Datenschutz ist „Chefsache“ und eine „unternehmerische Risikoentscheidung“. Diese Aussagen waren am 27.04.2022 bei dem von Guerbet unterstützten RWF-Webinar „Effektiver Datenschutz in der Radiologie“ – neben vielen weiteren praxisbezogenen Hinweisen und Tipps der Referenten – zu vernehmen. Die Teilnehmerzahlen sowie die Fragen, die während des Webinars aufkamen, spiegeln das Interesse aus der Radiologiebranche am Thema Datenschutz wider. Die Highlights des Webinars und die Antworten auf einige der Fragen werden in diesem Beitrag aufgegriffen. Einen Link zur vollständigen Aufzeichnung des Webinars können Sie hier anfordern.

Motive und Strategien von Datenhackern

Nach der kurzen Begrüßung der rund 130 Teilnehmer durch Achim Berlis, dem Geschäftsführer von Guerbet Deutschland, startete Rechtsanwältin Taisija Taksijan mit den rechtlichen Rahmenbedingungen und den daraus resultierenden Folgen für Radiologische Praxen und Institute.

Im Anschluss brachte der IT-Experte Dirk Schrader den Zuschauern die Perspektive eines Hackers näher und veranschaulichte die Motive, Ziele und Vorgehensweise bei einem Hackerangriff. Eines der Highlights des Webinars war dabei die Live-Demonstration, wie einfach ein Hacker auf Patientendaten und -Bilder von ausländischen PACS-Servern zugreifen kann, wobei es Server betraf, deren Betreiber der Referent bereits auf bestehende Datenlücken hingewiesen hatte. Laut Schrader gibt es derzeit weltweit immer noch 640 ungeschützte Systeme, auf denen sich mehr als 30 Mio. Datensätze zu radiologischen Untersuchungen befinden mit fast 1,4 Mrd. verknüpften Bildern, die angesehen werden können. Grundsätzlich plädiert Schrader für eine vorsichtige Strategie hinsichtlich des Zugangs zu sensiblen Gesundheitsdaten.

Abgerundet wurde das Webinar durch die Vorstellung zweier Softwareanwendungen von Guerbet durch Andreas Gillessen, Nationaler Verkaufsleiter Digital bei Guerbet. Diese Anwendungen zum Dosismanagement sowie zur Kontrastmittel-Applikation arbeiten ebenfalls mit sensiblen Patientendaten, die es zu schützen gilt und für die entsprechende Maßnahmen integriert sind.

Datenschutz-Fragen der Teilnehmer

Zahlreiche Fragen der Webinar-Teilnehmer betrafen die rechtlichen Vorgaben zum Datenschutz sowie die Folgen im Falle einer „Datenpanne“.

Frage 1: Bei welcher Stelle erfolgt die Anzeige des Datenschutzbeauftragten und wo werden Datenschutzpannen gemeldet?

Antwort 1: Die Anzeige des Datenschutzbeauftragen sowie die Anzeige von Datenschutzpannen erfolgt immer bei der zuständigen Datenschutzbehörde des jeweiligen Bundeslandes, in dem die betreffende Praxis, das MVZ oder die Klinik ansässig ist.

Frage 2: Wer würde haften, wenn aufgrund der Arbeitsumstände (Überlastung, fehlende Schulungen etc.) in der IT die Sicherheit der Daten nicht gewährleistet werden kann?

Antwort 2: Die genannten Umstände sind leider keine Enthaftungsgründe. Das bedeutet, dass sich eine Praxis oder ein MVZ entscheiden muss, wie viele Ressourcen in das Thema Datenschutz investiert werden, um das maximale Datenschutzniveau zu erreichen. Eine gute Balance zwischen dem rechtlich Erforderlichen und dem praktisch Umsetzbaren ist unvermeidbar.

Frage 3: Wie ist eine Patienteninformation zum Datenschutz via Aushang (inkl. dem Verweis, dass bei Bedarf auch ein Ausdruck ausgegeben werden kann) zu beurteilen?

Antwort 3: Wir empfehlen, dass die Patienten diese Patienteninformation unterschreiben und dass die Praxis diese Unterlage auch zur Patientenakte nimmt. Nur so hat die Praxis den Nachweis, dass die Patienten tatsächlich informiert wurden.

Frage 4: Wer muss die Datenpannen melden? Der Datenschutzbeauftragte oder der Chef?

Antwort 4: Der Praxisinhaber sollte mit Unterstützung des Datenschutzbeauftragten meldepflichtige Datenschutzvorfälle der Behörde melden – möglichst innerhalb von 72 Stunden. Im besten Fall sollte der Vorfall innerhalb weniger Stunden nach Feststellung nachvollzogen und verstanden werden, ggf. sollten dann bereits erste Schritte zur Abwehr bzw. Sicherung vorgenommen werden. Zudem ist der Vorfall an den Chef zu berichten, der dann entscheiden muss, was zu melden ist.

Frage 5: Ist ein abgewehrter Hackerangriff schon ein zu meldender Vorfall?

Antwort 5: Das hängt vom Stadium des Angriffs ab. Von Bedeutung ist auch die Frage, ob Daten bereits an unberechtigte Dritte gelangt sein könnten. Bei einem vollständig abgewehrten Abgriff und der Gewissheit, dass kein Fremdzugriff erfolgt ist, könnte ggf. auf eine Meldung verzichtet werden.

Frage 6: Besteht auch die Möglichkeit, dass über den Zugriff auf ein Web-Interface Trojaner auf mein System gelangen?

Antwort 6: Ja, wenn Sie den Upload über das Web-Interface ermöglichen, dann erlauben Sie jedem, der Zugriff auf dieses Web-Interface hat, quasi auch den Upload eines Trojaners.