Hinweise zu Datenschutz und Datensicherheit in der Praxis

In regelmäßigen Abständen wurde im vergangenen Jahr das Thema „Datenschutz und Datensicherheit in der (Arzt-)Praxis“ im Zusammenhang mit der Telematikinfrastruktur aufgegriffen.

Eine direkte Folge der letzten Welle der Berichterstattung war die Schaltung einer Hotline speziell für Anfragen zum Thema Datensicherheit der Kassenärztlichen Bundesvereinigung (KBV), die seit dem 15.11.2019 wochentags erreichbar ist.

Auch uns erreichen weiterhin viele Anfragen zu diesem Themenkomplex. Häufig wird auch der Wunsch nach einer ordentlichen Beratung geäußert.

Als Anbieter von Praxisverwaltungssoftware und Distributor von TI-Anschlüssen und Komponenten sind wir zwar an vielen Stellen mit diesen Themen in Berührung, können aber zum jetzigen Zeitpunkt keine technische Sicherheitsberatung anbieten.

Stattdessen möchten wir Ihnen an dieser Stelle noch einmal verschiedene Informationen, Hinweise und Dokumente anbieten, auf deren Grundlage Sie z.B. das Gespräch mit der K(B)V oder Ihren Praxistechnikern suchen können. Ein Ziel dieses Gespräches sollte die Klärung der Frage sein, ob Sie Ihre Praxis-IT mithilfe einer Hardware-Firewall (Konnektor im Reihen- oder Parallelbetrieb möglich) oder mittels der Konnektor-Firewall (Konnektor nur im Reihenbetrieb möglich) absichern wollen.

Datenschutz und Datensicherheit in der Arztpraxis
Als Praxisinhaber*in tragen Sie die Verantwortung für den Datenschutz und die Datensicherheit in Ihrer Praxis und die technischen Maßnahmen, die diesbezüglich umgesetzt werden müssen.

Die Kassenärztliche Bundesvereinigung stellt auf Ihrem Internetangebot viele Informationen bereit, die Sie als Praxisinhaber*in kennen sollten. Die Webseite der KBV, die wir Ihnen noch einmal näher bringen möchten, beschäftigt sich mit Datensicherheit in Praxen (externer Link, KBV):

Bevor Sie beginnen sich mit den Dokumenten auseinanderzusetzen, können Sie auf der Webseite der KBV einen Praxis-Check Informationssicherheit (externer Link, KBV) durchführen. Sie können dort mit 14 Fragen zu Datenschutz und Informationssicherheit testen, wie sicher Ihre Praxis ist. Ein Tipp: Lassen Sie sich am Schluss des Checks unbedingt die PDF-Datei ausgeben. Dort erhalten Sie zu den einzelnen Punkten jeweils weiterführende Informationen und Hinweise.

Unter der Überschrift Empfehlungen zum Datenschutz finden Sie zuerst von der Telematikinfastruktur unabhängige Hinweise und Dokumente zu Datenschutz und Datensicherheit.
Dort finden Sie die Empfehlungen zur ärztlichen Schweigepflicht, zum Datenschutz und zur Datenverarbeitung in Arztpraxen (Stand: 09.03.2018, PDF, 621 KB, externer Link), ein Dokument, in dem (berufs-)rechtliche Aspekte des Themas aufbereitet sind.

Das nächste Dokument ist besonders vor dem Hintergrund der Berichterstattung über „den Datenschutz in den Praxen“ relevant: Die Technische Anlage zu den Hinweise und Empfehlungen zur ärztlichen Schweigepflicht (Stand 22.06.2018, PDF, 337 KB, externer Link) – ein Dokument, in dem die technischen Maßnahmen aufgeführt werden, die Sie zum Schutz der Praxis- und Patientendaten umsetzen sollten.

Dieses Dokument enthält einen wichtigen Hinweis: „Da die Umsetzung der hier beschriebenen technischen Maßnahmen an vielen Stellen IT-Fachwissen erfordert, sollte die Umsetzung durch einen entsprechend erfahrenen Dienstleister erfolgen (…). Die Beauftragung eines professionellen Dienstleisters wird empfohlen.“

Wir wissen um die Schwierigkeit, geeignete Techniker*innen zu finden, die ein bezahlbares Leistungsspektrum anbieten. Der Anbieter „Sichere Praxis IT“ (externer Link, Webseite) hat für Sie ein Angebot für ein IT-Sicherheitspaket erstellt, mit dem Sie Ihre Praxis gemäß den Vorgaben der KBV schützen können.

Der Konnektor und die Frage nach der Betriebsart
Anschließend finden Sie auf der Webseite der KBV (externer Link, Webseite) Hinweise zur Datensicherheit beim Anschluss an die TI.

Dort werden die unterschiedlichen Anschlussarten bzw. die möglichen Betriebsarten des Konnektors in Ihrer Praxis thematisiert. Die Wahl bzw. Art der Installationsvariante bzw. Anschlussart hängt nach unserem Dafürhalten mit dem Punkt „3.1.3 Firewalls“ der „Technischen Anlage“ zusammen. Darüber hinaus sollten alle weiteren Aspekte der Technischen Anlage separat berücksichtigt werden.

Zwei Dokumente sind im Rahmen dieses Textes besonders relevant:

Die Praxisinfo: TI-Anbindung – Installationsvarianten für den Konnektor (Stand: 27.06.2019, PDF, 250 KB, KBV, externer Link) der Kassenärztlichen Bundesvereinigung thematisiert die Installationsvarianten für den Konnektor und stellt die Informationen speziell für kassenärztliche Praxen dar.

Das Informationsblatt der gematik zu Betriebsarten des Konnektors (Stand Juni 2019, PDF, gematik, externer Link) stellt die unterschiedlichen Anbindungsarten ausführlich und grafisch dar.

Unsere Erfahrungswerte
Über die Informationen in diesen beiden Dokumenten hinaus möchten wir Ihnen aufgrund der bisherigen Erfahrungen weitere Vor- und Nachteile der beiden Anschlussarten aufzeigen:

Der Reihenbetrieb bietet auf den ersten Blick den Vorteil, dass Sie Ihre Praxis-IT „ohne weitere Kosten“ mittels der Konnektorfirewall absichern können. Im laufenden Betrieb können sich aber, je nach Praxiskonstellation und/oder Problemstellung, eine Reihe von Nachteilen ergeben, die die vermeintlich eingesparten Kosten schnell neutralisieren können.

Nachteil „Internet über den Konnektor“: Gemäß den Vorgaben der KBV und der Spezifikation durch die gematik können Sie im Reihenbetrieb den „SIS“ also den sogenannten sicheren Internet-Service (Link: Fragen zum SIS) nutzen. Sollte der Konnektor jedoch temporär ausfallen oder aufgrund von Verbindungsschwierigkeiten keine Verbindung zum VPN-Zugangsdienst aufbauen können, ist es für die Praxis nicht mehr möglich das Internet (Email, Recherche, Online-Banking,..) zu nutzen, da der komplette Internetverkehr über den Konnektor geleitet wird.
Vorteil Parallelbetrieb: Bei einem Ausfall des Konnektors ist „nur“ das Karteneinlesen und die Erreichbarkeit des KV-SafeNet betroffen.

Nachteil Volumenbegrenzung: In dem Vertrag mit dem VPN-Zugangsdienstanbieter sind 5 GB Datenvolumen pro Monat inklusive, was rechnerisch für psyprax32- und Windows-Updates für einen Computer ausreichen sollte. Dieses Datenvolumen lässt sich auf 30 GB aufstocken, was 7€ monatlich kostet.

Nachteil „Praxisnetzwerk/Backup auf Netzwerkfestplatte“: Hier wird es ein wenig technischer. Ein Router wie z.B. eine FritzBox oder vergleichbar ist in einem Praxisnetzwerk dafür zuständig, dass sich die unterschiedlichen Computer/Netzwerkdrucker/Netzwerkfestplatten (NAS) gegenseitig erreichen können (Technische Stichworte: DHCP bzw. DNS). Bei einem (temporären) Ausfall des Konnektors, einem Neustart o.ä. gibt es keine Verbindung mehr zwischen den oben genannten Geräten. Die Praxen, bei denen verschiedene Computer mit derselben psyprax32-Datenbank arbeiten, können in so einem Fall „nur noch auf dem Server“ weiterarbeiten.
Vorteil Parallelbetrieb: Keine Beeinträchtigung der Verbindungen zwischen Praxiscomputer/Netzwerkdrucker/Netzwerkfestplatten (NAS).

Der Einsatz einer Hardware-Firewall in Ihrer Praxis macht den Parallelbetrieb gemäß den Vorgaben der gematik möglich und sicher. Ein weiterer Vorteil dieser Variante ist, dass die Schutzfunktionen einer aktuellen Firewall die des Reihenbetriebs (Firewall und SIS) bei Weitem übersteigen können.

Wir empfehlen Ihnen daher den Einsatz einer Hardware-Firewall: dabei kann die Parallelbetrieb-Installation beibehalten werden – als ideale Kombination der Aufrechterhaltung des Praxisbetriebs und der erweiterten Schutzfunktionen.