15.02.2019 - Fragebogen-Aktion: Datenschutzbehörden bei Arztpraxen

Nachdem sich die erste Frage-Welle an die Datenschutzbehörden etwas gelegt hat, haben einige Datenschutzbehörden damit begonnen, sich ihrerseits via Fragebogen einen Überblick über den aktuellen Stand der Einhaltung der DS-GVO in Arztpraxen zu verschaffen.

Diese Fragebögen beschäftigen sich primär mit dem Thema „Datensicherheit“, also dem Schutz der Patientendaten vor Verlust z. B. durch sogenannte Verschlüsselungs-Trojaner (Ransomware). Hier wird vom Backup-Konzept (Datensicherung) über die (sichere) Anbindung der Systeme an das Internet bis zur Awareness-Schulung für Mitarbeiter die bisher getroffenen Maßnahmen der Praxis abgefragt.

Darf die Datenschutzbehörde diese Informationen überhaupt via Fragebogen einfordern?
Ja, denn die Aufsichtsbehörden sind auch ohne konkreten Anlass gemäß Art. 58 Abs. 1 a) befugt, entsprechende Auskünfte bei den „Verantwortlichen“ (das sind die Unternehmer, also Sie als Praxisinhaber) einzuholen, quasi „präventiv“.

Der Fragebogen sollte also vor allem „sachlich korrekt“ ausgefüllt und an die Aufsichtsbehörde zurückgesandt werden, um ein mögliches Bußgeld oder gar eine Vor-Ort-Prüfung durch die Datenschutzbehörde zu vermeiden.

Die Fragen der Datenschutzbehörde zum Thema „Datensicherheit“ sollte jede Praxis zum Anlass nehmen, Ihre Datensicherheitsmaßnahmen zu überprüfen. Schäden, die durch Verschlüsselungstrojaner oder ähnliche Cyberangriffe entstehen können, sind erheblich und geeignet eine Praxis für mehrere Tage lahm zu legen. Mit entsprechenden Vorkehrungen, wie

- intelligentem Backup-Konzept,

- aktuellem Patch-Management,

- leistungsfähiger Antiviren-Software und

- permanenter Sensibilisierung der Mitarbeiter auf dieses Thema,

lässt sich ein solcher Schaden minimieren oder sogar gänzlich ausschließen. Mit einer Cyber-Versicherung lassen sich die dann noch bestehenden Rest-Risiken auch noch wirtschaftlich abfedern.

Gerne unterstützen wir Sie bei der Beantwortung des Fragebogens und der sich ggf. daraus noch zu ergreifenden Maßnahmen. Wir freuen uns auf Ihren Anruf.

Andreas Zieher

Zertifizierter Datenschutzbeauftragter (DSC-Standard)
medizieher GmbH