Best-Practice-Prüfkriterien im Sinne von Art. 32 DS-GVO
Nach Informationen des Bundesamts für Sicherheit (BSI) in der Informationstechnik waren 2019 etwas weniger als zehn Prozent der Krankenhäuser in Deutschland beim BSI als Kritische Infrastrukturen (KRITIS) im Sinne des IT-Sicherheitsgesetzes registriert.
Neben Einrichtungen anderer Sektoren waren Krankenhäuser und andere medizinische Einrichtungen zuletzt wiederholt Betroffene gravierender IT-Sicherheitsvorfälle. Neben der Bedrohung durch Ransomware-Angriffe standen dabei auch sensible Patientendaten im Mittelpunkt.
Das BSI hat Oktober 2019 die Eignung eines branchenspezifischen Sicherheitsstandards (B3S) festgestellt, mit dem Krankenhäuser ihre IT-Sicherheitsmaßnahmen nach dem Stand der Technik ausrichten können. Vorgelegt wurde der B3S von der Deutschen Krankenhausgesellschaft (DKG).
Das Bayerische Landesamt für Datenschutzaufsicht (BayLfD) und der Bayerische Landesbeauftragte für den Datenschutz (BayLDA) greifen diese Thematik vor dem Hintergrund der aktuellen Pandemie auf und weisen in einem gemeinsamen Papier darauf hin, dass wie wichtig ein funktionierendes Gesundheitssystem ist. Krankenhäuser, Arztpraxen und medizinische Labore seien herausgefordert, die medizinische Versorgung der Bevölkerung sicherzustellen. Bereits ein erfolgreicher Cyberangriff könne aber die Funktionsfähigkeit einer medizinischen Einrichtung für Tage oder Wochen massiv beeinträchtigen – und im schlimmsten Fall sogar komplett lahm legen.
Zur Überprüfung ihrer Cybersicherheitsmaßnahmen stellen der BayLfD und das BayLDA daher den medizinischen Einrichtungen in Bayern eine Best-Practice-Checkliste zur Verfügung.
Der Fokus des Dokuments liegt auf der Verfügbarkeit der Daten bzw. Dienste bezüglich Angriffe aus dem Internet und weniger auf deren Vertraulichkeit und Integrität, die aus Datenschutzsicht jedoch ebenfalls zu beachten sind. Die beiden Aufsichtsbehörden sehen das Papier als eine Hilfestellung zur schnellen Überprüfung der eigenen Sicherheit hinsichtlich der Verfügbarkeit der eigenen Datenverarbeitung im Sinne von Art. 32 DS-GVO. Der Anwendungsbereich umfasst sowohl den nicht-öffentlichen als auch den öffentlichen Bereich.
Die Checkliste kann kostenlos unter www.datenschutz-bayern.de/best_practice_medizin sowie unter www.lda.bayern.de/best_practice_medizin abgerufen werden.
Verwandte Produkte
Das könnte Sie auch interessieren
-
Neue Datenschutz‑Hilfen von Microsoft für M365 und Copilot
Microsoft hat im November 2025 ein Paket neuer Dokumentations‑ und Compliance‑Hilfen vorgestellt, das Unternehmen bei der datenschutzkonformen Nutzung von Cloud- und KI‑Diensten unterstützen soll. Inhalte der neuen Hilfsmittel Ziel und Selbstverständnis Microsoft gibt an, mit diesen Hilfen den Nachweis der DSGVO‑Konformität und Erfüllung von Rechenschaftspflichten zu erleichtern – gerade im Kontext von KI‑gestützten Anwendungen und
Mehr erfahren -
HBDI gibt grünes Licht für Microsoft 365 – unter Bedingungen
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat mit seinem am 15. November 2025 veröffentlichten Bericht bestätigt, dass Microsoft 365 unter bestimmten Bedingungen datenschutzkonform genutzt werden kann. Hintergrund der Einschätzung Nach früherer Kritik der Datenschutzkonferenz (DSK), wonach das Vertragswerk (Data Protection Addendum, DPA) von Microsoft im Jahr 2022 nicht den Anforderungen des Art. 28 DS-GVO genügen
Mehr erfahren -
BSI: IT‑Sicherheitslage bleibt angespannt
Das BSI hat am 11. November 2025 den neuen Jahresbericht „Die Lage der IT-Sicherheit in Deutschland 2025“ veröffentlicht. Die Bewertung der Behörde fällt klar aus: Deutschland bleibt trotz Verbesserungen bei der Cyberresilienz weiterhin eine angreifbare Zielstruktur für Cyberkriminelle und staatlich organisierte Angreifer. Wachsende Schwachstellen und vergrößerte Angriffsflächen Cyberbedrohungen in Vielfalt und Professionalisierung Fortschritte – aber
Mehr erfahren
