So schützen Sie Ihre Daten!

Konkret geht es um Fragen wie „Wie kann man als Praxisinhaber gewährleisten, dass nur wirklich befugte Personen Zugriff haben?“, „Wie kann man garantieren, dass Daten unverfälscht bleiben?“ oder „Wie sichert man sie gegen Verlust?“. 

Für Mediziner ist Datenschutz insofern ein heikles Thema, als Gesundheitsdaten aus Sicht der DSGVO ein erhöhtes Risiko für betroffene Personen mit sich bringen und daher unter besonderen Schutz gestellt werden. Es ist leicht einsehbar, dass eine E-Mail mit Patientendaten, die versehentlich an einen großen Verteiler geschickt wird, sehr brisant ist. Bei einer derartigen Datenpanne im medizinischen Bereich wären zum Beispiel die Aufsichtsbehörden und unter Umständen auch der Patient unmittelbar zu kontaktieren. Überdies kennt die Verordnung das Instrument der „Datenschutz-Folgenabschätzung”: Bei Verarbeitungstätigkeiten, die ein hohes Datenschutzrisiko erwarten lassen, ist vorab eine detaillierte Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Erforderlich kann eine Datenschutzfolgeabschätzung beispielhaft in folgenden Konstellationen sein:

• Eine Praxis führt eine Praxisverwaltungssoftware oder neue Versionen davon ein, die neue Funktionalitäten, insbesondere mit Auswertungsmöglichkeiten, zur Verfügung stellt. 

• Werden Patientendaten zur Analyse oder Auswertung an mehrere Standorte oder an Dienstleister weitergereicht, besteht ein erhöhtes Datenschutzrisiko aufgrund der geografischen Reichweite der Datenverarbeitungsvorgänge.

Das Bußgeld in Höhe von 400.000 Euro, das im Oktober in Portugal gegen ein Krankenhaus verhängt wurde, weil es die Zugriffsrechte auf Patientendaten mit der Gießkanne verteilt hatte, ist auch hier durch die Medien gegangen. Doch bedeutet Informationssicherheit nicht nur IT-Sicherheit, wie anhand eines weiteren Beispiels gezeigt werden soll: So kann es passieren, dass man als Patient in der Notaufnahme eines Krankenhauses zunächst brav an einem Schild mit der Aufschrift „Diskretion, bitte Abstand halten“ wartet, um dann am Empfang die eigenen Daten zu Protokoll zu geben und die akuten Symptome zu schildern.

Anschließend wird man in einen Wartebereich gebeten – der völlig offen hinter dem Empfang liegt. Während man also dort der weiteren Behandlung harrt, sprechen alle Personen, die nach einem an in die Notaufnahme kommen, laut und deutlich in dieselbe Richtung, in der man sitzt: Frau X, die wieder Probleme mit der Niere hat; ein Sanitäter, der versehentlich das Insulin von Herrn Y mitgenommen hat und nun dessen Anschrift erfragt; die Krankenschwester, die nur darüber lästern will, dass die Kollegin XY vier weitere Wochen wegen Burn-out fehlen wird. 

In diesem Szenario – das nicht erfunden ist – sind vor allem „organisatorische Maßnahmen“ erforderlich, wie es im Datenschutz-Jargon heißt, die diese Form der Offenlegung von höchst persönlichen Daten unterbinden. 

Die Grenze zu technischen Maßnahmen ist dabei fließend. Man stelle sich eine gewöhnliche Arztpraxis vor. Einer der Rechner am Empfang ist unmittelbar am Eingang zum Tresen aufgestellt, damit alle Mitarbeiter, die durch die Räume wirbeln, schnell im Stehen Druckaufträge für Rezepte erteilen oder Informationen über Patienten abrufen können. Wenn hier der Monitor, der leicht einsehbar für andere Patienten aufgestellt ist, nicht sorgfältig nach jedem Gebrauch gesperrt wird, können Unbefugte Einsicht in höchst persönliche Gesundheitsdaten nehmen. Im schlimmsten Fall könnte jemand einen unbeobachteten Moment ausnutzen, um weiter durch Ordner im System zu klicken und sich gezielt Informationen zu suchen. 

Arztpraxen müssen nicht nur „compliant“ mit den aktuellen Datenschutzgesetzen sein. Auch für das Vertrauen, das Ärzten entgegengebracht wird, ist der Umgang mit Patientendaten wesentlich. Dabei geht es nicht nur um Diskretion und Vertraulichkeit im klassischen Sinn, sondern auch um die technische und organisatorische Umsetzung einer Informationssicherheit, die mit dem aktuellen Stand der Technik Schritt hält. Zusammenfassend bedeutet das in präventiver Hinsicht: Schulung von Mitarbeitern, Einsatz von potenten Virenscannern und sinnvolle Trennung von Systemen in den Netzwerken. Was das Vorbeugen für den Schadensfall angeht, sind regelmäßige Back-ups erforderlich, die getrennt vom Praxisnetzwerk aufbewahrt und regelmäßig überprüft werden müssen. Tipp: Den Fragebogen, mit dem die Behörde prüft, stellt sie auf ihrer Website unter der Rubrik „Datenschützprüfungen“ zur Verfügung.

Die Prüfungen des BayLDA gehen jedoch IT-seitig noch weiter in die Tiefe und beleuchten die Sicherheit von Arztpraxen gegen Cyber-Angriffe. Während man vielleicht geneigt ist zu denken, dass die eigene Praxis zu unbedeutend sei, um Opfer von Cyber-Kriminellen zu werden, erreichen die Behörde nach eigenen Angaben wöchentlich Meldungen über derartige Vorfälle: Schadsoftware breitet sich automatisiert aus und greift jedes System an, das nicht ausreichend geschützt ist. Der Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet wenig Anlass zur Entwarnung: „Es gibt nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen, was hohe Aufmerksamkeit und Flexibilität zur Gewährleistung der Informationssicherheit erfordert.“ 

Insbesondere Verschlüsselungstrojaner und die entsprechenden Maßnahmen zur Prävention stehen im Fokus der bayrischen Datenschützer. Diese sogenannte Ransomware verwehrt den Zugriff auf einen Rechner oder schränkt ihn ein. In einer Textnachricht wird dem Opfer versprochen, bei Zahlung eines Lösegelds (Ransom = Lösegeld) die Ressourcen wieder freizugeben. Ist ein Rechner infiziert, kann sich die Schadsoftware zudem leicht im gesamten Netzwerk ausbreiten. Betroffen sind oft Ärzte und kleinere Betriebe, die sich der Gefährdungslage nicht bewusst sind oder über nur unzureichende Sicherheitsmaßnahmen verfügen. 

Abgesehen von der erhöhten Brisanz der Daten im Gesundheitssektor ist der wirtschaftliche Aspekt zu beachten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) taxiert den Schaden durch Ransomware auf weltweit mehr als 8 Milliarden Dollar für das Jahr 2017. In der deutschen Wirtschaft hat allein das Programm „Petya“ beziehungsweise „NotPetya“ im selben Zeitraum Schäden in Millionenhöhe angerichtet. Was dabei zu Buche schlägt, sind gar nicht so sehr die Lösegeldsummen. Betroffenen wird in der Regel ohnehin von einer Zahlung abgeraten, da keine Garantie für die tatsächliche Freigabe der Daten besteht. Nur in wenigen Fällen kann eine Wiederherstellung der Daten mühelos erfolgen, meist müssen teure Entschlüsselungs-Tools und -Spezialisten genutzt werden.

Infizierte Unternehmen haben in der Regel große Probleme, wieder zu einem geregelten Arbeitsalltag zurückzukehren. Zudem gehört eine Verschlüsselung von Daten durch einen Trojaner zu den meldepflichtigen Vorfällen, die damit eine Praxis ohne Not ins Blickfeld der Aufsichtsbehörden rücken. Das BayLDA überprüft derzeit stichprobenartig in Bayern, wie gut Praxen gegen solche Kryptotrojaner aufgestellt sind. Dabei gibt es grundsätzlich zwei Blickwinkel auf die Problematik: zum einen die Frage, wie sehr sich der mögliche Schaden für den Fall begrenzen lässt, dass das eigene System infiziert wird. Zum anderen ist natürlich zuerst darauf zu schauen, wie man sich von vornherein wappnen kann. 

Da Nutzer häufig die größte Schwachstelle bei etwaigen Angriffen sind, sind Sensibilisierungs- und Schulungsmaßnahmen der Mitarbeiter wichtig. Wenn sich Nutzer der bestehenden Gefahren bewusst sind, kann vieles verhindert werden. Ein großes Risiko besteht beispielsweise beim Klicken auf Links in einer E-Mail oder beim Öffnen von Dateianhängen, wenn die Herkunft der E-Mail nicht hundertprozentig vertrauenswürdig ist. Der Schutz von Systemen durch Virenscanner ist mittlerweile weithin etabliert. Bei der Auswahl ist es jedoch entscheidend, eine für den jeweiligen Zweck geeignete Software in einer aktuellen Version einzusetzen.

Nur wenn die Datenbank des Virenscanners aktuell gehalten wird, besteht der bestmögliche Schutz vor bekannter Schadsoftware. Die Schwachstellen eines Systems sind stets seine Verbindungen zur Außenwelt. Sobald ein Praxisverwaltungssystem an das Internet angeschlossen ist, wird es anfällig für Angriffe. Daher sollte es so isoliert wie möglich im Netzwerk eingebunden werden. Wenn die Netzlaufwerke mit Rechnern verbunden sind, die ans Internet angeschlossen sind, erhöht sich die Gefahr, dass auch die Daten auf diesen Netzlaufwerken verschlüsselt werden. Eine strikte Trennung auf Netzwerkebene von (Recherche-)Rechnern und Praxisverwaltungssystem verringert daher das Risiko, dass auch Patientendaten durch Ransomware verschlüsselt werden. 

Gänzlich auszuschließen ist das Risiko jedoch nie. Deshalb sollte jede Praxis darauf vorbereitet sein, dass Daten allen Vorkehrungen zum Trotz durch Ransomware verschlüsselt werden. Das Naheliegende ist, sich gar nicht erst erpressbar zu machen – indem man über das, was durch eine Lösegeldzahlung zurückgekauft werden soll, weiterhin verfügt. 

Daher sind regelmäßige Back-ups essenziell, um die ständige Verfügbarkeit von Patientendaten sicherzustellen. Im Fall der Verschlüsselung durch Schadsoftware können die Daten so schnell wiederhergestellt und somit die Beeinträchtigungen für Betroffene erheblich reduziert werden. Mithilfe eine geeigneten Software kann man die Erstellung von Back-ups erleichtern und automatisieren. Zudem hilft diese im Fall eines Datenverlusts bei der Wiederherstellung der Daten. 

Wichtig bei der Auswahl der Speichermedien ist, dass die erstellten Back-ups getrennt von den entsprechenden Rechnern liegen. Nur dann ist sichergestellt, dass nicht auch die Sicherungsdateien verschlüsselt und somit unbrauchbar werden. Überdies muss durch ein regelmäßiges Testen der Back-ups sichergestellt werden, dass im Fall eines Datenverlusts auch alle Daten wiederhergestellt werden können. So werden Fehler bei der Erstellung der Back-ups schnell erkannt und können sofort behoben werden. Aber auch Updates für Betriebssysteme und Anwendungen sollten regelmäßig und zeitnah eingespielt werden. 

Markus Hüntelmann
Jurist, Datenschutzbeauftragter und Consultantaus Köln