Boxcryptor sichert Gesundheitsdaten in der Cloud.

Datenschutz in der Arztpraxis – Wie sicher sind Gesundheitsdaten in Deutschland?

Iatrophobie – auch bekannt als die Angst vor dem Arzt. Ungefähr 10 % der Menschen weltweit leiden an dem sogenannten Weißkittelbluthochdruck und sind in der Gegenwart eines Mediziners besonders angespannt. In Deutschland lässt sich dieses Phänomen eher selten finden. Hier gehen Bürger und Bürgerinnen im Schnitt circa 10-mal im Jahr zum Arzt. Europaweit wird das nur in Ungarn (11,1-mal/Jahr) und in der Slowakei (11,5-mal/Jahr) getoppt.

Betrachtet man die Statistik genauer, fällt einem nicht nur auf, dass die Deutschen ihr körperliches Wohlbefinden extrem schätzen. Die hohe Anzahl an Arztbesuchen hat Nebenwirkungen: Bei jedem Termin wird eine stattliche Anzahl personenbezogener Daten verarbeitet und auf den Servern der Praxis und ihrer IT-Dienstleister gespeichert.

Die Sicherheit von personenbezogenen Daten in einer Arztpraxis

Ganz allgemein gilt in Deutschland die ärztliche Schweigepflicht. Sie ist grundlegend für das Vertrauensverhältnis zwischen Ärzten und Ärztinnen und deren Patienten und Patientinnen. Dieses Vertrauensverhältnis besteht auch nach dem Tod weiter. Nicht nur Ärzte und Ärztinnen sind an diese Pflicht gebunden, sondern auch ihre Mitarbeiter und Mitarbeiterinnen, die in der Praxis tätig sind. Ebenso wie Angestellte von externen Dienstleistungsunternehmen, die beispielsweise mit der Instandsetzung des elektronischen Verwaltungssystems beauftragt sind.

Des Weiteren gelten, wie in jedem anderen Unternehmen, seit dem 25. Mai 2018 die Bestimmungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Werden diese Verordnung oder dieses Gesetz nicht eingehalten und kommt es zu einem Datenschutzvorfall, drohen hohe Strafen, aber auch der Verlust des Vertrauens der Patienten und Patientinnen.

Diese Daten werden bei einem Arztbesuch erhoben

Die gesetzliche Grundlage für Datenverarbeitung liefert die sogenannte Dokumentationspflicht. Aus ihr geht hervor, dass in den meisten Fällen Daten im Rahmen der Anamnese, der Befunderhebung sowie für die Dokumentation der Diagnostik und der Therapie erhoben werden dürfen.

Bei diesen Daten handelt es sich um eine sogenannte „besondere Kategorie personenbezogener Daten.“ Sie gelten als bedeutend schutzbedürftiger, da sie genaue Informationen über das körperliche und geistige Wohlbefinden einer Person preisgeben. Aus diesem Grund sind sie für Unbefugte äußerst interessant und sollten folglich ausreichend geschützt werden.

Um Hilfestellung für Arztpraxen zu geben, veröffentlichte die Bundesärztekammer einen Katalog mit Hinweisen und Empfehlungen zur technischen Anlage, um die ärztliche Schweigepflicht und die Datenverarbeitung konform einzuhalten.

Wie werden Daten gespeichert?

Die Daten werden überwiegend in verschlüsselter Form innerhalb der Räumlichkeiten der Praxis gespeichert. Eine Sicherung der Patientendaten außerhalb des Praxisverwaltungssystems, beispielsweise bei einem externen Dienstleister, ist hierbei nur unter strengen rechtlichen Vorgaben zulässig. Nämlich dann, wenn der Dienstleister der Geheimhaltung zustimmt und technische und organisatorische Maßnahmen ergriffen werden, um die Patientendaten zu schützen.

Die Aufbewahrungspflicht schreibt vor, dass Geschäftsdaten für 10 Jahre nach Abschluss der Behandlung aufzubewahren sind. Um Patientendaten über einen so großen Zeitraum nachhaltig zu sichern, empfiehlt die Bundesärztekammer einen automatisierten Backup-Prozess.

So steht es um Datenschutz in Arztpraxen und Apotheken

Organisationen in der Gesundheitsbranche, insbesondere Krankenhäuser, werden immer häufiger zur Zielscheibe von Angreifern, die es auf die hochsensiblen Daten abgesehen haben. Offiziell hat die Bundesregierung von Januar bis Oktober 2020 insgesamt 43 erfolgreiche Angriffe auf Gesundheitsdienstleister erfasst, so laut FAZ die Antwort auf eine Anfrage im Bundestag. Mehr als doppelt so vielen Angriffe wie im gesamten Jahr 2019. Doch die Dunkelziffer wird vermutlich noch einmal höher ausfallen.

Gleichzeitig kämpfen zahlreiche Unternehmen auch mehr als zwei Jahre nach Inkrafttreten der Datenschutz-Grundverordnung noch mit deren Umsetzung (laut einer Umfrage des Digitalverbands Bitkom). Sieben von zehn Umfrageteilnehmern sagen, dass die DSGVO ihre Prozesse komplizierter macht und innovative Projekte oder Technologien aufgrund der strengen, häufig aber auch unklaren Datenschutzvorgaben scheitern. Auch eine Nutzung der Cloud, was für Unternehmen aus dem Gesundheitsbereich viel Potenzial bietet, wird kritisch gesehen. Denn die DSGVO schreibt vor, dass Unternehmen immer die Verantwortung für die Sicherheit der Daten tragen. Diese Verantwortung kann nicht an den Anbieter von Cloud-Speicher-Diensten abgegeben werden. Doch wie können Krankenhäuser und Arztpraxen sicherstellen, dass die Daten, die in einem Cloud-Speicher liegen, nicht in die falschen Hände geraten?

Rechtsanwalt und Datenschutzexperten Wolfgang Schmid von der Kanzlei JuS Rechtsanwälte empfiehlt, für Gesundheitsdaten – die als besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO gelten – besondere Vorsichtsmaßnahmen zu treffen. Denn hier ist der Verantwortliche zur Erhaltung spezifischer Maßnahmen zur Wahrung der Interessen der betroffenen Person verpflichtet. Eine Verschlüsselungssoftware wie beispielsweise Boxcryptor trifft hier die erforderlichen Maßnahmen nach §22 BDSG neu und Art. 32 Abs. 1 DSGVO:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: 1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten

Fragen Sie ihren Arzt oder Apotheker

Gesundheitsdaten sind, anders als viele denken, sehr beliebt bei Hackern. Sie liefern eine Fülle an Informationen und erfordern deswegen besonderen Schutz. Wenn Sie unsicher sind, ob Ihre Daten auch sorgsam behandelt werden, sprechen Sie ihre Ärzte und Apothekerinnen an. Auch für eine Praxis ist der Schutz von Patientendaten von existenzieller Wichtigkeit. Nicht selten werden Ärzte und Ärztinnen mit geklauten Daten erpresst.

Wie kann Boxcryptor helfen?

Boxcryptor ist eine einfache, aber äußerst sichere Möglichkeit, Daten zu verschlüsseln, die in der Cloud liegen. Die Software ist DSGVO-konform und bietet eine vom BSI als Sicherheitsstandard vorausgesetzte Verschlüsselung. Hochsensible Gesundheitsdaten werden direkt auf dem PC oder Smartphone Ende-zu-Ende verschlüsselt, sodass die Informationen niemals in „Klartext“ in die Cloud gehen. So können unbefugte Dritte wie Hacker keinen Einblick erhalten.

Hier finden Sie weitere Informationen zur Verschlüsselung von Gesundheitsdaten mit Boxcryptor.

Für einen sicheren Datenaustausch mit Patienten und Patientinnen empfehlen wir Whisply. Der Dienst verwendet ebenfalls Ende-zu-Ende-Verschlüsselung und eignet sich optimal, um persönliche Daten wie Befunde oder Krankschreibungen zu verschicken. Durch das Zero-Knowledge-Prinzip wird sichergestellt, dass nur der autorisierte Empfänger bzw. die Empfängerin auf die Datei zugreifen kann.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

Ransomware 2

Die jüngsten Datenlecks bei Uber und Rockstar Games' GTA6

Eine weitere Serie von Cyberangriffen auf große Unternehmen hat im September für Aufsehen gesorgt. Lesen Sie weiter, um zu erfahren, was schief gelaufen ist und was Sie aus den Fehlern dieser Unternehmen lernen können.

Das neue Boxcryptor für macOS

Die neue Boxcryptor-App für macOS ist da

Das neue Boxcryptor für macOS ist endlich da – und es hat sich eine Menge getan! Lesen Sie über unsere Beweggründe, die Vorteile dieser neuen Version und warum sie Boxcryptor in eine hervorragende Position für die Zukunft bringt.

Microsoft 365 Checker

Microsoft 365 – behalten Sie die Kontrolle!

Für Betriebsräte: Automatischer Check der TOMs zum Schutz personenbezogener Daten durch den Microsoft 365 Checker von Konverion. Jetzt kostenlos 30 Tage lang testen.