Datenschutz ist nicht nur eine IT-Frage – Art. 32 DSGVO verlangt auch den Schutz personenbezogener Daten vor physischen Risiken wie Brand, Wasserschaden oder unbefugtem Zutritt. Patientenakten in Papierform und Server in der Praxis müssen physisch gesichert sein. Diese Checkliste verbindet DSGVO-Compliance mit konkreten Brandschutzmaßnahmen.

Die Checkliste

  1. Physische Schutzmaßnahmen im Verarbeitungsverzeichnis dokumentieren: Art. 32 DSGVO fordert technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten – dazu gehören auch physische Sicherungen. Dokumentieren Sie diese im Verarbeitungsverzeichnis.
  1. Lagerung von Patientenakten in feuersicheren Schränken prüfen: Papierpatientenakten müssen in verschlossenen, idealerweise feuerhemmenden Schränken aufbewahrt werden. Prüfen Sie, ob Ihre Aktenschränke den Anforderungen entsprechen (Feuerwiderstandsklasse mindestens S 60).
  1. Serverraum oder Netzwerkschrank auf Brandschutz prüfen: Falls Praxisserver, NAS-Systeme oder TI-Konnektoren in einem gesonderten Raum stehen, muss dieser gegen Brand, Wassereintritt und unbefugten Zutritt gesichert sein.
  1. Backup-Konzept auf physische Redundanz überprüfen: Datensicherungen müssen an einem räumlich getrennten Ort aufbewahrt werden (Art. 32 DSGVO, TOMs). Ein lokales Backup im selben Raum wie der Server ist bei einem Brand wertlos.
  1. Zutrittsschutz zur Praxis und zum Aktenraum sicherstellen: Wer hat Zutritt zu Räumen mit sensiblen Patientendaten? Prüfen Sie, ob alle Zugänge abschließbar sind und Fremdfirmen nur begleitet Zutritt erhalten.
  1. Brandmeldeanlage und Feuerlöscher regelmäßig warten: Brandmeldeanlage und Handfeuerlöscher müssen regelmäßig gewartet werden. Dokumentieren Sie Wartungsnachweise und stellen Sie sicher, dass Feuerlöscher im Aktenbereich platziert sind.
  1. Notfallplan für Datenverlust bei Brand erstellen: Was passiert mit der Patientenversorgung, wenn alle Daten durch einen Brand verloren gehen? Erstellen Sie einen Notfallplan, der das Vorgehen bei vollständigem Datenverlust beschreibt.
  1. Mitarbeiter auf Brandschutz und Datensicherheit schulen: Mitarbeiter müssen wissen, wie sie im Brandfall vorzugehen haben – und dass die Evakuierung von Personen absoluten Vorrang vor der Rettung von Datenträgern hat. Dokumentieren Sie entsprechende Unterweisungen.
  1. Versicherungsschutz für Datenverlust durch Brand prüfen: Prüfen Sie, ob Ihre Inhaltsversicherung oder Cyberversicherung auch den Wiederherstellungsaufwand für elektronische Patientendaten nach einem Brand abdeckt.
  1. Regelmäßige Überprüfung der physischen TOMs einplanen: Physische Schutzmaßnahmen müssen im DSGVO-Kontext mindestens jährlich überprüft und ggf. angepasst werden – insbesondere nach Umbauten, Umzügen oder Personalwechseln.

Typische Fehler

  • Papierakten unverschlossen im Behandlungszimmer: Patientenakten auf dem Schreibtisch oder in offenen Regalen sind physisch ungeschützt – dies ist ein DSGVO-Verstoß, auch wenn kein Brand stattfindet.
  • Backup liegt im selben Raum wie der Server: Bei einem Brand ist auch das Backup zerstört. Off-Site-Backups oder Cloud-Backups mit verschlüsselter Übertragung sind Pflicht.
  • Fehlende Dokumentation der physischen Schutzmaßnahmen: Wer im Falle einer DSGVO-Prüfung keine TOMs vorweisen kann, riskiert Bußgelder – auch wenn die Maßnahmen faktisch vorhanden sind.

Fazit

Physischer Datenschutz und Brandschutz gehören untrennbar zur DSGVO-Compliance in der Arztpraxis. Ärzteversichert empfiehlt, physische Schutzmaßnahmen explizit im DSGVO-Update zu berücksichtigen und mit dem Brandschutzbeauftragten abzustimmen. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →