschnitt »Dienstleister-/Lieferantenausfall«). Doch nicht nur bei medizinischen Produkten können Engpässe auftreten. So betraf der weltweite Chipmangel, ausgelöst durch die Corona-Pandemie, auch die Brandmeldeanlagen in Krankenhäusern.7 Ebenso sind Lieferketten unter dem Blickwinkel der IT-Sicherheit bedroht. Sichtbar wurde dies etwa bei der »Log4Shell«-Schwachstelle in der weit verbreiteten Java-Bibliothek Log4, vor der das BSI Ende 2021 warnte.8 Die in den Krankenhäusern und MVZ-Strukturen verwendeten Systeme und Prozesse setzen sich oft aus vielen Lösungen und Bestandteilen zusammen, die von unterschiedlichen Herstellern stammen. Eine Schwachstelle in einem solchen Bauteil kann zur Beeinträchtigung des verwendeten Systems oder Prozesses und damit zur Beeinträchtigung der Gesundheitsversorgung und der Verwaltung führen. Die Supply Chain betrifft daher gegenständliche, aber auch technische/digitale Bestandteile. Sie ist daher nicht nur aufgrund des Lieferkettensorgfaltspflichtengesetzes, das Krankenhäuser zu einem menschenrechts- und umweltbezogenen Handeln verpflichtet9, sondern auch aus dem Blickwinkel der Krisenresilienz relevant. Hierfür hat sich der Begriff der Supply Chain Resilience durchgesetzt.10 Letztlich führt kein Weg an einem ganzheitlichen Lieferketten-Management vorbei.

1.2.5 Schadensszenario Umweltkatastrophe

Dramatische Bilder zeigten sich im Sommer 2021 bei der Flutkatastrophe im Westen Deutschlands. Sie forderte eine Vielzahl an Todesopfern und führte zu Schäden und Beeinträchtigungen in vielen Regionen, deren Aufarbeitung noch mehrere Jahre dauern wird. Experten gehen davon aus, dass die Zahl solcher Naturereignisse im Zuge des Klimawandels zunehmen wird. Offenkundig betraf die Flutkatastrophe auch die Gesundheitsversorgung. Trotz der Offenkundigkeit lohnt ein genauerer Blick auf die Auswirkungen solcher Naturereignisse, um hieraus notwendige Maßnahmen für den Gesundheitsbereich ableiten zu können. So kann die Gesundheitseinrichtung selbst Schaden nehmen, etwa durch Flutereignisse, Erdbeben und sonstige Gefahren. Zudem kann plötzlich die Zahl der Patientinnen und Patienten ansteigen. Für solche Massenereignisse sind die Krankenhäuser per Gesetz verpflichtet, Notfallpläne vorzuhalten und Übungen durchzuführen. Dies fällt in den Bereich der Krankenhausalarm- und -einsatzplanung (KAEP) (▸ Kap. 3.5). Die Arbeit der Gesundheitseinrichtungen wird weiterhin dadurch erschwert, dass die Infrastruktur in der Gegend gestört wird. So musste in einem betroffenen Krankenhaus im Ahrtal nach der Räumung der Einrichtung zunächst die Strom- und Trinkwasserversorgung in Zusammenarbeit mit einer Hilfsorganisation wiederhergestellt werden. Auch die Kommunikation wurde durch den Ausfall des Telefonnetzes erschwert.11 Zudem waren die Zufahrtswege für Personal, Rettungsdienste, Lieferanten und andere Dienstleister eingeschränkt.

1.2.6 Szenario Pandemie

Die Corona-Pandemie führte im Dezember 2021 dazu, dass kaum einer Bürgerin oder einem Bürger der Begriff der Kritischen Infrastruktur unbekannt blieb. So wurde die Arbeitsbelastung für das Ärzte- und Pflegepersonal öffentlich diskutiert. Auch vereinzelte vorübergehende (Teil-)‌Schließungen von Einrichtungen wurden bereits bekannt:

Eine solch flächendeckende Gefährdung, wie sie aufgrund der »Omikron-Variante« für Kritische Infrastrukturen kurzzeitig angenommen wurde, stellte jedoch eine Besonderheit dar.13 Unabhängig davon waren im Zuge der Pandemie umfassende und herausfordernde Personalmanagement-Maßnahmen notwendig, um die Betriebsfähigkeit der Gesundheitseinrichtungen kontinuierlich zu gewährleisten (▸ Kap. 6.3.3, Abschnitt »Personalausfall«).

1.3 Die Verantwortung der Krankenhäuser

Nach § 27 Abs. 1 S. 1 SGB V haben Versicherte einen Anspruch auf Krankenbehandlung. Diese umfasst nach § 27 Abs. 1 S. 2 Nr. 5 SGB V auch die Krankenhausbehandlung. Die Leistungen aus der GKV unterstehen nach §§ 2 Abs. 1, Abs. 4; 12 Abs. 1 SGB V dem Wirtschaftlichkeitsgebot und müssen daher ausreichend, zweckmäßig und wirtschaftlich sein. Hinzu kommt das Qualitätsgebot: Nach § 2 Abs. 1 S. 3 SGB V i. V. m. § 135a Abs. 1 S. 2 SGB V müssen Qualität und Wirksamkeit der Leistungen dem allgemein anerkannten Stand der medizinischen Erkenntnisse entsprechen und den medizinischen Fortschritt berücksichtigen.

Aus dem Wirtschaftlichkeits- und Qualitätsgebot ergeben sich für Krankenhäuser vielfältige Rechtspflichten und Herausforderungen. Diese Gebote dienen der Steuerung und Rationalisierung der Leistungspflicht in der GKV. Hierbei geht es darum, Prozesse und Abläufe zu optimieren, die noch vorhandenen Mittel effizient einzusetzen und einer Verschwendung entgegenzuwirken. Notwendige und zweckmäßige Maßnahmen sind nicht zu rationalisieren, wohl aber darüber hinausgehende Maßnahmen, um so objektiv zu hohe Beitragszahlungen der Versicherten und einen damit einhergehenden unverhältnismäßigen Grundrechtseingriff zu verhindern und für alle Versicherten eine standardmäßige Grundversorgung zu sichern.14 Das Wirtschaftlichkeits- und das Qualitätsgebot betreffen zum einen unmittelbar die eigentliche Behandlung, indem u. a. der Aspekt der fachlichen Qualität sowie der Grad des medizinischen Nutzens bei der Entscheidung über eine Behandlung zulasten der GKV zu beachten sind.15 Zum anderen ergeben sich Anforderungen an den »Hintergrund« einer Behandlungsleistung. So fallen hohe Standards im Bereich der Hygiene sowie beim Einsatz von Medizinprodukten in den Bereich des Qualitätsgebots. Insbesondere aus der Pflicht, den medizinischen Fortschritt bei der Leistungserbringung zu berücksichtigen, folgt aber auch, dass beim Einsatz von IT-Systemen im Krankenhaus, deren Ausfall oder Beeinträchtigung aufgrund eines Cybervorfalls sich nachteilig auf den Behandlungserfolg und die Patientengesundheit auswirken können, ebenfalls zumindest die sich aus § 8a BSIG und § 391 SGB V ergebenden Anforderungen an den Schutz der IT-Sicherheit in allen Krankenhäusern als Teilaspekt des Qualitätsgebots umgesetzt werden.16

Der medizinische Standard spielt aber nicht nur beim Wirtschaftlichkeits- und Qualitätsgebot des Sozialrechts eine Rolle, sondern nimmt auch im zivilrechtlichen Arzthaftungsrecht eine herausragende Stellung ein. Denn die Behandlung hat nach § 630a Abs. 2 BGB nach dem zum Zeitpunkt der Behandlung bestehenden allgemein anerkannten fachlichen Standard zu erfolgen. Hierzu zählt, dass das eingesetzte Personal ausreichend qualifiziert ist sowie dass bei der Behandlung eingesetzte technische Geräte vor Beeinflussungen durch Dritte geschützt sind – bspw. ein System zur Überwachung von Patienten ausreichend vor Cyberangriffen geschützt und in ein krankenhausweites Informationssicherheits-Managementsystem (ISMS) aufgenommen ist. Gleiches gilt für den aufkommenden Einsatz von Künstlicher Intelligenz im Gesundheitswesen, wenn bspw. Systeme der Radiologie mit Künstlicher Intelligenz arbeiten (▸ Kap. 3.2.1).

In Krisensituationen wächst die Verantwortung der Krankenhäuser. Sie müssen dementsprechend auf solche Schadenslagen vorbereitet sein. So sind sie durch die Landeskrankenhausgesetze zur Erstellung und Einübung von Notfallplänen verpflichtet. Konkretisierende Vorgaben ergeben sich aus dem »Handbuch Krankenhausalarm- und -einsatzplanung KAEP« des BBK.17

Eine solche Verantwortung betrifft nicht nur Plankrankenhäuser nach dem SGB V, sondern auch Privatkliniken. Die Betreiber von Privatkrankenanstalten bedürfen einer Konzession der zuständigen Behörde nach § 30 Abs. 1 GewO. Eine erteilte Konzession kann auch wieder nach § 48 VwVfG zurückgenommen werden, wenn sich nachträglich herausstellt, dass ein Versagungsgrund i. S. d. § 30 Abs. 1 S. 2 GewO vorgelegen hat.18 Als Versagungsgrund im Hinblick auf die Krisenfestigkeit von Privatkliniken kommt v. a. § 30 Abs. 1 S. 2 Nr. 1a GewO in Betracht, wenn Tatsachen vorliegen, welche die ausreichende medizinische oder pflegerische Versorgung der Patienten als nicht gewährleistet erscheinen lassen. Hierzu gehört auch, dass hygienische Standards und solche bei der medizinisch-technischen Ausstattung gewährleistet werden, also auch Ereignisse mit betriebsbeeinträchtigenden Auswirkungen aus diesen Bereichen oder für diese Bereiche vermieden werden.19

1.4 Die Einbindung in die Krankenhaus-Compliance

Im Verlauf des hier vorliegenden Handbuchs wird deutlich, dass insbesondere im Bereich der Cybersicherheit im Gesundheitswesen eine zunehmende Verrechtlichung stattfindet, welche die Krankenhäuser und MVZ-Strukturen vor immer höhere Herausforderungen stellt, um den rechtlichen Anforderungen gerecht zu werden und negative Rechtsfolgen zu vermeiden. Seit etwa einem Vierteljahrhundert wird der Verantwortung von Leitungspersonen für das eigene rechtskonforme Verhalten und das des Unternehmens im Bereich der Compliance große Aufmerksamkeit gewidmet.

Diese Entwicklung hat dazu beigetragen, dass mehrere Gesetzgebungsvorstöße zur Einführung eines Unternehmensstrafrechts, auch als Verbandssanktionengesetz bezeichnet, unternommen, aber bislang nicht umgesetzt wurden. Dieses Schicksal traf zuletzt den Entwurf für ein Gesetz zur Stärkung der Integrität in der Wirtschaft der großen Koalition im Jahr 2020.20 Im Koalitionsvertrag der »Ampel-Koalition« aus dem Jahr 2021 sind ebenfalls Unternehmenssanktionen angesprochen.21 Es zeichnet sich aber gegenwärtig keine Umsetzung dieses Gesetzesvorhabens ab.

Mittlerweile haben sich Compliance-Strukturen in sämtlichen Bereichen des Wirtschaftslebens etabliert, wenn auch in unterschiedlicher Intensität und in variierendem Umfang. Dies entspricht den Grundsätzen der berühmten Neubürger-Entscheidung, mit der das LG München I im Jahr 2013 erste Maßstäbe für die Compliance aus Sicht der Rechtsprechung formulierte. In diesem Urteil verlangte das Gericht angemessene Compliance-Maßnahmen in Unternehmen.22 Der BGH griff das Thema Compliance-Management in einer Entscheidung im Jahr 2017 hinsichtlich der Bemessung einer Geldbuße nach § 30 OWiG auf. So sei für die Bemessung der Geldbuße zudem von Bedeutung, inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert habe, das auf die Vermeidung von Rechtsverstößen ausgelegt sei.23

Auch im Gesundheitswesen gehören Compliance-Abteilungen zum Alltag der Krankenhäuser. Für den Bereich der Cybersicherheit ergeben sich hier »neue« Herausforderungen, die ein strukturiertes Vorgehen erfordern, damit reputationsschädigende und teure Cybervorfälle verhindert werden. Dies beginnt bereits damit, dass nicht jeder Leitungsperson das technische Thema der Cybersicherheit zugänglich ist, was in zusätzlich erforderlichen Maßnahmen resultiert, um die Bedeutung der Gefahren verstehen und die Umsetzung von Vorschriften in diesem technischen Bereich tatkräftig im Unternehmen angehen zu können. Diesem Problem versucht die NIS-2-RL bzw. das NIS2UmsuCG durch verpflichtende Schulungen der Leitungsebene entgegenzuwirken (▸ Kap. 3.2.3, Abschnitt »Umsetzung der NIS-2-RL in Deutschland«). Die zunehmende Verrechtlichung mit bedeutenden Rechtsfolgen bei Cybervorfällen führt dazu, dass das Risikomanagement im Unternehmen i. S. e. Systems zur Vermeidung von nachteiligen wirtschaftlichen Folgen immer mehr mit dem Compliance-Management zusammenwächst. Hinzu kommt, dass nicht nur im Bereich der Cybersicherheit Verrechtlichungen stattfinden, sondern auch auf europäischer Ebene ein solches Streben vorherrscht, Kritische Infrastrukturen gegen sämtliche cyber- und nicht-cyberbezogenen Risiken für ihre Resilienz abzusichern.

Bei einem strukturierten Vorgehen muss eine klare Rollenverteilung festgelegt werden. Es muss proaktiv und präventiv in der Normallage ein Management-Prozess etabliert werden, um in dieses strukturierte Vorgehen sämtliche wichtigen Akteure im Krankenhaus und ggf. externen Dienstleister und Institutionen einzubinden. Im Krisenfall müssen Zuständigkeitsbereiche und zu bewältigende Aufgaben durch etablierte Management-Prozesse klar bestimmt sein. Dies gilt v. a. für die Expertinnen und Experten bei der Bewältigung des Krisenfalles. So muss die IT-Abteilung ihre Notfallmaßnahmen abarbeiten können, ohne dass sie von außen gestört wird; sie muss aber auch mit anderen Abteilungen zusammenarbeiten, bspw. mit dem Bettenmanagement oder der OP-Planung, darüber hinaus auch mit der Rechtsabteilung oder externen Rechtsberatern, damit rechtliche Verpflichtungen eingehalten werden können. Denn für die Einschätzung, ob bspw. eine meldepflichtige Störung oder ein Datenschutzvorfall vorliegt, reicht nicht nur eine juristische Expertise aus, sondern es müssen vor allem auch technische Erwägungen berücksichtigt werden, wie einschneidend bspw. ein Ereignis ist und ob es sich durch technische Maßnahmen schnell beenden lässt.

1.5 Die Verantwortung der MVZ

Neben der stationären Versorgung kommt auch der vertragsärztlichen und ambulanten Versorgung grundlegende Bedeutung für die Gesundheit der Bevölkerung zu. Wurde die vertragsärztliche und ambulante Versorgung früher allein durch Einzelarztpraxen und ärztliche Zusammenschlüsse (BAG etc.) erbracht, sind seit dem GKV-Modernisierungsgesetz 200324 auch MVZ an dieser Versorgung beteiligt. Die ursprünglich nur interdisziplinär geplanten, mittlerweile auch fachgleichen MVZ sollen eine medizinische Versorgung von ärztlichen und nicht-ärztlichen Heilberufen unter unternehmerischer Führung mit Freiberuflern und Angestellten durch zugelassene Leistungserbringer ermöglichen.25 Zur Verantwortung der MVZ zählen u. a. die Sicherstellung der vertragsärztlichen Versorgung und die Wahrung des Wirtschaftlichkeits- und Qualitätsgebots des SGB V. Selbstverständlich muss die Behandlung dem medizinischen Standard entsprechen, um weder sozial- noch zivilrechtliche und erst recht keine strafrechtlichen Konsequenzen zu haben.

Aus dem Blickwinkel der Krisenresilienz kommt v. a. MVZ-Strukturen besondere Bedeutung zu. Diese sind im Vergleich zu den Einzelarztpraxen und BAG besonders gefährdet. Denn die MVZ sind oft in größere Strukturen eingebettet, sei es in ausschließliche MVZ-Gruppen oder in Krankenhaus-Konzerne, die nach § 95 Abs. 1a SGB V hinsichtlich MVZ gründungs- und beteiligungsberechtigt sind. Insbesondere aufgrund der rechtlichen Zulässigkeit und Sinnhaftigkeit von Investorenbeteiligungen stehen MVZ-Strukturen aktuell im Fokus heftiger Debatten.26 Die genannten MVZ-Strukturen nutzen nun gemeinsame Prozesse und Systeme. Ereignen sich in diesen Prozessen und Systemen Krisenereignisse, weil bspw. durch einen Cybervorfall das gemeinsam genutzte Verwaltungssystem oder Servereinheiten ausfallen oder durch Ereignisse in der Lieferkette die Versorgung mit medizinischen Gegenständen beeinträchtigt ist, wird offensichtlich, dass sich solche MVZ-Strukturen in den Gefährdungen und mithin auch im Organisationsaufwand deutlich von denen anderer Leistungserbringer im vertragsärztlichen Bereich unterscheiden und in ihrer Management-Professionalisierung den Krankenhäusern nahekommen.

1.6 Rechtsfolgen einer mangelhaften Krisenresilienz unter Berücksichtigung der Abrechnung

Eine mangelhafte Krisenresilienz kann für Krankenhäuser und MVZ-Strukturen einen »bunten Strauß« an Rechtsfolgen verwaltungs-‍, straf- und zivilrechtlicher Natur nach sich ziehen.

1.6.1 Rechtsfolgen im Normalfall

Es muss noch nicht einmal zu einem Krisenereignis gekommen sein; bereits die unzureichende Umsetzung von Rechtsvorschriften (insbesondere von Vorschriften zur Gefahrenvermeidung) kann zu negativen Rechtsfolgen führen. Dies soll beispielhaft an den Kritischen Infrastrukturen aufgezeigt werden, zu denen aktuell Großkrankenhäuser und in Zukunft ein großer Kreis weiterer Krankenhäuser (▸ Kap. 3.2.3, Abschnitt »Umsetzung der NIS-2-RL in Deutschland«) gehören wird. Denn die Betreiber Kritischer Infrastrukturen sind im Hinblick auf ihre IT-Sicherheit verpflichtet, alle zwei Jahre dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Einhaltung der organisatorischen und technischen Vorkehrungen zum Schutz vor IT-Vorfällen nachzuweisen (▸ Kap. 3.2.1). Diese Nachweispflicht, die zur Aufdeckung von Sicherheitsmängeln führen kann, birgt hohe Bußgeldrisiken, die sich deutlich erhöhen, wenn festgestellte Sicherheitsmängel nicht behoben werden. Außerdem kann das BSI anlassunabhängig Anfragen an den Betreiber der Kritischen Infrastruktur stellen und Begehungen durchführen. Solche Anfragen und Begehungen können auch die Landesdatenschutzbehörden durchführen, um u. a. die Umsetzung der Anforderungen an die Datensicherheit i. S. d. Datenschutz-Grundverordnung (DS-GVO) zu überprüfen. Daher drohen sämtlichen Krankenhäusern und MVZ-Strukturen, unabhängig von der Zugehörigkeit zu den Kritischen Infrastrukturen, bereits im Normalfall Sanktionen, wenn es zu Rechtsverstößen kommt.27

1.6.2 Rechtsfolgen im Notfall

Deutlich schwerwiegender sind die drohenden Rechtsfolgen, wenn es tatsächlich zu einem Krisenereignis im Krankenhaus oder in einer MVZ-Struktur gekommen ist, was u. a. auch an der Sichtbarkeit für die Behörden und die Öffentlichkeit liegt. Denn in einer solchen Situation bestehen besondere Rechtspflichten, deren Missachtung zusätzlich zur Verantwortung für das Ursprungsereignis negative Rechtsfolgen nach sich ziehen können, so insbesondere Meldepflichtverletzungen nach dem BSIG und der DS-GVO, einschließlich der Verletzung der dortigen Benachrichtigungspflicht bei Cybervorfällen (▸ Kap. 3.2.3, Abschnitt »Zentrale Stelle zur Sicherheit in der Informationstechnik und die Meldepflicht nach dem BSIG; ▸ Kap. 3.2.5, Abschnitt »Die Datenpanne: Bußgeldpraxis und Schadensersatz«). Kommt es zur Schädigung von Patienten infolge eines solchen Ereignisses, so drohen straf- und zivilrechtliche Sanktionen für die hierfür unmittelbar verantwortlichen Individualpersoenen, aber auch für die Einrichtung und ihre Leitungspersonen, ggf. auch für weitere Unternehmensangehörige mit Sonderfunktionen (bspw. für Angehörige der Compliance-Abteilung oder des Krisenstabs). Weiterhin wird die Reputation einer Einrichtung erheblich leiden, wenn sie selbst einen Krisenfall ausgelöst hat, aber auch dann, wenn sie bei einem externen Ereignis nicht die von ihr geforderten Maßnahmen ergreifen kann und dadurch zur Schadensvergrößerung beiträgt. Außerdem drohen in solchen Fällen aufsichtsrechtliche Konsequenzen.

1.6.3 Krisenresilienz und Abrechnungsbetrug

Aufgrund der Bedeutung des Wirtschaftlichkeits- und Qualitätsgebots für die Krisenresilienz drohen bei Verfehlungen auch negative Rechtsfolgen, die im Gesundheitswesen allgemein bekannt sind, die aber noch nicht hinreichend mit der Krisenresilienz in Verbindung gebracht werden: die fehlende Abrechnungsfähigkeit ärztlicher Leistungen mit den strafrechtlichen Konsequenzen des sog. Abrechnungsbetrugs. In diesem Zusammenhang findet sich mittlerweile eine große Bandbreite an Anwendungsfällen, die von Kritikern als weit losgelöst vom eigentlichen Betrugsdelikt eingestuft werden und zu einer erhöhten Wachsamkeit im Gesundheitswesen geführt haben.28 An dieser Bandbreite hat vor allem die sogenannte streng-formale Betrachtungsweise des Sozialrechts, nach der die Leistung eines Krankenhauses oder eines MVZ insgesamt nicht erstattungsfähig ist, wenn sie auch nur in Teilbereichen den an die Abrechnung gestellten Anforderungen nicht genügt29, einen maßgeblichen Anteil. Denn die Rechtsprechung wendet bei der Bestimmung des Betrugsschadens, unter teilweiser Zustimmung der juristischen Literatur, diese Betrachtungsweise auch im Strafrecht an, mit der Folge, dass eine Kompensation in der Form, dass die Krankenkasse infolge der tatsächlich erbrachten Leistungen Aufwendungen erspart hat, die ihr bei Inanspruchnahme eines anderen Arztes entstanden wären, bei der Schadensberechnung nicht stattfindet. Bei jeglichem Verstoß gegen sozialrechtliche Vorgaben – und gerade im Zusammenhang mit der IT-Sicherheit bestehen hier Regelungen im SGB V – entfällt die gesamte Abrechenbarkeit der erbrachten Leistung. Dies kann für die Verantwortlichen in den Gesundheitseinrichtungen zu Betrugsvorwürfen und auch -verurteilungen führen.30 Als weitere Fallgestaltung für den Abrechnungsbetrug im Zusammenhang mit Cyberangriffen kommt in Betracht, dass für die Abrechnung relevante Informationen, bspw. die bereits genannten Nachweise über durchgeführte Maßnahmen im Rahmen von DRG und OPS, durch den Angriff und die einhergehende Verschlüsselung bzw. den Verlust nicht mehr verfügbar sind. Rechnet man solche Krankenhausbehandlungen trotz Fehlens der erforderlichen Leistungsnachweise ab, dürfte es regelmäßig an der Abrechnungsfähigkeit der Leistungen fehlen und ein Betrugsrisiko bestehen.

1.7 Fördermöglichkeiten und gesetzgeberisches Handeln

Sieht man sich mit den eingangs bereits angesprochenen Regularien und Gefahren konfrontiert, stellt sich für Leitungspersonen in den Einrichtungen unmittelbar die Frage nach der Finanzierbarkeit der rechtlich vorgegebenen Anforderungen. Teilweise werden die Anforderungen bereits durch die normale Vergütung von Leistungen abgegolten, teilweise gibt es aber auch Sondermöglichkeiten der Finanzierung.

Solche Sondermöglichkeiten sieht bspw. das Krankenhauszukunftsgesetz aus dem Jahr 2020 vor.31 Mit diesem Gesetz sollen Defizite der Digitalisierung in Krankenhäusern behoben werden.32 Daher wurde ein Krankenhauszukunftsfonds geschaffen, dessen Zweck nach § 14a Abs. 2 Nr. 3 KHG u. a. die Förderung notwendiger Investitionen in Krankenhäusern in die Informationssicherheit ist. Nach § 14a Abs. 3 S. 5 KHG sind mindestens 15 Prozent der gewährten Fördermittel für Maßnahmen zur Verbesserung der Informationssicherheit