Jede dritte Einrichtung verschickt Patientendaten unverschlüsselt: Patientendaten auf unsicheren Wegen

Die rechtlichen Anforderungen an die IT-Sicherheit im deutschen Gesundheitswesen sind umfassend und vielschichtig. Die Datenschutz-Grundverordnung (DSGVO) bildet das europäische Fundament und fordert den Schutz personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen. Ergänzend dazu regelt das Bundesdatenschutzgesetz (BDSG) spezifische nationale Anforderungen, insbesondere im Hinblick auf besondere Kategorien personenbezogener Daten wie Gesundheitsdaten.

Das Patientendaten-Schutz-Gesetz (PDSG) hat die Anforderungen weiter verschärft und neue Pflichten für Betreiber von Praxisverwaltungssystemen und Krankenhauseinrichtungen etabliert. Medizinische Einrichtungen müssen demnach ein angemessenes Schutzniveau gewährleisten und ihre IT-Systeme regelmäßig aktualisieren und auf Schwachstellen überprüfen. Das IT-Sicherheitsgesetz 2.0 erweitert diese Verpflichtungen auf kritische Infrastrukturen im Gesundheitssektor und verlangt die Meldung von IT-Sicherheitsvorfällen, die schwerwiegende Betriebsstörungen und/oder erhebliche materielle beziehungsweise immaterielle Schäden für Betroffene zur Folge haben können, an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zusätzlich definiert das Sozialgesetzbuch (SGB) V spezifische Anforderungen an die Telematikinfrastruktur und den sicheren Austausch von Patientendaten. Die ärztliche Schweigepflicht nach § 203 Strafgesetzbuch (StGB) unterstreicht die besondere Schutzbedürftigkeit von medizinischen Informationen und macht Verstöße gegen Datenschutzbestimmungen zu einer strafbaren Handlung.

Herausforderungen der Kommunikation

Die Kommunikation zwischen unterschiedlichen Akteuren im Gesundheitswesen stellt hohe Anforderungen an die IT-Sicherheit: Wenn ein Patient vom Hausarzt zum Facharzt überwiesen wird, anschließend in einer Klinik  behandelt und später in einer Rehabilitationseinrichtung betreut wird, müssen sensible Gesundheitsdaten sicher zwischen diesen Stellen ausgetauscht werden. Jede dieser Einrichtungen verfügt jedoch oft über unterschiedliche IT-Infrastrukturen, verschiedene Praxisverwaltungssysteme und abweichende Sicherheitsstandards.

Besonders kritisch ist die Schnittstelle zwischen ambulanter und stationärer Versorgung. Während Krankenhäuser häufig über eigene IT-Abteilungen mit Experten für IT-Sicherheit und eigene CISOs verfügen, arbeiten kleinere Arztpraxen oft mit begrenzten technischen Ressourcen. Dies schafft potenzielle Schwachstellen in der Kommunikationskette, die von Cyberkriminellen ausgenutzt werden können.

Gesundheitswesen ist Schlusslicht bei der sicheren Dokumentenkommunikation

Eine bisher unveröffentlichte Studie von techconsult im Auftrag von Ferrari electronic aus dem Jahr 2025 untersucht den aktuellen Stand der Dokumentenkommunikation in deutschen Unternehmen und zeigt erhebliche Herausforderungen auf. Das Gesundheitswesen schneidet dabei am schlechtesten ab. Die wichtigsten Ergebnisse:

Viele Organisationen nutzen eine unübersichtliche Kombination verschiedener Kanäle für den Dokumentenaustausch, was zu Fragmentierung und Ineffizienz führt. Zwar dominieren verschlüsselte E-Mail-Lösungen und Cloud-Dienste mit 68 beziehungsweise 61 Prozent, den noch setzen überraschend viele weiterhin auf unverschlüsselte E-Mails, nämlich 35 Prozent der befragten Unternehmen.

• Die Mehrheit der Fachbereiche empfindet den Aufwand für die Dokumentenübertragung als belastend, wobei manuelle Schritte und komplexe Bedienoberflächen die Effizienz hemmen. Medienbrüche und zusätzliche Portalsysteme verursachen spürbare Produktivitätsverluste und erfordern häufig umständliche Workarounds.
• Die DSGVO-Konformität gilt zwar als zentrales Investitionskriterium, wird in der praktischen Umsetzung aber oft nur unzureichend erfüllt.
• Besonders problematisch ist die Diskrepanz zwischen formalen Compliance-Anforderungen und der tatsächlichen Sicherheit der eingesetzten Systeme.
• Unternehmen wünschen sich mehrheitlich, dass bestehende IT-Strukturen abgesichert und erweitert werden, statt vollständig neue Plattformen einzuführen. Einfache und integrierte Lösungen fehlen in den meisten Organisationen, was die Dringlichkeit für medienbruchfreie Ansätze unterstreicht.

Basierend auf den Resultaten empfehlen die Autoren der Studie, auf Standards zu setzen, die Sicherheit und Nutzbarkeit verbinden, auf bestehenden Infrastrukturen aufbauen und den Dokumentenaustausch durchgängig verschlüsseln. Automatisierung sollte gezielt dort eingesetzt werden, wo sie echte Effizienzgewinne bringt, ohne neue Hürden aufzubauen.

Technische Sicherheitsmaßnahmen

Um ein angemessenes Sicherheitsniveau der IT und der digitalen Kommunikationssysteme zu erreichen, sind verschiedene technische Maßnahmen erforderlich. Die Verschlüsselung von Daten bei der Übertragung und Speicherung ist unerlässlich.

Medizinische Einrichtungen müssen End-to-End-Verschlüsselung einsetzen, um sicherzustellen, dass Patientendaten während der Übermittlung zwischen Hausarzt, Facharzt, Klinik oder Rehazentrum nicht von Unbefugten eingesehen werden können.

Die Authentifizierung aller beteiligten Akteure ist durch sichere Verfahren zu gewährleisten. Mehrstufige Authentifizierungssysteme, die beispielsweise elektronische Heilberufsausweise nutzen, stellen sicher, dass nur berechtigte Personen auf Patientendaten zugreifen können. Zudem müssen Zugriffsrechte granular gesteuert werden, sodass jeder Behandelnde nur auf die für seine Tätigkeit notwendigen Informationen zugreifen kann.

Regelmäßige Sicherheitsupdates und Patch-Management sind weitere essenzielle Schutzvorkehrungen. Firewalls, Intrusion-Detection-Systeme und regelmäßige Penetrationstests helfen dabei, potenzielle Angriffsvektoren frühzeitig zu identifizieren. Organisationen, deren IT- oder IT-Sicherheitsabteilung mit der laufenden Beobachtung der Bedrohungslage aus Ressourcen- oder Kompetenzgründen überfordert sind, können Managed Security Service Provider beauftragen, ein externes Security Operations Center für sie zu betreiben.

Zu den größten Sicherheitsrisiken gehört veraltete Software, die von Herstellern nicht mehr unterstützt wird und für die keine Sicherheitsupdates mehr bereitgestellt werden. Ein Faktor, der besonders auf das finanziell stets knappe Gesundheitswesen zutrifft.

Die Rolle der Telematikinfrastruktur

Die Telematikinfrastruktur (TI) bildet das sichere, geschlossene Kommunikationsnetz für das deutsche Gesundheitswesen. Sie ermöglicht den geschützten Austausch von Patientendaten zwischen allen beteiligten Akteuren und integriert dabei verschiedene Anwendungen wie die elektronische Patientenakte (ePA), das elektronische Rezept (E-Rezept) und den Kommunikationsdienst im Medizinwesen (KIM).

KIM ermöglicht es Ärzten, Kliniken und Rehabilitationseinrichtungen, verschlüsselte E-Mails mit medizinischen Dokumenten auszutauschen. Dies ersetzt unsichere Kommunikationswege wie analoge Faxgeräte oder unverschlüsselte E-Mails und gewährleistet die Vertraulichkeit, Integrität und Authentizität der übermittelten Informationen.

Organisatorische Anforderungen

Neben technischen Maßnahmen sind auch organisatorische Vorkehrungen entscheidend. Jede medizinische Einrichtung muss einen Datenschutzbeauftragten benennen und ein Datenschutzkonzept implementieren. Mitarbeiter sollten regelmäßig in den Bereichen IT-Sicherheit und Datenschutz geschult werden, da der Mensch oft die größte Schwachstelle in der Sicherheitskette darstellt.

Notfallpläne für Cyberangriffe und Datenverlustvorfälle sind unverzichtbar. Gerade Krankenhäuser sind zunehmend Ziel von Ransomware-Angriffen, die im schlimmsten Fall die Patientenversorgung gefährden können. Regelmäßige Datensicherungen und getestete Wiederherstellungsprozesse minimieren die Auswirkungen solcher Vorfälle.

Fazit

Die IT-Sicherheit im Gesundheitswesen ist ein komplexes Zusammenspiel aus rechtlichen Vorgaben, technischen Maßnahmen und organisatorischen Prozessen. Die sichere Kommunikation zwischen Hausärzten, Fachärzten, Kliniken und Rehabilitationseinrichtungen erfordert ein hohes Maß an Koordination sowie die konsequente Umsetzung von Sicherheitsstandards und ‑maßnahmen. Nur durch die Kombination aller Ebenen kann der Schutz sensibler Patientendaten gewährleistet und das Vertrauen in die digitale Gesundheitsversorgung gestärkt werden.