Diese Regeln müssen Sie beachten!
Wenn die Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 in der Europäischen Union anwendbar wird, heißt das nicht, dass das deutsche Bundesdatenschutzgesetz (BDSG) gegenstandslos wird. Vielmehr bildet die DSGVO den erweiterten Rahmen, der in den einzelnen Mitgliedsstaaten gewissermaßen individualisiert werden kann. In vielen Punkten entspricht das BDSG bereits den neuen EU-Richtlinien und wird ebenfalls zum 25. Mai angepasst.
Ein Zeichen dafür, dass wir in Deutschland gut aufgestellt sind? Nein! Umfragen – unter anderem von Bitkom Research – zeigen, dass sich lediglich 15 bis 20 Prozent aller deutschen Unternehmen sicher sind, dass sie den Datenschutzanforderungen umfänglich entsprechen. Als eines der größten Probleme wird dabei der Mangel an praktischen Umsetzungshilfen genannt.
Verantwortlich ist immer der Praxisinhaber
Die Bundeszahnärztekammer (BZÄK) hat ein knapp vierseitiges Merkblatt veröffentlicht, das die Kernpunkte des neuen Gesetzespapiers gelungen zusammenfasst. Wichtig ist, dass sich auch der Praxisinhaber mit dem Thema intensiv befasst, denn die Delegation an vermeintlich Wissende – dazu gehören auch die IT-Systembetreuer – verlagert nicht die Verantwortung, die sich aus den gesetzlichen Entwicklungen und Anpassungen für die alltägliche Arbeit in der Zahnarztpraxis ergibt. Dies gilt insbesondere für die zusätzlichen Regelungen, die im Rahmen der ärztlichen Schweigepflicht, des Patientenschutzes oder der Mitarbeiterschulung zu beachten sind.
Echter Experte oder doch Trittbrettfahrer?
Ganz offensichtlich wurde mit dem Thema Datenschutz in den vergangenen Jahren fahrlässig umgegangen. Erst die neue Gesetzeslage – die Anzahl der Neuerungen ist überschaubar – und insbesondere die drastisch gestiegenen Höchststrafen bei Verstößen sorgen für Aufmerksamkeit. Waren es gemäß § 43 Abs. 2-3 BDSG Geldbußen bis zu 300.000 Euro, sieht die DSGVO nun Strafen in Höhe von bis zu 20 Millionen Euro vor. Eine Steigerung um das 66,7-Fache!
Neben den persönlichen Daten Ihrer Patienten und Mitarbeiter schützen Sie durch eine korrekte Anwendung des Datenschutzgesetzes vor allem auch Ihre Praxis und Ihre berufliche und private Existenz. Das sind Werte, bei denen es keine zwei Meinungen geben sollte.
Die Grundlage einer hohen Datensicherheit bildet im heutigen Zeitalter der nach wie vor rasant fortschreitenden Digitalisierung eine den aktuellen Standards entsprechende technische Infrastruktur (TI). Da die wenigsten Zahnarztpraxen über eigene Techniker oder Datenschutzexperten verfügen, sind sie auf die Hilfe sogenannter Experten angewiesen. Hier überrascht die hohe Anzahl von Trittbrettfahrern, die sich die Angst der Unternehmen vor Cyber-Angriffen mit unprofessionellen Beratungs- und Sicherheitsangeboten zunutze machen.
„Da draußen herrscht Krieg!“
Schützen kann sich der Zahnarzt nur durch ein Maßnahmenpaket. Dabei darf kein einzelner Punkt vernachlässigt werden.
Firewall/UTM
Eine Kontrolle der Inhalte des Datenverkehrs durch ein sogenanntes Unified Threat Management, kurz UTM, erhöht die Sicherheit enorm. Während eine Firewall den Datenverkehr zwischen einem Rechner und dem Internet beobachtet und unaufgefordert von außen eingehende Daten abblockt, schaut ein UTM in alle Datenpakete hinein. Damit ist das UTM in der Lage, sowohl eingehende E-Mails wie auch besuchte Webseiten direkt zu untersuchen und sowohl gefährliche (Viren, Schadsoftware, …) als auch unerwünschte Inhalte (Spam, bestimmte Dateitypen wie .exe, .com, …) herauszufiltern. Die Sinnhaftigkeit solcher Maßnahmen erkennt man schon daran, dass es zum Beispiel bei einem Unternehmensnetzwerk wie dem der KZBV täglich mehrere zehntausend Angriffe gibt. Es klingt dramatisch: Aber da draußen herrscht Krieg.
Die Gegenwehr – ein UTM inklusive Firewall und Servicepaket – kostet nicht die Welt, etwa 1 bis 2 Euro am Tag fallen für eine Praxis an. Ein UTM schützt das interne Netz effektiv. Aufbau und Konfiguration dieser Infrastruktur sollten jedoch nur versierte Zahnärzte selbst vornehmen und ansonsten an einer EDV-Unternehmen abgeben.
Sensibilität
Es ist wichtig, dass das komplette Praxisteam die Notwendigkeit der IT-Sicherheitsmaßnahmen versteht. Denn Passwörter wie 123456 und das gedankenlose Öffnen von unaufgefordert erhaltenen E-Mails oder darin enthaltenen Dateianhängen können beinahe existenzgefährdende Folgen haben. Hier gilt: Unaufgefordert erhaltene E-Mails von unbekannten Absendern sollten unverzüglich gelöscht werden. Denn häufig enthalten beispielsweise Office-Dokumente (.doc, .docx) sogenannte Makros, die nach dem Öffnen des Dokuments auf dem Client-Computer selbsttätig aus dem Internet Schadsoftware herunterladen können, weil Firewalls in der Regel eine derartige Datenanfrage nicht blockieren. Da die Ausführung von Makros auf dem Client-Computer in der Regel nicht deaktiviert ist, stellen solche Dateianhänge eine latente Gefahr dar.
Schulung
Da im Notfall – das Netzwerk der Praxis wurde trotz allen Vorsichts- und Schutzmaßnahmen Opfer eines Verschlüsselungsangriffs – lediglich eine funktionierende intakte Datensicherung die letzte Möglichkeit zur Rettung der Daten darstellt, kommt dem Thema Datensicherung eine entscheidende Rolle zu. So sollten die Personen, die für die Datensicherung verantwortlich sind, ausreichend geschult sein. Gerne wird hier der externe EDV-Dienstleister auch die Schulungsmaßnahme übernehmen.
Back-up-Strategie
Eine stichprobenartige Überprüfung der gesicherten Daten auf Lesbarkeit und Vollständigkeit ist ebenso eine Selbstverständlichkeit wie die Frage der Aufbewahrung der Datensicherung. Diese sollte auf keinen Fall in der Praxis aufbewahrt werden, andernfalls ist sie nach einem Brand, einem Wasserschaden oder nach einem Einbruch nicht mehr nutzbar oder nicht mehr vorhanden.
Nach erfolgter Sicherung, zum Beispiel auf einer externen Festplatte, sollte diese auf jeden Fall räumlich getrennt von der Praxis aufbewahrt werden. Es ist daher notwendig, mindestens zwei Sätze (Festplatten) zu nutzen. Während die eine angeschlossen ist, um als Sicherungsmedium zu dienen, wird die zweite räumlich getrennt aufbewahrt. Tag für Tag werden dann die beiden Sätze gewechselt.
Virenschutz
Ein guter, regelmäßig aktualisierter Virenschutz ist unerlässlich. Am besten wird er sowohl an zentraler Stelle auf dem Server als auch auf allen Client-Rechnern installiert. Es ist regelmäßig zu überprüfen, ob die Virendefinitionen auf dem neuesten Stand sind. In der Regel sind die Virendefinitionen tagesaktuell und erfolgen gegebenenfalls auch mehrfach täglich.
Wenn die Betroffenen einen Angriff bemerken, ist es für Schutzmaßnahmen in der Regel zu spät. Dann gilt die Devise: „Schnell alle Stecker raus!“ Alle Netzwerkverbindungen zwischen Router und Server sowie zwischen Server und Client-Rechnern müssen unverzüglich getrennt und die Rechner heruntergefahren werden. Anschließend sollte das EDV-Partnerunternehmen kontaktiert werden.
Siegfried Reiser ist Leiter der Abteilung EDV-Inhouse/Kommunikationssysteme der Kassenzahnärztlichen Bundesvereinigung.
Grundsätze beim Gebrauch der Praxis-EDV
Auch wenn die Anforderungen der elektronischen Datenverarbeitung immer komplexer werden und die Masse online verfügbarer Daten weiter zunehmen wird, gibt es einige grundlegende Regeln, um den alltäglichen Gebrauch der Praxis-EDV sicher zu gestalten. In § 630f BGB ist klar definiert, dass der Behandelnde verpflichtet ist, eine Patientenakte mit sämtlichen wesentlichen Maßnahmen derzeitiger und künftiger Behandlungen inklusive der Ergebnisse zu führen. Wie aber kann der Inhalt geschützt werden? Die BZÄK hat in Zusammenarbeit mit der Kassenzahnärztlichen Bundesvereinigung (KZBV) bereits 2015 einen Leitfaden dazu veröffentlicht, in dem die wichtigsten Grundsätze aufgeführt sind:
Nutzung und Qualität von Kennwörtern
Wie im privaten Umfeld sollte man sensible Daten nicht mit dem Passwort „1234“ schützen. Als sinnvoll und schwer zu knacken erweisen sich Kombinationen aus kurzen Sätzen gepaart mit Sonderzeichen (Beispiel: Dies/iSt&EIN_Test).
Virenschutz
Auch wenn der Rechner nicht mit dem Internet verbunden ist, bildet ein zuverlässiger Virenschutz die Basis sicheren Arbeitens. Der Datenaustausch mittels USB-Stick oder CD sollte idealerweise auf Rechner außerhalb des Praxissystems beschränkt werden.
Administrationsrechte
Jeder Mitarbeiter sollte nur so viele Rechte erhalten, wie er für seine Arbeit benötigt. Damit schützen Sie einerseits die sensible Datenstruktur der Praxis, andererseits entlasten Sie den Mitarbeiter. Ein Rechte- und Rollenkonzept gibt Aufschluss über die entsprechenden Erfordernisse.
Datensicherung (Back-ups)
Auch wenn die Cloud viele Vorteile mit sich bringt, gibt die Praxis ihre Datensicherung damit in einen Bereich, der nicht der eigenen Kontrolle unterliegt. Regelmäßige, dezentral gelagerte, physische Back-ups sind noch immer die sicherste Variante. Ursprünglich dienten die physischen Back-ups auf Kassette dem „BDÜ“-Schutz – der Absicherung gegenüber Brand, Diebstahl und Überschwemmung. Dazu empfehlen sich tägliche Sicherungen auf unterschiedlichen Datenträgern – für jeden Arbeitstag einen. In der heutigen Zeit ist der Faktor Cyber nicht länger außer Acht zu lassen und sollte als vierter Bestandteil ergänzt werden.
regelmäßige Sicherheits- und Programm-updates
Aktuelle Betriebssysteme sind die zwingende Voraussetzung sicheren Arbeitens. Darüber hinaus muss jede Software regelmäßig aktualisiert werden. Programme, die Sicherheitslücken aufweisen oder nicht zwangsweise benötigt werden, sollten deinstalliert werden.
Schulung der Mitarbeiter (Awareness)
Das Bewusstsein der Mitarbeiter für die heikle Thematik personenbezogener Daten ist von immenser Bedeutung. Immer wieder kommt es durch Unwissenheit zu Verstößen. Datenschutzbeauftragte sind in Deutschland gemäß Art. 37 DSGVO i.V.m. § 38 BDSG (neu) zwar erst ab einer Mitarbeiteranzahl von zehn Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, vorgesehen, aber auch für kleinere Praxen sehr sinnvoll. Lassen es die eigenen Kapazitäten nicht zu, sich intensiv mit dem Thema zu beschäftigen, kann die Praxis auf externe Dienstleister zurückgreifen und sogar einen externen Datenschutzbeauftragten im Rahmen eines Dienstleistungsvertrags bestimmen (Art. 37 Abs. 6 DSGVO).
Die Bestellung eines Datenschutzbeauftragten allein reicht jedoch nicht aus, er muss sich auch seiner Aufgaben und Pflichten zur Erfüllung der Datenschutzrichtlinien bewusst sein. Dazu gehört unter anderem auch die Aufklärung der Mitarbeiter, die sich gern hinter ihrer Unwissenheit verstecken. Selbige schützt bekanntlich nicht vor der Strafe – außerdem haftet die Praxis für das Fehlverhalten der Mitarbeiter.
Hacking as a service
Seit ungefähr 2,5 Jahren ist Krypto-Erpressung in Deutschland ein Thema – nicht nur für große Firmen, sondern auch für kleinere Unternehmen wie Zahnarztpraxen. Das liegt auch daran, dass all unsere Geräte – Smartphones, Kreditkarten, MRT – mittlerweile miteinander vernetzt sind.
Diese kriminelle Szene tut nichts anderes, als mit gekaperten Daten Geld zu erpressen. Das BKA verzeichnet eine kontinuierliche Steigerung im Bereich Cybercrime. Die Dunkelziffer ist hoch, aber Experten gehen davon aus, dass der weltweite Umsatz in diesem Markt höher ist als im Drogenhandel. Ungefähr 70 Prozent der Schadsoftware – Stand Mitte 2017 – dient der Datenverschlüsselung. Daten, das sind Unternehmensdaten, Patientendaten, aber auch Urlaubsfotos. Dabei wird nicht wie früher ein Gebiet abgegrast, sondern flächendeckend attackiert.
Das Raffinierteste derzeit? Zielgerichtete Bewerbungen. Dabei suchen die Hacker bei der Arbeitsagentur nach offenen Jobs und schicken der Firma daraufhin eine Bewerbung auf die real ausgeschriebene Stelle. Im Anhang befinden sich Zeugnisse in einer Excel-Datei, die im Hintergrund schadhafte Makros enthält. Im schlimmsten Fall wird der Rechner der Personalabteilung verschlüsselt. Die Frage, wer welche Anhänge öffnen darf, sollte daher auch in der Zahnarztpraxis beantwortet werden.
Viele Attacken laufen über extern erreichbare Dienste wie zum Beispiel den VPN-Tunnel, der in der Zahnarztpraxis klassischerweise für externe Abrechnungskräfte eingerichtet wird. Ist ein VPN-Zugang nicht über Zertifikate oder andere Methoden, sondern lediglich durch Benutzernamen oder Kennwort gesichert, dann sind diese Zugänge gefährdet.
In den häufigsten Fällen finden die Verbrecher das Kennwort über automatische Scans heraus, die ihnen den Weg zu einem offenen VPN-Zugang weisen. Diese sogenannten Brut-Force-Angriffe verschicken tausende Anfragen mit zig Benutzername-Passwort-Kombinationen. Wer keine automatische Sperre nach dreimaliger Falscheingabe eingerichtet hat, eröffnet dem Angreifer somit unendlich viele Möglichkeiten, so lange herumzuprobieren, bis er das System geknackt hat. Man muss sich den Vorgang als automatisierten Prozess vorstellen: Wie ein Wörterbuch geht das Programm eine Liste mit Millionen von Kombinationen durch. Das heißt, es handelt sich nicht um zielgerichtete Attacken, sondern um Massenangriffe. In 95 Prozent der Fälle ist auch die Zahnarztpraxis Opfer eines solchen Massenangriffs.
Zielgerichtete Attacken – Datenspionage – richten sich indessen eher gegen große Unternehmen oder politische Strukturen wie den Bundestag. Hacking ist heute ein Service: Im Regelfall bieten Hacker im Darknet die Schadsoftware plus gestohlene E-Mail-Adressen im Paket an. Der Angreifer muss also gar kein spezielles Know-how mehr haben.
Erfahrungsgemäß wird man mit einem Pop-up-Fenster darauf hingewiesen, dass man angegriffen wurde („Wir haben Ihre Daten verschlüsselt. Überweisen Sie xx Bitcoins auf folgendes Bitcoin-Konto!“).
Die alten Karteikarten sind hinterher oft der einzige Weg, um auch ohne Zugriffsmöglichkeit auf die digitalen Daten der Informationspflicht nachzukommen und Patienten und betroffene Dritte über den Diebstahl zu benachrichtigen.
Doch wie kann der Praxischef präventiv tätig werden? Hier sollte der Fokus immer auf dem Betriebssystem beziehungsweise dem Rechner liegen. Die Zahnarztsoftware läuft ja nur auf einem Computer. Sie ist ein Programm. Da die meisten flächendeckenden Angriffe sich aber nicht direkt gegen die PVS wenden, sondern – wie etwa bei Kryptotrojanern – darauf abzielen, alles zu verschlüsseln, sollte man in erster Linie das Betriebssystem selbst schützen – über Updates, der Trennung vom Internet, einem Installations- und Ausführungsverbot bestimmter Programme (Wird Office – denken Sie an die Makros! – in der Praxis wirklich auf jedem Computer benötigt?) und Dokumente.
Ein zweiter Faktor – wie ein Zahlencode oder ein Zertifikat – erhöht zudem im Vergleich zur einfachen Authentifizierung mit Benutzername und Kennwort die Sicherheit und schützt doppelt vor einem Angriff auf einen VPN-Dienst.
Tobias Thiede IT-Sicherheitsbeauftragter bei der BFS health finance in Dortmund
Klassiker für Verstöße: der Offline-Bereich
Auch wenn im Zusammenhang mit dem Datenschutz vermehrt die Begriffe EDV und Cyber-Kriminalität fallen, sind es doch immer wieder die klassischen „Offline-Bereiche“, in denen es in Zahnarztpraxen regelmäßig zu Datenschutzverstößen kommt: Mitarbeiter verwenden schwache Passwörter, rufen gefährliche Webseiten auf oder öffnen infizierte E-Mail-Anhänge. Regelmäßige Schulungen und aktive Trainings helfen der Praxis, die Mitarbeiter fit zu machen.
Die ärztliche Schweigepflicht
Datenschutz heißt, den Einzelnen vor Beeinträchtigungen in seinem Persönlichkeitsrecht zu schützen. Die ärztliche Schweigepflicht ist eine Konkretisierung dieser Maßgabe durch das in § 203 StGB definierte Patientengeheimnis. Mitarbeiter sind auf das Datengeheimnis zu verpflichten und sollten eine entsprechende Erklärung unterzeichnen.
Erstkontakt an der Rezeption (Datenerfassung)
Insbesondere bei Neupatienten sind in der Regel in größerem Umfang Daten für die korrekte Erfassung und Behandlung vonnöten. Diese sollten in einem persönlichen Gespräch in einem geschlossenen Raum oder schriftlich über den Anamnesebogen eingeholt werden. Offene Gespräche an der Rezeption sind nicht angemessen.
Das Behandlungszimmer
Nicht gesicherte PCs sind der einfachste Einstieg in das sensible System der Zahnarztpraxis. Mit wenigen Klicks kann ein destruktiv gesinnter „Patient“, der im Zimmer allein gelassen wurde, die komplette Praxis stilllegen. Ebenso dürfen analoge Daten (KVs, HKPs) nicht ungesichert greifbar sein.
Kontakt über Telefon, E-Mail und Fax
Auch wenn durch die Abfrage von Wohnort oder Geburtsdatum eine scheinbare Sicherheit erzeugt werden kann, sollten über Terminvereinbarungen und -verschiebungen hinaus keine telefonischen Auskünfte erteilt werden. Gleiches gilt für E-Mails und Faxe.
Externe Dritte
Werden Patientendaten an externe Dienstleister ausgelagert, ist stets ein Vertrag zur Auftragsdatenvereinbarung gemäß Art. 28 DSGVO zu schließen. Ein Vertrag zur Auftragsdatenverarbeitung muss durch die Einwilligung des Patienten genehmigt werden.
Insbesondere im Hinblick auf die verschärfte gesetzliche (strafrechtliche) Grundlage ab Mai sollte sich spätestens jetzt aber jeder Praxisinhaber die Frage stellen, ob er und seine Praxis gut aufgestellt sind. Wer diese Frage nicht beantworten kann, sollte auf die Hilfe externer Berater zurückgreifen, die die Praxis beispielsweise im Rahmen einer simulierten Datenschutzbegehung prüft. Ebenso wie das Qualitätsmanagement muss auch Datenschutz als fester Prozess in der Praxis integriert werden.