DSB Diaries – Datenspeicherung einer Arztpraxis

Erlebnisse aus meinem Alltag als Datenschutzbeauftragter und IT-Sicherheitsbeauftragter: Kurze Anekdoten, die tatsächlich passiert sind. Gewürzt mit einer Prise Humor und einer Spur von Sarkasmus, aber vor allem mit wertvollen Erkenntnissen, die das Verständnis für Datenschutz und Datensicherheit verbessern sollen.


Mein Name ist Torben Bues und ich arbeite heute sowohl als Datenschutzbeauftragter sowie als Berater für Informationssicherheit u.a. für Betriebe mit kritischen Infrastrukturen. Meine berufliche Herkunft liegt im IT-Bereich, in dem ich über viele hinweg erfolgreiche als Dienstleister für HPE (Hewlett Packard Enterprise) gemeinsam mit meinem Team zahlreiche mittelständische Kunden aus diversen Branchen betreut habe.

Unser Fokus lag dabei auf der Bereitstellung von Server-, Storage- und Netzwerktechnologien, die von Hewlett Packard Enterprise entwickelt und in Rechenzentren quer über ganz Europa implementiert wurden. Im Verlauf von über 20 Jahren haben wir durch enge Kooperationen mit Forschungseinrichtungen, öffentlichen Rechenzentren und Technologieunternehmen unser Fachwissen kontinuierlich erweitert. Dies ermöglichte es uns, sich zunehmend auf technische Lösungen zu spezialisieren, die der Sicherung von Unternehmensdaten dienten sowie die unterbrechungsfreie Durchführung zeitkritischer Geschäftsprozesse gewährleisteten.

Meine heutigen Kunden setzen sich aus Organisationen zusammen, die entweder ihre Datenschutzstrukturen zeitgemäß gestalten möchten, oder spezifische Schritte zur Umsetzung von internationalen Standards (wie beispielsweise Tisax, ISO, SOX, KAS-51) planen. Meine Expertise liegt in der Auditierung, Konzeption und Kontrolle von technischen und organisatorischen Maßnahmen (TOM). In diesem Feld arbeite ich auch als IT-Sachverständiger und Gutachter für den Bundesfachverband BISG e.V.


So verarbeiten Arztpraxen häufig Ihre Daten

Datenschutz-Audit bei einer Arztpraxis

Eine mittelgroße Praxis bestehend aus vier Ärzt:innen und ca. 15 Arbeitnehmer:innen verarbeitete Patientendaten auf einem eigenen Server, der im Keller der Praxis stand. Der Server, ein besserer PC mit einem stark veralteten Windows Betriebssystem, war nicht nur hoffnungslos veraltet sondern auch noch schlecht konfiguriert. Denn der fachlich grenzwertige IT-Dienstleister hatte alle Schwierigkeiten damit, den Windows-Server mit den “fancy” I-Macs im Praxisbereich so zu verknüpfen, dass den Anforderungen an eine halbwegs sichere Netzwerkkonfiguration genüge getan wurde. Die Inhaber:innen der Praxis konnten die Missstände weder fachlich noch betriebswirtschaftlich einordnen und weder die Leistungsbeschreibung des IT-Dienstleisters, noch der Auftragsverarbeitungsvertrag sicherten diese MCGyver-Lösung angemessen ab.

Auf den Datenplatten des Servers befanden sich neben der Datenbank des Windows-MAC-Praxisverwaltungsprogramms eine Vielzahl an sensiblen Patienten-Dokumenten. Darunter Befunde, Röntgenbilder, Informationen über Unverträglichkeiten, Vorerkrankungen, bestimmte Medikationen und vieles mehr. In der DSGVO sprechen wir hier umgangssprachlich von Artikel 9 Daten.

Wer nun denkt, das sei bereits das dicke Ei der Geschichte – es geht noch besser:

Das Backup der sensiblen Daten bestand aus einem selbst geschrieben Skript des IT-Dienstleisters, das allabendlich die Daten (völlig ungeschützt) über eine ungesicherte Leitung auf einen FTP-Server “kopierte”. Ohne Verschlüsselung, ohne Transportkontrolle und ohne Quittung der Gegenseite. Als Vergleich stellen Sie sich vor, Sie würden Ihr Handy, Ihre Familienalben und alle Ihre vertraulichen Nachrichten zwischen Ihnen und Ihrer besten Freund:in ungeschützt auf einen Marktplatz Ihrer Wahl legen und hoffen, dass jeder daran vorbeigeht ohne reinzugucken.

Aber auch das war (noch) nicht der Höhepunkt dieses grandiosen IT-Konzepts. Das Backup lagerte auf den eigenen Severn des IT-Dienstleisters. Vermutlich neben hunderttausenden anderen, unverschlüsselten Daten weiterer Arztpraxen.

Einzelfall?

Leider nein..

Besonders die sogenannten “geschützten Berufsgruppen”, darunter Mediziner und Juristen arbeiten bildlich gesprochen, häufig noch auf Steintafeln. Besonders Praxisnetzwerke sind oftmals unzureichend geschützt und bieten halbwegs (aus-)gebildeten Cyberkriminellen in sekundenschnelle Zugriff auf hochsensible Personendaten. Es fehlt genauso an kompetenten IT-Dienstleistern, wie an entsprechend sensibilisierten Arzt:innen. Schauen Sie mal, wieviele Praxen noch mit einem Faxgerät arbeiten.

Was können Sie tun?

Nehmen Sie Ihr Recht auf Auskunft wahr (Artikel 15 DSGVO) und fragen konkret nach, welche pb Daten zu welchem Zweck wohin weitergeleitet werden. Verzichten Sie auf keinen Fall auf die Verschlüsselung Ihrer Daten, falls z.B. Labordaten weitergeleitet werden sollen). Dies versuchen viele Praxen gerne, um Geld zu sparen und technische Sicherungsmethoden zu vermeiden. Für die “Sicherheit der Verarbeitung” gem. Artikel 32 DSGVO) ist die Praxis verantwortlich und diese Anforderung kann sie nicht durch eine Einwilligung Ihrerseits aushebeln.


2019 Aktive Inhalte Angreifer Angriff App Apps Arbeitsplätze Aufsichtsbehörden Behörden Beschäftigte BSI Business Continuity Bußgeld Corona Covid-19 Daten Datenmanagement Datenmissbrauch Datenschutz Datenschutz-Manager Datensicherheit Details DSB DSGVO E-Mail Hacked Internet IT-Sicherheit Konferenz Kontrolle Lerneinheit Lernvideo Lupe Löschen Microsoft Modell Office Ortsbegehung personenbezogene Daten Recht Schutz Sicherheit Sicherheitslücken Unternehmen vor Ort