Arztpraxen verarbeiten hochsensible Patientendaten und sind deshalb ein bevorzugtes Ziel für Cyberkriminelle. Die DSGVO verpflichtet Praxisinhaber zu technischen und organisatorischen Schutzmaßnahmen, während das BSI konkrete Empfehlungen für Arztpraxen bereitstellt.
Das Wichtigste auf einen Blick
- Regelmäßige Updates und Patches aller Systeme sind die wichtigste Einzelmaßnahme
- Mitarbeiterschulung zu Phishing und sicheren Passwörtern ist ebenso wichtig wie technische Maßnahmen
- Datenpannen müssen innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden (Art. 33 DSGVO)
Ausführliche Antwort
Arztpraxen sind nach Art. 32 DSGVO verpflichtet, dem Risiko angemessene technische und organisatorische Maßnahmen (TOM) zu ergreifen. Konkret bedeutet das: aktuelle Antivirensoftware, eine Firewall, verschlüsselte Datenspeicherung, regelmäßige Datensicherungen und ein Backup-Konzept nach der 3-2-1-Regel (drei Kopien, zwei verschiedene Medien, eine extern). Für Praxen, die an die Telematikinfrastruktur angebunden sind, schreibt die KBV in der Technischen Anlage zur TI-Vereinbarung spezifische Sicherheitsstandards vor.
Häufig unterschätzt wird die menschliche Komponente: Über 80 Prozent aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-E-Mail. Regelmäßige Mitarbeiterschulungen und simulierte Phishing-Tests sind kostengünstige Schutzmaßnahmen. Passwörter sollten einheitlich nach Passwortrichtlinien vergeben werden, idealerweise über einen Passwortmanager.
Bei einem Cybervorfall drohen erhebliche Schäden: Lösegeldforderungen bei Ransomware, Bußgelder bis zu 4 Prozent des Jahresumsatzes nach DSGVO, Betriebsunterbrechung und Reputationsverlust. Eine Cyberversicherung kann den finanziellen Schaden abfedern und im Ernstfall professionelle Incident-Response-Teams finanzieren.
Worauf Ärzte besonders achten sollten
Praxen ab einer gewissen Größe sollten einen externen IT-Dienstleister mit Erfahrung im Gesundheitswesen beauftragen. Ärzteversichert berät Arztpraxen zu Cyberversicherungen, die neben Schadensersatz auch die Kosten für IT-Forensik, Kommunikationsmanagement und Betriebsunterbrechung übernehmen.
Quellen und weiterführende Informationen
- Bundesamt für Sicherheit in der Informationstechnik – IT-Grundschutz für Arztpraxen
- Kassenärztliche Bundesvereinigung – Datenschutz und IT-Sicherheit
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →