Arztpraxen verarbeiten täglich hochsensible Gesundheitsdaten – und sind damit ein attraktives Ziel für Cyberangriffe. Gleichzeitig verpflichtet die DSGVO alle Verantwortlichen, durch geeignete technische und organisatorische Maßnahmen die Verfügbarkeit und Integrität dieser Daten zu gewährleisten (Art. 32 DSGVO). Ein praxistaugliches Notfallkonzept ist dabei kein Luxus, sondern eine rechtliche Pflicht. Beim nächsten DSGVO-Update sollte es deshalb systematisch auf Aktualität und Wirksamkeit geprüft werden.

Die Checkliste

  1. Notfallkonzept auf Aktualität prüfen: Stimmen die beschriebenen Systeme, Verantwortlichkeiten und Kontaktdaten noch mit der aktuellen Praxissituation überein? Veraltete Notfallpläne sind im Ernstfall gefährlich.
  1. Eskalationsstufen definieren: Das Konzept sollte klare Stufen festlegen – von kleinen Vorfällen (Laptop verloren) bis zu kritischen Ereignissen (Ransomware-Angriff) – mit jeweils angepassten Reaktionsschritten.
  1. Meldepflicht nach Art. 33 DSGVO einbauen: Der Plan muss die 72-Stunden-Frist zur Meldung von Datenschutzverletzungen bei der Aufsichtsbehörde explizit berücksichtigen. Wer meldet wann und wie?
  1. Benachrichtigung betroffener Patienten regeln: Bei schwerwiegenden Datenpannen (Art. 34 DSGVO) müssen Patienten informiert werden. Das Notfallkonzept sollte Musterschreiben und einen Prozess dafür enthalten.
  1. IT-Dienstleister in das Konzept einbinden: Klären Sie, wie und unter welcher Nummer Ihr IT-Dienstleister im Notfall erreichbar ist. Reaktionszeiten und Eskalationspfade sollten vertraglich vereinbart sein.
  1. Datenschutzbeauftragten einbinden: Der DSB muss bei Datenschutzvorfällen sofort einbezogen werden. Stellen Sie sicher, dass seine Kontaktdaten im Notfallplan stehen und er über das Konzept informiert ist.
  1. Offline-Protokoll für Systemausfall sicherstellen: Was passiert, wenn die Praxissoftware nicht verfügbar ist? Halten Sie ein Notfallprotokoll für den papierbasierten Betrieb bereit.
  1. Wiederherstellungszeiten (RTO) definieren: Wie lange darf die Praxis ohne Zugriff auf Patientendaten sein? Definieren Sie realistische Wiederherstellungsziele und prüfen Sie, ob Ihre IT diese einhalten kann.
  1. Notfallübungen durchführen: Tabletop-Übungen oder Simulation eines Ransomware-Angriffs helfen, Schwachstellen im Konzept zu entdecken, bevor es ernst wird. Dokumentieren Sie Übungen und Ergebnisse.
  1. Versicherungsschutz prüfen: Besteht eine Cyberversicherung? Ist der Notfallplan mit den Anforderungen der Versicherung kompatibel? Einige Policen verlangen bestimmte Sicherheitsmaßnahmen als Voraussetzung.
  1. Notfallkonzept intern kommunizieren: Alle Mitarbeiter müssen wissen, was im Notfall zu tun ist. Schulen Sie das Team und hängen Sie eine Kurzübersicht an einem zentralen Ort aus.

Typische Fehler

Notfallplan existiert, wird aber nie getestet: Ein Konzept, das nicht erprobt wurde, bietet im Ernstfall keine Sicherheit. Jährliche Tests sind Pflicht.

IT-Dienstleister nicht erreichbar: Viele Praxen können ihren IT-Betreuer außerhalb der Geschäftszeiten nicht erreichen. Im Notfall kostet das entscheidende Stunden.

72-Stunden-Frist nicht bekannt: Erstaunlich viele Praxisinhaber wissen nicht, dass DSGVO-Verstöße innerhalb von 72 Stunden gemeldet werden müssen. Diese Unkenntnis kann teuer werden.

Fazit

Ein wirksames Notfallkonzept ist die Lebensversicherung Ihrer Praxis in der digitalen Welt. Ärzteversichert empfiehlt, das Konzept beim jährlichen DSGVO-Update komplett durchzugehen, zu testen und schriftlich zu dokumentieren. Weitere Artikel finden Sie in der Blog-Übersicht.

Quellen

Persönliche Beratung zu diesem Thema?

Kostenfreie Erstberatung anfragen →