Notfall Datenleck

Was wäre, wenn die Daten all Ihrer Patienten für jeden einsehbar durchs Internet schwirren würden? Dieser Albtraum wurde für einen Allgemeinmediziner aus Celle Ende 2019 Wirklichkeit. Arztberichte, Laborbefunde und Röntgenbilder, aber auch Mitarbeiterdaten und Buchhaltungsdetails waren unbemerkt in die Öffentlichkeit gelangt. Insgesamt ging es um rund 30.000 Datensätze. Das Leck konnte erst nach mehreren Tagen vollständig abgedichtet werden. Schuld an der Panne war nicht etwa ein Hackerangriff, sondern ein unzureichend gesicherter Router in der Arztpraxis. 

Immer wieder gehen spektakuläre Fälle durch die Presse, bei denen Kriminelle die digitale Infrastruktur einer Praxis lahmlegen oder mit der Veröffentlichung von gestohlenen Patientendaten drohen, um Lösegeld zu erpressen. Wie das Beispiel aus Celle zeigt, sind sie aber nicht die einzige Gefahr für die IT-Sicherheit in Gesundheitseinrichtungen. Tatsächlich gehen die meisten Datenlecks und andere gravierende IT-Probleme auf technische oder Bedienungsfehler in der betroffenen Praxis selbst zurück. Mal werden sensible Daten versehentlich in eine ungesicherte Cloud hochgeladen, mal stimmt die Grundeinstellung des Routers nicht, mal werden aus Unwissenheit oder Überforderung keinerlei Sicherheitseinstellungen vorgenommen. 

Egal, ob Fremd- oder Eigenverschulden: Jede Cyberpanne hat massive Auswirkungen auf den Praxisalltag. Bis der Schaden behoben ist, kann der normale Betrieb oft nicht oder nur stark eingeschränkt weitergehen. Zu den Ausfallskosten kommen Aufwendungen für IT-Fachleute, die den Fehler finden und beheben müssen. Auch der Ruf der Praxis leidet, was erhebliche wirtschaftliche Folgen haben kann. Wurden durch die Sicherheitslücke die Persönlichkeitsrechte Dritter verletzt – zum Beispiel, weil vertrauliche Gesundheitsinformationen auf einmal öffentlich sind – stehen unter Umständen hohe Schadenersatzansprüche im Raum. Nicht zuletzt drohen Bußgelder, wenn Bestimmungen der europäischen Datenschutz-Grundverordnung (DSGVO) verletzt wurden.

Gerade die Verpflichtungen, die sich aus der DSGVO ergeben, sind vielen Praxisinhabern nicht bewusst. Nach der Verordnung muss schon im Vorfeld eine Risikobewertung der Datensicherheit erfolgen und dokumentiert werden, ob die technischen und organisatorischen Sicherheitsmaßnahmen angemessen sind. Kommt es zu einer Datenpanne, prüft die zuständige Datenschutzbehörde, ob Bewertung und Dokumentation erfolgt sind und die Maßnahmen eingehalten wurden. Wenn nicht, drohen Strafen. Auch, wer den IT-Unfall nicht binnen 72 Stunden an die Behörde meldet und gegebenenfalls auch die Patienten informiert, muss mit Bußgeldern rechnen.

Fazit: Ärztinnen und Ärzte, die Datensicherheit in ihrer Praxis gewährleisten und auch mit einer Sicherheitslücke professionell umgehen wollen, brauchen Expertenwissen – im IT-Bereich, aber auch in Sachen Krisenkommunikation, Recht und Versicherungsschutz. Im Ernstfall reicht die Berufshaftpflichtversicherung nämlich meist nicht aus, um den Gesamtschaden aus einer Sicherheitslücke zu decken. Deshalb empfiehlt sich ergänzend eine sogenannte Cyberversicherung, die speziell auf IT-Risiken zugeschnitten ist. Sie kommt nicht nur für den verursachten Schaden auf, sondern auch für die Behebung der Sicherheitslücke und die Kosten einer eventuellen Betriebsunterbrechung.

Außerdem haben die Versicherten Zugriff auf weitere Services – zum Beispiel auf IT-Dienstleister, die schnell und unkompliziert Rat geben, präventive Maßnahmen etablieren und auch verlorene Daten wiederherstellen können. Spezialisierte Datenschutzanwälte und Experten für Kommunikation unterstützen in allen Rechts- und Marketingfragen, die sich aus der Datenpanne ergeben. Außerdem führt die Cyberversicherung auch alle Meldungen nach DSGVO schnell und zuverlässig durch.