Praxisführung


Cyber-Risk-Management-Versicherung für die Zahnarztpraxis

© shutterstock
© shutterstock

Patientendaten sind für Hacker interessant und werden von Cyberkriminellen beispielsweise zur Erschaffung gefälschter digitaler Identitäten genutzt, mit deren Hilfe weitere Betrugsversuche unternommen werden. Patientendaten sind ausgesprochen sensibel – sie bilden eine sehr private Sphäre der Patienten ab. Eine Datenschutzverletzung – z.B. die ungewollte Veröffentlichung von Patientendaten bei Datenklau durch Hacker – ist eine Krise, die jede Praxis in eine finanzielle Schieflage bringen kann.

Der Deutsche Ärztetag hat deshalb nach der „WannaCry“- Attacke im Mai 2017 vor einer Totalvernetzung in der Medizin gewarnt. Cyberangriffe auf Kliniken und Praxen gefährden die Sicherheit der Patienten. Der jüngste Hackerangriff auf die Bundesregierung im Februar 2018 zeigt ganz gut, dass jedes Netz Schwachstellen aufweist und somit die Gefahr von Hackerangriffen birgt.

Die Meldepflichten bei Datenpannen

Seit 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung in Kraft. Insbesondere die Meldung von Datenpannen ist erheblich verschärft worden (Art 33/34 DSGVO). Darin regelt der Artikel 33 die Meldung an die Datenschutzaufsichtsbehörde und der Artikel 34 die Meldung an die betroffenen Personen.

In Artikel 33 heißt es zusammengefasst:

Im Fall einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese an die zuständige Aufsichtsbehörde, …

Die Meldung enthält mindestens folgende Informationen:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
  • Angaben der Kategorien, Zahl der betroffenen Personen
  • die Kontaktdaten der Datenschutzbeauftragten
  • eine Beschreibung der möglichen Folgen
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Beschreibung der Maßnahmen zur Abmilderung des Schadens.

Der Schaden, die Auswirkungen und die ergriffenen Abhilfemaßnahmen sind zu dokumentieren. Bei einer Betriebsprüfung haben die Behörden damit die Möglichkeit, zu überprüfen, ob die Benachrichtigungspflicht eingehalten wurde.

Im Artikel 34 DSGVO heißt es (zusammengefasst):

Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so sind die betroffenen Personen unverzüglich und in klarer und einfacher Sprache zu informieren. Es ist also im Einzelfall abzuwägen, ob ein hohes Risiko besteht oder nicht. Die Aufsichtsbehörde kann aber verlangen, dass die Information der betroffenen Personen nachgeholt wird.

Bußgelder

Wenn die Melde- und Dokumentationspflichten nicht eingehalten werden, drohen exorbitant hohe Bußgelder (Art. 83 Abs. 4a DSGVO), und zwar bis zu 10 Millionen € oder 2% vom Umsatz des vorherigen Geschäftsjahres – je nachdem, welcher Wert der höhere ist. Die Aufsichtsbehörde stellt sicher, dass die Geldbuße im Verhältnis zum Verstoß steht.

Schutz durch eine Cyber-Risk-Management-Police

Bußgelder sind nicht versicherbar, wohl aber die „Gefahrenabwehr“, dass Bußgelder eintreten. Selbst wenn alle präventiven Maßnahmen zum Schutz gegen Cybervorfälle wie die Schulung der Mitarbeiter, die aktuelle Virensoftware, Firewall etc. getroffen wurden, bleibt ein Restrisiko bestehen. Es stellt sich die Frage, was im Ernstfall zu tun ist. Wie soll man sich richtig verhalten, damit einem keine teuren Fehler unterlaufen?

Im Schadenfall benötigt der Praxisinhaber einen Partner, der sich mit dieser Thematik hundertprozentig auskennt und gleichzeitig über das technische Know-how verfügt. Diese Leistungen sind Teil der sogenannten Cyber-Risk-Management-Versicherung. Hierin enthalten ist eine 24-Stunden/7-Tage-Service-Hotline, die sofort weiterhilft, damit alles korrekt erfolgt bzw. abgewickelt wird. Ebenfalls mitversichert sind die rechtlich einwandfreie Benachrichtigung der Personen und die damit verbundenen Kosten.

Der Versicherungsschutz umfasst die sogenannten Eigenschäden. Dies sind:

  1. Betriebsunterbrechung: Die Praxis muss aufgrund eines Cybervorfalls drei Tage geschlossen werden. Es werden die entstandenen Kosten sowie der entgangene Gewinn ersetzt. Dieser Versicherungsfall ist durch eine normale Betriebsunterbrechungsversicherung in der Praxisinventarversicherung nicht abgedeckt.
  2. IT-Forensik: Im Versicherungsschutz enthalten ist ebenfalls die sogenannte IT-Forensik, das heißt die Wiederherstellung von Daten, Systemen und Netzwerken und Ursachenfindung.
  3. Soforthilfe im Notfall: Bei Bestehen einer konkreten Risikolage für einen Versicherten werden die Kosten des spezialisierten Krisendienstleiters übernommen, der technisch wie auch rechtlich sofort weiterhelfen kann.
  4. Kosten für externe Datenschutzanwälte: Kosten für die externen Datenschutzanwälte zur Bestimmung der geltenden Melde- und Anzeigepflichten inkl. Benachrichtigungskosten der Dateninhaber. Der Strafrechtschutz ist dabei mitversichert.
  5. Bezahlung von Lösegeld. Große Unterschiede in den Versicherungsbedingungen: Viele Versicherungsunternehmen haben als Obliegenheit, dass „unverzüglich“ die aktuelle Virensoftware aufgespielt wird. „WannaCry“ hat gezeigt, dass dies häufig nicht der Fall ist. Insofern ist ein Versicherer zu bevorzugen, der diese Klausel nicht beinhaltet. Außerdem sollte bei der Versicherungswahl auf umfassende Assistanceleistungen im Schadenfall geachtet werden. Da Cybervorfälle schnell zu zeitkritischen und existenzbedrohenden Krisen führen können, ist der sofortige Zugriff auf ein entsprechendes Expertennetzwerk im Schadenfall äußerst wichtig.

Die Kosten für eine Cyber-Risk-Management-Versicherung richten sich nach dem Honorarumsatz der Praxis. Bei einem Umsatz von 500.000 € beträgt der Jahresbruttobeitrag nur gut 600 €. 

weiterlesen
Näheres zum Autor des Fachbeitrages: Ralf Seidenstücker