ServiceNow HCLS – Wenn Compliance zur Chefsache wird

Thomas Cohrs
Thomas Cohrs
Thomas Cohrs ist ein ServiceNow-Profi und Geschäftsführer von servistio. Er beschäftigt sich seit vielen Jahren intensiv mit ServiceNow und der Optimierung von IT-Service-Management-Prozessen sowie Customer- und Employee Workflows. Seine Expertise umfasst den gesamten Bereich des ServiceNow Portfolios in diesen Bereichen.

DSGVO und NIS2 im Gesundheitswesen und wie ServiceNow Healthcare and Life Science (HCLS) Sicherheit schafft

Stellen Sie sich vor, ein Krankenhaus wird Opfer eines Ransomware-Angriffs. Die klinischen Systeme fallen aus, Operationen müssen verschoben werden, Patientendaten sind möglicherweise abgeflossen. Was folgt, ist kein rein technisches Problem. Es ist eine Krise auf Geschäftsführungsebene. Innerhalb von 24 Stunden muss eine Erstmeldung an die Behörden raus. Innerhalb von 72 Stunden ein detaillierter Bericht. Und im Hintergrund läuft die Uhr für mögliche Bußgelder, die im schlimmsten Fall in die Millionen gehen.

Genau dieses Szenario wird für Gesundheitseinrichtungen in Europa zunehmend zur Realität. Nicht als theoretisches Risiko, sondern als operatives und haftungsrechtliches Alltagsthema.

Zwei Regelwerke, eine klare Botschaft

Das europäische Gesundheitswesen steht unter doppeltem regulatorischem Druck. Einerseits die DSGVO, die seit 2018 in Kraft ist und für Gesundheitsdaten besonders strenge Anforderungen stellt. Patientendaten gelten als besondere Kategorie personenbezogener Daten nach Artikel 9 und erfordern explizite, dokumentierte Einwilligung. Andererseits die NIS2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt sein musste und den Rahmen für Cybersicherheit in kritischen Einrichtungen grundlegend neu gesetzt hat.

Krankenhäuser, Klinikketten und Labore fallen als sogenannte wesentliche Einrichtungen unter die strengste Kategorie der NIS2. Das bedeutet proaktive Aufsicht, regelmäßige Audits und im Ernstfall erhebliche Sanktionen. Beide Regelwerke greifen ineinander. Wer eines davon ignoriert, hat meistens auch beim anderen ein Problem.

NIS2
10 Mio. Euro oder 2% des Jahresumsatzes
  • Versäumnisse im Cybersicherheits-Risikomanagement
DSGVO
20 Mio. Euro oder 4% des Jahresumsatzes
  • Verstöße gegen den Schutz personenbezogener Daten

Was das konkret bedeutet und warum Excel nicht reicht

In der Praxis sieht die Realität vieler Gesundheitsorganisationen noch anders aus. Datenschutz-Folgenabschätzungen werden in Tabellen verwaltet, Einwilligungen in Papierdokumenten gespeichert, Meldeprozesse improvisiert. Das mag bei einer Routinekontrolle durchgehen. Im Ernstfall nicht.

Die NIS2-Richtlinie schreibt ein dreistufiges Meldeverfahren vor. Eine Erstmeldung muss innerhalb von 24 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls erfolgen, nicht nach Abschluss der internen Untersuchung, sondern nach Bekanntwerden. Eine detailliertere Meldung mit Bewertung, Ausmaß und ersten Gegenmaßnahmen folgt innerhalb von 72 Stunden. Der Abschlussbericht ist nach spätestens einem Monat fällig. Wer diese Fristen einhalten will, braucht vorab funktionierende Prozesse und keine improvisierte Krisenkommunikation.

Auf der DSGVO-Seite ist die Lage ähnlich anspruchsvoll. Patienteneinwilligungen müssen granular, zeitgestempelt und nachweisbar sein. Ein pauschales Einverständnis zur Datennutzung genügt nicht, schon gar nicht wenn diese Daten für Forschungszwecke oder Sekundäranalysen genutzt werden sollen. Die Aufsichtsbehörden prüfen nicht, ob eine Einwilligung irgendwo hinterlegt wurde, sondern ob sie dem Standard nach Artikel 7 DSGVO entspricht. Freiwillig, spezifisch, informiert, unmissverständlich und jederzeit widerrufbar.

ServiceNow Healthcare and Life Sciences (HCLS) als Plattform für regelkonforme Prozesse

Was beide Regelwerke verbindet, ist ein Grundprinzip. Compliance muss in die operativen Prozesse eingebettet sein, nicht als Nachkontrolle draufgesetzt werden. Das klingt selbstverständlich, ist in der Praxis aber selten der Fall.

ServiceNow Healthcare and Life Sciences (HCLS) ist eine branchenspezifische Lösung, die auf einem einheitlichen, HL7/FHIR-kompatiblen Datenmodell basiert. Anders als generische Ticketing-Systeme schafft HCLS ein System of Action, das speziell auf klinische Umgebungen ausgerichtet ist. Es verbindet Patientendaten, die Verwaltung medizinischer Geräte und den Servicebetrieb auf einer einzigen, sicheren Plattform. Das Ergebnis: Jede administrative Aufgabe ist von Anfang an audit-fähig und regelkonform angelegt.

Die Plattform schafft damit eine zentrale Schicht, in der Einwilligungen verwaltet, Vorfälle dokumentiert und Meldeprozesse automatisiert werden können. Kein Tool-Wirrwarr aus verschiedenen Systemen, keine Brüche zwischen klinischer Dokumentation und IT-Incident-Management, sondern ein durchgehender, auditierbarer Datenpfad.

Das ist kein Versprechen, das man pauschal einlösen kann. Es hängt davon ab, wie die Plattform eingeführt wird. Genau das ist der Punkt, an dem Implementierungsqualität den Unterschied macht.

Was bei einer Einführung wirklich bedacht werden muss

Ein ServiceNow-Projekt im Gesundheitsumfeld ist kein Standard-Rollout. Wer die regulatorischen Anforderungen ernst nimmt, muss mehrere Dimensionen gleichzeitig im Blick behalten.

Consent-Management im Detail.

Es reicht nicht, Einwilligungen irgendwo zu speichern. Sie müssen versioniert sein. Welche Einwilligungsversion hat der Patient wann für welchen Zweck erteilt? Und wenn er die Einwilligung widerruft: Welche Systeme müssen wie aktualisiert werden? Das muss bei der Implementierung von Anfang an mitgedacht werden, nicht als späteres Add-on.

Incident-Response-Prozesse.

Die NIS2-Meldefristen lassen keinen Raum für Improvisation. Ein gut eingerichtetes ServiceNow-System kann den Meldeprozess strukturieren: von der ersten Erkennung eines Vorfalls über die interne Eskalation bis zur behördlichen Meldung, mit vollständigem Audit-Trail, der im Nachgang nachweist, dass alles regelkonform abgelaufen ist.

Datensouveränität und Cloud-Entscheidungen.

Seit dem Schrems-II-Urteil des EuGH ist klar, dass die Speicherung von Gesundheitsdaten auf Servern außerhalb des EU-Rechtsraums rechtlich heikel ist. ServiceNow bietet eine EU Sovereign Cloud Option, die sicherstellt, dass Daten und Audit-Logs innerhalb europäischer Jurisdiktionsgrenzen bleiben. Diese Entscheidung muss früh in der Projektplanung getroffen werden, denn nachträgliche Migrationen sind aufwendig und teuer.

Lieferkette und Drittanbieter.

NIS2 macht explizit: Die Verantwortung endet nicht an der eigenen Firewall. Jeder Drittanbieter, der Zugang zu kritischen Systemen oder Patientendaten hat, muss im Risikomanagement berücksichtigt werden. Das bedeutet vertragliche Anforderungen, Audit-Rechte und Meldepflichten gegenüber dem Drittanbieter. Auch das ist ein Konfigurationsproblem, das in ServiceNow abgebildet werden kann, aber nur wenn es im Implementierungsprojekt explizit adressiert wird.

Verantwortlichkeit auf Führungsebene.

NIS2 schreibt vor, dass das Management persönlich für Cybersicherheitsverstöße haftbar gemacht werden kann. Das ist keine theoretische Drohkulisse. Es bedeutet, dass Vorstände und Geschäftsführer wissen müssen, was in ihrer Infrastruktur passiert und dass entsprechende Dashboards und Reportingstrukturen nicht nur für die IT-Abteilung existieren, sondern auf Entscheiderebene lesbar sind.

Wir beraten Sie gern

Melden Sie sich!

Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Name
Einwilligung(erforderlich)