So schützen Sie Ihre Daten!
Da private Unternehmen und Betriebe immer größere Datenmengen zusammenführen, will die EU mit ihrer seit 2018 geltenden Datenschutz-Grundverordnung (DSGVO) die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlichen. Als erste Aufsichtsbehörde hat jetzt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Praxen ins Visier genommen, um zu prüfen, ob die Regelungen auch eingehalten werden.
Konkret geht es um Fragen wie „Wie kann man als Praxisinhaber gewährleisten, dass nur wirklich befugte Personen Zugriff haben?“, „Wie kann man garantieren, dass Daten unverfälscht bleiben?“ oder „Wie sichert man sie gegen Verlust?“.
Für Mediziner ist Datenschutz insofern ein heikles Thema, als Gesundheitsdaten aus Sicht der DSGVO ein erhöhtes Risiko für betroffene Personen mit sich bringen und daher unter besonderen Schutz gestellt werden. Es ist leicht einsehbar, dass eine E-Mail mit Patientendaten, die versehentlich an einen großen Verteiler geschickt wird, sehr brisant ist. Bei einer derartigen Datenpanne im medizinischen Bereich wären zum Beispiel die Aufsichtsbehörden und unter Umständen auch der Patient unmittelbar zu kontaktieren. Überdies kennt die Verordnung das Instrument der „Datenschutz-Folgenabschätzung”: Bei Verarbeitungstätigkeiten, die ein hohes Datenschutzrisiko erwarten lassen, ist vorab eine detaillierte Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Erforderlich kann eine Datenschutzfolgeabschätzung beispielhaft in folgenden Konstellationen sein:
Eine Praxis führt eine Praxisverwaltungssoftware oder neue Versionen davon ein, die neue Funktionalitäten, insbesondere mit Auswertungsmöglichkeiten, zur Verfügung stellt.
Werden Patientendaten zur Analyse oder Auswertung an mehrere Standorte oder an Dienstleister weitergereicht, besteht ein erhöhtes Datenschutzrisiko aufgrund der geografischen Reichweite der Datenverarbeitungsvorgänge.
Das Bußgeld in Höhe von 400.000 Euro, das im Oktober in Portugal gegen ein Krankenhaus verhängt wurde, weil es die Zugriffsrechte auf Patientendaten mit der Gießkanne verteilt hatte, ist auch hier durch die Medien gegangen. Doch bedeutet Informationssicherheit nicht nur IT-Sicherheit, wie anhand eines weiteren Beispiels gezeigt werden soll: So kann es passieren, dass man als Patient in der Notaufnahme eines Krankenhauses zunächst brav an einem Schild mit der Aufschrift „Diskretion, bitte Abstand halten“ wartet, um dann am Empfang die eigenen Daten zu Protokoll zu geben und die akuten Symptome zu schildern. Anschließend wird man in einen Wartebereich gebeten – der völlig offen hinter dem Empfang liegt. Während man also dort der weiteren Behandlung harrt, sprechen alle Personen, die nach einem an in die Notaufnahme kommen, laut und deutlich in dieselbe Richtung, in der man sitzt: Frau X, die wieder Probleme mit der Niere hat; ein Sanitäter, der versehentlich das Insulin von Herrn Y mitgenommen hat und nun dessen Anschrift erfragt; die Krankenschwester, die nur darüber lästern will, dass die Kollegin XY vier weitere Wochen wegen Burn-out fehlen wird.
In diesem Szenario – das nicht erfunden ist – sind vor allem „organisatorische Maßnahmen“ erforderlich, wie es im Datenschutz-Jargon heißt, die diese Form der Offenlegung von höchst persönlichen Daten unterbinden.
Informationssicherheit präventiv gewinnen
Die Grenze zu technischen Maßnahmen ist dabei fließend. Man stelle sich eine gewöhnliche Arztpraxis vor. Einer der Rechner am Empfang ist unmittelbar am Eingang zum Tresen aufgestellt, damit alle Mitarbeiter, die durch die Räume wirbeln, schnell im Stehen Druckaufträge für Rezepte erteilen oder Informationen über Patienten abrufen können. Wenn hier der Monitor, der leicht einsehbar für andere Patienten aufgestellt ist, nicht sorgfältig nach jedem Gebrauch gesperrt wird, können Unbefugte Einsicht in höchst persönliche Gesundheitsdaten nehmen. Im schlimmsten Fall könnte jemand einen unbeobachteten Moment ausnutzen, um weiter durch Ordner im System zu klicken und sich gezielt Informationen zu suchen.
Arztpraxen müssen nicht nur „compliant“ mit den aktuellen Datenschutzgesetzen sein. Auch für das Vertrauen, das Ärzten entgegengebracht wird, ist der Umgang mit Patientendaten wesentlich. Dabei geht es nicht nur um Diskretion und Vertraulichkeit im klassischen Sinn, sondern auch um die technische und organisatorische Umsetzung einer Informationssicherheit, die mit dem aktuellen Stand der Technik Schritt hält. Zusammenfassend bedeutet das in präventiver Hinsicht: Schulung von Mitarbeitern, Einsatz von potenten Virenscannern und sinnvolle Trennung von Systemen in den Netzwerken. Was das Vorbeugen für den Schadensfall angeht, sind regelmäßige Back-ups erforderlich, die getrennt vom Praxisnetzwerk aufbewahrt und regelmäßig überprüft werden müssen. Tipp: Den Fragebogen, mit dem die Behörde prüft, stellt sie auf ihrer Website unter der Rubrik „Datenschützprüfungen“ zur Verfügung. Tipps zum Datenschutz Die Fragen des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) zum Datenschutz finden Sie unter: www.lda.bayern.de/media/pruefungen/201810_ransomware_fragebogen.pdf
Weitere Hinweise zum Thema liefert der Datenschutzleitfaden von Bundeszahnärztekammer und Kassenzahnärztlicher Bundesvereinigung: www.bzaek.de/fileadmin/PDFs/za/datenschutzleitfaden.pdf oder: file:///C:/Users/SFB13~1.GRA/AppData/Local/Temp/datenschutzleitfaden_bzaek_kzbv_2018.pdf
Die Prüfungen des BayLDA gehen jedoch IT-seitig noch weiter in die Tiefe und beleuchten die Sicherheit von Arztpraxen gegen Cyber-Angriffe. Während man vielleicht geneigt ist zu denken, dass die eigene Praxis zu unbedeutend sei, um Opfer von Cyber-Kriminellen zu werden, erreichen die Behörde nach eigenen Angaben wöchentlich Meldungen über derartige Vorfälle: Schadsoftware breitet sich automatisiert aus und greift jedes System an, das nicht ausreichend geschützt ist. Der Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet wenig Anlass zur Entwarnung: „Es gibt nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen, was hohe Aufmerksamkeit und Flexibilität zur Gewährleistung der Informationssicherheit erfordert.“
Insbesondere Verschlüsselungstrojaner und die entsprechenden Maßnahmen zur Prävention stehen im Fokus der bayrischen Datenschützer. Diese sogenannte Ransomware verwehrt den Zugriff auf einen Rechner oder schränkt ihn ein. In einer Textnachricht wird dem Opfer versprochen, bei Zahlung eines Lösegelds (Ransom = Lösegeld) die Ressourcen wieder freizugeben. Ist ein Rechner infiziert, kann sich die Schadsoftware zudem leicht im gesamten Netzwerk ausbreiten. Betroffen sind oft Ärzte und kleinere Betriebe, die sich der Gefährdungslage nicht bewusst sind oder über nur unzureichende Sicherheitsmaßnahmen verfügen.
Eigene Schwachstellen identifizieren
Abgesehen von der erhöhten Brisanz der Daten im Gesundheitssektor ist der wirtschaftliche Aspekt zu beachten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) taxiert den Schaden durch Ransomware auf weltweit mehr als 8 Milliarden Dollar für das Jahr 2017. In der deutschen Wirtschaft hat allein das Programm „Petya“ beziehungsweise „NotPetya“ im selben Zeitraum Schäden in Millionenhöhe angerichtet. Was dabei zu Buche schlägt, sind gar nicht so sehr die Lösegeldsummen. Betroffenen wird in der Regel ohnehin von einer Zahlung abgeraten, da keine Garantie für die tatsächliche Freigabe der Daten besteht. Nur in wenigen Fällen kann eine Wiederherstellung der Daten mühelos erfolgen, meist müssen teure Entschlüsselungs-Tools und -Spezialisten genutzt werden.
Infizierte Unternehmen haben in der Regel große Probleme, wieder zu einem geregelten Arbeitsalltag zurückzukehren. Zudem gehört eine Verschlüsselung von Daten durch einen Trojaner zu den meldepflichtigen Vorfällen, die damit eine Praxis ohne Not ins Blickfeld der Aufsichtsbehörden rücken. Das BayLDA überprüft derzeit stichprobenartig in Bayern, wie gut Praxen gegen solche Kryptotrojaner aufgestellt sind. Dabei gibt es grundsätzlich zwei Blickwinkel auf die Problematik: zum einen die Frage, wie sehr sich der mögliche Schaden für den Fall begrenzen lässt, dass das eigene System infiziert wird. Zum anderen ist natürlich zuerst darauf zu schauen, wie man sich von vornherein wappnen kann.
Da Nutzer häufig die größte Schwachstelle bei etwaigen Angriffen sind, sind Sensibilisierungs- und Schulungsmaßnahmen der Mitarbeiter wichtig. Wenn sich Nutzer der bestehenden Gefahren bewusst sind, kann vieles verhindert werden. Ein großes Risiko besteht beispielsweise beim Klicken auf Links in einer E-Mail oder beim Öffnen von Dateianhängen, wenn die Herkunft der E-Mail nicht hundertprozentig vertrauenswürdig ist. Der Schutz von Systemen durch Virenscanner ist mittlerweile weithin etabliert. Bei der Auswahl ist es jedoch entscheidend, eine für den jeweiligen Zweck geeignete Software in einer aktuellen Version einzusetzen. Nur wenn die Datenbank des Virenscanners aktuell gehalten wird, besteht der bestmögliche Schutz vor bekannter Schadsoftware. Die Schwachstellen eines Systems sind stets seine Verbindungen zur Außenwelt. Sobald ein Praxisverwaltungssystem an das Internet angeschlossen ist, wird es anfällig für Angriffe. Daher sollte es so isoliert wie möglich im Netzwerk eingebunden werden. Wenn die Netzlaufwerke mit Rechnern verbunden sind, die ans Internet angeschlossen sind, erhöht sich die Gefahr, dass auch die Daten auf diesen Netzlaufwerken verschlüsselt werden. Eine strikte Trennung auf Netzwerkebene von (Recherche-)Rechnern und Praxisverwaltungssystem verringert daher das Risiko, dass auch Patientendaten durch Ransomware verschlüsselt werden.
Vorbereitet sein auf den Ernstfall
Gänzlich auszuschließen ist das Risiko jedoch nie. Deshalb sollte jede Praxis darauf vorbereitet sein, dass Daten allen Vorkehrungen zum Trotz durch Ransomware verschlüsselt werden. Das Naheliegende ist, sich gar nicht erst erpressbar zu machen – indem man über das, was durch eine Lösegeldzahlung zurückgekauft werden soll, weiterhin verfügt.
Daher sind regelmäßige Back-ups essenziell, um die ständige Verfügbarkeit von Patientendaten sicherzustellen. Im Fall der Verschlüsselung durch Schadsoftware können die Daten so schnell wiederhergestellt und somit die Beeinträchtigungen für Betroffene erheblich reduziert werden. Mithilfe eine geeigneten Software kann man die Erstellung von Back-ups erleichtern und automatisieren. Zudem hilft diese im Fall eines Datenverlusts bei der Wiederherstellung der Daten.
Wichtig bei der Auswahl der Speichermedien ist, dass die erstellten Back-ups getrennt von den entsprechenden Rechnern liegen. Nur dann ist sichergestellt, dass nicht auch die Sicherungsdateien verschlüsselt und somit unbrauchbar werden. Überdies muss durch ein regelmäßiges Testen der Back-ups sichergestellt werden, dass im Fall eines Datenverlusts auch alle Daten wiederhergestellt werden können. So werden Fehler bei der Erstellung der Back-ups schnell erkannt und können sofort behoben werden. Aber auch Updates für Betriebssysteme und Anwendungen sollten regelmäßig und zeitnah eingespielt werden.
Schutz deiner personenbezogenen Daten
Mit den Twitter-Einstellungen angeben, welche Daten geteilt werden
Nur, wenn du dich mit den Einstellungen vertraut machst und sie richtig anwendest, kannst du deine Daten effektiv schützen. Die folgenden Artikel enthalten Schritte, mit denen du deinen Account schützen kannst:
Überlege dir, was du twitterst
Es liegt in deiner Hand, wie viele Daten du auf Twitter oder anderen Websites mit anderen teilst. Poste keine privaten Daten, und überlege dir gut, in welchen Situationen du deinen Aufenthaltsort bekannt geben kannst.
Vorsicht ist geboten, wenn du nach deinen privaten Kontaktdaten, personenbezogenen Daten oder Passwörtern gefragt wirst. Wenn du dir einmal nicht sicher bist, solltest du dir, bevor du twitterst, die folgenden Fragen stellen:
Mit wem teile ich diese Informationen?
Wie viele und welche Art von Informationen teile ich?
Wie viele Personen sehen die Informationen, die ich teile?
Kann ich allen Personen vertrauen, die diese Informationen sehen?
Nicht alle Nutzer sind sich einer Meinung, welche Informationen privat sind und welche geteilt werden können. Wenn eine Freundin oder ein Bekannter Informationen gepostet hat, die du als privat erachtest, nimm Kontakt mit ihnen auf und bitte sie, die Inhalte zu entfernen. Umgekehrt gilt das natürlich auch für dich. Wenn du von einer Nutzerin gebeten wirst, die über sie geposteten Informationen zu entfernen, solltest du dieser Bitte nachkommen. In diesem Artikel wird erklärt, wie du einen Tweet löschst.
Melden eines Verstoßes
Falls jemand deine personenbezogenen Daten (z. B. private Telefonnummer, Anschrift, Kreditkarteninformationen) gepostet hat und du diese entfernt haben möchtest, lies bitte unsere Richtlinie zu privaten Informationen auf Twitter. Wenn der Account gegen unsere Richtlinie verstößt, kannst du das melden, und wir werden der Sache nachgehen. Falls der gemeldete Account gegen die Richtlinie verstößt, werden wir den Account so lange sperren, bis die Informationen entfernt wurden.
So schützen Sie ...“ (Kevin Mitnick) – Buch neu kaufen – A02xt7YP0gOZK01ZZG
Möchten Sie selbst gebrauchte Bücher verkaufen? So einfach geht's …
Sofort bestellen | Anfragen | In den Warenkorb
Regelungen zum Widerruf bzw. zur Rückgabe
Widerrufsrecht für Verbraucher
(Verbraucher ist jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbstständigen beruflichen Tätigkeit zugerechnet werden kann.)
Widerrufsbelehrung
Widerrufsrecht
Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.
Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag,
- an dem Sie oder ein von Ihnen benannter Dritter, der nicht der Beförderer ist, die Waren in Besitz genommen haben bzw. hat, sofern Sie eine oder mehrere Waren im Rahmen einer einheitlichen Bestellung bestellt haben und diese einheitlich geliefert wird bzw. werden;
- an dem Sie oder ein von Ihnen benannter Dritter, der nicht der Beförderer ist, die letzte Ware in Besitz genommen haben bzw. hat, sofern Sie mehrere Waren im Rahmen einer einheitlichen Bestellung bestellt haben und diese getrennt geliefert werden;
- an dem Sie oder ein von Ihnen benannter Dritter, der nicht der Beförderer ist, die letzte Teilsendung oder das letzte Stück in Besitz genommen haben bzw. hat, sofern Sie eine Ware bestellt haben, die in mehreren Teilsendungen oder Stücken geliefert wird;
Um Ihr Widerrufsrecht auszuüben, müssen Sie uns (AHA-BUCH GmbH, Garlebsen 48, 37574 Einbeck, Telefonnummer: 05563 9996039, Telefaxnummer: 05563 9995974, E-Mail-Adresse: service@aha-buch.de) mittels einer eindeutigen Erklärung (z.B. ein mit der Post versandter Brief, Telefax oder E-Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie können dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist.
Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.
Folgen des Widerrufs
Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass Sie eine andere Art der Lieferung als die von uns angebotene, günstigste Standardlieferung gewählt haben), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzuzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrags bei uns eingegangen ist. Für diese Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der ursprünglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rückzahlung Entgelte berechnet.
Wir können die Rückzahlung verweigern, bis wir die Waren wieder zurückerhalten haben oder bis Sie den Nachweis erbracht haben, dass Sie die Waren zurückgesandt haben, je nachdem, welches der frühere Zeitpunkt ist.
Sie haben die Waren unverzüglich und in jedem Fall spätestens binnen vierzehn Tagen ab dem Tag, an dem Sie uns über den Widerruf dieses Vertrags unterrichten, an uns zurückzusenden oder zu übergeben. Die Frist ist gewahrt, wenn Sie die Waren vor Ablauf der Frist von vierzehn Tagen absenden.
Sie tragen die unmittelbaren Kosten der Rücksendung der Waren.
Sie müssen für einen etwaigen Wertverlust der Waren nur aufkommen, wenn dieser Wertverlust auf einen zur Prüfung der Beschaffenheit, Eigenschaften und Funktionsweise der Waren nicht notwendigen Umgang mit ihnen zurückzuführen ist.
Ausschluss- bzw. Erlöschensgründe
Das Widerrufsrecht besteht nicht bei Verträgen
- zur Lieferung von Waren, die nicht vorgefertigt sind und für deren Herstellung eine individuelle Auswahl oder Bestimmung durch den Verbraucher maßgeblich ist oder die eindeutig auf die persönlichen Bedürfnisse des Verbrauchers zugeschnitten sind;
- zur Lieferung von Waren, die schnell verderben können oder deren Verfallsdatum schnell überschritten würde;
- zur Lieferung alkoholischer Getränke, deren Preis bei Vertragsschluss vereinbart wurde, die aber frühestens 30 Tage nach Vertragsschluss geliefert werden können und deren aktueller Wert von Schwankungen auf dem Markt abhängt, auf die der Unternehmer keinen Einfluss hat;
- zur Lieferung von Zeitungen, Zeitschriften oder Illustrierten mit Ausnahme von Abonnement-Verträgen.
Das Widerrufsrecht erlischt vorzeitig bei Verträgen
- zur Lieferung versiegelter Waren, die aus Gründen des Gesundheitsschutzes oder der Hygiene nicht zur Rückgabe geeignet sind, wenn ihre Versiegelung nach der Lieferung entfernt wurde;
- zur Lieferung von Waren, wenn diese nach der Lieferung aufgrund ihrer Beschaffenheit untrennbar mit anderen Gütern vermischt wurden;
- zur Lieferung von Ton- oder Videoaufnahmen oder Computersoftware in einer versiegelten Packung, wenn die Versiegelung nach der Lieferung entfernt wurde.
Muster-Widerrufsformular
(Wenn Sie den Vertrag widerrufen wollen, dann füllen Sie bitte dieses Formular aus und senden Sie es zurück.)
- An AHA-BUCH GmbH, Garlebsen 48, 37574 Einbeck, Telefaxnummer: 05563 9995974, E-Mail-Adresse: service@aha-buch.de :
- Hiermit widerrufe(n) ich/ wir (*) den von mir/ uns (*) abgeschlossenen Vertrag über den Kauf der folgenden Waren (*)/
die Erbringung der folgenden Dienstleistung (*)
- Bestellt am (*)/ erhalten am (*)
- Name des/ der Verbraucher(s)
- Anschrift des/ der Verbraucher(s)
- Unterschrift des/ der Verbraucher(s) (nur bei Mitteilung auf Papier)
- Datum
(*) Unzutreffendes streichen.
Widerrufs-Formular anzeigen
