Dauerbaustelle Datenschutz

Die IT-Sicherheitsrichtlinie und andere

Eine wichtige – wenn nicht die wichtigste – Basis ist die IT-Sicherheitsrichtlinien gemäß § 75b SGB V. Sie legt fest, welche Anforderungen Ärzte, Zahnärzte und Psychotherapeuten erfüllen müssen – differenziert nach Praxisgröße und IT-Infrastruktur. Zur IT-Sicherheitsrichtlinien kommen noch weitere Gesetze und Verordnungen, die ins Gewicht fallen:

• Datenschutzgrundverordnung (DSGVO)
• IT-Grundschutz des BSI
• Bundesdatenschutzgesetz (BDSG)
• Ärztliche Schweigepflicht nach § 203 StGB

So weit, so gut, so weit so klar. Im Praxisalltag aber spielen leicht nachvollziehbar ganz andere Dinge die großen Rollen und der Datenschutz gerät ganz leicht ins Vergessen.

Immer an die „Basics“ denken

Einfallstore für Cyberkriminelle sind oft alte Softwareversionen. Deshalb sollten alle – und das meint wirklich alle – Updates sofort aufgespielt werde. Das gilt für das Betriebssystem genauso wie für Office-Software, Browser oder Treiber. Weil der Verlust von Daten schnell eine Katastrophe werden kann, muss es ein Backup-Konzept geben, das am besten von professionellen IT-Dienstleistern wie mediorbis eingerichtet und betreut wird.

Daneben gilt es auch den gesunden Menschenverstand aktuell zu halten. Das gilt vor allem für Schadsoftware, die per E-Mail mit Dateianhang in die Praxis kommt. Den Datenkriminellen kommt dabei zugute, dass E-Mail-Adressen ohne viel Aufwand gefälscht werden können. Bei auch nur im Ansatz verdächtigen Mails gilt es immer im E-Mail-Programm die komplette E-Mail-Adresse anzusehen oder versuchen, telefonisch zum Versender Kontakt aufzunehmen, bevor ein Anhang geöffnet wird.

Beispiele von der KBV aus der Praxis 

Neben dem Versenden von Schadmails gehen die Cyberkriminellen mittlerweile noch viel weiter und vor allem geschickter vor. Die KBV hat dazu ein Merkblatt veröffentlicht, das sehr lesenswert ist: IT-Sicherheit: Praxen im Visier von Hackern und Trojanern – Beispiele und Tipps zur Prävention.

Eingegangen wird dabei zum Beispiel auf Betrugsversuche per Anruf, bei dem sich die Anrufer als Mitarbeiter von Softwareherstellern ausgeben und vor einem Virenbefall warnen. Dabei bieten Sie an, die Praxis-PC per Fernwartung zu prüfen und können so – die Zustimmung durch die Praxis vorausgesetzt – Zugang bekommen. Neben diesem Fall von Support-Betrug durch Anruf werden noch vier weitere Fälle vorgestellt, die aus dem Alltag stammen:

• Unberechtigter Zugriff auf DSL-Router
• Support-Betrug durch Warnmeldung im Browser
• Digitaler Einbruch über Fernzugang der Praxis
• Verlust einer unverschlüsselten Datensicherung

Und was empfiehlt die KBV? Profis, Profis, Profis

Bei ihrer Empfehlung, wie sich solche Betrugsversuche vereiteln lassen, ist die KBV klar: „Am besten wird ein professioneller IT-Dienstleister beauftragt, eine entsprechende IT-Sicherheitsarchitektur in der Praxis aufzubauen … Auch treffen sie Vorsorge, damit Schadsoftware gar nicht erst auf den Praxis-Computer gelangt.“

Ein Tipp, dem Christian Wagner, Gründer der Anwaltsplattform advomeda und ein Experte auf dem Gebiet des Datenschutzes ist, uneingeschränkt zustimmt. Er weiß, dass Ärztinnen und Ärzte, die die Daten ihrer Patienten nicht schützen, datenschutzrechtlich, zivilrechtlich, strafrechtlich und berufsrechtlich belangt werden können: „Und um es klar zu sagen: Wir sprechen hier nicht über kleine Regelverstöße oder Bagatelldelikte.“

Bild 1: ©iStock / 4×6, Bild 2: ©iStock / baona