gVEFK: Vertraulichkeit, Datenschutz und Informationssicherheit

Für die externe gVEFK ist DSGVO‑rechtlich entscheidend, ob und in welchem Umfang personenbezogene Daten verarbeitet werden. Die DSGVO setzt dabei den Grundsatz „Integrität und Vertraulichkeit“ bzw. angemessene Sicherheit durch technische und organisatorische Maßnahmen. Im Regelfall wird die gVEFK – sobald sie im Auftrag des Klinikums personenbezogene Daten verarbeitet (z. B. Unterweisungslisten, Berechtigungsmatrizen, Ticketinformationen) – als Auftragsverarbeiter tätig. Dann sind die Mindestinhalte eines AV‑Vertrages nach Art. 28 DSGVO zwingend: Gegenstand/Dauer, Art/Zweck, Datenarten, Betroffenengruppen, Pflichten/Rechte; zudem u. a. Weisungsbindung, Vertraulichkeitsbindung der berechtigten Personen, TOM nach Art. 32, Subunternehmerregeln, Unterstützungsleistungen, Löschung/Rückgabe und Audit-/Informationsrechte.

Wenn der Dienstleister „Zwecke und Mittel“ der Verarbeitung eigenständig bestimmt, gilt er in Bezug auf diese Verarbeitung als Verantwortlicher (Art. 28 Abs. 10 DSGVO). Das muss durch klare Rollen- und Weisungsregelungen verhindert werden (oder – falls beabsichtigt – ausdrücklich als eigene Verantwortlichkeit geregelt werden).

Für Kliniken ist zusätzlich relevant, dass Gesundheitsdaten ausdrücklich als besondere Kategorien personenbezogener Daten genannt sind (Art. 9 DSGVO), womit regelmäßig ein erhöhtes Schutz- und Risikoniveau verbunden ist.

Unabhängig davon, ob das Krankenhaus KRITIS ist, gilt im Krankenhausbereich eine gesetzliche Pflicht zur Umsetzung angemessener organisatorischer und technischer Vorkehrungen „nach dem Stand der Technik“, um Störungen der maßgeblichen IT‑Systeme zu vermeiden (§ 391 SGB V; in der Praxis häufig über ISMS‑Ansätze operationalisiert).

Für Krankenhäuser, die als KRITIS gelten, greift zusätzlich die KRITIS‑Systematik (u. a. Schwellenwert 30.000 vollstationäre Fälle/Jahr für Krankenhäuser in Anlage/Anhang der BSI‑KritisV).

Als praxisrelevanter „Stand der Technik“-Orientierungsrahmen ist der Branchenspezifische Sicherheitsstandard (B3S) „Medizinische Versorgung“ besonders wertvoll: Er ist ausdrücklich nicht nur für KRITIS‑Häuser adressiert, und er stellt klar, dass § 391 SGB V die Nutzung eines B3S als mögliche Umsetzungsvariante für IT‑Sicherheit im Krankenhaus vorsieht.

Zudem beschreibt der B3S konkrete Anforderungen, u. a. zu Lieferanten/Dienstleistern, Fernzugriffen (inkl. MFA und Protokollierung), Segmentierung, Härtung, Schwachstellenmanagement und Identitäts-/Rechtemanagement.

• Betriebs-/Geschäftsgeheimnisse: Der gesetzliche Begriff des Geschäftsgeheimnisses knüpft u. a. an „angemessene Geheimhaltungsmaßnahmen“ an. Damit sind NDA, Informationsklassifizierung, Need‑to‑know‑Prinzip, Zugriffskontrolle und Nachweisprozesse nicht nur „nice to have“, sondern auch rechtlich relevant für den Geheimnisschutz.

• Berufsgeheimnisse/Privatgeheimnisse (§ 203 StGB): Gerade im Gesundheitsumfeld ist die Einbindung externer mitwirkender Personen/Dienstleister so zu gestalten, dass Geheimhaltung verbindlich abgesichert wird (z. B. Verpflichtung zur Geheimhaltung, Kontrollmöglichkeiten, Subdienstleistersteuerung). Der Gesetzgeber hat dazu auch betont, dass dafür Sorge zu tragen ist, dass einbezogene Personen zur Geheimhaltung verpflichtet werden.

Er fordert u. a., dass unberechtigte Kenntnisnahme von Gesundheitsdaten (z. B. durch externe Prüfer) so weit wie möglich ausgeschlossen wird und nennt organisatorische Maßnahmen, etwa Verpflichtungen entsprechend § 203 StGB.

Vertraulichkeitsregelungen sollten als eigenständiger Vertragsblock (NDA/Geheimhaltungsvereinbarung) ausgestaltet werden – parallel zum Datenschutz (AVV), weil nicht alle vertraulichen Informationen personenbezogen sind. Rechtskonform und praxistauglich sind dabei folgende Bausteine:

Empfehlenswert ist eine Informationsklassifizierung (z. B. „öffentlich / intern / vertraulich / streng vertraulich“) mit klaren Mindestmaßnahmen je Klasse (Zugriff, Speicherung, Übertragung, Löschung). Der B3S nutzt selbst eine Klassifizierung („TLP-Klassifikation“) und ordnet im Inhaltsrahmen typische IT-/Kliniksysteme, Risiken und Maßnahmen zu.

• „vertraulichen Informationen“ (vertraglich definierter NDA‑Begriff),

• „Geschäftsgeheimnissen“ im Sinne des GeschGehG (inkl. Nachweis angemessener Geheimhaltungsmaßnahmen),

• „Berufsgeheimnissen“ im Sinne des § 203 StGB (insbesondere bei Gesundheitsbezug).

Die gVEFK erhält Zugriffe nur im Umfang, der für die Leistungserbringung erforderlich ist. In der Informationssicherheit wird das im B3S u. a. über Rollen-/Berechtigungskonzepte und Zugriffskontrollrichtlinien konkretisiert (Need‑to‑know/Least Privilege, kontrollierte Notfallzugriffe, Post‑Termination‑Entzug).

Vertraulichkeit muss ausdrücklich auch für Subdienstleister gelten: Art. 28 DSGVO verlangt bei Sub-Auftragsverarbeitern „dieselben Datenschutzpflichten“ und stellt klar, dass der erste Auftragsverarbeiter gegenüber dem Verantwortlichen haftet, wenn Sub‑AV ihre Pflichten nicht erfüllen. Parallel sollte die NDA eine schriftliche Zustimmungspflicht für Subdienstleister (oder mindestens eine transparente Genehmigungslogik) enthalten.

Die NDA sollte eine Pflicht zur Rückgabe/Löschung vertraulicher Informationen nach Vertragsende enthalten. Für personenbezogene Daten ist dies auch AVV‑Pflichtbestandteil (Löschung oder Rückgabe nach Wahl des Verantwortlichen, Art. 28 Abs. 3 lit. g DSGVO).

In der Regel bleibt das Klinikum Verantwortlicher; die externe gVEFK verarbeitet personenbezogene Daten „im Auftrag“. Dann ist ein AV‑Vertrag nach DSGVO Art. 28 erforderlich, der die Mindestinhalte zwingend abbildet (Weisung, Vertraulichkeit, TOM, Subunternehmer, Unterstützung, Löschung/Rückgabe, Audit). Bei der Rollenklärung ist besonders wichtig, dass die gVEFK nicht unbeabsichtigt in eine Verantwortlichkeit „hineinrutscht“: Bestimmt der Auftragsverarbeiter unter Verstoß gegen die DSGVO Zwecke und Mittel der Verarbeitung, gilt er insofern als Verantwortlicher. Für die Vertragsgestaltung heißt das: Zwecke/Weisungen, Systeme, Datenflüsse und zulässige Tools müssen schriftlich festgelegt werden.

Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen unter Berücksichtigung Stand der Technik, Kosten, Umfang/Zweck Risiken; ausdrücklich genannt werden u. a. Verschlüsselung/Pseudonymisierung, Sicherstellung von Vertraulichkeit/Integrität/Verfügbarkeit/Belastbarkeit, Wiederherstellbarkeit und regelmäßige Wirksamkeitsprüfung.

Gerade im Klinikum ist dieses Schutzniveau regelmäßig höher anzusetzen, weil Gesundheitsdaten eine besondere Kategorie sind.

• Zugriffsschutz/IAM/MFA,

• Protokollierung,

• Verschlüsselung (data at rest / in transit),

• sichere Fernzugriffe,

• Patch-/Änderungsmanagement,

• Incident Response inkl. Beweissicherung,

• sichere Löschung/Datenträgerentsorgung,

• regelmäßige Überprüfung der Wirksamkeit.

Der B3S liefert hierfür – im Krankenhauskontext – besonders konkrete Mindestanforderungen (z. B. MFA für Zugriff über öffentliche Netze, Protokollierung von Fernwartungszugriffen, Beschränkung von externen Schnittstellen, Netzsegmentierung, Sicherheitsgateways, Rollen-/Berechtigungskonzepte).

• Der Verantwortliche meldet – grundsätzlich – unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO, risikobasiert).

• Wenn dem Auftragsverarbeiter eine Verletzung bekannt wird, meldet er sie dem Verantwortlichen unverzüglich (Art. 33 Abs. 2 DSGVO).

Das muss im Vertrag als Incident‑/Breach‑Prozess operationalisiert werden (Fristen, Informationsinhalte, Ansprechpartner, forensische Sicherung, Kommunikation).

• Sub‑Auftragsverarbeiter nur mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung (Art. 28 Abs. 2).

• Sub‑Auftragsverarbeiter erhalten „dieselben Datenschutzpflichten“; der erste Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Sub‑AV‑Pflichten.

• Nach Abschluss: Löschung oder Rückgabe personenbezogener Daten nach Wahl des Verantwortlichen (Art. 28 Abs. 3 lit. g).

Diese Punkte sind für gVEFK‑Vendor‑Modelle (Stellvertretung, Spezialistenpool, Unterauftragnehmer für Audits) zwingend.

Der Krankenhausträger ist verpflichtet, nach dem Stand der Technik angemessene Vorkehrungen zur Vermeidung von IT‑Störungen zu treffen, die für Funktionsfähigkeit des Krankenhauses und die Sicherheit verarbeiteter Patienteninformationen maßgeblich sind. Damit entsteht im Vertrag mit der gVEFK ein klarer Bedarf: Der Dienstleister muss seine Arbeitsweise so gestalten, dass sie dieses Schutzniveau nicht absenkt, sondern unterstützt. Der B3S „Medizinische Versorgung“ ist hierfür ein in der Branche zentraler Referenzrahmen: Er adressiert ausdrücklich auch externe Dienstleister und macht Vorgaben zu Lieferanten-/Dienstleistersteuerung, Fernzugriffen, Segmentierung, Härtung, Schwachstellenmanagement, IAM und Protokollierung.

• Richtlinien für sicheren Datenaustausch mit Dritten,

• Risikobewertung für Drittzugriffe auf Gesundheitsdaten und kDL‑relevante Systeme,

• Leitlinien zur Aufrechterhaltung eigener Informationssicherheitsanforderungen, die Lieferanten bekanntgegeben und dokumentiert werden,

• bei Auslagerung wesentlicher Prozesse/Systeme: Absenkung des Sicherheitsniveaus vermeiden; Einhaltung durch vertragliche und organisatorische Maßnahmen sicherstellen.

Die gVEFK muss sich an Klinik‑Policies halten, darf nur genehmigte Kommunikationswege nutzen und muss – wenn sie weitere Dienstleister einbindet – Back‑to‑Back‑Verpflichtungen sicherstellen.

• Fernzugriffe zweckgebunden konfigurieren, sodass andere Systeme nicht negativ beeinflusst werden können.

• Fernwartungszugriffe nachvollziehbar protokollieren.

• sichere Kommunikationsverbindungen verwenden; regelmäßige Kontrolle der Anforderungen wird empfohlen.

• externe Zugänge/Schnittstellen auf das notwendige Maß beschränken; Verbindungen nach Fernzugriff trennen (soweit Zweckbindung das erlaubt).

• Multi‑Faktor‑Authentifizierung für Zugriff über öffentliche Netze.

• Netzsegmentierung/Zonenkonzept und Kontrolle von Perimetern durch Sicherheitsgateways; Zugriffsberechtigungen netzübergreifend risikobasiert.

Damit lässt sich Informationssicherheit nicht nur „fordern“, sondern auditierbar prüfen (Logfiles, VPN‑Policies, IAM‑Reports).

Der B3S fordert, dass externe Kontrollen/Prüfungen/Audits vertraglich geregelt werden müssen und dass der Sicherstellung der Versorgung Priorität eingeräumt wird; er fordert zudem Protokollierung der Auditdurchführung und das Ausschließen unberechtigter Kenntnisnahme von Gesundheitsdaten (z. B. durch externe Prüfer).

Übertragen auf den gVEFK‑Vertrag ist daher ein auditfreundliches, aber betriebsschonendes Auditregime sinnvoll (z. B. Vor‑Ort‑Audits nur in Wartungsfenstern, Remote‑Audits mit Read‑only‑Zugriff, Stichproben statt Vollzugriff).

Die folgenden Musterformulierungen sind als Bausteine gedacht. Ihre inhaltliche Herleitung folgt aus Art. 28/32/33 DSGVO (AVV/TOM/Breach), den Krankenhaus‑Informationssicherheitsanforderungen (§ 391 SGB V) sowie aus B3S‑Anforderungen (Fernzugriff, Dienstleistersteuerung, Auditregeln, IAM).

„Vertrauliche Informationen“ sind alle Informationen und Unterlagen des Klinikums, die der Auftragnehmer im Rahmen der gVEFK-Leistung erhält oder erzeugt, insbesondere: technische Dokumentationen, Pläne, Auditberichte, Schwachstellen- und Maßnahmenberichte, Sicherheitskonzepte, Organigramme/Delegationsmatrizen, Verträge/Konditionen, Störungs- und Einsatzberichte sowie alle Informationen, die als „vertraulich“, „streng vertraulich“ oder vergleichbar gekennzeichnet sind oder ihrem Inhalt nach erkennbar schutzbedürftig sind.

Der Auftragnehmer verpflichtet sich, Vertrauliche Informationen ausschließlich zur Vertragserfüllung zu verwenden, nur den hierfür zwingend erforderlichen Personen zugänglich zu machen (Need-to-know) und gegen unbefugte Kenntnisnahme zu sichern. Die Verpflichtung gilt auch nach Vertragsende fort.

Soweit der Auftragnehmer im Rahmen der Leistung mit Informationen in Berührung kommen kann, die einem Privat-/Berufsgeheimnis unterfallen (z. B. Patientengeheimnisse), stellt der Auftragnehmer sicher, dass alle hierfür eingesetzten Personen vor Einsatz schriftlich zur Geheimhaltung verpflichtet werden und nur im erforderlichen Umfang Kenntnis erlangen.

Eine Weitergabe Vertraulicher Informationen an Dritte oder Subdienstleister ist nur mit vorheriger schriftlicher Genehmigung des Klinikums zulässig. Subdienstleister sind mindestens gleichwertig zu verpflichten.

Nach Vertragsende gibt der Auftragnehmer alle Vertraulichen Informationen zurück oder löscht sie nach Wahl des Klinikums, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht; die Löschung ist zu protokollieren.

Soweit der Auftragnehmer im Rahmen der Leistung personenbezogene Daten im Auftrag verarbeitet, handelt er als Auftragsverarbeiter. Das Klinikum bleibt Verantwortlicher.

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisungen des Klinikums. Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenarten und Kategorien betroffener Personen werden in Anlage „AVV-Leistungsdatenblatt“ konkretisiert.

Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung befugten Personen schriftlich zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Auftragnehmer implementiert die in Anlage „TOM“ beschriebenen technischen und organisatorischen Maßnahmen. Änderungen, die das Schutzniveau betreffen, bedürfen der vorherigen Freigabe des Klinikums.

Unterauftragsverarbeiter dürfen nur mit vorheriger schriftlicher Genehmigung eingesetzt werden; ihnen werden dieselben Datenschutzpflichten auferlegt. Der Auftragnehmer bleibt für deren Leistung verantwortlich.

Der Auftragnehmer unterstützt das Klinikum bei Betroffenenrechten sowie bei Pflichten nach Art. 32 bis 36 DSGVO (insbesondere Sicherheitsmaßnahmen, Datenschutz-Folgenabschätzung und ggf. Konsultation).

Nach Abschluss der Verarbeitungsleistungen werden personenbezogene Daten nach Wahl des Klinikums gelöscht oder zurückgegeben, soweit keine Aufbewahrungspflichten entgegenstehen.

Der Auftragnehmer erbringt die Leistung so, dass das Informationssicherheitsniveau des Klinikums nicht abgesenkt wird. Er beachtet die klinikumsinternen ISMS-/IT-Sicherheitsrichtlinien und die im Vertrag festgelegten Mindeststandards.

Fernzugriffe dürfen ausschließlich über vom Klinikum freigegebene Verfahren erfolgen (z. B. VPN/VDI). Fernwartungs-/Fernzugriffs-Sitzungen sind zweckgebunden einzurichten, nachvollziehbar zu protokollieren und nach Beendigung – soweit möglich – zu trennen. Zugriffe über öffentliche Netze sind durch Multi-Faktor-Authentifizierung abzusichern.

Die Nutzung privater Endgeräte oder nicht freigegebener Datenträger ist untersagt, sofern nicht ausdrücklich schriftlich genehmigt. Daten dürfen nicht in nicht genehmigten Cloud-Speichern abgelegt werden.

Der Auftragnehmer nutzt ausschließlich personalisierte Konten. Berechtigungen werden nach Least-Privilege erteilt und sind mindestens quartalsweise zu rezertifizieren. Bei Personalwechsel oder Vertragsende sind Zugänge unverzüglich zu sperren.

Der Auftragnehmer stellt auf Anforderung Nachweise zur Einhaltung der Sicherheitsanforderungen bereit und ermöglicht Überprüfungen in einer Weise, die den Klinikbetrieb nicht gefährdet (Wartungsfenster/Read-only/Probenahme).

Ein Sicherheitsereignis ist jedes Ereignis, das Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten im Zusammenhang mit der Leistung beeinträchtigen kann (inkl. Verdachtsfälle).

Der Auftragnehmer meldet Sicherheitsereignisse unverzüglich, spätestens innerhalb von [X] Stunden nach Kenntnis, an die benannten Kontaktstellen des Klinikums und liefert fortlaufend Statusupdates.

Wird dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten bekannt, meldet er diese unverzüglich dem Klinikum und unterstützt bei Ursachenanalyse, Eindämmung, Wiederherstellung und Nachweisführung.

Logs und Beweise sind nach den Weisungen des Klinikums zu sichern; eigenmächtige Löschungen sind untersagt.

Externe Kommunikation (Behörden, Presse, Betroffene) erfolgt ausschließlich durch das Klinikum, soweit nicht gesetzlich anders vorgeschrieben.

• Anlage NDA: Informationsklassen, erlaubte Kommunikationswege, Lösch-/Rückgabeprotokoll

• Anlage AVV‑Leistungsdatenblatt: Datenarten, Betroffenengruppen, Systeme, Zwecke, Weisungen

• Anlage TOM: IAM/MFA, Logging, Verschlüsselung, Patch/Change, Incident Response, sichere Löschung

• Anlage Subdienstleister: Genehmigungsprozess, Back‑to‑Back‑Pflichten, Kontrollrechte

• Anlage ISMS‑Kontext Krankenhaus: Bezug zu § 391 SGB V und – falls KRITIS – zu KRITIS‑Nachweisen; Verwendung B3S als Referenzrahmen

Damit werden Vertraulichkeit, Datenschutz und Informationssicherheit nicht nur „rechtlich erwähnt“, sondern als prüfbare, steuerbare Vertragsleistung operationalisiert – passend zur gVEFK‑Rolle und zur besonderen Kritikalität des Krankenhausbetriebs.