Die deutschen Datenschutzbehörden veröffentlichen zur Zeit ihre ersten Tätigkeitsberichte. In diesen beschreiben sie ihre Arbeit, so dass wir, die sogenannten „Verantwortlichen“ in Sachen Datenschutz lernen können, wie diese Behörden „ticken“. Dies bietet interessante Einblicke und hilft, seine eigenen Datenschutz-Aktivitäten mit den Erwartungen der Behörden abzugleichen.

Arzt und Dentallabor – Auftragsverarbeitung?

Interessant ist eine klare Aussage des Hamburgischen Datenschutzbeauftragten zum Verhältnis zwischen Zahnarzt und Dentallabor. In seinem Bericht¹ legt er fest, dass zwischen Zahnarzt und Dentallabor ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO geschlossen werden muss.

Dieser Vertrag dient dazu, den Auftragsverarbeiter (Dentallabor) vertraglich hinsichtlich der Datenverarbeitung so zu regulieren, dass mit den Daten keine Datenschutz-Unfälle passieren können. Das Labor kann und darf die Daten nur zur Erstellung seiner Leistung verwenden und muss die Verarbeitung auf PC und im Netzwerk nach Stand der Technik absichern.

• Das Dentallabor muss seine ergriffenen technischen und organisatorischen Schutzmaßnahmen (TOM), wie Datensicherung, Passwortschutz, Sensibilisierung der Mitarbeiter und so weiter, nachweisen können (Datenschutz-Handbuch).
• Nach Abschluss der Auftragsverarbeitung müssen die Daten gelöscht oder zurückgegeben werden. Dieses Verfahren muss beschrieben und dokumentiert sein.
• Das Dentallabor muss dem Zahnarzt die TOMs auf Anfrage zur Verfügung stellen und Inspektion bezüglich der TOMs durch den Zahnarzt zulassen.
• Falls der Zahnarzt Weisungen zur Verarbeitung gibt, die gegen den Datenschutz verstoßen, muss das Dentallabor diesen auf den Verstoß hinweisen.

Was passieren kann, wenn man in die Mühlen der Datenschutzbehörde gerät, musste ein kleines Hamburgisches Unternehmen erleben. Die dortige Datenschutzbehörde hatte den Verdacht, dass der Unternehmer einen notwendigen Auftragsverarbeitungsvertrag mit einem Dienstleister nicht abgeschlossen hatte. Deshalb hat die Behörde diesem Unternehmen einen Bußgeldbescheid in Höhe von 5.000 € erteilt.

Mit aufwändiger (und teurer) Hilfe eines Rechtsanwalts konnte das Unternehmen die Behörde zum Aufheben dieses Bescheids bewegen².

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derzeit (mal wieder) vor einer Welle dieser Schadsoft­ware, die Ihre Daten verschlüsselt³.

Die Landesdatenschutzaufsicht in Bayern prüft seit Oktober 2018 gezielt, wie sich die Situation in Arztpraxen darstellt. Dazu verschickt sie Fragebögen⁴, die von den Arztpraxen beantwortet und zurückgeschickt werden müssen. Ziel dieser Aktion ist es, für diese Gefahren zu sensibilisieren⁵ und den Verantwortlichen bewusst zu machen, dass möglicherweise präventive Gegenmaßnahmen ergriffen werden sollten. Nachfolgend einige dieser Fragen zu Ihrer Information:

Wichtig: Ihr IT-Dienstleister kann nicht gleichzeitig Datenschutzbeauftragter sein, genauso wenig der Laborinhaber selber. Der Verantwortliche muss keine Prüfung ablegen, aber natürlich Aus- und Weiterbildungen nachweisen. Gerade im ersten Jahr empfehle ich etwas mehr Weiterbildung und auch einmal eine externe Beratung mit einzubeziehen. Für Unternehmen mit 1-50 Mitarbeitern sollten pro Jahr zwei Tage Fortbildung eingeplant und nachgewiesen werden. Das lässt sich über Webinare erledigen, die auch DENTAGEN im Programm hat.

Führen Sie regelmäßige automatisierte Backups Ihrer Daten durch?
Sie sollten mindestens einmal täglich eine Datensicherung durchführen.

Sind die Speichermedien Ihrer Backups immer erreichbar?
Solange die Speicherplätze aktiv sind, kann ein Trojaner auch Backups verschlüsseln. Aktivieren Sie diese also nur für das jeweilige Backup.

Ist eine Wiederherstellung Ihres Backups möglich?
Testen Sie in regelmäßigen Abständen, ob Ihre Datensicherung geeignet ist, den Betrieb wiederherzustellen.

Sind Ihre Mitarbeiter geschult und sensibilisiert?
Erläutern Sie Ihren Mitarbeitern, dass sie sofort und buchstäblich den Stecker ihres PCs ziehen müssen, wenn er feindliche Aktivitä­ten erkennen lässt.

Sowohl die Anforderungen an eine Auftragsverarbeitung zwischen Arzt und Labor als auch der Schutz der eigenen PCs, Netzwerke und Verarbeitungssysteme setzen ein systematisches Auseinandersetzen mit Datenschutz und der Datensicherheit voraus.

Andreas Witte (l.) und Karsten Schulz (r.) sind die Gründer von aktisto.

Kontaktdaten
Karsten Schulz
post@aktisto.de
www.aktisto.de

1. https://www.zaftda.de/tb-bundeslaender/hamburg/692-27-tb-lfd-hamburg-2018-o-drs-nr-vom-21-02-2019/file ab Seite 118
2. https://kolibri-image.com/causa-datenschutz/
3. https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/BSI_warnt_vor_Ransomware-Angriffen-240419.html
4. https://www.lda.bayern.de/media/pruefungen/201810_ransomware_fragebogen.pdf
5. https://www.lda.bayern.de/media/pruefungen/201810_ransomware_info.pdf

Quelle: DENTAGEN INFO 2019/02