Die Digitalisierung hat die deutschen Krankenhäuser und das deutsche Gesundheitswesen erreicht, jedoch fehlte bislang die finanzielle Unterstützung, um Zukunftsprojekte und informationstechnische Maßnahmen zu fördern. Diese sind aber für Krankenhäuser, die als Kritische Infrastrukturen (KRITIS) den hohen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entsprechen müssen besonders wichtig. Verantwortliche in Krankenhäusern stehen nun vor der Herausforderung die Mittel des Krankenhauszukunftsgesetz für die Digitalisierung ihrer Infrastrukturen zu nutzen und parallel die Herausforderungen der Corona Pandemie zu meistern.
Welche Rolle spielt die Informationssicherheit im KHZG?
Eine der Voraussetzungen des KHZG (§ 14a Abs. 3 Satz 5) ist, dass 15% der beantragten Mittel für Maßnahmen, die zur Verbesserung der Informationssicherheit führen zu verwenden sind. Laut einer Studie der Roland-Berger-Stiftung im Jahr 2017, waren bereits 64% aller Kliniken in Deutschland Opfer von Cyber-Attacken und die Tendenz ist steigend. Auf Grund des enormen Finanzdrucks sind Krankenhäuser nicht ausreichend vor Cyberangriffen geschützt. Ziel des Digitalisierung-Updates ist unter anderem das branchenspezifische Sicherheitsstandards (B3S) zur Verbesserung der IT-Sicherheit in deutschen Krankenhäusern beitragen. Diese umfassen nicht nur die Absicherung informationstechnischer Systeme, sondern auch den Schutz der Gesundheitsdaten der Patienten. Krankenhäuser verpflichten sich hierdurch datenschutzrechtliche Vorschriften einzuhalten, um förderungsfähig zu sein.
Verbesserung der IT-bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken. Maßnahmen zur Verbesserung der IT-bzw. Cybersicherheit sind bei diesen Krankenhäusern bisher von der Förderung nach dem Krankenhausstrukturfondsausgeschlossen (Fördertatbestand 10 (§19 Abs. 1 Satz 1 Nr. 10 KHSFV). Dazu zählen Einzelmaßnahmen oder die Kombination von Maßnahmen:
- Einführung eines Informationssicherheitsmanagementsystem nach ISO 27001 nativ oder BSI IT-Grundschutz
- Maßnahmen zur Präventation
- u.a. Systeme zur Zonierung von Netzwerken, Next Generation Firewalls, sichere Authentisierungssysteme, Micro-Virtualisierung/Sandbox-Systeme, Schnittstellen-Kontrolle, Intrusion Prevention Systeme; Network Access Control, Schwachstellenscanner, Softwareversionsmanagement, Datenschleusen, Datendioden, VPN-Systeme, verschlüsselte Datenübertragung, verschlüsselte mobile Datenträger
- Cloud-und KI gestützte Verfahren zur Erkennung von Angriffen
- Maßnahme zur Detektion
- u.a. Security Operation Center, Log Management Systeme, Security Information Event Management Systeme, Intrusion Detection Systeme, lokaler Schadsoftwareschutz mit zentraler Steuerung, Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport
- Maßnahmen zur Mitigation
- u.a. automatisierte Backup-Systeme, lokaler Schadsoftwareschutz mit zentraler Steuerung
- Maßnahmen zur Awareness
- u.a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen
Was ist das Krankenhauszukunftsgesetz (KHZG)?
Das Krankenhauszukunftsgesetz ist ein Investitionsprogramm welches im Rahmen „Zukunftsprogramm Krankenhäuser“ die Digitalisierung der Deutschen Krankenhäuser fördert. Das Bundesamt für Soziale Sicherung hat den „Krankenhauszukunftsfond“ (KHZF) eingerichtet woraus die Deutschen Kliniken Fördermittel beantragen können. Insgesamt steht für das KHZG ein Fördervolumen von bis zu 4,3 Milliarden Euro zur Verfügung. Das am 29. Oktober 2020 in Kraft getretene KHZG hat einen Zeitplan zur Modernisierung der Krankenhäuser vorgelegt.
Was wird gefördert?
Ab dem 01.01.2021 hat das Bundesamt für Soziale Sicherung (BAS) 3 Milliarden Euro bereitgestellt damit die Krankenhäuser in moderne Notfallkapazitäten und Infrastrukturen investieren können. Die Länder müssen weitere Investitionsmittel von 1,3 Milliarden Euro aufbringen. In der Summe stehen demnach 4.3 Mrd. Euro zur Verfügung.
Das BAS übernimmt 70% der förderfähigen Kosten und die restlichen 30% des Vorhabens werden von Land und/oder Krankenhausträgern getragen. Für die 30% stellt die KfW entsprechend vergünstigte Finanzierungen zur Verfügung.
Förderfähige Kosten beinhalten insbesondere Investitionskosten für die Beschaffung, Entwicklung, Errichtung oder Erweiterung sowie den initialen Betrieb (bis zu drei Jahre) während der Projektlaufzeit der erforderlichentechnischen und informationstechnischen Maßnahmenoder deren Entgelt zur Nutzung von bereitgestellter Software im Rahmen von sog. Dienstleistungs-oder Nutzungsverträgenoder Subscriptionsmodellen, wie z.B. pay as you use oder platform as-a-service über einen Zeitraum von bis zu drei Jahren.
Wer darf Fördermittel beantragen?
Auf Grundlage des bundesweit gültigen Krankenhausfinanzierungsgesetzes (§6 KGH) und der länderspezifischen Krankenhausgesetze hat jedes Land die Entscheidungsgewalt darüber welche Krankenhäuser in die Krankenhausplanung des jeweiligen Landes aufgenommen werden. Alle hier zugelassenen Einrichtungen haben das Recht einen Antrag zu stellen, jedoch heißt dies nicht, dass Sie einen Anspruch auf eine Förderung haben (KHZG §14a Absatz 4 Satz 4). Der Krankenhausträger erstellt eine Bedarfsanmeldung (KHZG §14a Absatz 4 Satz 1) und das jeweilige Land bestimmt für welche Vorhaben eine Förderung beim BAS beantragt werden soll (KHZG §14a Absatz 4 Satz 3). Letztendlich entscheidet das BAS über die Förderung und die entsprechende Bewilligung von Fördermitteln (KHZG §14a Absatz 6 Satz 1). Privatkliniken, Vorsorge- und Rehabilitationskliniken sind von der Förderung ausgeschlossen.
Welche Voraussetzungen müssen erfüllt sein, um einen Antrag zu stellen?
Das zur Förderung beantragteVorhaben darf frühestens am 02. September 2020 begonnen haben. Eine Mehrfachförderung (verschiedener Projekte eines Antragstellers) ist ausgeschlossen
Krankenhäuser müssen einen finanzielle Eigenanteil von 30% am Vorhaben tragen. Seit dem 1. Februar 2021 unterstützt die Kreditanstalt für Wiederaufbau (KfW) im Auftrag des Bundesamtes für Soziale Sicherung (BAS) die Krankenhäuser in Deutschland bei Investitionen in ihre digitale Infrastruktur mit zinsverbilligten Förderkrediten (1%) bis zu einer Höhe von 50 Millionen Euro und einer Laufzeit von 30 Jahren bei 20 Jahren Zinsbindung sowie verzögerter Tilgung. Es werden bis zu 100% finanziert.
Die Krankenhäuser international anerkannte Standards für die Interoperabilität der digitalen Dienste verwenden.
Welche Fördervoraussetzungen wurden festgelegt und welche Anforderungen werden an förderfähige Vorhaben gestellt?
Laut §19 Absatz 1 Satz 1 der KHSVF (Krankenhausstrukturfonds-Verordnung) handelt es sich um folgende 11 Maßnahmen:
Derzeit stellt sich die Frage, ob Projekte, die nicht alle Kriterien erfüllen, nicht förderfähig sind und Projekte von der Förderung ausgeschlossen werden.
Wer überprüft die Eignung informationstechnischer Maßnahmen?
Laut §21 Absatz 5 Satz 1, gibt das BAS Mitarbeiterinnen und Mitarbeitern von IT-Dienstleistern die Berechtigung, festzustellen, ob die vorgesehenen informationstechnischen Maßnahmen den Voraussetzungen zur Bewilligung der Fördermittel erfüllen. Eine Bewertung ob die geplanten Vorhaben auch hinsichtlich der finanziellen, zeitlichen und inhaltlichen Rahmenbedingungen realisiert werden können ist ebenfalls Bestandteil der Überprüfung.
Ab Januar 2021 können sich IT-Dienstleister und interessierte Krankenhausträger nach §21 Absatz 5 Satz 2 KHSVF kostenfrei auf der Homepage des BAS für die Antragserstellung schulen lassen. Die Schulung besteht aus vier Lerneinheiten und beansprucht nur 1,5 Stunden.
Was sollte man bei der Auswahl des IT- oder Cybersecurity Dienstleisters beachten?
Für Vorhaben nach § 19 Abs. 1 Satz1 Nr. 2 bis 6, 8 und 10 KHSFV sind nur IT-Dienstleister, die für das Krankenhaus die geförderten Digitalisierungsvorhaben umsetzen sollen, von den Krankenhausträgern/Hochschulkliniken zu beauftragen, die vom BAS gemäß § 21 Abs. 5 KHSFV berechtigt worden sind. Mitarbeiter der IT- und Cybersecurity Dienstleister müssen eine Onlineschulung und -tests erfolgreich absolviert haben.
Besondere Vorsicht ist geboten, wenn der Anbieter (IT-Dienstleister) Zugriff auf Patientendaten und Gesundheitsdaten hat. Laut der datenschutzrechtlichen Compliance des KHZG, wird hier eine vertragliche Vereinbarung zum Datenschutz gefordert.
Wie werden die Fördermittel beantragt und wer entscheidet, welche Fördervorhaben gefördert werden?
*Für die Entscheidung haben die Länder nach Eingang der Bedarfsanmeldung max. drei Monate Zeit.
Wie erfahren die Länder, in welcher Höhe ihnen Fördermittel zur Verfügung stehen?
Das BAS hat die Förderanteile der jeweiligen Länder entsprechend ihrem jeweiligen Anteil nach dem Königsteiner Schlüssel veröffentlicht:
Anteile und Beträge zur Förderung von Vorhaben der Länder mit Mitteln des Zukunftsfonds im Jahr 2021
Die einem Land zustehenden Fördermittel, die nicht bis zum 31. Dezember 2021 ausgeschöpft werden, laufen Ende des Jahres 2023 aus und werden durch das BAS an den Bund zurückgeführt. Eine Nachverteilung der Mittel wird nicht stattfinden.
Antragsformulare & Fördermittelrichtlinie
Krankenhauszukunftsfonds Fördermittelrichtlinie
Anmeldung eines Förderbedarfs aus dem Krankenhaus-Zukunftsfonds
Antrag auf Gewährung von Fördermitteln aus dem Krankenhaus-Zukunftsfonds/Hauptantrag
