Seit dem Inkrafttreten der DSGVO im Mai 2018 hat sich die Zahl der Datenpannen den Angaben der Datenschutzbehörde Baden-Württembergs zufolge verzehnfacht. Im Mai 2019 seien mit 177 Meldungen so viele wie noch nie eingegangen. Nach Angaben von Baden-Württembergs Datenschutzbeauftragtem Stefan Brink Brink verhängte seine Behörde bislang in zehn Fällen Bußgelder in einer Gesamthöhe von 207.140 Euro.
Zunehmend Datenpannen in Arztpraxen
Brink warnt in diesem Zusammenhang vor allem auch vor zunehmenden Datenpannen
in Arztpraxen. Gerade dort, wo extrem sensitive und schützenswerte
personenbezogene Daten verarbeitet werden, käme es regelmäßig zu Verstößen
gegen das Datenschutzgesetz. Häufig würden Patientenberichte, Rezepte oder
Röntgenbilder an die falschen Empfänger übermittelt und auch Verschlüsselungstrojaner
machten dem Praxispersonal zu schaffen.
Schützen Sie sensible Patientendaten
Maßnahmen zur Datenverschlüsselung, Datensicherung sowie die konsequente
Schulung und Sensibilisierung der Mitarbeiter sind unabdingbar.
Sie sind auf der Suche nach einem externen Datenschutzbeauftragten
oder sinnvollen Online-Tools zur Unterstützung des Datenschutzkonzeptes Ihrer
Praxis?
Gerne stehen wir für ein unverbindliches Erstgespräch zur Verfügung.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) legt im
aktuellen Tätigkeitsbericht offen, dass die Zahl der in der Behörde
eingegangenen Beratungsanfragen von 176 im Jahr 2014 auf 384 im Jahr 2018
stieg. Dies bedeutet einen dramatischen Anstieg um 118 Prozent. „Mit Start der
DS-GVO erlebten wir einen regelrechten Ansturm von Beratungsanfragen. Gerade in
den ersten Tagen waren wir Land unter, das Telefon klingelte ununterbrochen.
Besorgte Personen wollten sich über die neuen Verpflichtungen informieren.“, so
die Behörde in ihrem 8. Tätigkeitsbericht.
Viele Unklarheiten und Befürchtungen gerade von kleineren
Organisationen
„Durch die DS-GVO rückte der Datenschutz medial in einen völlig
neuen Fokus. Es gab nahezu täglich umfangreiche Berichterstattungen zum EU-Datenschutzrecht.
Dies führte an mancher Stelle zu erfreulichem Datenschutzbewusstsein, an
anderer Stelle jedoch auch zur Fehlinformation und damit resultierender
Verunsicherung. Viele Unklarheiten und Befürchtungen haben wir dabei gerade aus
dem Kreis der kleineren Organisationen vernommen.“ Mit der aktuellen
Personalkapazität sieht sich das BayLDA eigenen Angaben gemäß außer Stande,
diese Anfragen zu bearbeiten. Sollte die bayerische Staatsregierung dem BayLDA
keine weiteren Stellen genehmigen, wird das Amt Beratungsleistungen für
Vereine, Verbände und KMUs weitgehend einstellen. Auch andere Aufsichtsbehörden
prüfen derzeit, ob sie Datenschutz-Beratungsleistungen perspektivisch überhaupt
noch anbieten werden. Angesichts der Unsicherheit in Bezug auf die Umsetzung
der DSGVO-Richtlinien, die bei vielen deutschen Unternehmen in Deutschland
herrscht, wäre dies eine kritische Entwicklung.
Auch Datenschutzverletzungen sind rasant gestiegen
Das BayLDA offenbart in seinem Tätigkeitsbericht auch einen
rasanten Anstieg der Meldungen zu Datenschutzverletzungen seit Einführung der
DSGVO. Insgesamt 2471 Meldungen gingen im Jahr 2018 ein – sage und schreibe
2376 davon seit dem 25. Mai 2018. Dies sei absoluter Rekordwert für die
bayerische Aufsichtsbehörde.
Sie möchten mehr zum Thema DSGVO erfahren? Dann informieren Sie sich gerne oder senden Sie uns eine unverbindliche Anfrage.
Am 7. Mai 2019 wurde der Jahresbericht 2018 des Bundesamts für
Datenschutz und Informationsfreiheit (BfDI) vorgestellt. Der Bundesbeauftragte Ulrich
Kelber (SPD) präsentierte hierin eine erste Bilanz der im vergangenen Jahr in
Kraft getretenen Datenschutz-Grundverordnung der EU.
DSGVO
setzt Standard in Europa und darüber hinaus
Laut Bundesamt fällt die Bilanz insgesamt positiv aus: „Mit der
DSGVO gilt erstmals ein in der gesamten EU unmittelbar anwendbares Datenschutzrecht.“
Die DSGVO hätte sich über die Grenzen Europas hinaus zu einem Standard
entwickle, an dem sich auch Staaten in Asien, Nord- und Südamerika orientierten.
Verunsicherung
bei Wirtschaft und Verbrauchern
Ulrich Kelber betonte jedoch auch, dass nach wie vor große
Verunsicherung bei Wirtschaft und Verbrauchern bezüglich der
Datenschutz-Grundverordnung herrsche. Seit Inkrafttreten der DSGVO am 25. Mai
2018 gingen beim BfDI 6.507 allgemeine Anfragen ein, dazu 3.108 Beschwerden.
Mehr als doppelt so viele wie im gesamten Jahr 2017 – und das innerhalb von nur
sieben Monaten.
Informations-
und Dokumentationspflichten belasten kleine Unternehmen
Vor allem die Informations- und Dokumentationspflichten stellen eine
übermäßige Belastung für Privatpersonen, Vereine und kleine Unternehmen dar.
Laut Bundesbehörde gibt es hier noch Nachbesserungsbedarf bei den Richtlinien.
Sie haben Fragen zum Thema Datenschutz in Ihrem Unternehmen oder würden den Datenschutz gerne extern an uns vergeben?
Gute Nachrichten für Datenschützer und Google-Nutzer! Der amerikanische Internetkonzern Google hat angekündigt, dem vermehrten Wunsch auf Datenschutz im Netz nachzukommen.
Automatisierte Datenlöschung möglich
Künftig sollen alle Nutzer die Möglichkeit erhalten, ihre gespeicherten Daten automatisiert löschen zu lassen. Demnach werden Informationen zu gesuchten Inhalten und Orten je nach Nutzereinstellung alle drei Monate oder alle 18 Monate bereinigt. Außerdem besteht auch die Möglichkeit der Datensammlung ganz zu widersprechen.
Haben Sie Fragen zum Thema Datenschutz im Netz oder benötigen Sie eine Schulung zum Schutz personenbezogener Daten? Wir freuen uns auf Ihre Anfrage!
Die Landesdatenschutzbehörde Baden-Württemberg kündigte für 2019 verschärfte Kontrollen an, um mögliche Verstöße gegen die Datenschutzgrundverordnung (DSGVO) aufzudecken.
Vor allem Arztpraxen, Apotheken und Krankenhäuser durch Kontrollen betroffen
Im Fokus der insgesamt 250 Kontrollen stehen laut Angaben der
Behörde vor allem Arztpraxen, Apotheken und Krankenhäusern sowie Polizeidienststellen,
Versicherungen und Autoherstellern.
Bußgelder bis
zu 20 Millionen Euro
Die Landesdatenschutzbehörde Baden-Württemberg verschärft ihre Kontrollen
damit drastisch: 2018 wurden lediglich 13 Kontrollen durchgeführt und Bußgelder
in Höhe von mehr als 100 000 Euro verhängt. Diese Bußgeldsumme wurde bereits im
ersten Quartal 2019 erreicht und es ist mit weiteren Bußgeldern zu rechnen. Gemäß
DSGVO sind Strafen in Höhe von bis zu 20 Millionen Euro oder aber vier Prozent
des weltweiten Jahresumsatzes eines Unternehmens zulässig.
Wie lassen sich Bußgelder durch mögliche Kontrollen vermeiden?
Da die Kontrollen der Landesdatenschutzbehörde größtenteils
unangekündigt und stichprobenartig erfolgen, sollten Ärzte und Unternehmer
frühzeitig auf eventuelle Datenschutzrisiken aufmerksam werden um diesen mit
den entsprechenden Maßnahmen entgegenwirken zu können. An dieser Stelle ist die
Beratung durch einen professionellen Experten oft sehr hilfreich.
Sie sind auf der Suche nach einem externen Datenschutzbeauftragten oder sinnvollen Online-Tools zur Unterstützung des Datenschutzkonzeptes Ihrer Praxis?
Dann informieren Sie sich unverbindlich über DictaLex Health:
Viele Arztpraxen in Deutschland haben Probleme mit dem Datenschutz sensibler Gesundheitsdaten. Laut einer kürzlich veröffentlichten Studie des GDV (Gesamtverband der deutschen Versicherungswirtschaft) sichern viele Arztpraxen ihre Online-Passwörter nur unzureichend.
Patientendaten im Darknet
Eine IT- Sicherheitsprüfung, die im Auftrag des GDV im Zeitraum September bis Dezember 2018 erfolgte, legte offen, dass Zugangsdaten der Praxen aufgrund fehlender Passwortstärke häufig im Darknet auffindbar wären. Tausende von vertraulichen Patientendaten sind somit für Hacker einsehbar. Ein hohes Risiko für den Datenschutz!
Dieses hohe Datenschutzrisiko ist laut GDV vor allem darauf
zurückzuführen, dass 22 von 25 befragten Arztpraxen sehr einfache Passwörter zur
Sicherung der Daten verwenden. Zudem teilten sich mehrere Benutzer dieselbe
Zugangskennung. In 20 von 25 befragten Arztpraxen hatten alle Benutzer
Administratorenrechte.
Was können Arztpraxen tun um ihren Datenschutz zu verbessern?
1. Komplexe
Passwörter und hohe Kennwortlänge
Prinzipiell ist zu empfehlen, komplexe Passwörter festzulegen (bestehend aus Großschreibung, Kleinschreibung, Sonderzeichen und Zahlen) und die Passwörter alle 90 Tage zu wechseln. Außerdem ist es ratsam, dass der Administrator eine hohe Kennwortlänge festsetzt. Je länger das Passwort ist, desto mehr Zeit muss ein Angreifer aufwenden, um das Passwort zu entschlüsseln und umso besser der Datenschutz.
2. Verbindliche
Passwortrichtlinien
Der Umgang mit digitalen Zugängen sollte von den Arztpraxen in
einer verbindlichen Passwortrichtlinie, gerichtet an alle Mitarbeiter, zusammengefasst
werden. In dieser Passwortrichtlinie sollte auch festgelegt sein, in welchem
Turnus die Passwörter seitens der Mitarbeiter zu ändern sind.
3.
Wechselpflicht der Passwörter
Viele Betriebssysteme und Programme unterstützen eine
Wechselpflicht, d.h. der Benutzer muss sein Passwort nach einem bestimmten
Zeitraum ändern. Ein häufiger Passwortwechsel dienst als zusätzlicher Schutz.
Der Administrator sollte außerdem festlegen können, dass bereits einmal verwendete
Passwörter vom System nicht akzeptiert werden.
4.
Passwortmanager
Angesichts des Umstandes, dass heutzutage eine Menge an
Passwörtern festzulegen sind, wenden viele Unternehmen sogenannte Passwortmanager
an. Dies hat den Vorteil, dass sich die Mitarbeiter die Passwörter nicht selbst
notieren müssen, was wiederum zu Sicherheitsrisiken führen würde. Sofern sich
die Unternehmensführung für ein solches Tool zur Unterstützung entscheidet,
sollte ein Passwort- Manager gewählt werden, der seinerseits die erforderlichen
technischen Sicherheitsmerkmale aufweist.
5. Arbeitsplatzrichtlinien
Weiterhin ist es erforderlich, dass Mitarbeiter ihre Arbeitsgeräte sperren, sollten sie ihren Platz verlassen. Nur dann ist der Passwortschutz aktiv und gewährleistet eine Kontrolle über den Zugriff. Bei Mobilgeräten, wie z.B. Smartphones oder Tablets, sollte nach Inaktivität ebenfalls ein Passwort abgefragt werden. Dieser Punkt kann in einer Arbeitsplatzrichtlinie formuliert werden. In dieser kann z.B. auch der Umgang mit Besuchern, der Einsatz von Speichermedien oder das Downloadverbot von nicht genehmigter Software thematisiert werden. Es empfiehlt sich generell, sich diese Richtlinien per Unterschrift von den Mitarbeitern bestätigen zu lassen. Im Sinne der DSGVO können solche Richtlinien sogar als „technische und organisatorische Maßnahmen“ dienen und sind somit Bestandteil des Datenschutzkonzeptes einer Praxis bzw. eines Unternehmens.
Sie sind auf der Suche nach einem externen Datenschutzbeauftragten oder sinnvollen Online-Tools zur Unterstützung des Datenschutzkonzeptes Ihrer Praxis?
Dann informieren Sie sich unverbindlich über DictaLex Health:
Eine wesentliche Neuerung der Datenschutz-Grundverordnung (DSGVO) ist das Instrument der sogenannten Datenschutz-Folgenabschätzung (DSFA). Eine DSFA soll gerade bei Verarbeitungen von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, bewirken, dass gezielt Maßnahmen gefunden werden können, die dieses Risiko eindämmen.
Was besagt die DSGVO über den Einsatz eines Datenschutzbeauftragten in Arztpraxen? Hier herrscht häufig Unklarheit. Grundsätzlich könnte nämlich davon ausgegangen werden, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. C DSGVO für Arztpraxen, Apotheken und sonstige Angehörige eines Gesundheitsberufs besteht. Dies schon allein aus dem Grund, da in diesem Umfeld vornehmlich besondere personenbezogene Daten, nämlich Gesundheitsdaten, verarbeitet werden. Diese Frage ist jedoch nicht einfach zu beantworten, da viele Praxen weit weniger als zehn Angestellte beschäftigen. In diesen Fällen geht die DSGVO davon aus, dass kein Datenschutzbeauftragter zu bestellen ist.