Checkliste: DSGVO-Update – IT-Backup sichern für Ärzte

Patientendaten gehören zu den sensibelsten personenbezogenen Daten überhaupt. Ein Datenverlust durch technischen Defekt, Ransomware-Angriff oder menschliches Versagen kann für eine Praxis existenzbedrohend sein – sowohl wirtschaftlich als auch haftungsrechtlich. Die DSGVO verpflichtet Arztpraxen ausdrücklich, durch geeignete technische Maßnahmen die Verfügbarkeit und Wiederherstellbarkeit von Daten sicherzustellen (Art. 32 DSGVO). Beim nächsten DSGVO-Update sollte das IT-Backup deshalb systematisch überprüft werden.

Die Checkliste

1. Backup-Konzept schriftlich dokumentieren: Halten Sie fest, welche Systeme wie oft gesichert werden, wo die Backups gespeichert sind und wer dafür verantwortlich ist. Ohne Dokumentation gilt die Maßnahme im Zweifel als nicht vorhanden.

1. Regelmäßigkeit der Sicherungen prüfen: Patientendaten sollten täglich gesichert werden. Überprüfen Sie, ob die automatischen Backup-Jobs tatsächlich laufen und keine stillen Fehler vorliegen.

1. Verschlüsselung sicherstellen: Backups müssen verschlüsselt sein – besonders wenn sie auf externen Medien oder in der Cloud gespeichert werden. Unverschlüsselte Backups sind ein schwerwiegender DSGVO-Verstoß.

1. Externe Speicherorte prüfen: Cloud-Backups müssen bei einem Anbieter mit EU-Serverstandort oder einem angemessenen Datenschutzniveau gespeichert werden. Den Auftragsverarbeitungsvertrag (AVV) kontrollieren.

1. Wiederherstellbarkeit testen: Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos. Führen Sie mindestens einmal jährlich einen Restore-Test durch und dokumentieren Sie das Ergebnis.

1. 3-2-1-Regel einhalten: Mindestens drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine außerhalb der Praxis (offsite). Diese Regel gilt als Mindeststandard.

1. Zugriffsrechte auf Backups einschränken: Nur autorisierte Personen dürfen auf Backup-Systeme zugreifen. Dokumentieren Sie die Zugriffsberechtigungen im Sicherheitskonzept.

1. Aufbewahrungsfristen für Backups festlegen: Bestimmen Sie, wie lange Backup-Versionen vorgehalten werden. Zu kurze Fristen können im Schadensfall problematisch sein; zu lange Aufbewahrung widerspricht dem Datensparsamkeitsprinzip.

1. Notfallplan für Datenverlust erstellen: Was passiert, wenn ein Backup-Restore scheitert? Halten Sie einen Notfallplan mit Eskalationsstufen und Kontakten fest.

1. IT-Dienstleister prüfen: Externe IT-Betreuer, die Backups verwalten, müssen einen gültigen AVV unterschrieben haben. Prüfen Sie auch, ob dieser AVV noch dem aktuellen Leistungsumfang entspricht.

1. Mitarbeiter sensibilisieren: Praxismitarbeiter sollten wissen, wie Backups funktionieren und was im Falle eines Datenverlusts zu tun ist. Schulungsnachweis archivieren.

Typische Fehler

Kein regelmäßiger Restore-Test: Die meisten Praxen sichern Daten, testen aber nie, ob die Wiederherstellung tatsächlich funktioniert. Im Ernstfall zeigt sich dann, dass das Backup korrupt ist.

Cloud-Backup ohne AVV: Die Nutzung von Cloud-Diensten ohne Auftragsverarbeitungsvertrag ist ein häufiger und folgenschwerer DSGVO-Verstoß, der bei einer Prüfung sofort auffällt.

Backups am gleichen Standort wie Produktivsystem: Liegt das Backup im selben Raum wie der Server, ist es bei Feuer oder Einbruch zusammen mit den Originaldaten verloren.

Fazit

Ein sicheres, DSGVO-konformes IT-Backup ist keine Option, sondern eine rechtliche Pflicht für jede Arztpraxis. Ärzteversichert empfiehlt, das Backup-Konzept beim jährlichen DSGVO-Update systematisch zu überprüfen und Testergebnisse zu dokumentieren. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

• BaFin – IT-Sicherheitsanforderungen
• Bundesärztekammer – Telematikinfrastruktur und IT-Sicherheit
• Bundesministerium für Gesundheit – Digitalisierung im Gesundheitswesen