20. November 2025
von Synagon
Keine Kommentare

Bundestag beschließt NIS-2-Umsetzungsgesetz

Am 13. November 2025 hat der Bundestag das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beschlossen. Mit diesem Gesetz wird die EU-Richtlinie NIS 2 verbindlich in deutsches Recht überführt. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt dies eine grundlegende Modernisierung des IT-Sicherheitsrechts dar.

Das Gesetz erweitert den Anwendungsbereich des BSI-Gesetzes (BSIG) erheblich, sodass künftig deutlich mehr Unternehmen und Einrichtungen den gesetzlichen Vorgaben unterliegen. Gleichzeitig werden die Meldepflichten bei Cybervorfällen verschärft und durch ein mehrstufiges Meldesystem ergänzt, das eine strukturierte und zeitnahe Meldung sicherheitsrelevanter Ereignisse gewährleistet. Unternehmen, die Opfer eines Cyberangriffs werden, sind verpflichtet, den Vorfall innerhalb von 24 Stunden nach dessen Entdeckung dem BSI zu melden. Ein Zwischenbericht ist innerhalb von 72 Stunden vorzulegen, ein Abschlussbericht spätestens nach einem Monat einzureichen.

Darüber hinaus erhält das BSI zusätzliche Aufsichts-, Kontroll- und Durchsetzungsbefugnisse, wodurch seine Rolle als zentrale Cybersicherheitsbehörde gestärkt wird. Für die Bundesverwaltung wird ein zentrales Sicherheitsmanagement eingeführt, das durch den neu geschaffenen „CISO Bund“ koordiniert wird. Das BSI kündigt an, betroffene Organisationen bei der Umsetzung der neuen Anforderungen zu unterstützen, unter anderem durch Betroffenheitsprüfungen und weitere Orientierungshilfen.

Mit dem Bundestagsbeschluss ist ein wesentlicher Schritt zur nationalen Umsetzung der NIS-2-Richtlinie erfolgt. Für das Inkrafttreten des Gesetzes sind jedoch noch der Beschluss des Bundesrats und die anschließende Verkündung im Bundesgesetzblatt erforderlich. Erst ab dem im Gesetz festgelegten Datum gelten die neuen Vorgaben verbindlich für Unternehmen und Einrichtungen in Deutschland.

Weiterlesen →

8. September 2025
von Synagon
Kommentare deaktiviert für Neubewertung zur Einstufung eines Kommunikationsdienstes im Zusammenhang privater E-Mail-Nutzung durch Mitarbeitende 

Neubewertung zur Einstufung eines Kommunikationsdienstes im Zusammenhang privater E-Mail-Nutzung durch Mitarbeitende 

Die Datenschutzkonferenz von Bund und Ländern (DSK) erläutert in ihrer Orientierungshilfe (PDF-Dokument) den datenschutzrechtlichen Rahmen sowie die bestehenden Regelungsmöglichkeiten im Zusammenhang mit der Nutzung betrieblicher Internet- und E-Mail-Dienste. Darin vertritt die DSK die Position, dass Arbeitgeber, die ihren Beschäftigten die private Nutzung betrieblicher E-Mail-Konten oder des Internets gestatten oder diese zumindest stillschweigend dulden, als Anbieter von Telekommunikationsdiensten gelten. Die DSK ging davon aus, dass Arbeitgeber als Telekommunikationsdiensten im Sinne des früheren Telekommunikationsgesetz (TKG a.F.) sind und damit der fernmelderechtlichen Vertraulichkeitspflicht unterliegen – mit der Folge, dass jeglicher Zugriff auf private Kommunikation verboten wäre. Diese Auffassung ist jedoch durch die neue Gesetzeslage und die abweichende Auslegung der Bundesnetzagentur überholt. 

In dem „Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten“ (PDF-Dokument) stellt die Bundesnetzagentur dar, dass die Bereitstellung eines E-Mail-Zugangs zur privaten Nutzung durch den Arbeitgeber nicht als Telekommunikationsdienst im Sinne des TKG anzusehen sei. Ausschlaggebend hierfür ist die Definition des Telekommunikationsdienstes gemäß § 3 Nr. 24 und Nr. 61 TKG, wonach ein solcher Dienst nur dann vorliegt, wenn die Leistung regelmäßig elektronisch, gegen Entgelt und unter Nutzung elektronischer Kommunikationsnetze erbracht wird. Bei der rein internen Bereitstellung von E-Mail-Konten durch den Arbeitgeber, insbesondere ohne Gewinnerzielungsabsicht, fehlt es an diesen Voraussetzungen.  

Weiterlesen →

28. Juli 2025
von Synagon
Kommentare deaktiviert für Angepasste TI-Finanzierungsvereinbarung: Kürzung des Telematikzuschlags erst ab April 2026 bei fehlender ePA 3.0

Angepasste TI-Finanzierungsvereinbarung: Kürzung des Telematikzuschlags erst ab April 2026 bei fehlender ePA 3.0

Die Deutsche Krankenhausgesellschaft (DKG) und der GKV-Spitzenverband (GKV-SV) haben sich auf eine Anpassung der Finanzierungsvereinbarung zum Telematikzuschlag verständigt. Die zentrale Änderung betrifft die Anwendung „ePA für alle“ in der Version 3.0.

Die Kürzung des TI-Zuschlags erfolgt demnach erst dann, wenn die Anwendung nicht bis zum 01.04.2026 im Krankenhaus verfügbar ist. Hintergrund dieser Anpassung ist, dass die Pilotierung der ePA 3.0 gezeigt hat, dass der bundesweite Rollout mehr Zeit in Anspruch nimmt als ursprünglich angenommen.

Im Rahmen der überarbeiteten Finanzierungsvereinbarung wurde eine weitere Änderung in § 5 „Ermittlung des Telematikzuschlags vorgenommen. Künftig können neben den Protokollen der Installation auch Zahlungs-Belege als Nachweis anerkannt werden, welche den Tag der Installation erkennen lassen.

Die Deutsche Krankenhausgesellschaft hat die entsprechend der Regelung des § 377 Abs. 3 SGB V verhandelte Finanzierungsvereinbarung mit dem GKV-Spitzenverband mit Änderungsmarkierung auf der Internetseite zur Verfügung gestellt. Auf der Internetseite werden darüber hinaus auch der Vereinbarungstext und aktuell drei Anlagen sowie eine zusätzliche Excel-Tabelle zur Unterstützung der Berechnung des Zuschlags in den Budgetverhandlungen zur Verfügung gestellt.

Diese Dokumente bieten Krankenhäusern eine praxisnahe Unterstützung bei der Umsetzung der Finanzierungsregelungen im Kontext der Telematikinfrastruktur. Alle Unterlagen finden Sie unter: www.dkgev.de (externer Link)

Quelle und weiterführende Informationen: www.dkgev.de

18. Juli 2025
von Synagon
Kommentare deaktiviert für C5-Gleichwertigkeitsverordnung: Neue Spielräume für Cloud-Dienste – aber nur auf Zeit 

C5-Gleichwertigkeitsverordnung: Neue Spielräume für Cloud-Dienste – aber nur auf Zeit 

Durch die im Juli 2024 erfolgte Neufassung des § 393 SGB V wird der rechtlichen Rahmen für den Einsatz von Cloud-Computing-Diensten bei der Verarbeitung von Sozial- und Gesundheitsdaten konkretisiert. 

Der § 393 SGB V richtet sich konkret an medizinische Leistungserbringer sowie deren Auftragsverarbeiter, welche Sozial- und Gesundheitsdaten mittels Cloud-Computing-Diensten verarbeiten. Vor dem Hintergrund der zunehmenden Digitalisierung im Gesundheitswesen sollen insbesondere der datenschutzkonforme Einsatz internetbasierter IT-Anwendungen, wie z. B. von Patientenportalen, gewährleistet werden. 

Voraussetzung für die Zulässigkeit einer solchen Datenverarbeitung ist der Nachweis eines aktuellen C5-Testats der datenverarbeitenden Stelle. Dieses Testat muss sich auf die C5-Basiskriterien in Bezug auf die eingesetzten Cloud-Systeme und die verwendeten technischen und organisatorischen Maßnahmen beziehen. 

Mit der rückwirkend zum 1. Juli 2024 in Kraft getretenen C5-Gleichwertigkeitsverordnung (C5GleichwV) wurde eine befristete Übergangsregelung geschaffen, die es ermöglicht, bis zu zwei Jahre lang alternative Nachweise anstelle eines C5-Typ-2-Testats vorzulegen. Zwar entfällt mit Wirkung zum 1. Juli 2024 vorübergehend die Pflicht zur Vorlage eines aktuellen C5-Typ-2-Testats, dennoch definiert die C5GleichwV verbindliche Anforderungen, die weiterhin erfüllt sein müssen, um eine rechtmäßige Datenverarbeitung unter Einsatz von Cloud-Diensten sicherzustellen. 

Weiterlesen →

30. Juni 2025
von Synagon
Kommentare deaktiviert für Zwischen Kritik und konstruktiver Lösungssuche – zum DSK-Beschluss zum ärztlichen Online-Terminmanagement 

Zwischen Kritik und konstruktiver Lösungssuche – zum DSK-Beschluss zum ärztlichen Online-Terminmanagement 

Die Datenschutzkonferenz (DSK) hat mit der aktuellen Bewertung des Online-Terminmanagementsystems Doctolib eine kritische Haltung gegenüber diesem cloudbasierten Dienst eingenommen. Auch die Deutsche Datenschutzvereinigung (DVD) hat sich kritisch gegenüber Doctolib positioniert.  

Die Sensibilisierung für den Schutz besonders schützenswerter Gesundheitsdaten ist zweifellos berechtigt und notwendig. Gleichzeitig zeigt die öffentliche Debatte, dass differenzierte Analysen oft zu kurz kommen. Begriffe wie „Datenkraken“ erschweren eine sachliche Auseinandersetzung mit der Frage, wie cloudbasierte Systeme datenschutzkonform ausgestaltet werden können. Grundsätzlich besteht auf Seiten der Praxen ein hoher Bedarf, solche cloudbasierten Lösungen zu nutzen, sofern die datenschutzrechtlichen Grundprinzipien – wie Zweckbindung, Datenminimierung, technisch-organisatorische Maßnahmen und klar geregelte Auftragsverarbeitung – eingehalten werden. Neben den benötigten Funktionen können solche Anbieter häufig einen besseren Schutz vor Cyberrisiken bieten, als es eine Praxis mit ihren begrenzten Mitteln umsetzen kann.  

Am Beispiel Doctolib wird deutlich, dass pauschale Kritik nicht leider keinen Weg aufweist, wie solch ein Dienst datenschutzkonform eingesetzt werden könnte. Es bedarf es einer präzisen Aussage: Welche datenschutzrechtlichen Anforderungen werden nicht erfüllt? Wo bestehen konkrete technische oder vertragliche Defizite? Eine sachlich geführte Diskussion, die aber auch durch den Anbieter mit konkreten Informationen zu den ergriffenen Datenschutzmaßnahmen unterstützt wird, kann wesentlich zur Verbesserung der Datenschutzpraxis beitragen. 

Vor diesem Hintergrund stellt sich für betriebliche Datenschutzbeauftragte in Arztpraxen oder medizinischen Einrichtung ganz konkret die Frage, welche Anforderungen erfüllt werden müssen, um den Einsatz cloudbasierter Terminmanagementlösungen datenschutzkonform zu gestalten. Dabei ist die Aufgabe des Datenschutzbeauftragten nicht nur fokussiert auf technische oder formale Aspekte, sondern sie verlangt eine umfassende datenschutzrechtliche Bewertung auf Basis der tatsächlichen Systemarchitektur, der vertraglichen Regelungen und der praktischen Umsetzung im Alltag der Einrichtung. 

Weiterlesen →

2. Juni 2025
von Synagon
Kommentare deaktiviert für ENTSCHEIDERFABRIK-Sommer-Camp 2025: Digitale Effizienz im Fokus

ENTSCHEIDERFABRIK-Sommer-Camp 2025: Digitale Effizienz im Fokus

Die Entnscheiderfabrik geht in die heiße Phase und präsentierte beim Sommer-Camp 2025 die Effizienzpotenziale digitaler Transformationsprojekte im Gesundheitswesen. Unter dem Motto „Krankenhauserfolg durch Nutzen stiftende Digitalisierungsprojekte“ versammelten sich am 26. und 27. Mai 2025 die Projektteams aus Kliniken, Industrie und Beratung bei der Weidemann-Gruppe in Magdeburg, dem diesjährigen Gastgeber der Veranstaltung.

Ziel des Sommer-Camps war es, konkrete Digitalisierungsprojekte vorzustellen, die nachweislich zur Verbesserung von Patientenversorgung, Effizienz und Wirtschaftlichkeit in Krankenhäusern beitragen. Die vorgestellten Projekte zeigten praxisnah, wie durch innovative IT-Lösungen und partnerschaftliche Zusammenarbeit zwischen Kliniken und Industrie messbarer Nutzen generiert werden kann.

Weiterlesen →

26. Mai 2025
von Synagon
Kommentare deaktiviert für EU-Datenbank für Sicherheitslücken

EU-Datenbank für Sicherheitslücken

Die IT-Sicherheitslücken wurden bisher vor allem über die CVE-Datenbank der US-Organisation Mitre erfasst, die Informationen zur Schwere, betroffenen Komponenten und Herstelleraussagen bereitstellt. Nun hat die EU-Cybersicherheitsagentur ENISA mit der European Union Vulnerability Database (EUVD) eine eigene Schwachstellendatenbank für die EU ins Leben gerufen.

Die EUVD soll, im Vergleich zu anderen Schwachstellendatenbanken, einen ganzheitlichen und vernetzten Ansatz bieten. Mithilfe der Open-Source-Software Vulnerability-Lookup werden Informationen aus verschiedenen Quellen schnell zusammengeführt. Das EUVD-Team sammelt öffentlich verfügbare Schwachstelleninformationen von unterschiedlichen Akteuren, etwa Herstellern und CERTs.

Ziel ist es, verlässliche und praxisrelevante Daten bereitzustellen, z. B. zu Gegenmaßnahmen oder dem Ausnutzungsstatus. Durch die Verwendung des standardisierten Formats CSAF wird zudem die Automatisierung der Verarbeitung und Verbreitung von Sicherheitshinweisen unterstützt.

Aktuell befindet sich die Datenbank in der Beta-Phase.

Link: European Union Vulnerability Database (externer Link)

19. Mai 2025
von Synagon
Kommentare deaktiviert für Reform der Datenschutz-Grundverordnung (DSGVO) geplant

Reform der Datenschutz-Grundverordnung (DSGVO) geplant

Die Datenschutzgrundverordnung (DSGVO), welche im Jahr 2018 eingeführt wurde, soll reformiert werden. Die Reform der Datenschutz-Grundverordnung verfolgt mehrere zentrale Ziele, die auf eine bessere Balance zwischen Datenschutz, wirtschaftlicher Handhabbarkeit und effizienter Durchsetzung abzielen. Hier sind die wichtigsten Ziele der Reform im Überblick:

Weiterlesen →

30. April 2025
von Synagon
Kommentare deaktiviert für Verordnung zur Verwaltung des Transformationsfonds im Krankenhausbereich

Verordnung zur Verwaltung des Transformationsfonds im Krankenhausbereich

Die Bundesregierung hat eine zentrale Maßnahme zur strukturellen Weiterentwicklung akutstationärer Versorgungskapazitäten ergriffen und den Transformationsfonds eingeführt. Mit der Verordnung zur Verwaltung des Transformationsfonds im Krankenhausbereich (externer Link) wird die konkrete Umsetzung und Mittelverwendung dieses Fonds geregelt.

Ziel dieser Verordnung ist die Transformation der Krankenhausstrukturen zur Anpassung an die durch das Krankenhausversorgungsverbesserungsgesetz vom 5. Dezember 2024 (BGBl. 2024 I Nr. 400) bewirkten Rechtsänderungen. Mit diesem Fonds soll der notwendige Umbau der Krankenhauslandschaft in Deutschland finanziell unterstützt werden. Hierzu zählen zum Beispiel Maßnahmen zur Konzentration von Versorgungsstrukturen, die Verbesserung der Qualität sowie die Stärkung sektorenübergreifender Versorgungskonzepte.

In der Verordnung wird festgelegt, wie Anträge gestellt werden, welche Voraussetzungen für eine Förderung erfüllt sein müssen. Festgelegt wird auch, wie solche Mittel verteilt werden und welche Nachweispflichten bestehen, damit nur solche Projekte unterstützt werden, welche einen klaren Beitrag zur Transformation der Krankenhausversorgung leisten.

Quellen
Verordnung zur Verwaltung des Transformationsfonds im Krankenhausbereich (externer Link)

21. Februar 2025
von Synagon
Kommentare deaktiviert für EVB-IT in einem digitalen Rahmenvertrag zusammengefasst

EVB-IT in einem digitalen Rahmenvertrag zusammengefasst

Die Anwendung EVB-IT digital (externer Link) wurde entwickelt, um den Prozess der IT-Beschaffung zu digitalisieren und damit zukunftsfähiger und vereinfacht zu gestalten. Die Anwendung, welche im Webbrowser lokal ausgeführt wird, ermöglicht einem Anwender die automatisierte Erstellung von Verträgen durch eine Interviewtechnik und einen Vertrags-Wizard, der standardisierte Regelungs- und Vertragselemente kombiniert. Diese Methode soll die Verwaltungsdigitalisierung unterstützen und legt einen weiteren Grundstein für das Smart-Contracting in der Vertragsverwaltung.

Langfristig sollen die dokumentorientierten Formularverträge (externer Link) durch EVB-IT digital abgelöst werden, um komplexe Leistungen der Digitalwirtschaft praxisgerecht abzubilden und Open Government zu unterstützen. Perspektivisch ist die Integration in weitere Geschäftsprozesse wie Vergabemanagement-, Vertragsmanagement- und Warenwirtschaftssysteme geplant.

Was sind EVB-IT?

Die EVB-IT (Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen) sind standardisierte Vertragsregelungen, die speziell für IT-Beschaffungen der öffentlichen Hand entwickelt wurden. Diese Regelungen steigern die Akzeptanz im Markt und reduzieren den Prüfaufwand. Seit Mitte der 90er Jahre werden die EVB-IT von einer Arbeitsgruppe unter der Leitung des Bundesministeriums des Innern und für Heimat sowie Vertretern von Bund, Ländern und Kommunen erstellt. Die Verhandlungen mit der IT-Wirtschaft werden vom Bitkom e.V. geführt.

Informationen zu den EVB-IT digital finden Sie hier.

Quelle und weiterführende Informationen: https://www.cio.bund.de/