IT-Sicherheit in der Arztpraxis und russische Virenschutzsoftware

IT-Sicherheit, Symbolbild Schloss auf Tastatur, DSGVO, Berufsgeheimnis

Warnung vor russischer Sicherheitssoftware oder warum müssen sich Gesundheitseinrichtungen / Arztpraxen mit IT-Sicherheit befassen?

Aktuell gibt es eine Warnung des BSI – Bundesamt für Sicherheit in der Informationsgesellschaft – vor der russischen Virenschutzsoftware Kaspersky, wohl vor dem Hintergrund des Angriffs Russlands auf die Ukraine.

Das Unternehmen hat hierzu eine Pressemeldung veröffentlicht, in der sie ihre Sicherheitstechnik und die Datenverarbeitung in der Schweiz sowie ihre Regierungsunabhängigkeit betonen. Zudem kritisiert der Gründer Eugene Kaspersky in einem offenen Brief die BSI-Warnung als unbegründet und schädlich für die Cybersicherheit. Siehe hierzu Experteinschätzungen.

Praxistipp:

Es sollte jemand im Unternehmen, in der Arztraxis bestimmt werden, der dafür zuständig ist, die Cyber-Sicherheitswarnungen des BSI auf Relevanz für die eigenen IT-Systeme und kurzfristigen Handlungsbedarf prüfen, ggf. auch ein externer IT-Dienstleister (s.u.)

Doch warum ist IT-Sicherheit für Arztpraxen und sonstige Gesundheitseinrichtungen wichtig?

Neben dem strafrechtlichen Berufsgeheimnis nach § 203 StGB und der berufsrechtlichen Verschwiegenheitspflicht nach § 9 MBOÄ, ergibt sich die Pflicht zur IT-Sicherheit für personenbezogene Daten, insbesondere für die Patientendaten aus dem Datenschutzrecht.

IT-Sicherheit – die Sicherheit personenbezogenen Daten vor Verlust oder unberechtigtem Zugriff (Verfügbarkeit, Integrität und Vertraulichkeit) zu schützen – stellen datenschutzrechtliche Grundprinzipien dar, für die jeder datenschutzrechtlich Verantwortliche zu sorgen hat, Art. 5 Abs. 1 f) DSGVO, § 24 DSGVO. Daher besteht die Pflicht, den Datenschutz auch durch Technikgestaltung zu gewährleisten, Art. 25 DSGVO und angemessene technische und organisatorische Maßnahmen (toM) zu ergreifen, Art. 32 DSGVO. Die Landesdatenschutzaufsicht Bayern hat eine Checkliste nach Art. 32 DSGVO zur Prüfung der Cybersicherheit in medizinischen Einrichtungen veröffentlicht.

Für Gesundheitsdaten gilt ergänzend die Pflicht, spezifische Schutzmaßnahmen zu ergreifen, § 22 Abs. 2 BDSG. Welche Maßnahme angemessen sind, kann sich z.B. aus den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) unter dem Stichwort IT-Grundschutz (s.u.) ergeben. Speziell im Gesundheitsbereich gilt verbindlich für die vertragsärztliche Versorgung die KBV-Richtlinie zur IT-Sicherheit, in der vertragsärztlichen und vertragszahnärztlichen Versorgung § 75b SGB V.

Nach § 75c SGB V sind alle Krankenhäuser unabhängig von ihrer Einordnung als kritische Infrastruktur i.S.d. BSI-Gesetzes (vgl. § 2 Abs. 10 BSIG, § 6 KRITIS-VO i.V.m den in Anlage 5 definierten Schwellwerten, z.B. mehr als 30 Tausend vollstationäre Fälle in einem Krankenhaus pro Jahr) zur IT-Sicherheit in Krankenhäusern verpflichtet und es wird auf die branchenspezifischen Sicherheitsstands verwiesen (B3S-Krankenhaus).

Bußgeld nach DSGVO und unzureichende IT-Sicherheit

Fehlende oder unzureichende IT-Sicherheit kann mit einem Bußgeld bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresgesamtumsatzes sanktioniert werden, Art. 83 Abs. 4a) DSGVO i.V.m. Art. 32 DSGVO, z.B. 460.000 € wegen unzureichendem Berechtigungskonzept im Krankenhaus. Bei der Festsetzung der Höhe des Bußgeldes ist zu berücksichtigen, ob angemessene technische und organisatorischen Maßnahmen durch den Verantwortlichen oder Auftragsverarbeiter ergriffen wurden, Art. 83 Abs. 2 d) DSGVO. Mit anderen Worten: kommt es zu einer Datenpanne, Art. 33 DSGVO, weil keine IT-Sicherheitsmaßnahme ergriffen wurden (Beispiel: kein Virenscanner), fällt das Bußgeld deutlich höher aus, als wenn trotz guter IT-Sicherheitsmaßnahmen (Virenscanner mit automatischem Update, aber Angreifer waren schneller als das Update) eine Datenpanne nicht verhindert werden konnte.

Praxistipp

Wegen der Bedeutung des Vertrauens der Patienten für die berufliche Tätigkeit sowie mit Blick auf die Bußgeldrisiken sollte sich jeder Praxisinhaber, jede Praxisinhaberin mit dem Thema IT-Sicherheit beschäftigen und, sofern kein ausreichendes internes Know-How vorhanden ist, diese Aufgabe auf einen qualifizierten, möglichst KBV-zertifizierten IT-Dienstleister übertragen. Es ist empfehlenswert als allgemeine Leistungsanforderung die hier genannten Leitlinien, Empfehlungen und Checklisten zu vereinbaren.

David Seiler, Rechtsanwalt, Lehrbeauftragter für Datenschutzrecht und IT-Security Law, 16.03.2022

berät insbesondere zur Fragen im Bereich Datenschutz und IT-Recht

Weiterführende Hinweise zur IT-Sicherheit

BÄK: Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis Ziff. 3.11.

Technische Anlage 2018 zur IT-Sicherheit in Arztpraxen (abgelöst von KBV-IT-Sicherheitsrichtlinie)

IT-Notfallkarte BSI

Das BSI hat ein Muster für eine IT-Notfallkarte zum Aushang in Unternehmen zur Verfügung gestellt, um den Mitarbeitern eine schnelle Information zu geben, wer im IT-Notfall kontaktiert werden sollte.

Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle für Digitale Ersthelfer

Das BSI hat einen Leitfaden zur Reaktion auf IT-Sicherheitsvorfälle für Digitale Ersthelfer und Ersthelferinnen veröffentlicht.

Risiko Passwortwechsel

Die Datenschutzaufsicht Baden-Württemberg hat in ihren Empfehlungen zum sicheren Umgang mit Passworten geraten diese nur bei Kompromitierungsverdacht zu wechseln.

Die französische Aufsichtsbehörde CNIL hat vor einem regelmäßigen Passwortwechsel gewarnt. Bei Bedarf mit deepl.com übersetzbar

Check von Passworten auf Sicherheit
Wollen Sie wissen, wie gut Ihr Passwort ist? Testen Sie es.

Best Practices: „Fernwartung in der Gesundheitsversorgung“

Der Bundesverband Gesundheits-IT – bvitg hat „Best Practices: „Fernwartung in der Gesundheitsversorgung“ veröffentlicht

IT-Grundschutz-Komendium des BSI Version 02/2021

Das BSI stellt umfassende Informationen zur IT-Sicherheit jährlich aktualisiert bereit.

Offboarding-Prozess und Datenschutz – ausscheidenden Mitarbeitern die Zugangsrechte entziehen

IT-Zugänge von ausgeschiedenen Mitarbeitern, insbesondere solchen, die vom Homeoffice aus arbeiten konnten, beim Ausscheiden aus dem Unternehmen oder der Praxis nicht zu löschen, ist ein erhebliches IT-Sicherheitsrisiko, wenn nicht gar eine anzeigepflichtige Datenpanne, Art. 33 DSGVO.

Schadsoftware, die Daten verschlüsselt und damit Lösegeld erpressen will: Ransomware

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Mai 2021 ein Papier zum Thema „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ veröffentlicht.

Ransomware Prüfung LDA Bayern
Das BayLDA hat Informationen zu einer begonnenen „Ransomware-Präventionsprüfung“ veröffentlicht und weiterführende Links bereitgestellt:
Die Prüfung beginnt mit einem Anschreiben, umfasste einen Fragebogen sowie eine Handreichung zum Prüfungsbogen (Erläuterung zum Fragebogen) und schließlich noch ein Infoblatt zur Ransomware-Präventionsprüfung.

„Routenplaner“ des BSI und ZDH Cyber-Security: Neues IT-Grundschutzprofil für Handwerksbetriebe