Telematikinfrastruktur und Online-Dienste

14 Titelthema

14 Titelthema Gemeinsames Symposium von Ärzten und Zahnärzten Digitalisierungszwang und Cyberkriminalität Ein vollbesetzter Saal zeigte, wie sehr das Thema unter den Nägeln brennt, das Bezirksärztekammer Nordbaden und Bezirkszahnärztekammer Karlsruhe gemeinsam in Angriff nahmen. Nach einer Anfang November durchgeführten Fortbildung zum Thema „Hackeralarm“ stand Ende März die neue Datenschutzgrundverordnung auf der Agenda. Im Haus der BÄK Nordbaden in Karlsruhe wurde noch lange nach Veranstaltungsende heftig diskutiert, denn „im Lichte von Digitalisierungszwang und Cyberkriminalität“ birgt die neue EU-Datenschutzgrundverordnung eine Menge Zündstoff. EU-Datenschutzgrundverordnung. Nach der Fortbildung zum Thema „Hackeralarm“ im November stand nun die neue Datenschutzgrundverordnung auf der Agenda. Prof. Dr. Dr. Christof Hofele, Vizepräsident der Bezirksärztekammer Nordbaden, der die Leitung der bestens besuchten gemeinsamen Fortbildung innehatte, begrüßte die Gäste – auch in Vertretung des Präsidenten der Bezirksärztekammer Nordbaden und führte eloquent durch den nervenaufreibenden Abend. Er machte klar, dass auch Arztpraxen und Kliniken immer häufiger Ziel von Cyberkriminalität und Hackerangriffen sind. Zudem gelten ab 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union neue Datenschutzbestimmungen. Daher müssen alle niedergelassenen Ärzte und Zahnärzte sicherstellen, dass sie bis zum Stichtag die erforderlichen Anpassungen vorgenommen haben. Preußischer Gehorsam. In Deutschland galten zwar schon bislang recht hohe Anforderungen an den Datenschutz. Die neuen Regelungen, die ohne Übergangsfrist in Foto: D. Kallenberg Kraft treten, bringen nun zusätzlich eine Reihe von formalen Änderungen, wenn auch inhaltlich keine großen Veränderungen eintreten. So wird etwa die Bestellung eines Datenschutzbeauftragten für viele Praxen Pflicht, Verstöße können zudem mit hohen Bußgeldern sanktioniert werden. Dies hatte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink, bereits in der Veranstaltung im November angekündigt und damit wohl für Unmut und Verunsicherung gesorgt, die an diesem Abend noch zu spüren waren. Dr. Norbert Engel, Vorsitzender der BZK Karlsruhe, hatte die Anspannung bemerkt, denn er nannte es „verwegen“, den Kolleginnen und Kollegen einen schönen Abend zu wünschen. Zu brisant ist das, was mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 gilt: Unternehmen, Freiberufler und Gewerbetreibende haben als Verantwortliche jederzeit die Pflicht, die Einhaltung der Datenschutzgrundsätze gegenüber den Aufsichtsbehörden nachzuweisen. Wie man später am Abend erfuhr, ist diese sog. Accountability nur dann erfüllt, wenn man nachweisen kann, dass die Verarbeitung personenbezogener Daten rechtmäßig, nach Treu und Glauben, transparent, zweckgebunden, datenminimiert, richtig, speicherbegrenzt sowie integer und vertraulich erfolgt. Diese neue Verordnung gilt zwar europaweit, doch wie Dr. Engel betonte, bekundeten bislang nur Deutschland und Östereich diese umsetzen zu wollen: Deutschland sicherlich mit „preußischem Gehorsam“, Österreich wahrscheinlich in der milderen Habsburger Form. Trojaner. Als Einstieg referierte erneut Dr. Sven Rößing, niedergelassener Facharzt für Orthopädie, der Anfang 2017 von einem Hackerangriff betroffen war. Ein Cryptolocker-Trojaner hatte das Praxissystem verschlüsselt und forderte die Zahlung von 4.500 Euro in Bitcoins, um das System wieder freizugeben. Nach einer längeren Telefonodyssee gelangte Dr. Rößing an die richtige Adresse, die Kriminalpolizeidirektion, Dezernat Cyberkriminalität, die dazu riet, auf keinen Fall auf die Erpressung einzugehen (s. dazu auch ZBW 12/2017 S. 32 ff.). So wurde der Praxisbetrieb an diesem Tag manuell geführt. Übers Wochenende konnte die Datensicherung des Vortages in insgesamt 66 Stunden wieder aufgespielt werden, danach die händisch geführten Datenblätter ins System eingepflegt werden – ein großer Aufwand in jeder Hinsicht. Als Betroffener hatte Dr. Rößing viele Tipps für den Daten-Notfall an die Kollegenschaft weitergereicht, unter anderem auch den, alle wichtige Telefonnummern ausgedruckt bereitzuhalten. Er empfahl zudem, einen Notfallplan für solche Ereignisse auszuarbeiten, denn ein Cyberangriff kann jede Praxis treffen. ZBW 5/2018 www.zahnaerzteblatt.de

Titelthema 15 Man sollte außerdem eine Versicherung für Hackerangriffe zumindest in Erwägung ziehen und die Mitarbeiter immer wieder für das Thema sensibilisieren. Gut überlegt werden will die Serverauslagerung in eine Cloud, denn diese muss absolut sicher sein, daher sind Überlegungen, sich in eine Universitätscloud einzumieten, eine KV-Cloud zu etablieren oder sich zu Genossenschaften zur Datenverwaltung zusammenzuschließen, höchst aktuell. Auf ZAC. Tipps zur Prävention gab es anschließend von Isabell Blumer, Polizeikommissarin im LKA Stuttgart. Sie stellte ZAC vor, die Zentrale Ansprechstelle Cyberkriminalität beim LKA, die rund um die Uhr erreichbar ist und Betroffenen die Odyssee erspart, von der Dr. Rößing nach dem Cyberangriff auf seine Praxis berichtet hatte. Unter der Telefonnummer 0711/5401-244 und der Mail-Adresse cybercrime@polizei.bw.de sollte im Falle eines Netzangriffs jederzeit ein Ansprechpartner erreicht werden, der erste Beweissicherungsmaßnahmen einleiten und den Kontakt mit Ansprechpartnern bei den örtlichen Dienststellen herstellen kann. Nach Aussagen von Frau Blumer hat sich Ransomware („ransom“ englisch für Lösegeld) zu einer der größten Bedrohungen für Internetnutzer entwickelt. Die Krypto-Varianten, die man für wenig Geld im Darknet bekommen kann, verschlüsseln diverse Dateiformate und fordern gleichzeitig die Zahlung von Lösegeld, meist in Form von Bitcoins. Im Jahr 2017 hat die Polizei in Baden-Württemberg 317 solcher Fälle bearbeitet und dabei festgestellt, dass auch die Zahlung von Lösegeld, von der natürlich dringend abgeraten wird, meist nicht zum Ziel führt, denn die Erpresser sind oft nicht in der Lage, die Sperre aufzuheben. Mit Augenmaß. Einen weiteren hochkarätigen Referenten hatte man mit Dr. Carsten Ulbricht eingeladen, einen auf Internet, E- Commerce und Social Media spezialisierten Rechtsanwalt mit einem Schwerpunkt beim Datenschutz. Er konnte ein bisschen von der Aufregung dämpfen, indem er darauf hinwies, dass man Augenmaß bewahren müsse und bedenken, dass die Idee hinter der EU-DSGVO richtig ist, nämlich die Rechte von Privatpersonen zu schützen. Zu prüfen ist daher vor allem, ob die Praxis-IT in der Lage ist, die Rechte der Betroffenen zu wahren. Auch wenn EDV- Wartung oder Datensicherung in einem externen Rechenzentrum vorgenommen werden, ist der Praxisinhaber die datenschutzrechtlich verantwortliche Person und muss sich daher davon überzeugen, dass alle Datenschutzregeln eingehalten werden. Nicht gegen Mittelstand. Dr. Ulbricht betonte, dass sich die neue Verordnung nicht gegen den deutschen Mittelstand richte, sondern gegen internationale Großkonzerne und gegen alle diejenigen, „denen Datenschutz egal ist“. Außerdem ist seiner Beobachtung nach aus dem Datenschutz ein großes Geschäft geworden, der von vielen Seiten benutzt wird, um Dienstleistungen zu verkaufen. Weiterhin gab der Referent zu bedenken, dass allgemein nicht damit gerechnet wird, dass die Aufsichtsbehörden sofort nach Inkrafttreten der DSGVO hohe Bußgelder verhängen werden, über die ja Gerichte zu entscheiden haben. Außerdem bemisst sich die Höhe der Bußgelder generell an Faktoren wie Dauer, Art und Schwere des Verstoßes, Schadensumfang etc. Einwilligung. Wichtige Punkte, die jede Praxis in ihren organisatorischen Abläufen berücksichtigen sollte, betreffen die Einwilligung, die vor jeder Datenverarbeitung vom Patienten eingeholt werden muss. Auch wer Patienten an Termine erinnern will – etwa per Brief, Mail oder SMS, sollte dies noch einmal getrennt von der Einwilligung zur normalen Verarbeitung der Daten in der Praxis-EDV aufführen. Vorsicht ist für Ärzte auch beim Datenaustausch in Ärztenetzen oder Kooperationen geboten: Auch hier sollte vor jeglicher Datenweitergabe der Patient explizit zustimmen. Die Praxis darf die beim Patienten erhobenen Daten, dazu zählen auch die Diagnosen, immer nur zum Zweck der Leistungserbringung und Abrechnung erheben. Wer bei privatversicherten Patienten die Abrechnung über einen externen Dienstleister laufen lässt, sollte sich hierfür beim Patienten eine getrennte Einwilligungserklärung einholen. Vorsicht ist bei der Weitergabe von Daten zu Studienzwecken geboten. Auf der sicheren Seite sind Ärzte nur dann, wenn sie die Erlaubnis des Patienten dazu einholen. Auch das Recht auf Löschung gehört zu den durch die europäische Verordnung neu geregelten Rechten von Privatpersonen, die für Ärzte relevant sind, sodass sie bei einer Datenverknüpfung mit anderen Stellen – etwa in Kooperationen oder wenn sie Praxisdaten in gesicherten Clouds ablegen – sicherstellen müssen, dass alle Daten zu löschen sind, wenn ein Patient dies wünscht. Datenschutzbeauftragte. Auf die Frage ob eine Arztpraxis zwingend einen Datenschutzbeauftragten haben muss, verwies Dr. Ulbricht auf die Standard-Juristen- Antwort „es kommt darauf an“. Das EU-Recht sieht diesen nur vor, wenn die Hauptaktivität des Betriebs dem Umfang oder seinem Zweck nach die massenhafte, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert oder das Kerngeschäft eines Unternehmens in der massenhaften Verarbeitung sensibler Daten besteht. Dies ist bei Praxen, deren Kerngeschäft die medizinische Leistungserbringung ist, nicht der Fall. Dennoch wird man bei einer Arztpraxis mit mehreren Berufsträgern wohl davon ausgehen müssen, dass ein Datenschutzbeauftragter benannt werden muss, zumindest wird dies für Gemeinschaftspraxen mit mehreren Ärzten gelten. Wichtige Aufgabe des Datenschutzbeauftragten ist die Datenschutz-Folgenabschätzung (DSFA) die prüft, wie hoch das Risiko ist, dass die Daten in irgend einer unrechtmäßigen Weise genutzt werden könnten. In Arztpraxen, wo hochsensible Daten erhoben werden, ist die Implementierung einer DSFA laut Dr. Ulbricht dringend anzuraten. D. Kallenberg » info@zahnaerzteblatt.de www.zahnaerzteblatt.de ZBW 5/2018