Mangelnder Datenschutz in der Praxis kann teuer werden
Marzena SickingCyber-Attacken auf Arztpraxen häufen sich. Das kann übel ausgehen, denn Ärzte sind gesetzlich zum strengen Datenschutz verpflichtet. Wer dieser Verpflichtung nicht nachkommt, muss mit hohen Schadenersatzforderungen rechnen. Die finanziellen Folgen des Image-Schadens kommen noch dazu. Umso wichtiger ist es, die IT-Infrastruktur gegen unerlaubte Zugriffe abzusichern. Die wichtigsten Maßnahmen.
Der Fall einer Arztpraxis im Breisgau ging durch die Medien: Sie wurde Opfer eines üblen Hackerangriffs. Der Arzt konnte nicht mehr auf die Patientendaten zugreifen. Leider ist das inzwischen kein Einzelfall mehr. Dennoch nehmen viele Ärzte das Thema IT-Schutz noch immer auf die leichte Schulter.
Angriffe auf IT-Infrastruktur nehmen zu
Grundsätzlich muss heutzutage jeder, der personenbezogene Daten verarbeitet, mit Angriffen auf seine IT-Infrastruktur rechnen. Viele Ärzte glauben, dass sie nichts zu befürchten haben, weil ihre Praxis nur klein, die Patientendaten nicht weiter interessant sind. Doch das Gegenteil ist der Fall: In den vergangenen Jahren ist ein regelrechter Schwarzmarkt für personenbezogene Daten entstanden, Gesundheitsdaten sind da sogar besonders „heiß begehrte Ware“. Außerdem: Wenn der Zugriff auf überlebenswichtige Patientendaten wie im Breisgau nicht mehr möglich ist, entspricht dies – unabhängig von der Frage, ob Unbefugte Zugriff darauf haben – für Arzt und Patienten einem Worst-Case-Szenario.
Datenschutz ist Pflicht, Verstöße werden teuer
Dazu kommt noch der immense finanzielle Schaden, den der Arzt befürchten muss. Im schlimmsten Fall kann der sogar den Ruin für den Arzt bedeuten. Jeder Praxisinhaber ist durch das Bundesdatenschutzgesetz (§ 9 BDSG) und die Datenschutzgesetze der Länder verpflichtet, alle Patientendaten mittels technischer und organisatorischer Maßnahmen zu schützen. Beispielsweise sollen gemäß § 3a BDSG personenbezogene Daten anonymisiert oder pseudonymisiert werden, soweit dies möglich und verhältnismäßig ist. Tut ein Praxisbesitzer es nicht, sind bei einer Datenpanne Bußgelder durch die Aufsichtsbehörde, zivilrechtliche Schadensersatzansprüche der Patienten und strafrechtliche Konsequenzen möglich. Auch berufsrechtliche Folgen sind nicht auszuschließen. Meist bedeutet so ein Schaden die Vernichtung der finanziellen Existenz: Bei erwiesener Fahrlässigkeit muss nämlich keine Versicherung für den Schaden aufkommen.
Die wichtigsten Sicherheitsmaßnahmen
Die Regelung und Protokollierung der Zugriffsrechte von Mitarbeitern der Arztpraxis sind ein erster, wichtiger Schritt zum Schutz der Datensätze. Auf technischer Ebene muss die IT-Infrastruktur stets den aktuellen Sicherheitsstandards entsprechen. Ein einmaliges Einrichten der Struktur ist längst nicht mehr ausreichend. Es findet ein „Wettrüsten“ zwischen den Betreibern von IT-Infrastrukturen und den Hackern statt, dem sich Praxisbesitzer nicht verschließen dürfen, wenn sie die Sicherheit der Patientendaten garantieren wollen.
Die Bundesärztekammer und die Kassenärztliche Bundesvereinigung geben regelmäßig Empfehlungen zum Datenschutz und zur Datenverarbeitung in der Arztpraxis heraus, um auf geänderte Begebenheiten hinzuweisen. Hierdurch kann sich jeder Arzt auf dem Laufenden halten, was das Rechtliche und Technische des Datenschutzes anbelangt. Um sich davor zu schützen, wie der Kollege aus dem Breisgau eines Tages keinen Zugriff mehr auf die eigenen Patientendaten zu haben, sollte jeder Arzt außerdem Sicherungskopien anfertigen und diese außerhalb der Praxis aufbewahren. Etwaige Schutzmaßnahmen müssen jedoch auch in Bezug auf den Aufbewahrungsort der Sicherungskopie eingehalten werden.