Datensicherheit

Geheimnisverrat am Telefon – Ärzte plaudern Daten aus

NEUER KOMMENTAR
Beitrag teilen

Ärzte, Apotheker oder Laborbetreiber müssen beim Umgang mit Patientendaten besonders verantwortungsvoll handeln. Aber alle Unternehmer sollten sich noch mehr um Datenschutz und Datensicherheit kümmern – auch, um die Anforderungen der europäischen Datenschutz-Grundverordnung zu erfüllen.

Hohe Anforderungen bei Datenschutz und Datensicherheit muss jeder Unternehmer qua Gesetz erfüllen, der Daten von Kunden oder Mitarbeitern erhebt beziehungsweise verarbeitet. Besonders sensibel sollte bei diesem Thema sein, wer mit intimen Informationen umgeht – Ärzte etwa, die Patienten betreuen und mit Medikamenten versorgen. Klingt logisch, wird aber nicht immer beherzigt. So verstießen Mitarbeiter in Arztpraxen bei Lockanrufen der Stiftung Warentest erschreckend oft gegen ihre Schweigepflicht und gaben etwa Laborwerte telefonisch heraus. Das darf in keiner Arztpraxis passieren – und sollte übrigens generell niemals geschehen, auch nicht in Unternehmen außerhalb der Gesundheitsbranche.

Die Anforderung an Verantwortung ist hoch

Zwar kann es durchaus notwendig werden, Patientendaten gegenüber Dritten offenzulegen. Am häufigsten ist sicher der Fall, dass eine Versicherung vor dem Abschluss einer Police oder bei der Beantragung von Leistungen durch ihren Kunden eine Gesundheitsprüfung verlangt, was dann die Offenlegung entsprechender Daten erfordert. Aber auch dann muss der Arzt genau hinschauen, was er herausgibt: Von der Schweigepflicht entbunden wird er vom Versicherten nur für den für die Gesundheitsprüfung maßgeblichen Zeitraum. Sind Zeitraum oder Fragestellung nicht eindeutig, sollte nachgefragt werden, worum genau es geht.

Abläufe im Betrieb müssen der Datensicherheit dienen

Die Verantwortung beim Umgang mit persönlichen Daten von Kunden oder Mitarbeitern ist übrigens teilweise sehr weitgehend, so der frühere Datenschutzbeauftragte des Landes Schleswig-Holstein, Thilo Weichert: Apotheker, die ja eventuell Kenntnis der ganzen verschreibungspflichtigen Medikamentenversorgung eines Patienten haben, sind rechtlich sogar für die von ihnen genutzten Rechenzentren verantwortlich. Daher gilt vor allem für Unternehmer in der Gesundheitsbranche: Kümmern Sie sich um die Abläufe in Praxis, Apotheke und Labor. Bundesdatenschutzgesetz und Gebührenordnung für Ärzte formulieren Aufklärungspflichten gegenüber den Patienten, wenn beispielsweise ein Labor beauftragt wird. Diese und andere Besonderheiten können etwa mit Spezialisten der Kassenärztlichen Vereinigung geklärt werden und natürlich mit dem Rechtsanwalt. Der sollte übrigens auch von Firmenchefs in allen anderen Branchen sofort angesprochen werden, wenn beim Thema Datenschutz und Datensicherheit auch nur die kleinste Unsicherheit besteht. Nach der neuen europäischen Datenschutz-Grundverordnung werden Verstöße richtig teuer.

E-Mails und Netze müssen sicherer gemacht werden

Auch bei der E-Mail-Sicherheit könnten viele Unternehmer mehr tun als bisher. GMX ermöglicht mir als Pro-Mail-Kundin die Verschlüsselung per Mausklick mit dem als sicher geltenden Pretty Good Privacy(PGP)-Tool. Das ist zwar etwas aufwändiger und damit auch nervig, scheint mir aber angesichts zunehmender Hackerangriffe auf kleine und mittlere Unternehmen angebracht zu sein – nicht nur bei hochsensiblen Patientendaten, sondern auch bei Angeboten oder Rechnungen, die häufig ebenfalls sensible Daten enthalten. Auch hier sollten Sie Ihren Anwalt nach den nötigen Standards fragen und Ihren IT-Dienstleister darauf ansprechen. Klären Sie dabei gleich, wie auf aktuelle Risiken, etwa Trojaner, zu reagieren ist. Die Gefahr ist nicht zu unterschätzen, wie das Beispiel eines Krankenhauses im niederrheinischen Neuss zeigt, dessen Patientendaten von Malware aus einem E-Mail-Anhang verschlüsselt wurden. Mehr dazu, wie Sie Ihre eigenen E-Mails verschlüsseln können und worauf Sie bei eingehenden Nachrichten von dubiosen Absendern achten sollten, erfahren Sie im „Leitfaden zur E-Mail-Sicherheit für Unternehmen“.

Auch ausrangierte Hardware von Daten säubern

Und denken Sie beim Thema Datenschutz immer an Geräte, die nicht mehr genutzt und daher entsorgt werden sollen: Bevor Sie sich von dieser Hardware trennen, müssen Sie dafür sorgen, dass alle gespeicherten Daten sorgfältig und endgültig gelöscht sind. Nicht nur Patientenakten enthalten hochsensible Informationen. Selbst die vermeintlich uninteressanten Restdaten auf einem PC, der nur am Empfang stand, können von Cyberkriminellen dafür genutzt werden, eine ausgefeilte Social-Engineering-Attacke vorzubereiten.