Rechtshandbuch Cybersicherheit im Gesundheitswesen E-Book

Impressum

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <https://portal.dnb.de> abrufbar.

ISBN 978-3-8114-8941-7

E-Mail: [email protected]

Telefon: +49 6221 1859 599Telefax: +49 6221 1859 598

www.cfmueller.de

© 2024 C.F. Müller GmbH, Heidelberg

Hinweis des Verlages zum Urheberrecht und Digitalen Rechtemanagement (DRM)

Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Der Verlag räumt Ihnen mit dem Kauf des e-Books das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen.

Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen.

Der Verlag schützt seine e-Books vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.

Vorwort

Die Gesellschaft ist für den Schutz der Gesundheit und des Lebens Einzelner darauf angewiesen, dass ihre Gesundheitsversorgung flächendeckend und dauerhaft zur Verfügung steht. Zudem besteht die Notwendigkeit, Informationen, die im Zusammenhang mit der Gesundheit stehen, aufgrund ihrer Sensibilität stets vorsichtig zu behandeln. Auch Unternehmen haben ein Interesse am Schutz ihrer Geschäftsgeheimnisse. Im Zuge der immer weiter fortschreitenden Digitalisierung des Gesundheitswesens bestehen aber für diese Schutzgüter Gefahren. Gleichzeitig bietet sie aber auch eine immense Möglichkeit, die Gesundheitsversorgung der Gesellschaft durch Digitalisierungspotentiale voranzubringen. Um diese Interessenlage zu wahren, ist der Cybersicherheit im Gesundheitswesen ein hoher Stellenwert beizumessen.

Dies hat auch der Gesetzgeber auf allen Ebenen erkannt. Insbesondere durch Europäische Vorgaben im Kontext der Cybersicherheit kommt auf die Unternehmen und öffentlichen Einrichtungen im Gesundheitssektor eine wahre Mammutaufgabe zu. Die Herausforderungen durch die Datenschutz-Grundverordnung sind längst in der Praxis angekommen, da rollen gleichzeitig neue Vorschriften auf die Akteure zu. Zu nennen sind hier vor allem die NIS-2-Richtlinie und die Resilienz-Richtlinie, die jeweils bis Oktober 2024 in nationales Recht umzusetzen sind. Gleichzeitig initiiert auch der nationale Gesetzgeber neue Vorhaben, etwa durch das Digitalgesetz für noch umfassendere Regelungen zur IT-Sicherheit im Gesundheitswesen, wodurch die noch jungen sozialrechtlichen Sondervorschriften bereits wieder überarbeitet werden.

Diese Herausforderungen durch eine breitflächige Regulierung gaben für uns den Ausschlag, dem Gesundheitswesen unter die Arme zu greifen. Dabei haben wir versucht, keinen blinden Fleck im Gesundheitswesen zu hinterlassen, der nicht durch fachkundige Autorinnen und Autoren aus Praxis, Behörden und Wissenschaft beleuchtet wurde. Herausgekommen ist dieses Rechtshandbuch der Cybersicherheit im Gesundheitswesen. Es soll eine Grundlage geben für einen wissenschaftlichen und praktischen Diskurs zu sämtlichen Teilsektoren des Gesundheitswesens. Es soll die Resilienz der Einrichtungen stärken und im Notfall eine Hilfestellung sein.

An dieser Stelle möchten Verlag und Herausgeber außerdem auf Folgendes hinweisen:

Sämtliche Links auch in den Fußnoten wurden zuletzt abgerufen am 15.4.2024.

Aus Gründen der besseren Lesbarkeit und Darstellbarkeit in allen Medien wird in diesem Werk bei Personenbezeichnungen und personenbezogenen Formulierungen das generische Maskulinum verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.

Wir danken den Autorinnen und Autoren aller Kapitel für ihren Einsatz, das Rechtshandbuch möglichst aktuell auf den Markt zu bringen, was aufgrund der teilweise verzögerten Gesetzgebung nicht ganz leichtfiel. Dennoch ist es gelungen, in allen relevanten Kapiteln bereits das Digitalgesetz sowie die Entwürfe für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz und das KRITIS-Dachgesetz zu berücksichtigen. Der Dank gilt aber auch dem C.F. Müller Verlag, der sich von Beginn an begeistert für unsere Buch-Idee gezeigt hat. Besonders zu danken ist dem Lektorat des C.F. Müller Verlages für seine tatkräftige Unterstützung, diese Erstauflage unter Berücksichtigung der Umstände eines eifrigen Gesetzgebers auf die Beine zu stellen.

Wir freuen uns über Anregungen und Verbesserungsvorschläge, wünschen eine gute Lektüre sowie einen kühlen Kopf in Krisensituationen!

Düsseldorf/Berlin/Köln, im Juni 2024

Tilmann Dittrich, LL.M.

Dr. Carsten Dochow

Jan Ippach, LL.M.

Bearbeiterverzeichnis

Dr. Philipp AdelbergRechtsanwalt, Köln

Victoria CopelandRechtsassessorin, Georgetown University Law Center

Tilmann Dittrich, LL.M.(Medizinrecht)Rechtsreferendar im OLG-Bezirk Düsseldorf

Dr. Carsten DochowLeiter Personal, Organisation und Datenschutz, Bundesärztekammer, Berlin

Prof. Dr. Lorenz FranckHochschule des Bundes für öffentliche Verwaltung, Brühl

Mareike GehrmannRechtsanwältin, Fachanwältin für Informationstechnologierecht, Düsseldorf

Ferdinand GriegerRechtsanwalt, Zürich

Dr. Mathias GrzesiekRechtsanwalt, Fachanwalt für Strafrecht, Frankfurt

Prof. Dr. Dr. Erik HahnProfessor für Gesundheitsrecht und Sozialrecht an der Hochschule Zittau/Görlitz

Dr. h.c. Dipl.-Inf. Marit HansenLandesbeauftragte für Datenschutz Schleswig-Holstein und damit Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Kiel

Dipl.-Inf. Franz-Josef Herpers Referent Digitalisierung, Bundesärztekammer, Berlin

Jan Ippach, LL.M. (Medizinrecht)Rechtsanwalt, Köln

Dr. Philipp Kircher Rechtsanwalt, Berlin

Kristin Kirsch, LL.M. (Legal Tech)Rechtsanwältin, Fachanwältin für Informationstechnologierecht, München

Elisabeth KohoutekRechtsanwältin, Frankfurt

Julian MonschkeRechtsanwalt, Frankfurt

Dr. Carolin MonseesRechtsanwältin, Fachanwältin für Informationstechnologierecht, Hamburg

Dr. Nadja MüllerRechtsanwältin, Köln

Peter Schüller, LL.M. (Medizinrecht)Director Legal, Berlin

Dr. Andreas StauferRechtsanwalt, Fachanwalt für Informationstechnologierecht, Fachanwalt für Medizinrecht, München

Vanessa StenzelRegierungsdirektorin, Düsseldorf

Prof. Dr. Frank StollmannLeitender Ministerialrat, Honorarprofessor an der Heinrich-Heine-Universität Düsseldorf

Dr. Paul Vogel, LL.M. (Eur.)Rechtsanwalt, München

Dr. Sebastian T. VogelRechtsanwalt, Fachanwalt für Strafrecht, Berlin

Dr. Marcus VogelerRechtsanwalt, Fachanwalt für Medizinrecht, Hannover

Dr. Thilo WeichertDeutsche Vereinigung für Datenschutz e.V., Kiel

Dr. Ole ZieglerRechtsanwalt, Fachanwalt für Medizinrecht, Fachanwalt für Handels- und Gesellschaftsrecht, Frankfurt

Inhaltsübersicht

Inhaltsverzeichnis

Abkürzungsverzeichnis

a.A.

andere/r Ansicht

Abk.

Abkommen

abl.

ablehnend

Abs.

Absatz

abw.

abweichend

a.E.

am Ende

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

a.F.

alte Fassung

allg.

allgemein

allg.M.

allgemeine Meinung

AMG

Arzneimittelgesetz

Anm.

Anmerkung

ApoG

Apothekengesetz

APT

Advanced Persistent Threats

Art.

Artikel

BÄK

Bundesärztekammer

Beschl.

Beschluss

BBK

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

BDSG

Bundesdatenschutzgesetz

BfArM

Bundesinstitut für Arzneimittel und Medizinprodukte

BGBl.

Bundesgesetzblatt

BMV-Ä

Bundesmantelvertrag-Ärzte

BSI

Bundesamt für Sicherheit in der Informationstechnik

BSIG

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

BSIG-E

Entwurf des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik

BSI-KritisV

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz

Bsp.

Beispiel

BT-Drucks.

Bundestagsdrucksache

bzgl.

bezüglich

bzw.

beziehungsweise

CCaaS

Cybercrime-as-a-Service

CER-RL

Resilienz-Richtlinie

CERT

Computer Emergency Response Teams

CPU

Central Processing Unit

CSIRT

Computer Security Incident Response Team

CVSS

Common Vulnerability Scoring System

DAkkS

Deutsche Akkreditierungsstelle GmbH

DDoS

Distributed-Denial-of-Service

d.h.

das heißt

DiGA

Digitale Gesundheitsanwendung(en)

DiGAV

Digitale Gesundheitsanwendungen-Verordnung

DigiG

Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz)

DiPA

Digitale Pflegeanwendungen

DORA

Digital Operational Resilience Act

DoS

Denial-of-Service

DSGVO

Datenschutz-Grundverordnung

DSK

Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Datenschutzkonferenz)

DVG

Digitale-Versorgung-Gesetz

eAU

elektronische Arbeitsunfähigkeitsbescheinigung

EDSA

Europäische Datenschutzausschuss

EDPB

European Data Protection Board

EHDS

European Health Data Space/Europäischer Gesundheitsdatenraum

EHDS-VO

Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten

entspr.

entsprechend

ePA

elektronische Patientenakte

ErwG

Erwägungsgrund

f.; ff.

(fort)folgende

Fn.

Fußnote

FS

Festschrift

GAMP

Good Automated Manufacturing Practice

GCP

Good Clinical Practice

GDNG

Gesundheitsdatennutzungsgesetz

GeschGehG

Gesetz zum Schutz von Geschäftsgeheimnissen

ggf.

gegebenenfalls

ggü.

gegenüber

GLP

Good Laboratory Practice

GMP

Good Manufacturing Practice

GRCh

Grundrechte-Charta

h.M.

herrschende Meinung

i.d.F.(v.)

in der Fassung (vom)

IEC

International Electrotechnical Commission

IKT

Informations- und Kommunikationstechnologie

i.S.d./v.

im Sinne des/von

ISMS

Informations-Sicherheits-Management-System

ISO

International Organization for Standardization

IT

Informationstechnik

IVDR

Verordnung (EU) 2017/746 über In-vitro-Diagnostika

i.V.m.

in Verbindung mit

Kap.

Kapitel

KBV

Kassenärztliche Bundesvereinigung

KHG

Krankenhausfinanzierungsgesetz

KHSFV

Verordnung zur Verwaltung des Strukturfonds im Krankenhausbereich

KHZG

Krankenhauszukunftsgesetz

KIM

Kommunikation im Medizinwesen

KI-VO

Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz

krit.

kritisch

KRITIS

Kritische Infrastruktur

KRITIS-DachG

KRITIS-Dachgesetz

KZBV

Kassenzahnärztliche Bundesvereinigung

MBO-Ä

Musterberufsordnung für Ärzte

MDCG

Koordinierungsgruppe Medizinprodukte

MDR

Verordnung (EU) 2017/745 über Medizinprodukte

MIRT

Mobile Incident Response-Team

MISP

Malware Information Sharing Platform

MPA-MIV

Medizinprodukte-Anwendermelde- und Informationsverordnung

MPBetreibV

Medizinproduktebetreiberverordnung

m.w.N.

mit weiteren Nachweisen

NDA

Non-Disclosure Agreements

n.F.

neue Fassung

NIS2UmsuCG

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

NIS-Richtlinie

Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union

OH KIS

Orientierungshilfe Krankenhausinformationssysteme

OTV

organisatorische und technische Vorkehrungen; teils auch TOV

ProdHaftG

Produkthaftungsgesetz

RaaS

Ransomware-as-a-Service

RL

Richtlinie

Rz.

Randzahl

s./S.

siehe/Seite

SDM

Standard-Datenschutzmodell

s.o./u.

siehe oben/unten

sog.

sogenannte/r/s

TI

Telematikinfrastruktur

TLS

Transport Layer Security

TOM

technische und organisatorische Maßnahmen

TOV

technisch-organisatorische Vorkehrungen

u.a.

unter anderem

Uabs.

Unterabsatz

vgl.

vergleiche

VO

Verordnung

VPN

Virtual Private Networks

VZD

Verzeichnisdienst

ZAC

Zentrale Ansprechstelle Cybercrime

Gesamtliteraturverzeichnis

Bücher

Acker Ausschließliche Fernbehandlung im digitalen Zeitalter, 2023 (zit.: Acker S.)

Ahrens/Spickhoff Deliktsrecht, 2022 (zit.: Ahrens/Spickhoff § Rn.)

Auer-Reinsdorff/Conrad (Hrsg.) Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019 (zit.: Auer-Reinsdorff/Conrad/Bearbeiter § Rz.)

Barthe/Gericke (Hrsg.) Karlsruher Kommentar zur Strafprozessordnung, 9. Aufl. 2023 (zit.: KK-StPO/Bearbeiter § Rz.)

Bay/Hastenrath (Hrsg.) Compliance-Management-Systeme, 3. Aufl. 2022 (Bay/Hastenrath/Bearbeiter § Rz.)

Becker/Kingreen (Hrsg.) SGB V, Gesetzliche Krankenversicherung, 8. Aufl. 2022 (zit.: Becker/Kingreen/Bearbeiter SGB V, § Rz.)

Bittner/Guntermann/Müller/Rostam(Hrsg.) Cybersecurity als Unternehmensleitungsaufgabe, 2021 (zit.: Bittner/Guntermann/Müller/Rostam/Bearbeiter Beitrag, S.)

Bürkle/Hauschka (Hrsg.) Der Compliance Officer, 2015 (Bürkle/Hauschka/Bearbeiter § Rz.)

Clausen/Schroeder-Printzen (Hrsg.) Münchener Anwaltshandbuch Medizinrecht, 3. Aufl. 2020 (zit.: MAH MedR/Bearbeiter § Rz.)

Dann Compliance im Krankenhaus, 2015 (Dann/Bearbeiter Compliance im Krankenhaus S.)

Dannecker/Dittrich/Schaich/Müller(Hrsg.) Das krisenresiliente Krankenhaus und MVZ – Kontinuität von Betriebsabläufen in Zeiten von Krisen und Cyberangriffen sichern, im Erscheinen (Frühjahr 2024) (zit.: Dannecker/Dittrich/Schaich/Müller/Bearbeiter S.)

Deinert/Körner/Knickrehm/Krasney/Mutschler/Rolfs (Hrsg.) BeckOGK SGB, Stand 15.2.2023 (zit.: BeckOGK SGB/Bearbeiter Gesetz § Rz.)

Dettling/Gerlach (Hrsg.) BeckOK Krankenhausrecht, 7. Ed. 2024, (zit.: BeckOK KHR/Bearbeiter § Rz.)

Dieners (Hrsg.) Handbuch Compliance im Gesundheitswesen, 4. Auf. 2022 (Dieners/Bearbeiter Compliance im Gesundheitswesen, Kap. Rz.)

Dierks/Roßnagel(Hrsg.) Sekundärnutzung von Sozial- und Gesundheitsdaten, 2019 (zit.: Dierks/Roßnagel/Bearbeiter Kapitel, S.)

Dochow Grundlagen und normativer Rahmen der Telematik im Gesundheitswesen, Zugleich eine Betrachtung des Systems der Schutzebenen des Gesundheitsdaten- und Patientengeheimnisschutzrechts, 2017 (zit.: Dochow Grundlagen, S.)

Dochow/Dörfer/Halbe/Hübner/Ippach/Schröder/Schütz/Strüve Datenschutz in der ärztlichen Praxis, 2019 (zit.: Dochow/Dörfer/Halbe u.a./Bearbeiter Kap. S.)

Ebers/Heinze/Krügel/Steinrötter Künstliche Intelligenz und Robotik, Rechtshandbuch, 2020 (zit.: Ebers/Heinze/Krügel/Steinrötter/Bearbeiter § Rz.)

Ehmann/Selmayr (Hrsg.) DS-GVO, 2. Aufl. 2018 (Ehmann/Selmayr/Bearbeiter Art. Rz.)

Ehring/Taeger (Hrsg.) NomosKommentar Produkthaftungs- und Produktsicherheitsrecht, 2022 (zit.: Ehring/Taeger/Bearbeiter NK-ProdR Gesetz § Rz. )

Erb/Schäfer (Hrsg.) Münchener Kommentar zum StGB, Bd. 1, 4. Aufl. 2020; Bd. 4, 4. Aufl. 2021; Bd. 6, 4. Aufl. 2022 (zit.: MüKo-StGB/Bearbeiter Bd., § Rz.)

Erbs/Kohlhaas Strafrechtliche Nebengesetze, 246. EL April 2023 (zit.: Erbs/Kohlhaas/Bearbeiter § Rz.)

Fischer Die Business Judgment Rule als typübergreifendes Institut, 2018 (zit.: Fischer S.)

Fischer Strafgesetzbuch mit Nebengesetzen, 71. Aufl. 2024 (zit.: Fischer StGB, § Rz.)

Forgó/Helfrich/Schneider (Hrsg.) Betrieblicher Datenschutz, 3. Aufl. 2019 (zit.: Forgó/Helfrich/Schneider/Bearbeiter Teil Kap. Rz.)

Frahm/Walter Arzthaftungsrecht, 7. Aufl. 2020 (zit.: Frahm/Walter Rz.)

Freimuth Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen, 2018 (zit.: Freimuth S.)

Fuchs/Janda (Hrsg.) Europäisches Sozialrecht, 8. Aufl. 2022 (zit.: Fuchs/Janda/Bearbeiter EuSozR, Art.  Rz.)

Fuhlrott/Hiéramente BeckOK GeschGehG, 17. Ed., Stand 15.9.2023 (zit.: BeckOK GeschGehG/Bearbeiter § Rz.)

Fuhrmann/Klein/Fleischfresser (Hrsg.) Arzneimittelrecht, Handbuch für die pharmazeutische Rechtspraxis, 3. Aufl. 2020 (zit.: Fuhrmann/Klein/Fleischfresser/Bearbeiter Arzneimittelrecht, § Rz.)

Gabel/Heinrich/Kiefner (Hrsg.) Rechtshandbuch Cyber-Security, 2019 (zit.: Gabel/Heinrich/Kiefner/Bearbeiter Kap. Rz.)

Geiß/Greiner Arzthaftpflichtrecht, 8. Aufl. 2022 (zit.: Geiß/Greiner Arzthaftpflichtrecht, Rz.)

Gersdorf/Paal BeckOK Informations- und Medienrecht, 38. Ed. 2021 (zit.: BeckOK Informations- und Medienrecht/Bearbeiter Art. Rz.)

Goette/Arnold (Hrsg.) Handbuch Aufsichtsrat, 2021 (Goette/Arnold/Bearbeiter AR-HdB § Rz.)

Goette/Habersack/Kalss (Hrsg.) Münchener Kommentar zum Aktiengesetz, 5. Aufl. 2022, (MüKo-AktG/Bearbeiter Bd. § Rz.)

Gola/Heckmann (Hrsg.) DS-GVO BDSG, 3. Aufl. 2022 (zit.: Gola/Heckmann/Bearbeiter Gesetz Art./§  Rz.)

Grüneberg Bürgerliches Gesetzbuch, 81. Aufl. 2022 (zit.: Grüneberg/Bearbeiter § Rz.)

Gsell/Krüger/Lorenz/Reymann (Hrsg.) BeckOGK ProdHaftG, Stand 1.9.2022 (zit.: BeckOGK ProdHaftG/Bearbeiter § Rz.)

Hahn Telemedizin - Das Recht der Fernbehandlung, 2019 (zit.: Hahn S.)

Hänlein/Schuler (Hrsg.) Sozialgesetzbuch V, Gesetzliche Krankenversicherung, 6. Aufl. 2022 (zit.: Hänlein/Schuler/Bearbeiter LNK-SGB V § Rz.)

Hau/Posek (Hrsg.) BeckOK BGB, 67. Ed. 2023 (zit.: BeckOK BGB/Bearbeiter BGB § Rz.)

Hausch Der grobe Behandlungsfehler in der gerichtlichen Praxis, 2007 (zit.: Hausch S.)

Hauschka/Moosmayer/Lösler (Hrsg.) Corporate Compliance, 3. Aufl. 2016 (Hauschka/Moosmayer/Lösler/Bearbeiter § Rz.)

Hauser/Haag Datenschutz im Krankenhaus, 5. Aufl. 2019 (zit.: Hauser/Haag S.)

Henssler/Strohn (Hrsg.) Gesellschaftsrecht, 5. Aufl. 2021 (Henssler/Strohn/Bearbeiter Gesetz § Rz.)

Höra/Schubach (Hrsg.) Münchener Anwaltshandbuch Versicherungsrecht, 5. Aufl. 2022 (zit.: Höra/Schubach/Bearbeiter MAH VersR § Rz.)

Hoeren/Sieber/Holznagel (Hrsg.) Handbuch Multimedia-Recht, 59. EL Juni 2023 (zit.: Hoeren/Sieber/Holznagel/Bearbeiter Handbuch Multimedia-Recht, Teil Rz.)

Hoffmann-Riem (Hrsg.) Big Data – Regulative Herausforderungen, 2018 (zit.: Hoffmann-Riem/Bearbeiter Big Data – Regulative Herausforderungen, S.)

Hornung/Schallbruch (Hrsg.) IT-Sicherheitsrecht, 2021 (zit.: Hornung/Schallbruch/Bearbeiter IT-Sicherheitsrecht, Kap. Rz.)

Huster/Kaltenborn (Hrsg.) Krankenhausrecht, 2. Aufl. 2017 (zit.: Huster/Kaltenborn/Bearbeiter § Rz.)

Jarass/Pieroth Grundgesetz, 17. Aufl. 2022 (zit.: Jarass/Pieroth/Bearbeiter Art. Rz.)

Katzenmeier Arzthaftung, 2002 (zit.: Katzenmeier S.)

Kaulartz/Braegelmann (Hrsg.) Rechtshandbuch Artificial Intelligence and Machine Learning, 2020 (zit.: Kaulartz/Braegelmann/Bearbeiter Kap. Rz.)

Keller/Schönknecht/Glinke Geschäftsgeheimnisgesetz, 2021 (zit.: Keller/Schönknecht/Glinke/Bearbeiter § Rz.)

Kindhäuser/Neumann/Paeffgen/Saliger (Hrsg.) Strafgesetzbuch, 6. Aufl. 2023 (zit.: NK-StGB/Bearbeiter § Rz.)

Kipker (Hrsg.) Cybersecurity, 2. Aufl. 2023 (zit.: Kipker/Bearbeiter Cybersecurity, Kap. Rz.)

Kipker/Reusch/Ritter (Hrsg.) Recht der Informationssicherheit, 2023 (zit.: Kipker/Reusch/Ritter/Bearbeiter § Rz.)

Kipker/Voskamp (Hrsg.) Sozialdatenschutz in der Praxis, 2021 (zit.: Kipker/Voskamp/Bearbeiter Kap. Rz.)

Kircher Der Schutz personenbezogener Gesundheitsdaten im Gesundheitswesen, 2016 (zit.: Kircher S.)

Koch Aktiengesetz: AktG, 17. Aufl. 2023 (zit.: Koch § Rz.)

Kochheim Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik, 2. Aufl. 2018 (zit.: Kochheim Kap. Rz.)

Körner/Krasney/Mutschler/Rolfs (Hrsg.) BeckOK (Kasseler Kommentar) SGB V (zit.: BeckOGK (KassKomm)/Bearbeiter SGB V § Rz.)

Krieger/Schneider(Hrsg.) HdB Managerhaftung, 4. Aufl. 2023 (Krieger/Schneider/Wilsing/Goslar HdB Managerhaftung § Rz.)

Krüger/Rauscher (Hrsg.) Münchener Kommentar zur Zivilprozessordnung, Bd. 1, §§ 1 – 354, 6. Aufl. 2020 (zit.: MüKo-ZPO/Bearbeiter Bd.1 § Rz.)

Kühling/Buchner (Hrsg.) DS-GVO – BDSG, 4. Aufl. 2024 (zit.: Kühling/Buchner/Bearbeiter Gesetz Art./§ Rz.)

Lackner/Kühl/Heger Strafgesetzbuch, 30. Aufl. 2023 (zit.: Lackner/Kühl/Heger/Bearbeiter StGB, § Rz.)

Laufs/Katzenmeier/Lipp Arztrecht, 8. Aufl. 2021 (zit.: Laufs/Katzenmeier/Lipp/Bearbeiter ArztR Kap. Rz.)

Laufs/Kern/Rehborn Handbuch des Arztrechts, 5. Aufl. 2019 (zit.: Laufs/Kern/Rehborn ArztR-HdB/Bearbeiter § Rz.)

Leipholz/Rinck GG (zit.: Leipholz/Rinck/Bearbeiter Art. Rz.)

Leupold/Wiebe/Glossner (Hrsg.) IT-Recht, 4. Aufl. 2021 (zit.: Leupold/Wiebe/Glossner/Bearbeiter Teil Rz.)

Marsch-Barner/Schäfer HdB börsennotierte AG, 5. Aufl. 2022 (zit.: Marsch-Barner/Schäfer/Bearbeiter Rz.)

Martis/Winkhart-Martis Arzthaftungsrecht, 6. Aufl. 2021 (zit.: Martis/Winkhart-Martis Rz.)

Melot de Beauregard/Lieder/Liersch (Hrsg.) Managerhaftung, 2022 (Melot de Beauregard/Lieder/Liersch/Bearbeiter § Rz.)

Moosmayer Compliance - Praxisleitfaden für Unternehmen, 4. Aufl. 2021 (zit.: Moosmayer § Rz.)

Mrozynski SGB I, 6. Aufl. 2019 (zit.: Mrozynski § Rz.)

Müller/Schlothauer/Knauer (Hrsg.) Münchener Anwaltshandbuch Strafverteidigung, 3. Aufl. 2022 (zit.: MAH Strafverteidigung/Bearbeiter § Rz.)

Oesterhoff/Gocke/Schneider/Debatin(Hrsg.) Digitalisierung im Krankenhaus, 2021 (zit.: Oesterhoff/Gocke/Schneider/Debatin/Bearbeiter Kap. S.)

Omlor Weltbürgerliches Recht, Festschrift für Michael Martinek zum 70. Geburtstag, 2020 (zit.: Omlor FS Martinek, S.)

Paal/Pauly (Hrsg.) Datenschutz-Grundverordnung - Bundesdatenschutzgesetz, 3. Aufl. 2021 (zit.: Paal/Pauly/Bearbeiter Gesetz Art./§ Rz.)

Plath (Hrsg.) DSGVO/BDSG/TTDSG, 4. Aufl. 2023 (zit.: Plath/Bearbeiter Gesetz Art./§ Rz.)

Park(Hrsg.) Kapitalmarktstrafrecht, 5. Aufl. 2019 (Park/Bearbeiter Kapitalmarktstrafrecht Kap. Rz.)

Park Durchsuchung und Beschlagnahme, 5. Aufl. 2022 (Park Durchsuchung § Rz.)

Peters Handbuch der Krankenversicherung – Teil II Sozialgesetzbuch V, Stand: Dezember 2023 (zit.: Peters/Bearbeiter HbKrV-SGB V, § Rz.)

Prölss/Martin (Hrsg.) Versicherungsvertragsgesetz: VVG, 31. Aufl. 2021 (zit.: Prölss/Martin/Bearbeiter Kap. Rz.)

Prütting (Hrsg.) Formularbuch Medizinrecht, 3. Aufl. 2023 (zit.: Prütting FormBMedR/Bearbeiter Kap. Rz.)

Ratzel/Lippert/Prütting MBO-Ä, 8. Auf. 2022 (zit.: MBO-Ä/Bearbeiter § Rz.)

Rehmann/Tillmanns E-Health/Digital Health, 2022 (zit.: Rehmann/Tillmanns/Bearbeiter Kap. Rz.)

Rieger/Dahm/Katzenmeier/Stellpflug/Ziegler (Hrsg.), Heidelberger Kommentar Arztrecht Krankenhausrecht Medizinrecht HK-AKM (zit.: HK-AKM/Bearbeiter Ordnungsnummer Rz.)

Rolfs/Giesen/Meßling/Udsching (Hrsg.) BeckOK Sozialrecht, 71. Ed., Stand 1.12.2023 (zit.: BeckOK SozR/Bearbeiter Gesetz § Rz.)

Rotsch Criminal Compliance, 2015 (zit.: Rotsch/Bearbeiter § Rz.)

Rüffer/Halbach/Schimikowski (Hrsg.) Versicherungsvertragsgesetz, 4. Aufl. 2020 (zit.: Rüffer/Halbach/Schimikowski/Bearbeiter Kap. Rz.)

Rust Die Substantiierungslast im Zivilprozess, 2021 (zit.: Rust S.)

Säcker/Rixecker/Oetker/Limperg (Hrsg.) Münchener Kommentar zum Bürgerlichen Gesetzbuch, Bd. 7, 8. Aufl. 2020 (zit.: MüKo-BGB/Bearbeiter Bd.7 § Rz.)

Saliger/Tsambikakis(Hrsg.) Strafrecht der Medizin, 2022 (zit.: Saliger/Tsambikakis MedStrafR-HdB/Bearbeiter § Rz.)

Saliger/Tsambikakis/Mückenberger/Huber (Hrsg.) Münchner Entwurf eines Verbandssanktionengesetzes, 2019 (zit.: Verbandssanktionengesetz/Bearbeiter S.)

Sassenberg/Faber (Hrsg.) Rechtshandbuch der Industrie 4.0 und Internet of Things, 2. Aufl. 2020 (zit.: Sassenberg/Faber/Bearbeiter § Rz.)

Satzger/Schluckebier/Widmaier Strafgesetzbuch, 5. Aufl. 2021 (zit.: SSW-StGB/Bearbeiter § Rz.)

Schantz/Wolff Das neue Datenschutzrecht, 2017 (zit.: Schantz/Wolff/Bearbeiter Rz.)

Schenke/Graulich/Ruthig (Hrsg.) Sicherheitsrecht des Bundes, 2. Aufl. 2018 (zit.: Schenke/Graulich/Ruthig/Bearbeiter Gesetz § Rz.)

Schiller Bundesmantelvertrag Ärzte, 2. Aufl. 2021 (zit.: Schiller/Bearbeiter § Rz.)

Schneider Meldepflichten im IT-Sicherheitsrecht – Datenschutz, Kritische Infrastrukturen und besondere IT-Dienste, 2017 (zit.: Schneider S.)

Schönke/Schröder Strafgesetzbuch, 30. Aufl. 2019 (zit.: Schönke/Schröder/Bearbeiter § Rz.)

Schwartmann/Pabst (Hrsg.) Landesdatenschutzgesetz Nordrhein-Westfalen, 2020 (zit.: Schwartmann/Pabst/Bearbeiter § Rz.)

Schweizer Kognitive Täuschungen vor Gericht, 2005 (zit.: Schweizer S.)

Siglmüller Rechtsfragen der Fernbehandlung, 2020 (zit.: Siglmüller S.)

Simitis/Hornung/Spiecker genannt Döhmann (Hrsg.) Datenschutzrecht, 2019 (zit.: Simitis/Hornung/Spiecker gen. Döhmann/Bearbeiter Gesetz Art./§ Rz.)

Spickhoff (Hrsg.) Medizinrecht, 4. Aufl. 2022 (zit.: Spickhoff/Bearbeiter Gesetz § Rz.)

Spindler Medizin und IT, insbesondere Arzthaftungs- und IT-Sicherheitsrecht, Katzenmeier (Hrsg.) Festschrift für Dieter Hart, 2020 (zit.: Spindler S.)

Staudinger BGB, Buch 2: Recht der Schuldverhältnisse: §§ 630a-630h (Behandlungsvertrag), 16. Aufl. 2021 (zit.: Staudinger/Bearbeiter BGB Buch § Rz.)

Steege Organisationspflichten und Organisationsverschulden, 2022 (zit.: Steege Organisationspflichten S.)

Steege/Chibanguza (Hrsg.) Metaverse, 2023 (zit.: Metaverse/Bearbeiter S.)

Stelkens/Bonk/Sachs (Hrsg.) Verwaltungsverfahrensgesetz: VwVfG, 10. Aufl. 2023 (zit.: Stelkens/Bonk/Sachs/Bearbeiter § Rz.)

Steinfath/Wiesemann (Hrsg.) Autonomie und Vertrauen, 2016 (zit.: Steinfath/Wiesemann/Bearbeiter Beitrag Kap. Rz.)

Sydow/Marsch (Hrsg.) DS-GVO | BDSG, 3. Aufl. 2022 (zit.: Sydow/Marsch/Bearbeiter Gesetz Art. Rz.)

Taeger/Gabel (Hrsg.) DSGVO, BDSG, TTDSG Kommentar, 4. Aufl. 2022 (zit.: Taeger/Gabel/Bearbeiter Gesetz §/Art. Rz.)

Taeger/Pohle (Hrsg.) Computerrechts-Handbuch, 38. EL 2023 (zit.: Taeger/Pohle/Bearbeiter Kap. Rz.)

Ulsenheimer/Gaede Arztstrafrecht in der Praxis, 6. Aufl. 2020 (Ulsenheimer/Gaede/Bearbeiter Rz.)

Veith/Gräfe/Gebert (Hrsg.) Der Versicherungsprozess, 4. Aufl. 2020 (zit.: Veith/Gräfe/Gebert/Bearbeiter § Rz.)

Voigt IT-Sicherheitsrecht, 2. Aufl. 2021 (zit.: Voigt IT-Sicherheitsrecht, Rz.)

von Heintschel-Heinegg (Hrsg.) BeckOK StGB, 57. Ed., Stand 1.5.2023 (zit.: BeckOK StGB/Bearbeiter § Rz.)

Vorwerk/Wolf(Hrsg.) BeckOK ZPO, 50. Ed. 2023 (zit.: BeckOK ZPO/Bearbeiter ZPO § Rz.)

Wabnitz/Janovsky/Schmitt (Hrsg.) Handbuch Wirtschafts- und Steuerstrafrecht, 5. Aufl. 2020 (Wabnitz/Janovsky/Schmitt/Bearbeiter Kap. Rz.)

Wagner Deliktsrecht, 14. Aufl. 2021 (zit.: Wagner S.)

Wolf/Brink/ v. Ungern-Sternberg (Hrsg.) BeckOK Datenschutzrecht, 45. Ed. 2023 (zit.: BeckOK DatenschutzR/Bearbeiter Gesetz Art./§ Rz.)

Wollinger/Schulze (Hrsg.) Handbuch Cybersecurity für die öffentliche Verwaltung, 2020 (zit.: Wollinger/Schulze/Bearbeiter S.)

Wolter/Hoyer (Hrsg.) SK-StGB, 10. Aufl. 2023 (zit.: SK-StGB/Bearbeiter § Rz.)

Aufsätze, Berichte

Auffermann/Vogel Wider die Betriebsblindheit – Verhalten bei Durchsuchungen in Arztpraxen und Krankenhäusern, NStZ 2016, 387 (zit.: Auffermann/Vogel NStZ 2016, 387)

Bales/Holland/Pellens Zulassungsentscheidungen der gematik - Rechtsanspruch, Rechtsnatur, Rechtsschutz, GesR 2008, 9 (zit.: Bales/Holland/Pellens GesR 2008, 9)

Bales/von Schwanenflügel Die elektronische Gesundheitskarte, Rechtliche Fragen und zukünftige Herausforderungen, NJW 2012, 2475 (zit.: Bales/v. Schwanenflügel NJW 2012, 2475)

Brand/Lenk Probleme des Nötigungsnotstands, JuS 2013, 883 (zit.: Brand/Lenk JuS 2013, 883)

Brodowski Tue Böses und rede darüber – Geldwäscheverdachtsmeldungen und das Strafrecht, wistra 2021, 417 (zit.: Brodowski wistra 2021, 41)

Dittrich Geschäftsgeheimnisse im Visier von Cyberkriminellen – die Bedeutung der Cybersicherheit für den Geheimnisschutz in Unternehmen, NZWiSt 2023, 8 (zit.: Dittrich NZWiSt 2023, 8)

Dittrich Sanktionskompetenz des BSI im Kampf für mehr Cybersicherheit – Eine kritische Untersuchung der „Bußgeldpraxis“ nach dem BSIG, MMR 2022, 267 (zit.: Dittrich MMR 2022, 267)

Dittrich Die Verankerung der IT-Sicherheit von Krankenhäusern im Sozialrecht – worin liegt der Nutzen des § 75c SGB V?, GuP 2021, 165 (zit.: Dittrich GuP 2021, 165)

Dittrich/Dochow Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022, 414 (zit.: Dittrich/Dochow GesR 2022, 414)

Dittrich/Dochow/Ippach Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der „Resilienz-Richtlinie“, GesR 2021, 613, (zit.: Dittrich/Dochow/Ippach GesR 2021, 613)

Dochow Cybersicherheitsrecht im Gesundheitswesen, MedR 2022, 100 (zit.: Dochow MedR 2022, 100)

Dochow Das Patienten-Datenschutz-Gesetz (Teil 1): Die elektronische Gesundheitskarte und Telematikinfrastruktur, MedR 2020, 979-993 (zit.: Dochow MedR 2020, 979-993)

BSI Technische Richtlinie TR-03107-1 Elektronische Identitäten und Vertrauensdienste im E-Government, Version 1.1.1, 7.5.2019, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03107/TR-03107-1.pdf?__blob=publicationFile&v=1 (zit.: BSI TR-03107-1, S.)

Gematik Betriebskonzept Online-Produktivbetrieb, Version 3.32.0, 19.3.2024, abrufbar unter https://fachportal.gematik.de/fachportal-import/files/gemKPT_Betr_V3.32.0.pdf (zit.: Gematik gemKPT Betr, S.)

Gematik Feature: Highspeed-Konnektor, Version 1.4.0, 23.2.2024, abrufbar unter https://fachportal.gematik.de/fachportal-import/files/gemF_Highspeed-Konnektor_V1.4.0.pdf (zit.: Gematik gemF_Highspeed-Konnektor, S.)

Gematik Feature: TI-Gateway, Version 1.3.0, 23.2.2024, abrufbar unter https://fachportal.gematik.de/fachportal-import/files/gemF_TIGateway_V1.3.0.pdf (zit.: Gematik gemF_TI-Gateway, S.)

Gematik Konzept PKI der TI-Plattform, Version 2.12.0, 20.2.2024, abrufbar unter https://fachportal.gematik.de/fachportal-import/files/gemKPT_PKI_TIP_V2.12.0.pdf (zit.: Gematik gemKPT_PKI_TIP, S.)

Gematik Spezifikation eHealth Kartenterminal, Version 3.17.0, 12.2.2024, abrufbar unter: https://fachportal.gematik.de/fachportal-import/files/gemSpec_KT_V3.17.0.pdf (zit.: Gematik gemSpec_KT, S.)

Gematik Spezifikation Signaturdienst, Version 1.6.0, 30.1.2024, abrufbar unter: https://fachportal.gematik.de/fachportal-import/files/gemSpec_SigD_V1.6.0.pdf (zit.: Gematik gemSpec_SigD, S.)

Gematik Whitepaper TI 2.0 – Arena für digitale Medizin, abrufbar unter https://www.gematik.de/media/gematik/Medien/Telematikinfrastruktur/Dokumente/gematik_Whitepaper_Arena_digitale_Medizin_TI_2.0_Web.pdf (zit.: Gematik gemWP_TI20, S.)

Grieger Haftung des AG-Vorstands bei Schäden durch Cyberangriffe, WM 2021, 8 (zit.: Grieger 2021, 8)

Grzesiek Neue Anforderungen an die IT-Sicherheit in der Arztpraxis, GuP 2021, 171 (zit.: Grzesiek GuP 2021, 171)

Habbe/Gergen Compliance vor und bei Cyberangriffen – Pflichten der Geschäftsleitung und deren konkrete Umsetzung in der Praxis, CCZ 2020, 281 (zit.: Habbe/Gergen CCZ 2020, 281)

Kipker/Dittrich Rolle der Kritischen Infrastrukturen nach dem neuen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Nationale Besonderheiten und europäische Überformung, MMR 2023, 481 (zit.: Kipker/Dittrich MMR 2023, 481)

Kircher Datenschutzrechtliche Fragen der elektronischen Patientenakte (ePA) nach § 341 SGB V, ZMGR 2021, 353-359 (zit.: Kircher ZMGR 2021, 353-359)

Kircher Das Patientendaten-Schutz-Gesetz (PDSG) und die elektronische Patientenakte (ePA), GuP 2021, 1-1 (zit.: Kircher GuP 2021, 1-1)

Kircher Urteilsanmerkung zu BSG, Urteil vom 20.1.2021 – B 1 KR 7/20 R; B 1 KR 15/20 R, betrifft Datenschutzkonformität der elektronischen Gesundheitskarte, SGb – Die Sozialgerichtsbarkeit 2021, 636-652 (zit.: Kircher SGb 2021, S.)

Kircher Urteilsanmerkung zu SG München, Urteil vom 26.1.2023 – S 38 KA 72/22: Rechtmäßigkeit der Honorarkürzung wegen Nicht-Teilnahme an der Telematikinfrastruktur (TI), GuP 2023, 121-124 (zit.: Kircher GuP 2023, S.)

Kircher Das Patientendaten-Schutz-Gesetz (PDSG) und die elektronische Patientenakte (ePA), – Regelungsüberblick und Vereinbarkeit mit der DS-GVO, GuP 2021, 1 ff. (zit.: Kircher GuP 2021, S.)

Köhler Der Schutz kritischer Infrastrukturen im Gesundheitswesen – gesetzliche Anforderungen an die IT-Sicherheit, GesR 2017, 145 (zit.: Köhler GesR 2017, 145)

König Lösegeldzahlungen bei Angriffen mit Ransomware – Rettungsanker oder strafrechtliches Risiko, NZWiSt 2023, 167 (zit.: König NZWiSt 2023, 167)

Meyer/Biermann Ransomware-Angriff – Strafrechtliche Einordnung von Lösegeldzahlungen und Aufzeigen notwendiger Compliance-Maßnahmen für die Cybersicherheit, MMR 2020, 940 (zit.: Meyer/Biermann MMR 2020, S.)

Nadeborn/Dittrich Cybersicherheit in Krankenhäusern Teil 1: IT-Compliance als Leitungsaufgabe, ICLR 2022, 147 (zit.: Nadeborn/Dittrich Teil 1 S.)

Nadeborn/Dittrich Cybersicherheit in Krankenhäusern Teil 2: vom Normalfall zum Notfall, ICLR 2022, 273 (zit.: Nadeborn/Dittrich Teil 2 S.)

Nadeborn/Erdogan Cyberrisiken in Krankenhäusern – rechtliche Aspekte und praktische Umsetzungshinweise, KH-J 2022, 37 (zit.: Nadeborn/Erdogan KH-J 2022, 37)

Neuhöfer/Schefer Anmerkung zu BGH, Beschl. v. 8.4.2021 – 1 StR 78/21, jurisPR-Compl 5/2021 Anm. 3 (zit.: Neuhöfer/Schefer jurisPR-Compl 5/2021 Anm. 3)

Rückert Zahlen oder nicht zahlen, das ist hier die Frage – Strafbarkeitsrisiken für Unternehmen bei Ransomware-Zahlungen, GWuR 2021, 103 (zit.: Rückert GWuR 2021, 103)

Salomon Cybercrime und Lösegeld – Strafbarkeit der Zahlung von Lösegeld als Reaktion auf Erpressungstrojaner, MMR 2016, 575 (zit.: Salomon MMR 2016, 575)

Schadly/Schömann/Schulz Großbaustelle Sozialdatenschutz – eine kritische Bestandsaufnahme, Zugleich: Anregungen für Anpassungen in der 20. Legislaturperiode, RDV 2021, 258 (zit.: Schadly/Schömann/Schulz RDV 2021, 258)

Schuster Arztpraxen in der Cloud? – Strafbarkeitsrisiken nach § 203 StGB und weitere Fragestellungen, medstra 2015, 280 (zit.: Schuster medstra 2015, 280)

Sieg/Schilbach Versicherbarkeit von Lösegeldzahlungen in der Cyberversicherung unter Berücksichtigung privatrechtlicher Beschränkungen der Vertragsfreiheit, VersR 2023, 745 (zit.: Sieg/Schilbach VersR 2023, 745)

Sydow/Schmitz Das E-Rezept-Konzept als neuer Sicherheitsstandard für elektronische Verordnungen?! ICLR 2024, 31, s.a. online, https://doi.org/10.1365/s43439-023-00103-z (zit.: Sydow/Schmitz ICLR 2023 (online) https://doi.org/10.1365/s43439-023-00103-z, 235)

Vogel Durchsuchungen im Krankenhaus richtig managen, Healthcare & Hospital Law 2022, 84 (zit.: Vogel Healthcare & Hospital Law 2022, 84)

Vogel/Berndt Der Rückschaufehler im Arztstrafverfahren, medstra 2020, 271 (zit.: Vogel/Berndt medstra 2020, 27)

Vogelsang/Möllers/Potel Strafrechtliche Bewertung von „Honeypots“ bei DoS-Angriffen – Strafbarkeit bei der digitalen Spurensuche, MMR 2017, 291 (zit.: Vogelsang/Möllers/Potel MMR 2017, 291)

Werkmeister/Steinbeck Cybercrime mit Bitcoins–Straftaten mit virtuellen Währungen, deren Verfolgung und Prävention, wistra 2015, 209 (zit.: Werkmeister/Steinbeck wistra 2015, 209)

Ziegler Aktuelle datenschutzrechtliche Fragen der Anwendung von IT im Gesundheitswesen unter Berücksichtigung der EU-Datenschutzgrundverordnung ZMGR 2016, 211. (zit: Ziegler ZMGR 2016, 211)

1. KapitelCyberbedrohungslage im Gesundheitswesen

A.Einführung

B.Lageberichte zur IT-Sicherheit in Deutschland

C.Bedrohungslage aus Sicht von Cyberkriminellen

D.Bedrohungslage nach Sektoren und anderen Bereichen

I.Stationärer Gesundheitssektor