Cookie Consent
Diese Seite verwendet Cookies, um die Nutzererfahrung zu verbessern. Indem Sie auf Zustimmen klicken, erlauben Sie den Einsatz von Cookies. Mit Klick auf Ablehnen, werden die Cookies deaktiviert. Mehr Details finden Sie in unserer Datenschutzerklärung.
Boxcryptor sichert Gesundheitsdaten in der Cloud.
Tuesday, September 24, 2019

Datenschutz in der Arztpraxis – Wie sicher sind Gesundheitsdaten in Deutschland?

Iatrophobie – auch bekannt als die Angst vor dem Arzt. Ungefähr 10% der Menschen weltweit leiden an dem sogenannten Weißkittelbluthochdruck und sind in der Gegenwart eines Mediziners besonders angespannt. In Deutschland lässt sich dieses Phänomen eher selten finden. Hier gehen Bürger und Bürgerinnen im Schnitt circa 10 Mal im Jahr zum Arzt. Europaweit wird das nur in Ungarn (11,1 Mal/Jahr) und in der Slowakei (11,5 Mal/Jahr) getoppt.

Betrachtet man die Statistik genauer, fällt einem nicht nur auf, dass die Deutschen ihr körperliches Wohlbefinden extrem schätzen. Die hohe Anzahl an Arztbesuchen hat Nebenwirkungen: Bei jedem Termin wird eine stattliche Anzahl personenbezogener Daten verarbeitet und auf den Servern der Praxis und ihrer IT-Dienstleister gespeichert.

Die Sicherheit von personenbezogenen Daten in einer Arztpraxis

Ganz allgemein gilt in Deutschland die ärztliche Schweigepflicht. Sie ist grundlegend für das Vertrauensverhältnis zwischen Ärzten und Ärztinnen und deren Patienten und Patientinnen. Dieses Vertrauensverhältnis besteht auch nach dem Tod weiter. Nicht nur Ärzte und Ärztinnen sind an diese Pflicht gebunden, sondern auch ihre Mitarbeiter und Mitarbeiterinnen, die in der Praxis tätig sind. Ebenso wie Angestellte von externen Dienstleistungsunternehmen, die beispielsweise mit der Instandsetzung des elektronischen Verwaltungssystems beauftragt sind.

Des Weiteren gelten, wie in jedem anderen Unternehmen, seit dem 25. Mai 2018 die Bestimmungen der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG). Leider sind Daten, die in Praxen erhoben werden, in der Realität nicht so gut geschützt, wie man es erwarten würde.

Diese Daten werden bei einem Arztbesuch erhoben

Die gesetzliche Grundlage für Datenverarbeitung liefert die sogenannte Dokumentationspflicht. Aus ihr geht hervor, dass in den meisten Fällen Daten im Rahmen der Anamnese, der Befunderhebung sowie für die Dokumentation der Diagnostik und der Therapie erhoben werden dürfen.

Bei diesen Daten handelt es sich um eine sogenannte „besondere Kategorie personenbezogener Daten.“ Sie gelten als bedeutend schutzbedürftiger, da sie genaue Informationen über das körperliche und geistige Wohlbefinden einer Person preisgeben. Aus diesem Grund sind sie für Unbefugte äußerst interessant und sollten folglich ausreichend geschützt werden.

Um Hilfestellung für Arztpraxen zu geben, veröffentlichte die Bundesärztekammer einen Katalog mit Hinweisen und Empfehlungen zur technischen Anlage, um die ärztliche Schweigepflicht und die Datenverarbeitung konform einzuhalten.

Wie werden Daten gespeichert?

Die Daten werden überwiegend in verschlüsselter Form innerhalb der Räumlichkeiten der Praxis gespeichert. Eine Sicherung der Patientendaten außerhalb des Praxisverwaltungssystems, beispielsweise bei einem externen Dienstleister, ist hierbei nur unter strengen rechtlichen Vorgaben zulässig. Nämlich dann, wenn der Dienstleister der Geheimhaltung zustimmt und technische und organisatorische Maßnahmen ergriffen werden, um die Patientendaten zu schützen.

Die Aufbewahrungspflicht schreibt vor, dass Geschäftsdaten für 10 Jahre nach Abschluss der Behandlung aufzubewahren sind. Um Patientendaten über einen so großen Zeitraum nachhaltig zu sichern, empfiehlt die Bundesärztekammer einen automatisierten Backup-Prozess.

So steht es um Datenschutz in Arztpraxen und Apotheken

Um herauszufinden, wie sicher Praxen und Apotheken in Deutschland sind, stellte der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bundesweite Untersuchungen an und präsentierte anschließend Erkenntnisse, die zum Teil erschreckend waren.

Zwar sehen einige Ärzte und Ärztinnen, Apotheker und Apothekerinnen die Chancen, die die Digitalisierung mit sich bringt. Dennoch befürchten auch 88% der Befragten, dass die Bedrohung durch Cyberkriminalität in Zukunft steigen wird. Auffällig widersprüchlich ist, dass nur 17% der Ärzte und Ärztinnen und 23% der Apotheker und Apothekerinnen glauben, dass die eigene Praxis oder Apotheke Opfer eines Cyberangriffs werden könnte.

Als Gründe werden genannt, dass die eigene Praxis zu klein sei, um in den Fokus zu geraten und die Daten für Hacker uninteressant sind. Der Großteil ist zudem der Meinung, die Computersysteme seien umfassend geschützt – ein fataler Irrtum.

Der IT-Sicherheitsexperte Michael Wiesner wurde vom GDV beauftragt, bundesweit 25 Praxen genauer unter die Lupe zu nehmen. Dabei stellt er fest, dass viele Praxen von außen zwar einen guten Eindruck machen, aber von innen leicht zu knacken seien. 22 von 25 Praxen nutzen ein zu einfaches Passwort wie die Namen der Ärzte und Ärztinnen oder einfach zu erratende Worte wie „Behandlung“. Ein weiteres verbreitetes Problem sind arglose Mitarbeiter. In sechs Fällen war eine Phishing-Attacke erfolgreich.

Ein weiteres Problem stellt die mangelnde Verschlüsselung von Daten dar. Nur 9 von 25 Praxen verfügten über Datensicherung durch Verschlüsselung. Wiesner empfiehlt hier die Daten regelmäßig mittels Back-ups und BSI-konformer Verschlüsselung getrennt vom Hauptsystem zu speichern – beispielsweise auf einer externen Festplatte oder in der Cloud.

Nachholbedarf gibt es auch bei der Verschlüsselung von E-Mails. Ein Test der Mailserver ergab: Von knapp 1.200 untersuchten niedergelassenen Ärzten waren nur fünf (0,4%) mit den vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Verschlüsselungsmethoden ausgestattet.

Besonders bei biometrischen Daten oder Gesundheitsdaten – die als besondere Kategorien von personenbezogenen Daten nach Art. 9 DS-GVO gelten – empfiehlt sich nach Ansicht des Datenschutzexperten Rechtsanwalt Wolfgang Schmid von der Kanzlei JuS Rechtsanwälte, besondere Vorsichtsmaßnahmen zu treffen. Denn hier ist der Verantwortliche zur Erhaltung spezifischer Maßnahmen zur Wahrung der Interessen der betroffenen Person verpflichtet. Eine Verschlüsselungssoftware wie beispielsweise Boxcryptor trifft hier die erforderlichen Maßnahmen nach §22 BDSG neu.

Fragen Sie ihren Arzt oder Apotheker

Gesundheitsdaten sind, anders als viele denken, sehr beliebt bei Hackern. Sie liefern eine Fülle an Informationen und erfordern deswegen besonderen Schutz. Wenn Sie unsicher sind, ob Ihre Daten auch sorgsam behandelt werden, sprechen Sie ihre Ärzte und Apothekerinnen an. Auch für eine Praxis ist der Schutz von Patientendaten von existenzieller Wichtigkeit. Nicht selten werden Ärzte und Ärztinnen mit geklauten Daten erpresst.

Wie kann Boxcryptor helfen?

Boxcryptor ist eine einfache, aber äußerst sichere Möglichkeit, Daten zu verschlüsseln, die in der Cloud liegen. Die Software ist DS-GVO-konform und bietet eine vom BSI als Sicherheitsstandard vorausgesetzte Verschlüsselung.

Hier finden Sie weitere Informationen zur Verschlüsselung von Gesundheitsdaten mit Boxcryptor.

Für einen sicheren Datenaustausch mit Patienten und Patientinnen empfehlen wir Whisply. Der Dienst verwendet ebenfalls Ende-zu-Ende-Verschlüsselung und eignet sich optimal, um persönliche Daten wie Befunde oder Krankschreibungen zu verschicken. Durch das Zero-Knowledge-Prinzip wird sichergestellt, dass nur der autorisierte Empfänger bzw. die Empfängerin auf die Datei zugreifen kann.

Beitrag teilen

Die Cloud in der Gesundheitsbranche: Kostenloses Whitepaper

In unserem kostenlosen Whitepaper erfahren Sie, warum die Nutzung einer sicher verschlüsselten Cloud die Datensicherheit in Ihrer Arztpraxis deutlich erhöht und wie gleichzeitig Kosten gespart werden können.

Durch Angabe meiner E-Mail-Adresse erkläre ich mich damit einverstanden, dass die Secomba GmbH mir Informationen per E-Mail zuschickt. Meine Einwilligung kann ich jederzeit widerrufen.