Dannecker/Dittrich/Müller/Schaich (Hrsg.): Das krisenresiliente Krankenhaus und MVZ. Kontinuität von Betriebsabläufen in Zeiten von Krisen und Cyberangriffen sichern, 2024, Kohlhammer Verlag, ISBN 978-3-17-042443-2

Pandemische Ereignisse, Naturkatastrophen, Lieferkettenunterbrechungen und Cyberattacken: (Auch) Krankenhäuser und MVZ sind vermehrt solchen potenziell betriebsbeeinträchtigenden Ereignissen ausgesetzt. Unvorbereitet ist es im Ernstfall meist zu spät; Maßnahmen zur Sicherung der Kontinuität des Betriebsablaufs auch in der Krise müssen in aller Regel bereits (viel) früher getroffen werden, Stichwort „Business Continuity Management (BCM)“. Im besten Fall ist die Einrichtung auf den Ernstfall vorbereitet und bleibt funktionsfähig. Gerade bei Krankenhäusern und MVZ ist das von zentraler Bedeutung. Diese Krisenresilienz ist nicht zuletzt eine Frage der Unternehmens-Compliance. Das regulatorische Umfeld wird immer dichter. Zahlreiche Vorschriften auf nationaler und europäischer Ebene existieren bereits oder werden geschaffen. Verstöße können – auch außerhalb der Krise – empfindliche Rechtsfolgen auslösen. In dieser „immer breiteren Regulierung zur Risikovorsorge“ will das von Gerhard Dannecker, Tilmann Dittrich, Nadja Müller und Marcel Schaich herausgegebene und von ihnen sowie sieben weiteren Autorinnen und Autoren verfasste Werk ein „praktische[r] Leitfaden“ sein (Klappentext).

Nach einer mit praktischen Beispielen für potenziell betriebsstörende Krisen illustrierten Einführung in die Problematik werden zunächst die Rechtsgrundlagen für BCM und Compliance ausgeleuchtet (Kap. 2). Und das sind viele. Zu nennen sind etwa die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-RL“) und die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen auf Ebene der EU und deren (geplante) Umsetzungsgesetze auf nationaler Ebene (Entwürfe eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes und eines KRITIS-Dachgesetzes) sowie das BSIG nebst BSI-KritisV. Darüber hinaus finden sich Regelungen beispielsweise auch im SGB V (§ 391 SGB V), im AktG, im GmbHG und im StaRUG sowie im Straf- und Ordnungswidrigkeitenrecht. Breit werden außerdem die (allgemeine) Compliance (bis hin zum Hinweisgeberschutzgesetz und zum Lieferkettensorgfaltspflichtengesetz) und deren Verhältnis zum BCM adressiert. Die Verfasser kommen zum Ergebnis, dass die Unternehmensleitung dazu verpflichtet ist, Vorsorgemaßnahmen zur Absicherung der Betriebskontinuität im Sinne des BCM zu treffen.

In den folgenden Kapiteln werden ausgewählte Bereiche näher behandelt. Nicht ohne Grund nimmt die Cybersicherheit hier breiten Raum ein. Detailliert gehen die Autoren den rechtlichen Anforderungen an die Cybersicherheit in Krankenhaus und MVZ nach. Auch praktische Fragen für den Fall der Fälle werden angesprochen: Darf man ein „Lösegeld“ zahlen, um wieder Zugriff auf die eigenen Daten zu erlangen? Sind Behörden zu informieren? Sollte man eine Strafanzeige erstatten und was tut die Staatsanwaltschaft dann eigentlich? Und wie steht es um Versicherungslösungen für Risiken durch Cyberangriffe („Cyber-Versicherung“)? Weitere Themen (allerdings deutlich knapper gehalten) sind die Krankenhausalarm- und -einsatzplanung („KAEP“), der Brandschutz im Krankenhaus und die im Rahmen der Corona-Pandemie breit diskutierte Priorisierung von medizinischen Leistungen („Triage“).

Im sechsten Kapitel geht es schließlich um BCM in der Praxis. Ausgehend von den Zielen der Implementierung eines Business-Continuity-Management-Systems und dessen Strukturen werden die einzelnen Phasen der Umsetzung (Initiierung, Analyse & Konzept, Implementierung, Planung, Validierung, Schulung & Awareness) erläutert. Ausfallszenarien (etwa Gebäude-, IT- oder Personalausfall) werden vorgestellt und Lösungsoptionen benannt. Beispiele und tabellarische Übersichten helfen, in die komplexe Thematik einzusteigen.

Ein Krankenhaus oder MVZ krisenresilient zu machen, ist ein langer Weg. Das regulatorische Umfeld ist breit gefächert. Das Werk vermittelt einen soliden, wissenschaftlich fundierten Überblick und sorgt für die notwendige „Awareness“. Zugleich gibt es umfangreich praktische Hinweise zum Business Continuity Management. Dem Anliegen, einen „praktischen Leitfaden“ zu bieten, wird das Buch deshalb in jeder Hinsicht gerecht.

Rezensent:

Prof. Dr. Jan Eichelberger, LL.M.oec.

Institut für Rechtsinformatik

Juristische Fakultät

Leibniz Universität Hannover

Königsworther Platz 1

30167 Hannover