Persönliche Daten im Internet schützen – SCHAU HIN!

July 31,2023

So schützen Sie die Daten Ihrer Patienten

Verstöße gegen den Datenschutz sind kein „Kavaliersdelikt“

Die Digitalisierung der Kommunikation fordert Zahnärzte und Ärzte in privaten und öffentlichen Einrichtungen des Gesundheitswesens ganz erheblich. Vor allem der Schutz von Patientendaten hat aufgrund neuer rechtlicher Rahmenbedingen an Bedeutung gewonnen.

Die Digitalisierung der Kommunikation hat neue Voraussetzungen für die vernetzte Sammlung von Daten und deren Verarbeitung geschaffen. Dies betrifft nicht nur jene Datenspuren, die bei der Zahlung mit Kredit- und Kundenkarten, bei Onlinebuchungen oder beim Surfen im Internet, entstehen und gespeichert werden. Neue rechtliche Vorgaben zum Datenschutz müssen auch im Gesundheitswesen umgesetzt werden. Dabei spielt die bereits seit dem 25.05.2018 geltende Datenschutz-Grundverordnung (DSGVO) eine herausragende Rolle.

DIE "MAGNA CHARTA" DER PRIVATSPHÄRE

Worum geht es bei der EU-DSGVO eigentlich? Die DSGVO ist die „Magna Charta“ für die Privatsphäre von uns allen, sagt Justizminister Heiko Maas. Sie soll die Interessen an freiem Datenfluss auf der einen Seite und persönliche Datenschutzinteressen auf der anderen Seite ausgleichen. Dabei geht es gerade auch um den Schutz des allgemeinen Persönlichkeitsrechts, der Selbstbestimmung, der Menschenwürde sowie der freiheitlichen Werte des Grundgesetzes. Ziel der neuen Regelung ist der Schutz der Menschen, nicht der Schutz von Daten.

NICHT DATEN, MENSCHEN SOLLEN GESCHÜTZT WERDEN

Wegen der herausragenden Bedeutung dieser Grundrechte in einer sich rasant digitalisierenden Welt hat die DSGVO das Ziel, dem Datenschutz in der Praxis deutlich mehr Geltung zu verschaffen. Dies hat zur Folge, dass Datenschutzverstöße kein „Kavaliersdelikt“ mehr sind. Bei Verstößen können die Datenschutz-Aufsichtsbehörden nunmehr z.B. Geldbußen bis zu 20 Mio. Euro für Einrichtungen des Gesundheitswesens verhängen. Dieser drastisch erweiterte Bußgeldrahmen erhöht massiv den Compliance-Druck, und die ersten Verstöße im Gesundheitswesen wurden bereits sanktioniert.

Der deutsche Gesetzgeber hat zudem zur teilweisen Umsetzung der DSGVO bereits am 30.06.2017 das Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 1. DSAnpUG) (Bundesdatenschutz-Gesetz n.F.) erlassen. Denn das EU-Gesetz enthält über 70 Öffnungsklauseln, die nationale Regelungen erlauben und von den Staaten auch intensiv genutzt werden.

DIE EIGENE DATENWELT VERSTEHEN

Praxen, MVZs und Kliniken sollten sich einen gründlichen Überblick über ihre Datenwelt verschaffen. Es ist beispielsweise wichtig zu wissen, welche Arten von personenbezogenen Daten erfasst werden, wie und von wem diese gesammelt werden, wo die Daten gespeichert werden, was damit gemacht wird und wer damit arbeitet. Auch die Gründe für die Verarbeitung, für die Speicherung und Speicherungsdauer sowie für die Löschung von Daten sollten klar sein – und es muss nachvollziehbar sein, inwiefern diese Praktiken die regulatorischen Verpflichtungen nach der EU-DSGVO und anderen gesetzlichen Anforderungen erfüllen.

PLANUNG UND KOMMUNIKATION

Planung und Kommunikation sind wesentlicher Teil einer erfolgreichen Governance-Strategie. Schlüsselpersonen – typischerweise IT-, Datenschutz-, Rechtsexperten, Geschäfts- sowie Personalabteilungen und Mitarbeiter, die sich mit personenbezogenen Daten befassen – sollten bei gemeinsamen Gesprächen ein Daten-Mapping erstellen: die Beschreibung der einrichtungsspezifischen Datentypen, der technischen Infrastruktur und der Speicherlösungen etc.

BESTÄTIGUNG UND NACHHALTIGE BEOBACHTUNG

Eine nur unregelmäßige Überwachung der personenbezogenen Daten genügt nicht mehr den neuen Anforderungen. Kontinuierlich verschiebt sich das Mapping der personenbezogenen Datenlandschaft. Daher muss ein proaktiver und fortlaufender Ansatz für das Gebiet der Information Governance sicherstellen, dass die Einrichtungen auch mit zukünftigen Entwicklungen und Verschiebungen umgehen können.

Mit der Datenschutz-Grundverordnung ist die Selbstverantwortung im Datenschutz erheblich gestiegen. Die Erfüllung der vielfältigen Rechenschaftspflichten ist den Datenschutz-Aufsichtsbehörden nachzuweisen, insbesondere durch genehmigte Verhaltensregeln oder Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen. Falls die Rechenschafts- und Nachweispflichten nicht erfüllt werden können, droht das Haftungs- und Sanktionsregime der DSGVO.

Jedoch kann die Einhaltung regulatorischer Vorgaben bei der etwaigen Verhängung von Geldbußen und deren Höhe gebührend von den Datenschutz-Aufsichtsbehörden berücksichtigt werden, sodass z.B. Datenschutz-Audits Haftungsrisiken deutlich minimieren können.

(Literatur beim Verfasser)

H. Hanika, Ludwigshafen

So schützen Sie Ihre wertvollen Daten mit der Hilfe von IBM - Blog

Cyberattacken finden Allerorten und jederzeit statt, und das mit zunehmender Intensität. Dabei geht es schon lange nicht mehr um die Frage, ob das eigene Unternehmen angegriffen wird, sondern lediglich wann. Doch wie lassen sich wertvolle und unternehmenskritische Daten vor kriminellen Hackern bestmöglich schützen? Dazu hat unter anderem IBM die passenden Antworten parat.

Denkt man an den zuverlässigen Schutz vor Hackerangriffen, beispielsweise in Form einer erpresserischen Ransomware-Attacke, fallen den meisten Anwender:innen und Security-Verantwortlichen wohl als erstes Software-Lösungen ein, mit denen mögliche Schadsoftware rechtzeitig erkannt und eliminiert werden kann. Doch das Implementieren solch einer Lösung, und sei es mit freundlicher Unterstützung eines erfahrenen Experten, erfordert eine ganze Menge Know-how, Zeit und die richtige Strategie. Wäre es da nicht viel einfacher, das System selbst, auf dem sich die Daten befinden, vor möglichen Angreifern zu schützen? Also den Speicherort und die Speichergerätschaften wie Festplatte und Flashspeicher vor dem ungewollten Zugriff zu bewahren?

Immutable Storage: So lassen sich Daten mit geringem Aufwand vor Verlusten schützen

Genau diesem Gedanken ist IBM nachgegangen und hat etwas geschaffen, das sich Immutable Storage nennt. Die Idee dahinter ist so einfach wie genial: Sämtlichen Daten wird – abhängig von ihrer Wichtigkeit und Sensibilität – eine bestimmte Lebensdauer beigemessen. Diese entscheidet darüber, wie oft eine neue Version der Daten angefertigt wird – und was am Ende dieser Frist mit den Daten geschieht. So geht die Versionierung besonders sensibler Daten in kürzeren Abständen vonstatten als bei Daten, die weniger unternehmenskritisch sind. Der Clou dabei: Erfolgt eine Hackerattacke auf diese Daten, können die wenige Minuten zuvor gespeicherten Daten wiederhergestellt werden. Damit lassen sich die infizierten Daten bedenkenlos löschen, sodass der Ransomware-Angriff keinen wesentlichen Schaden anrichten kann.

Was im Bereich des Personal Computing (Stichwort: macOS Versioning) schon seit vielen Jahren geschieht, hält im Server- und Cloud-Umfeld Stück für Stück Einzug. Genau an dieser Stelle kommt das Konzept des Immutual Storage von IBM (und anderen Anbietern) ins Spiel. Denn damit lassen sich die hochsensiblen Daten im eigenen Rechenzentrum und in der Cloud zuverlässig vor möglichen Angriffen schützen. Hierfür kann man beispielsweise in der IBM Cloud sogenannte Speicherbuckets erstellen, in dem sich unstrukturierte Daten sichern lassen. Hierfür werden dann den einzelnen Speicherobjekten bestimmte Aufbewahrungsrichtlinien zugewiesen. Damit können diese Daten innerhalb der vorgegebenen Zeit nicht vom Cloud-Speicher entfernt werden – ob gewollt oder ungewollt.

IBM Cloud Object Storage: Der Schutz der lokalen Daten mithilfe der Cloud

Doch es geht noch einen Schritt weiter. So lässt sich eine IBM Cloud Object Storage-Umgebung mit dem eigenen Backup-Server über die passende Schnittstelle verbinden. Damit wird in der IBM Cloud automatisiert eine Datensicherung sämtlicher Daten erstellt, die sich im eigenen Rechenzentrum befinden. Ist dann – aus den unterschiedlichsten Gründen – eine Wiederherstellung der Daten aus der Cloud erforderlich, geschieht das per Knopfdruck – oder ebenfalls automatisiert. Das stellt einen zusätzlichen Schutz der lokalen Daten dar, falls diese in irgendeiner Weise von innen oder außen kompromittiert werden.

Apropos innen: Der Einsatz von Immutable Storage eignet sich nicht nur vor Angriffen von außen, sondern schützt auch vor möglichen Schäden, die innerhalb eines Unternehmens entstehen können. Sei es durch eine unsachgemäße Bedienung oder ein bewusstes Anrichten von Schäden, indem beispielsweise Daten absichtlich gelöscht werden. Auch das kann auf diesem Weg verhindert werden.

Tipp: Anwender von Amazon S3-Cloud-Speicherumgebungen profitieren vom Immutable Storage-Konzept gleichermaßen.

Pitagora ist Ihr IBM Cloud-Partner

Pitagora ist als langjähriger IBM-Cloud-Partner ein zuverlässiger und erfahrener Ansprechpartner. Falls Sie also mehr wissen möchten über Immutable Storage und IBM Cloud Object Storage , freuen wir uns auf Ihre Nachricht. Nehmen Sie hierzu entweder via E-Mail oder per Telefon Kontakt mit uns auf.