Wie Praxen ihre sensiblen Daten zuverlässig sichern
Judith MeisterEin fehlendes Daten-Back-up kann für Arztpraxen sehr viel Ärger bedeuten. Welche Sicherungsstrategien wirklich schützen und welche rechtlichen Vorgaben gelten.
Ein erfolgreich abgeschlossenes Medizinstudium genügt schon lange nicht mehr, um als niedergelassener Arzt oder Ärztin in Deutschland zu bestehen. In Zeiten der Digitalisierung müssen sie sich auch intensiv mit datenschutzrechtlichen Fragen auseinandersetzen – gerade wenn es um die Speicherung sensibler Patienteninformationen geht.
Die rechtlichen Grundlagen des richtigen Umgangs mit Gesundheitsdaten finden sich sowohl in der Datenschutz-Grundverordnung (DSGVO) als auch im Sozialrecht und den IT-Sicherheitsrichtlinien der KVen. Bedenken sollten Praxisinhaber stets, dass das Thema Datenspeicherung nicht nur den Datenschutz umfasst, sondern auch die Datenverfügbarkeit. Praxen müssen also sicherstellen, dass sich die sensiblen Patientendaten bei technischen Störungen zeitnah wiederherstellen lassen.
Das ist oft leichter gesagt als getan. Denn vielfach sind es kleine Fehler, die zum datenschutzrechtlichen Supergau – dem Vollverlust von Daten – führen: ein fehlerhaftes Software-Update, eine defekte Festplatte oder das Öffnen eines E-Mail-Anhangs mit Schadprogramm. All das kann jeden Tag passieren. Wenn dann ein Back-up-System fehlt, können sämtliche Patientendaten unwiderruflich verloren sein oder im Darknet auftauchen.
Es gibt unterschiedliche Methoden, um alle relevanten Daten zu sichern
Doch wie lässt sich sicherstellen, dass die eigene Praxis den strengen daten(schutz)rechtlichen Anforderungen genügt? Als Erstes sollte man den Bedarf der eigenen Praxis richtig einschätzen. Ein MVZ mit Labor und großen Datenmengen braucht andere Speicherkapazitäten als eine kleine Einzelpraxis. Wichtig ist zudem, die Datensicherheit zur Chefsache zu machen und das Bewusstsein aller Mitarbeiter, die mit der EDV arbeiten, zu schärfen. Sie sollten wissen, dass eine Sicherung aller relevanten Daten – einschließlich Datenbanken, Abrechnungsdaten, Befunddokumentationen und Systemeinstellungen erforderlich ist. Dabei sind mehrere Varianten denkbar:
Innerhalb der Praxis – zum Beispiel mit externen Festplatten oder Netzwerkspeicher (NAS). Der Vorteil dieses Verfahrens: Die Praxis behält die volle Kontrolle über die Daten. Der Nachteil: Da die Hardware in der Praxis steht, besteht bei einem Wasserschaden oder Einbruch das Risiko eines Datenverlusts.
Außerhalb der Praxis mithilfe von Cloudanbietern oder spezialisierten Rechenzentren. Die räumlich getrennte Sicherung minimiert das Verlustrisiko. Der Nachteil: Der Praxischef muss einen Vertrag mit einem externen Dienstleister schließen, der den Vorgaben des Art. 28 DSGVO entspricht. Zudem sind weitere Fragen zu prüfen, etwa, wo die Server stehen, auf denen die Daten landen, welche Verschlüsselungstechniken zum Einsatz kommen und wer Zugriff auf die Daten hat.
Besser als manuelle Datensicherungen sind außerdem automatisierte Back-ups, die täglich oder wöchentlich im Hintergrund laufen. Wichtig ist dabei, regelmäßig zu prüfen, ob die Abläufe reibungslos funktionieren und sich alle Daten wiederherstellen lassen. In kleineren Praxen mit überschaubarer IT lassen sich solche Tests selbst durchführen. Bei größeren Einheiten empfiehlt es sich aber, schon aus haftungsrechtlichen Gründen, die Überprüfungen einem spezialisierten Dienstleister anzuvertrauen. Allerdings bleibt es auch in dieser Konstellation die Aufgabe der Praxisleitung, den Test zu beauftragen, zu kontrollieren und zu dokumentieren.
Checkliste zur rechtssicheren Datensicherung
Bedarf ermitteln: Welches Datenschutzkonzept braucht die eigene Praxis heute und in Zukunft?
Sicherungskonzept erstellen: Schriftlich festlegen, welche Daten wann, wo und wie gespeichert werden sollen.
Tägliche automatische Back-ups einrichten: Rein manuelle Verfahren sind im Praxisalltag fehleranfällig.
Daten getrennt vom Praxisserver speichern: Mindestens ein externer Speicherort ist zu empfehlen – idealerweise außerhalb der Praxis.
Vertrag zur Auftragsverarbeitung schließen: Wer Cloud-Speicher ohne einen rechtssicheren Vertrag nutzt, verstößt damit womöglich gegen die ärztliche Schweigepflicht.
Funktionsfähigkeit des Back-ups regelmäßig testen: Verantwortung liegt bei der Praxisleitung.