Schluss mit den Mythen
Im März erhielt ich eine E-Mail mit einer Vorladung ins Polizeipräsidium München – angeblich wegen eines Verstoßes gegen das Bundesdatenschutzgesetz. Ich habe darauf nicht reagiert. War das falsch?
Heike Mareck: Nein, denn es handelte sich wohl um eine Fake-E-Mail. Sollten auch andere eine solche E-Mail erhalten haben, gilt: Öffnen Sie in keinem Fall den Anhang (bezeichnet als „Unterlagen“)! Dieser Anhang ist virenverseucht!
Das Bayerische Landeskriminalamt empfiehlt, die E-Mail im Original aufzubewahren und bei der zuständigen Polizeidienststelle Anzeige zu erstatten. Dies bleibt aber Ihnen überlassen. Im Zweifelsfall kann mit einem Anruf auf der jeweiligen Polizeiinspektion zweifelsfrei geklärt werden, ob es sich um eine echte oder um eine gefälschte Vorladung handelt. Grundsätzlich werden Vorladungen der Bayerischen Polizei mit Briefpost verschickt oder persönlich überbracht.
Ist ein SSL-Zertifikat für eine Zahnarztpraxis wirklich Pflicht?
Für Zahnarztpraxen, die auf ihrer Website ein Kontaktformular, Bestell-, Online-Widerrufsformulare sowie Newsletter-Anmeldungen haben, ist das SSL-Zertifikat bereits seit Anfang 2016 Pflicht (§ 13 Abs. 7 TMG). Das haben viele Inhaber versäumt, kann allerdings abmahnfähig werden. Bei der Nutzung eines Kontaktformulars werden personenbezogene Daten nach der DSGVO verarbeitet. Und jede Verarbeitung von personenbezogenen Daten braucht eine Rechtsgrundlage. Hier kommen „wirtschaftliche Interessen“ in Betracht für die Erhebung von personenbezogenen Daten durch Kontaktformulare auf Ihrer Website.
Fest steht: Patientendaten dürfen nur verschlüsselt elektronisch übermittelt werden. Zudem sind die Daten nicht nur gegen Ausspähen, sondern auch gegen Verlust zu schützen. Ein ständiges Back-up einzurichten, ist daher unerlässlich.
Praxishinweis: Ob die Verbindung eine gesicherte SSL-Verbindung ist, können Sie mittels der Adresszeile des Browsers prüfen: Der verschlüsselte Aufruf ist erkennbar an der Angabe „https“. Wenn nur „http“ dort steht, ist kein SSL-Zertifikat vorhanden. Gibt man zur Überprüfung „https“ in die Browserleiste ein und es gibt kein SSL-Zertifikat, erscheint eine Fehlermeldung. Zudem erscheint bei einem SSL-Zertifikat neben der Adressleiste des Webbrowsers ein „Schloss-Symbol“. Mit einem Klick darauf erhalten Sie detaillierte Informationen über das verwendete SSL-Zertifikat und den Betreiber der Webseite. Die Adressleiste des Webbrowsers färbt sich dann (teilweise) grün.
Darf ich als leitende Praxis- oder Personalmanagerin die Position der Datenschutzbeauftragten übernehmen?
Unter anderem folgende Mitarbeiter sollten nicht als Datenschutzbeauftragte benannt werden: Geschäftsführer, Personalleiter, Leiter IT. Da die Aufsichtsbehörden einen Interessenkonflikt sehen könnten, sollte sich der Praxisinhaber auch nicht selbst als Datenschutzbeauftragter benennen. Dies ergibt sich aus Art. 37 Abs. 6 DSGVO in Verbindung mit § 38 BDSG, die eindeutig von einem Beschäftigungsverhältnis oder Dienstleistungsvertrag zum Verantwortlichen ausgehen.
Praxishinweis: Benennen Sie einen Internetaffinen Mitarbeiter in Ihrer Zahnarztpraxis.
Wie erstelle und verwalte ich die zahlreichen Passwörter der Praxis am besten?
In den Top Ten der beliebtesten deutschen Passwörter befinden sich „Hallo“, „Password“ und „Schatz“. Kein Wunder, dass Hacker diese zuerst ausprobieren. Unter https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html erhalten Sie wichtige Tipps zum Erstellen sicherer Passwörter und erfahren, was eine „Zwei-Faktor-Authentifizierung“ ist, wie sie funktioniert und für höhere Sicherheit sorgen kann.
Was kann ich tun, wenn ich zu viele Passwörter habe?
Hier kann Ihnen ein Passwort-Manager helfen. Das sind Programme, die Passwörter und Benutzernamen mittels Verschlüsselung und eines komplexen Masterpassworts verwahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt unter anderem den kostenlosen Passwort-Manager Keepass (https://keepass.info).
Sind Sie unsicher, ob persönliche Zugangsdaten bereits von Cyber-Kriminellen genutzt werden, gibt es im Internet unterschiedliche Portale, mit denen man das checken kann. Das BSI nennt hier das deutschsprachige Angebot der HPI Identity Leak Checker (https://sec.hpi.de/ilc) und den internationalen Anbieter haveibeenpwned.com (https://haveibeenpwned.com). Wichtig: Zur Qualität und Aktualität der dort hinterlegten Daten kann man nichts sagen.
Stimmt es, dass ich als Zahnarzt immer einen Datenschutzbeauftragten benötige, da nach Art. 37 Abs. c DSGVO Gesundheitsdaten als besonders sensibel anzusehen sind!
Das ist so nicht ganz richtig, denn Erwägungsgrund 91 privilegiert Ärzte und Rechtsanwälte in besonderer Form, sofern sie als einzelner Arzt handeln. In diesen Fällen wird die Verarbeitung personenbezogener Daten ausdrücklich nicht als umfangreich gewertet. Sollte aber die Verarbeitung von Patientendaten über den üblichen Umfang hinausgehen, ist auch dann, wenn nicht regelmäßig mehr als zehn Personen ständig mit der Datenverarbeitung nach § 38 Abs. 1 BDSG betraut sind, ein interner/externer Datenschutzbeauftragter zu benennen und zu melden.
Praxishinweis: Sie kommen zu dem Ergebnis, dass Sie doch einen internen/externen Datenschutzbeauftragten brauchen, trauen sich aber nicht mehr, ihn bei der Aufsichtsbehörde zu melden? Keine gute Idee! Melden Sie in jedem Fall. Die Alternative ist nämlich, dass die Aufsichtsbehörde ein Bußgeld wegen des fehlenden Datenschutzbeauftragten verhängt.
Weiterhin sind zusätzlich einige Mythen über die DSGVO im Umlauf. Hier die Fragen und die Fakten:
Mythos oder Fakt? Es gibt keine Kontrollen und es wird auch keine geben.
Das ist falsch. So verstärkte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Ende 2018 seine Prüfaktivitäten. Im Mittelpunkt stand unter anderem der IT-Schutz in Arztpraxen. Dabei ging es vor allem um die Ransomware. Das ist eine Schadsoftware, durch die der Zugriff auf Daten gesperrt und anschließend ein Lösegeld gefordert wird, um die Daten wieder im ursprünglichen Zustand verfügbar zu machen. Das BayLDA sieht gerade im medizinischen Bereich solche Angriffe wegen des Zugriffs auf Patienten- und Behandlungsdaten besonders kritisch. Man entschied sich daher, Ärzte zum Umgang mit und zur Prävention von Angriffen mittels Verschlüsselungstrojaner zu kontrollieren. Es kann daher nicht ausgeschlossen werden, dass Zahnarzt- und KFO-Praxen in 2019 ebenfalls geprüft werden – und das nicht nur in Bayern, sondern auch durch die jeweiligen Aufsichtsbehörden in den anderen Bundesländern.
Praxishinweis: Die Kontrolle erfolgte mittels eines Fragebogens mit mehreren Ankreuzmöglichkeiten, abzurufen, unter https://www.lda.bayern.de/de/kontrollen.html. Die Aufsichtsbehörden geben meist eine Frist zur Stellungnahme ab. Keine Antwort zu geben, ist hier unklug. Halten Sie sich an die Frist!
Mythos oder Fakt? Wir sind eine Einzelpraxis, haben keine Website und brauchen daher kein Verzeichnis der Verarbeitungstätigkeiten.
Nein! Jeder Verantwortliche muss das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO führen. Denn auch in einer Zahnarztpraxis, die vielleicht nur eine Mitarbeiterin hat, erfolgt regelmäßig die Verarbeitung von Patientendaten und anderen Daten (Labor, Röntgen etc.).
Praxishinweis: Das Verzeichnis der Zahnarztpraxis wird nur der Aufsichtsbehörde vorgelegt, damit die Verarbeitungsvorgänge kontrolliert werden können. Daher gehört es in keinem Fall auf die Website!
Ausblick
In diesem Jahr wird ein Schwerpunkt der Aufsichtsbehörden sicherlich bei der Frage nach der IT-Sicherheit in der Zahnarztpraxis liegen. Sollten Sie sich noch nicht mit den technisch-organisatorischen Maßnahmen beschäftigt haben, sollte dies auf Ihrer Agenda stehen. Überprüfen Sie auch, falls Sie eine Website betreiben, die dort hinterlegten Datenschutzhinweise. Hier fallen Fehler und Unterlassungen schnell auf.
Die Fragen stellte Stefan Grande.