Eine Untersuchung im Auftrag des Gesamtverbands der deutschen Versicherungswirtschaft hat ergeben, dass die große Mehrheit der (Zahn)Arztpraxen Hackern weitgehend ungeschützte Angriffsflächen bietet. Im Gegensatz dazu gehen die meisten (Zahn)Ärzte jedoch davon aus, dass ihre Praxen gut geschützt und datenschutzkonform organisiert seien. Hier besteht offensichtlich eine große fehlende Sensibilisierung der (Zahn)Ärzteschaft im Hinblick auf Datenschutz und IT-Sicherheit.

Dies deckt sich auch mit den Jahresberichten der Landesdatenschutzbehörden, die immer wieder Sicherheitslücken in Praxen bemängeln und ahnden. Dabei geht es nicht nur um Firewalls, Antivirensoftware und Sicherungskopien, sondern oft um einfache organisatorische Abläufe.

So werden die PCs am Empfangstresen ohne Passwortschutz angelassen, während die Helferin einen Behandlungsraum vorbereitet, so dass jeder, der die Praxis betritt, ungehindert Einsicht in die PC-Daten der Patienten und Mitarbeiter nehmen kann. Teilweise sind die PCs bei geöffnetem Fenster sogar von der Straße aus einsehbar. Zudem werden die PCs in den Behandlungsräumen bereits auf den nächsten, zu behandelnden Patienten eingestellt und ohne Passwortschutz offen gelassen, während der Patient dort alleine auf den behandelnden Arzt wartet. In dieser Zeit hätte er ebenfalls die Möglichkeit, sich die Daten anderer Patienten oder Mitarbeiter am PC anzusehen. Ob er das tatsächlich tut, spielt für die Datenschutzbehörden keine Rolle. Schon alleine die Möglichkeit, dass jemand unbefugt Einsicht in andere Daten nehmen könnte, stellt einen Verstoß gegen Datenschutzvorschriften dar, der geahndet werden kann und auch wird.

Insbesondere wird in Praxen oft übersehen, dass auch Handwerker oder Techniker, die zur Gerätewartung in die Praxis kommen, Einsicht in offen herumliegende Patientenakten oder ungeschützte PCs nehmen können. Das Mindeste ist, diese im Vorfeld eine Verschwiegenheitsverpflichtung unterzeichnen zu lassen.

Unerlässlich sind regelmäßige Mitarbeiterschulungen zum Thema Datenschutz, da diese die Arbeitsabläufe in der Praxis letztlich so gestalten und umsetzen müssen, dass sie den datenschutzrechtlichen Anforderungen genügen. Sprechen Sie mich gerne dazu an.

 

Datenschutz: Große Sicherheitslücken in (Zahn)Arztpraxen