skip to Main Content

Hacker & Herzschrittmacher – Ist die IT-Sicherheit „smarter“ Medizin-Produkte gesetzlich zwingend?

Hacker & Herzschrittmacher – Ist Die IT-Sicherheit „smarter“ Medizin-Produkte Gesetzlich Zwingend?

Die Digitalisierung im Gesundheitswesen nimmt Fahrt auf! Herzschrittmacher, Röntgengeräte und Insulinpumpen – Medizinprodukte folgen dem Trend der Digitalisierung. Eine Vielzahl von Medizinprodukten verfügen deshalb über Vernetzungsschnittstellen. Sie werden so in IT-Netzwerke eingebunden. Ein Fernzugriff eines Dritten ist – nicht nur aus dem World Wide Web – möglich.

„Hacks“ sind dabei schon Realität. So konnte zum Beispiel über einen integrierten Web-Server ein medizinisches Desinfektionsgerät von Miele über mehrere Monate angegriffen werden. Im Jahr 2016 informierte ein US-amerikanischer Hersteller von Insulinpumpen seine Kunden darüber, dass die Möglichkeit eines Fernzugriffs durch einen Dritten besteht.   

Johannes Seitz ist Rechtsreferendar bei Taylor Wesssing am Standort Düsseldorf im Bereich IT-Recht, insbesondere Datenschutzrecht und Cyber Security. Davor war er Rechtsreferendar im Grundsatzreferat „Cyber- und Informationssicherheit“ des Bundesministeriums des Innern, für Bau und Heimat.

Detlef Klett ist Partner bei Taylor Wessing und Fachanwalt für IT-Recht. Sein Beratungsschwerpunkt liegt auf der Begleitung komplexer IT-Projekte sowie den Bereichen Datenschutz und Cyber Security. Er war in den letzten beiden Jahren intensiv mit DSGVO-Umsetzungsprojekten beschäftigt.

IT-Sicherheitsgesetz (2.0) – Buzzword oder Lösung?

Das IT-Sicherheitsgesetz („IT-SiG“) war in den letzten Wochen wegen mehrerer Angriffe, vermutlich eines 20-Jährigen Einzeltäters, medial präsent. Das Bundesministerium des Innern, für Bau und Heimat reagierte. Ein neues IT-SiG 2.0 ist in der Vorbereitung und wird die IT-Sicherheit stärken.

Das derzeitige IT-SiG trat im Juli 2015 in Kraft. Es zielt darauf ab, Betreiber besonders gefährdeter, sogenannter kritischer Infrastrukturen zu verpflichten, ihre IT-Systeme und -Prozesse nach dem Stand der Technik zu schützen. Welche Unternehmen und Einrichtungen die Verpflichtungen erfüllen müssen, folgt aus der BSI-Kritisv sowie aus der Änderungsverordnung.

Hierzu zählen zum Beispiel Krankenhäuser, die ab einem Schwellenwert von 30.000 vollstationären Patienten unter anderem die Verpflichtungen eines Sicherheitsstandards nach dem Stand der Technik erfüllen müssen. Krankenhäuser, die diese Schwellenwerte nicht aufweisen, fallen mithin aus der „KRITIS-Verpflichtung“ raus.

Was ist nun mit den Herstellern „smarter“ Medizinprodukte?

Auch diese werden durch die BSI-Kritisv ab einem Schwellenwert von 90,6 Millionen Euro Umsatz pro Jahr erfasst. Als kritische Dienstleistung gilt unter anderem die „Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind“. Hierunter fallen Medizinprodukte für Beatmung/Tracheostomie, parenterale Ernährung, enterale Ernährung, ableitende Inkontinenz und Diabetes – Typ 1. Die Regelung bezieht sich allerdings auf den Schutz des Herstellers als Betriebsstätte. Nicht normiert werden Anforderungen an die IT-Sicherheit des konkreten Produkts.

Nach dem jüngsten Zugriff auf Daten diverser Politiker und Prominenter äußerte sich der Bundesinnenminister Seehofer, dass das IT-SiG 2.0 unter anderem die Zertifizierung von Geräten sowie ein einheitliches IT-Sicherheitskennzeichen beinhalte. Dieses solle jedem Bürger ermöglichen, auf einem Blick erkennen zu können, dass dieses Produkt sicher ist. Welche Produkte konkret davon betroffen sein werden, ist derzeit nicht bekannt.

Spezifische, regulatorische Anforderungen an die IT-Sicherheit

Schloss

Im europäischen und deutschen Rechtsraum existieren verschiedenste Regularien, welche die IT-Sicherheit von Medizinprodukten explizit regeln. Demnach müssen Hersteller umfangreichen Pflichten genügen.

Auf deutscher Ebene wurden die europäischen Regularien (EU Medizinprodukte-Richtlinie MDD, AIMD, IVD) unter anderem im Medizinproduktegesetz (MPG) umgesetzt. Gemäß § 2 Absatz 1 Satz 1 MPG ist dieses Gesetz auf Medizinprodukte anwendbar, die wiederum in § 3 MPG definiert sind. Hierzu zählen zum Beispiel Gegenstände beziehungsweise Software, die der Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten zu dienen bestimmt sind und weder pharmakologisch noch immunologisch wirken. Maßgeblich ist mithin, ob der Hersteller dem Produkt (innerhalb objektiver Grenzen) eine „spezifisch medizinische Zweckbestimmung“ verliehen hat.   

Hersteller müssen in der Regel IT-Sicherheitsrisiken im Rahmen ihrer Produktgestaltung und Risikoanalyse berücksichtigen. Medizinprodukte dürfen gemäß § 4 Absatz 1 Nr. 1 MPG nicht in Verkehr gebracht werden, wenn ein Verdacht besteht, dass sie die Sicherheit und die Gesundheit des Patienten, der Anwender oder Dritter unmittelbar oder mittelbar gefährden.

Des Weiteren müssen Medizinprodukte in Risikoklassen eingeteilt und nach Durchführung eines Konformitätsbewertungsprozesses durch eine sogenannte benannte Stelle mit einer CE-Kennzeichnung versehen werden, § 6 Absatz 1 und Absatz 2 MPG. 

Lean im KrankenhausÜberdies sind Hersteller verpflichtet, mögliche Risikoinformationen – nach dem Inverkehrbringen – zu erfassen, zu bewerten und, sofern erforderlich, korrektive Maßnahmen zu ergreifen. Daneben existieren für Hersteller Meldekriterien und –pflichten, die sich aus der Medizinprodukte-Sicherheitsplanverordnung ergeben. 

Im Falle potenzieller Risiken (zum Beispiel Funktionsstörungen), die im Zusammenhang mit der Vernetzung von Medizinprodukten stehen, müssen Hersteller diese unverzüglich gegenüber der Behörde anzeigen. Bei Verstößen drohen straf- und ordnungsrechtliche Sanktionen. 

Fazit

Die IT-Sicherheit smarter Medizinprodukte ist aus vielen Gründen von höchster Relevanz, schließlich kann die Gesundheit von Patienten durch Sicherheitslücken bedroht sein. Dieser Gefahr versucht der Gesetzgeber Rechnung zu tragen. Letztendlich sollten aber auch die Hersteller von Medizinprodukten ein großes Interesse daran haben, dass ihre Produkte gegen Cyber-Attacken gesichert sind. Ein erfolgreicher Angriff könnte nämlich nicht nur rechtliche Konsequenzen haben, sondern er dürfte auch zu einem Imageverlust des betreffenden Herstellers führen.

Praxis-Check DSGVO – Wie sicher ist Ihr Unternehmen aufgestellt?

Profitieren Sie in unserem Seminar von Best-Practice-Beispielen unserer Rechtsexperten und den Insights eines Datenschutzbeauftragten. Unsere Referenten machen Sie fit für aktuelle und künftige Herausforderungen des Datenschutzgesetzes!
KI Technologien und Tipps

Künstliche Intelligenz: Technologien & Tipps

Erfahren Sie, welche Technologien benötigt werden, um von Künstlicher Intelligenz zu sprechen und welche Expertentipps Ihnen dabei helfen, KI in Ihrem Unternehmen zu etablieren.
Jetzt herunterladen!

Marina Vogt

Bei Management Circle bin ich für die Digitalisierungs- und Immobilien-Themen sowie die Assistenz-Veranstaltungen zuständig. In den drei Blogs informiere ich Sie über neue Entwicklungen in diesen Bereichen. Vor meiner Tätigkeit bei Management Circle habe ich Germanistik in Frankfurt und Paderborn studiert. Ich freue mich über Fragen, Anregungen und einen
regen Wissensaustausch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top

Künstliche Intelligenz: Mythen, Daten & Fakten

Welche KI-Mythen sind wahr? Lernen Sie beim Lesen oder Filmeschauen die neusten Debatten zur Künstlichen Intelligenz kennen und erweitern Sie Ihren Horizont!

Jetzt mehr erfahren!

Download: KI kann auch unterhaltsam sein!