Akte X – Passwörter, Software-Updates und Zugriffsrechte für MItarbeiter

Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als Zahnarzt anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. Dem Zahnarzt gleich stehen seine berufsmäßig tätigen Gehilfen und die Personen, die bei ihm zur Vorbereitung auf den Beruf tätig sind. Ebenso diejenigen, die nach dem Tod des Zahnarztes, das Geheimnis von dem Verstorbenen oder aus dessen Nachlass erlangt. In diesem Sinne formuliert Paragraf 203 Strafgesetzbuch (StGB) die Rechtsfolgen der Verletzung von Privatgeheimnissen durch den Zahnarzt.

Bereits dies macht die Erforderlichkeit des sorgsamen Umgangs mit Daten durch ihn deutlich. Untermauert wird dies weiter über die besonderen Bestimmungen zur zahnärztlichen Schweigepflicht, wie sie in den Berufsordnungen der Zahnärzteschaft ihren Niederschlag gefunden hat (vgl. Paragraf 7 der Musterberufsordnung für Zahnärzte, MBO-ZÄ). Schließlich normieren Paragraf 9 des Bundesdatenschutzgesetzes (BDSG) und die hierzu erlassene Anlage die Verpflichtung, die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die geeignet sind, Zutritts-, Zugangs-, Zugriffs, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrollen zu gewährleisten.

Patientendatenschutz muss gewährleistet sein

Patientendatenschutz ist daher – unter Beachtung der gesetzlichen Vorgaben – in erster Linie durch hinreichende Datensicherheits- und Datensicherungsmaßnahmen zu gewährleisten. Erster Ansprechpartner oder – wie es das BDSG formuliert – „verantwortliche Stelle“ ist dabei der niedergelassene Zahnarzt als Unternehmer, soweit er in ärztlichen Kooperationsformen arbeitet, die jeweilige Kooperation (MVZ, BAG) als „Unternehmen“. Da der der Zahnarzt indes nicht alleine arbeitet, sondern sich vielmehr zahnärztlichem Hilfspersonal im Rahmen seiner Aufgabenerfüllung bedient, ist es entscheidend, die mit der notwendigen Einbindung von Mitarbeitern in den Berufsalltag und die Patientenbehandlung verbundenen Risiken der unbefugten Offenbarung von Patientendaten durch eine entsprechende Sensibilisierung und Schulung der Mitarbeiter, sowie die Etablierung fester Datensicherungs- und Datensicherheitsstandards in der Praxis zu minimieren beziehungsweise soweit wie möglich gänzlich zu beseitigen. Woran hier im Einzelnen gedacht werden sollte, soll im nachfolgend kurz beleuchtet werden.

1. Telefongespräche mit Patienten – Wer?, Was?, Wieviel?

Jeder kennt es: Das schnelle Telefonat erleichtert und beschleunigt einiges; sowohl aus Patientensicht, als auch aus Sicht der Praxis selbst. Schnell einen Termin verschieben, ein Untersuchungsergebnis abfragen oder mitteilen oder den Patienten an die jährliche Kontrolluntersuchung erinnern. Hier gilt es sicherzustellen, dass auch tatsächlich dem richtigen Patienten die richtigen Informationen vermittelt werden. Da Sie ihr Gegenüber indes nur hören und nicht sehen, müssen Sie bei Telefonaten bereits hier entsprechende Sicherheitsstandards etablieren und sicherstellen, dass nicht bereits zu Beginn eines Telefonates die konkrete Krankheitsgeschichte des (vermeintlichen) Patienten erörtert wird. Suchen Sie durch gezielte, Fragen, beispielsweise nach dem Geburtsdatum oder der Krankenversicherungsnummer, zunächst nach einer Identitätsfeststellung des Anrufers bzw. des Angerufenen.

Vermeiden Sie Fragen, die lediglich mit „Ja“ oder „Nein“ beantwortet werden können („Sind Sie Herr Mustermann, geboren am 1. Januar 1976, Maxstraße 1?“). Beachten Sie weiter, von wo Sie Telefonate führen und wer hier gegebenenfalls mithören kann, sodass auch direkte namentliche Ansprachen des Gegenüber soweit möglich zu vermeiden sind; soweit umstehende Personen aus der Nennung des Namens oder sonstiger Identifikationsmerkmale eine bestimmte Person identifizieren können, sind Telefonate mit Patienten gänzlich zu unterlassen. Im Übrigen sollte die telefonische Informationsvermittlung auf ein Minimum reduziert werden.

2. Betriebssystem und Software – Installation und Wartung

Betriebssysteme können – bei fehlerhafter oder unzureichender Installation – zahlreiche Lücken aufweisen, die unberechtigten Dritten Zugriff auf Ihre Dateien gewähren. Eine regelmäßige Pflege Ihres Betriebssystems beginnt dabei mit regelmäßigen und zeitnahen Updates. Weiterhin ist die Etablierung eines Rollen- und Rechtekonzepts erforderlich. So sollte nicht jeder Mitarbeiter mit vollen Admin–Rechten ausgestattet und Zugangs- und Zugriffsberechtigungen regelmäßig überprüft werden.

Berechtigungen ausgeschiedener Mitarbeiter entfernen

Insbesondere ist darauf zu achten, dass Berechtigungen ausgeschiedener Mitarbeiter entfernt werden. Insbesondere moderne Betriebssysteme und zahlreiche Office-Anwendungen zeigen zudem eine starke Tendenz dazu, mit ihrem Hersteller in Kontakt zu treten; wie E.T. Anfang der 80er-Jahre möchten auch Windows, Word & Co. gerne nach Hause telefonieren. Anders als der kleine Außerirdische weisen die Programme indes nicht mit dem leuchtenden Zeigefinger auf diesen Umstand hin. Installationsroutinen sind vielmehr oft so voreingestellt, dass sich der Nutzer schnell in der „Cloud“ befindet, ohne hierüber eine bewusste Entscheidung getroffen zu haben. So finden sich beispielsweise Nutzer von MS-Office 2013 schnell im SkyDrive wieder; das Betriebssystem Windows 10 soll auch „recht geschwätzig“ sein.

Auch die Apple iCloud steht dem in nichts nach. So behält sich Apple das Recht vor, „jederzeit zu prüfen, ob Inhalte angemessen sind und mit dieser Vereinbarung übereinstimmen“. Weiterhin ist „Apple berechtigt, Inhalte jederzeit ohne vorherige Ankündigung nach eigenem Ermessen herauszufiltern, zu verschieben, abzulehnen, zu modifizieren und/oder zu entfernen“. Als Nutzer des Services erklären Sie sich zudem damit einverstanden, „dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Accountinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritten weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessener Weise notwendig ist“ (www.apple.com/legal/internet-services/icloud/de/terms.html ^[3]). Ein „Gau“ in Sachen Patientengeheimnis und Datenschutz! Lassen Sie Betriebssysteme und Software daher nur von Sicherheitsexperten installieren und konfigurieren. Wer hier spart, für den kann es schnell teuer werden.

3. Passwörter – Geburtstage und Namen der Kinder nicht hinreichend

In der Praxis eingesetzte Passwörter sind regelmäßig zu aktualisieren; dies gilt vor allem im Zusammenhang mit dem Ausscheiden von Mitarbeitern. Passwörter sind so zu wählen, dass Sie nicht einfach rekonstruiert werden, sie sollten daher eine gewisse Mindestlänge (acht Zeichen) nicht unterschreiten und die gesamte Bandbreite des Tastaturspektrums umfassen, hierzu zählen nicht nur Zahlen und Buchstaben, sondern auch Sonder- und Satzzeichen, die – ohne größeren Aufwand – etabliert werden können. So hat sich in der Praxis die Umwandlung bestimmter Sätze in Passwortstrukturen als hilfreich erwiesen. So könnte der leicht zu merkende Satz „Ich habe meine Praxis am 1. Januar 2016 eröffnet“ beispielsweise in die Passwortfolge „IhmP@0!0!20!6e“ transformiert werden.

Das könnte Sie auch interessieren: Patientenfälle im Internet diskutieren – geht das? [4]

4. Bildschirmschoner – Sehen nicht nur schön aus, sondern erfüllen einen Zweck

In keinem Fall darf unberechtigten Dritten Zugriff auf Patientendaten gewährt werden. Selbst wenn das Praxisverwaltungssystem auf einem sonst angemeldeten Rechner nicht gestartet ist und sein Start eines Passworts bedarf, können Daten massiv gefährdet sein. Soweit von diesem Rechner ein Internet-Zugang besteht, reichen nicht einmal 30 Sekunden um den Rechner über das Internet mit einem Trojanischen Pferd oder einem Virus zu infizieren und damit einen dauerhaften Zugriff auf Ihre Systeme einzurichten. Daher sollten alle Rechner so eingestellt werden, dass eine Authentifizierung stattfinden muss, bevor Sie Zugriff auf die Arbeitsoberfläche (Desktop) des Rechners erhalten. Wird ein Arbeitsplatz kurzzeitig verlassen, so sollte die Arbeitskonsole gesperrt werden. Ein weiteres nützliches Hilfsmittel sind passwortgeschützte Bildschirmschoner. Diese sollten so eingestellt sein, dass sie zeitnah aktiviert werden, wenn am Rechner nicht gearbeitet wird.

5. Hardware-Entsorgung – Erst Daten löschen, dann in den Elektroschrott

Vorsicht ist auch geboten, soweit es um den Austausch von Hardware in der Praxis geht. Hier werden „alte Computer“ oft zu leichtfertig im Elektroschrott entsorgt oder anlässlich der nächsten Sperrmüllsammlung auf die Straße gestellt. Auch dies geht selbstverständlich nur, wenn die auf den Rechnern befindlichen Daten zuvor vollständig und unwiederbringlich gelöscht werden. Das BSI weist darauf hin, dass das „normale Löschen“ hier gar nichts bringt, denn das, was wir in den „virtuellen“ Papierkorb schieben, ist zwar nicht mehr sichtbar, aber in der Regel noch immer auf dem Rechner vorhanden. Auch das vorherige vollständige vorherige Formatieren der Festplatte oder des betroffenen Datenträgers gilt nicht als sicheres Löschverfahren. Sicher ist hier nur die physikalische Zerstörung der Festplatten und sonstigen Speichermedien. Dies gilt auch für Großkopierer, die in der Regel eine Festplatte enthalten und Scan- beziehungsweise Kopiervorgänge speichern. Hier sei dringend das Studium der Hinweise zum sicheren Löschen von Daten des BSI empfohlen, welches im Internet unter https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/RichtigLoeschen/richtigloeschen_node.html ^[5] abgerufen werden kann.

6. Regeln

• Achten Sie bei Telefonaten die Identifizierung Ihres Gesprächspartners und besprechen Sie Behandlungsfakten nicht an der Anmeldung.
• Sichern Sie regelmäßig die Daten in Ihrer Praxis.
• Erstellen Sie ein Rollen- und Rechtekonzept.
• Nutzen Sie Administratorrechte so sparsam wie möglich.
• Nutzen Sie die Sicherheitsmechanismen von passwortgeschützten Bildschirmschonern.
• Achten Sie auf eine hinreichende Passwortsicherheit.
• Entsorgen Sie Hardware nicht einfach im Elektroschrott, sondern denken Sie an die vorherige und sichere Löschung der dort gespeicherten Daten. Die physikalische Zerstörung der Speichermedien bietet hier die größte Sicherheit

RA Dr. Robert Kazemi, Dr. Thomas Lenhard, Bonn

 

Zu unseren Autoren

Dr. Thomas H. Lenhard ist als Datenschutzbeauftragter der Deutschen Gesellschaft für Zahn-, Mund- und Kieferheilkunde (DGZMK) und anderer Institutionen im Gesundheitswesen umfassend tätig. Er ist national und international als Sachverständiger anerkannt und doziert europaweit an Hochschulen zu den Themen Datenschutz und Datensicherheit. Seit dem Jahr 2014 ist er Geschäftsführer der medi-ip-dataprotect UG (haftungsbeschränkt) in Bonn, einem Unternehmen, das sich zum Großteil mit Datenschutz im Gesundheitswesen befasst.

Kontakt: info@medi-ip-dataprotect.com ^[6], Tel.: 0171-6247326

Dr. Robert Kazemi ist Partner der Kanzlei Kazemi & Lennartz Rechtsanwälte in Bonn. Er berät in Fragen des Datenschutz- und Gesundheitsrechts. Er ist Autor der im Deutschen Anwaltverlag erschienenen Werke Marken eintragen und Recherchieren sowie Datenschutzrecht in der anwaltlichen Beratung. Er publiziert zudem regelmäßig in namhaften Fachzeitschriften und ist als Sachverständiger (rechtlich) beim Unabhängigen Landeszentrum für Datenschutz akkreditiert. Zudem ist als wissenschaftlicher Beirat der medi-ip data protect UG tätig.

Kontakt: www.medi-ip.de ^[7]