Das Krankenhauszukunftsgesetz – Maßnahmen zur Verbesserung der Informationssicherheit

Bereits in den vorherigen Ausgaben unseres Newsletters haben wir über das Krankenhauszukunftsgesetz (KHZG) sowie das neue Förderinstrument „Krankenhauszukunftsfonds“ berichtet, mit welchen notwendige Investitionen in den Bereichen Digitalisierung und IT- und Cybersicherheit von Krankenhäusern und Hochschulkliniken gefördert werden.

Zentrale Fördervoraussetzung gemäß § 14a Abs. 3 Satz 5 Krankenhausfinanzierungsgesetz (KHG) ist es, dass mindestens 15 Prozent der gewährten Fördermittel für Maßnahmen zur Verbesserung der Informationssicherheit zu verwenden sind.

Die gesetzliche Festlegung dieser Quote, die insbesondere vor dem Hintergrund verpflichtend festgesetzt wurde, in allen Digitalisierungsvorhaben die rechtzeitige Berücksichtigung von Themen der Informationssicherheit und deren konsequente Verfolgung durch sämtliche Projektphasen zu gewährleisten, weist bei genauerer Betrachtung zahlreiche Unschärfen auf.

Ganz vordergründig stellt sich zunächst die Frage nach der allgemeinen Bezugsgröße der Quotenregelung, d. h., auf welche Summe sich die 15 Prozent beziehen, insbesondere sofern Fördermittel für mehrere Vorhaben bzw. mehrere der 11 vorgesehenen Fördertatbestände beantragt und bewilligt werden. Zu berücksichtigen ist hierbei auch, dass Vorhaben im Sinne des KHG nicht nur mehrere Fördertatbestände erfüllen können, sondern auch Maßnahmen zur Verbesserung der Informationssicherheit sich auf mehrere Vorhaben beziehen können.

Bei der Beantwortung dieser Frage erschwerend hinzu tritt eine terminologische Ungenauigkeit in der Formulierung der Gesetzes- bzw. Vorordnungstexte:

Während § 14a KHG von 15 Prozent „der gewährten Fördermittel“ spricht, stellt § 22 Abs. 2 Nr. 2 Krankenhausstrukturfonds-Verordnung (KHSFV) auf die „für das Vorhaben beantragten Fördermittel“ ab, von denen ein Anteil in Höhe von 15 Prozent für Maßnahmen zur Verbesserung der Informationssicherheit eingesetzt werden soll.

Trotz dieser widersprüchlichen Umsetzung im Gesetzeswortlaut zeigt sich jedenfalls anhand der Gesetzesbegründung, dass sich nach dem Willen des Bundesgesetzgebers die 15-Prozent-Regelung auf jedes einzelne beantragte Vorhaben beziehen soll, um eine rechtzeitige Berücksichtigung von Themen der Informationssicherheit in allen Digitalisierungsvorhaben sicherzustellen.

Jene Zielsetzungen würden jedoch nicht erreicht, sofern man es ausreichen ließe, 15 Prozent der Gesamtfördersumme in beliebiger Verteilung für Maßnahmen zur Verbesserung der Informationssicherheit aufzuwenden, ohne einen entsprechend anteiligen Einfluss auf jedes einzelne Vorhaben sicherzustellen.

Ferner unkonkretisiert lässt der Gesetzgeber darüber hinaus die Mindestanforderungen in Bezug auf die gegenständlichen Maßnahmen, zu welchen die Fördermittelantragsteller verpflichtet werden.

Hinsichtlich der Einzelheiten zur Nachweiserbringung betreffend die Einhaltung der 15-Prozent-Quote gilt das Folgende:

Wer die Nachweise zu erbringen hat, hängt davon ab, welcher Fördertatbestand beansprucht wird. Für die Gewährung von Fördermitteln nach § 19 Abs. 1 Satz 1 Nr. 2 bis 6, 8 und 10 KHSFV sind nur IT-Dienstleister zur Umsetzung des geförderten Digitalisierungsvorhabens von den Krankenhausträgern zu beauftragen, die vom Bundesamt für Soziale Sicherung (BAS) entsprechend berechtigt worden sind. In diesen Fällen muss der oben genannte Nachweis durch eine Bestätigung dieses beauftragten, berechtigten Dienstleisters erfolgen. Die Kosten dieses Nachweises sind dann ihrerseits förderfähig. Welche inhaltlichen und formellen Voraussetzungen an diesen Nachweis zu stellen sind, bleibt jedoch offen und wurde bisher auch nicht von den einzelnen Bundesländern konkretisiert.

Vom berechtigten IT-Dienstleister, anders als vom Land, verlangt § 22 Abs. 2 KHSFV „Nachweise“. Die Länder haben nur „Erklärungen“ abzugeben. In der Anlage 5 zur Förderrichtlinie ist von „Eigenerklärungen“ und „Belegen“ die Rede. Welche Anforderungen genau an einen „Nachweis“ bzw. an „Belege“ zu stellen sind, ist offen. Im Sinne einer sicheren Lösung scheint es aber sinnvoll, die abgegebenen Erklärungen zu begründen und idealerweise mit Dokumenten/Belegen zu unterlegen, etwa durch Beifügung von Lastenheften und Leistungsbeschreibungen sowie des Nachweises der Berechtigung des IT-Dienstleisters. 

Für die Fördertatbestände § 19 Abs. 1 Nr. 1–9 KHSFV ist jeweils nachzuweisen, dass 15 Prozent der Fördermittel für Maßnahmen der IT-Sicherheit eingesetzt werden. Es erscheint sinnvoll, die entsprechende Erklärung anhand der konkreten Beträge, also 15 Prozent der voraussichtlichen Kosten des Vorhabens, darzulegen und mit geeigneten Dokumenten zu unterlegen. Ebenfalls ist nachzuweisen, um welche Maßnahmen der IT-Sicherheit es sich handelt. Auch hier sollten zu jeder Maßnahme entsprechende Dokumente beigefügt werden.

Da davon auszugehen ist, dass die Bundesländer in den Fördermittelbescheiden entsprechende Rückforderungsvorbehalte bei zweckfremder Verwendung der genehmigten Mittel vereinbaren werden und damit bei Verstoß gegen die 15-Prozent-Regelung eine Rückforderung der gesamten Fördersumme drohen kann, sollte der Einhaltung dieser Investitionsquote zur Verbesserung der Informationssicherheit im Zuge der Fördermittelbeantragung besondere Aufmerksamkeit geschenkt werden.

Jedenfalls empfehlen wir, die Details der Investitionen für Maßnahmen zur Verbesserung der Informationssicherheit sowie ihre Strukturierung entsprechend den Vorgaben des Gesetzgebers in jedem Einzelfall sorgfältig vor der Antragstellung zu evaluieren.

Hierbei unterstützen wir Sie gern.

Haben Sie Fragen oder weiteren Informationsbedarf?

1 Pflichtfelder

Ich stimme zu, dass meine Angaben zur Kontaktaufnahme und für die Zuordnung für eventuelle Rückfragen gespeichert werden. Ich habe die Erklärung zum Datenschutz gelesen und akzeptiere diese.

               

Dies ist ein Beitrag aus unserem Health-Care-Newsletter 1-2021. Die gesamte Ausgabe finden Sie hier . Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.