Beim Datenschutz sollten wir von Helikopter-Eltern lernen
Bei einer Cyberattacke auf den französischen Praxissoftware- Anbieter Cegedim Santé wurden Berichten zufolge Datensätze von rund 15 Millionen Patienten entwendet. In etwa 165000 Fällen sind zusätzlich Freitext-Notizen vom Datenleck betroffen – darunter auch Informationen zu Spitzenpolitikern und Sicherheitsbeamten. Teilweise enthalten die Texte höchst sensible Angaben, etwa zu HIV-Status, sexueller Orientierung, Religion oder Suizidgedanken. Diese Datensätze sind nun im Darknet aufgetaucht.
Dieser Vorfall zeigt wieder einmal deutlich, wie wichtig es ist, als Praxisinhaber Datenschutz als Konzept in der Tiefe zu verstehen. Man kann sich eben nicht einfach wegducken und hoffen, mit einer Datenschutzerklärung, die jemand einem in die Website eingebaut hat, hätte man alles Erforderliche getan.
BETRACHTEN SIE IHRE PATIENTENDATEN ALS IHRE KINDER
Mit den Daten ist es wie mit einem Kind: Man ist dafür verantwortlich und will, dass es geschützt ist. Deswegen wählt man die Betreuungspersonen sorgfältig aus, schaut sich mehrere Kindergärten genau an, bevor man sich entscheidet, prüft den Babysitter auf Herz und Nieren. Das Spielzeug soll keine schädlichen Stoffe enthalten, und vielleicht steigt man ernährungstechnisch auf Bio um. Man fährt es überall hin, auch wenn es älter ist, man schärft dem Kind ein, dass es nicht mit Fremden mitgeht. In den USA dürfen viele Kinder nicht mal bei ihren Freunden übernachten. Man kümmert sich also um alle Umgebungen, in denen das Kind sich aufhalten könnte, und checkt ab, ob es ihm dort gut geht. WIE DIE MEISTEN PRAXISBETREIBER MIT KUNDENDATEN UMGEHEN
Seit fast 20 Jahren bringe ich Menschen in Heilberufen abmahnsicher in die Sichtbarkeit, z. B. mit ansprechenden Websites und abmahnsicheren Werbetexten. Und ich muss leider feststellen, dass sich nur wenige so für Datenschutz interessieren, wie es nötig wäre. Sie machen es sich lieber bequem: Ihre Passwörter sind leicht zu behalten (und daher auch leicht zu knacken!), die meisten machen keine regelmäßigen Updates ihrer Website, viele wissen nicht mal, was ein AV-Vertrag ist. Völlig sorglos wird WhatsApp genutzt, oft sogar ohne Eintrag in die Datenschutzerklärung, US-amerikanische Newsletter-Module implementiert usw. Sie machen sich einfach gar keine Gedanken darüber.
Wenn ich das auf die Metapher mit den Kindern übertrage, dann ist das so, als vertraue ich mein Kind jedem x-beliebigen Kerl auf der Straße an, weil er freundlich lächelt, oder als setze ich es irgendwo aus, in der Hoffnung, dass es schon alleine zurückfindet. Es bekommt schon mit zwei Jahren ein Handy und darf auch ins Internet, weil ich gar nicht auf dem Schirm habe, was da alles passieren kann. SIE TRAGEN VERANTWORTUNG FÜR DIE DATEN IHRER PATIENTEN
Gerade im Gesundheitsbereich tragen Sie große Verantwortung für die Daten Ihrer Patienten. Diese beinhaltet, dass - Sie ungefähr wissen, welche Gefahren es gibt und welche Pflichten Sie haben - Sie starke Passwörter verwenden
- Sie eine Firewall auf Ihrer Website installieren und die Website wöchentlich updaten (WordPress) - Sie sich im Vorfeld intensiv über die Dienstleister informieren, die Sie nutzen möchten - Sie nachhaken, welche Maßnahmen die Dienstleister zum Schutz ergreifen - Sie herausfinden, ob die Dienstleister in der EU sitzen und ob sie einen AV-Vertrag anbieten - Sie wissen, was ein AV-Vertrag ist
- Sie nicht auf Phishingmails oder Spyware hereinfallen - Sie nur sichere Software herunterladen
- Sie aktiv Maßnahmen zum Datenschutz ergreifen (NAS, sicherer Cloudspeicher)
Natürlich kann man nicht alle Glieder aller Ketten im Blick haben. Aber Sie müssen sich bewusst sein, dass es Ketten gibt und dass jedes Kettenglied brüchig sein kann. Und Sie sind verpflichtet, sensibel für die Problematik zu sein und ggf. erfahrene Informatiker zu fragen, welche Dienstleister sie empfehlen.
Datenlecks müssen innerhalb von 72 Stunden bei der Datenschutzbehörde gemeldet werden.
Und wenn Sie ein Datenleck festgestellt haben, sind Sie gesetzlich verpflichtet, es innerhalb von 72 Stunden nach Feststellung bei der Datenschutzbehörde zu melden. Wenn Sie das nicht tun, kann ein Bußgeld in Höhe von 2% Ihres Vorjahresumsatzes verhängt werden. Apropos Bußgeld:
WOFÜR WERDEN IM DATENSCHUTZ BUSSGELDER VERHÄNGT?
Fehlende oder unzureichende Datenschutzerklärung: - Die Nutzer werden nicht informiert, welche Daten erhoben werden und für welchen Zweck. - Newsletter ohne Einwilligungstext oder ohne Double Opt-in: Der Versand erfolgt ohne wirksame Einwilligung oder ohne nachweisbares Double-Optin-Verfahren. Hier ist es nötig, dass Sie vor Auswahl des Newsletter-Anbieters recherchieren, wie die einzelnen Anbieter das handhaben.
- Es wurden keine AV-Verträge abgeschlossen.
- Kein Verzeichnis der Verarbeitungstätigkeiten: Sie haben kein internes Dokument, das alle Datenverarbeitungstätigkeiten auflistet.
- Unzureichende Zugangskontrollen: Die Patientendaten liegen z. B. ungeschützt auf dem Schreibtisch oder der Praxisrechner ist nicht abgesichert.
- Es gibt noch mehr Verstöße, aber ich will es nicht noch komplizierter machen. Wie hoch die Bußgelder sind, wird immer nach Ihrem Vorjahresumsatz berechnet.
WIE KANN MAN ETWAS SO TROCKENES WIE DATENSCHUTZ LERNEN?
Zugegeben, man wacht nicht morgens auf und sagt „Heute habe ich mal so richtig Lust auf Datenschutz.“ Da meine Kunden von mir als Rechtsanwältin erwarten, dass ich ihnen in Bezug auf die DSGVO den Rücken stärke, habe ich einen ganz leicht verständlichen 2,5-stündigen Video-Selbstlernkurs entwickelt. Die Kursinhalte sind mit einer Whiteboard-Software einfach und anschaulich aufgebaut, sodass Sie keine Vorkenntnisse im IT- oder Datenschutzrecht brauchen. Ich nenne darin keinen einzigen Paragrafen und benutze kein Juristendeutsch. Mit vorgefertigten Mustertexten, Checklisten und konkreten Handlungsempfehlungen können Sie das Wissen direkt umsetzen. Mit diesem Kurs werden Sie die leidige DSGVO und Ihre Pflichten endlich verstehen!
Michaela Albrecht
Rechtsanwältin, Inhaberin von wörterfall® – die kommunikationswerkstatt
- Geändert am .