Newsroom

Die Cyberversicherung als Unterstützung bei der Telematikinfrastruktur (TI)

TI im Kontext der Datenschutzverordnung (DSGVO)

Die Einführung der Telematikinfrastruktur bringt Unsicherheiten mit sich. Doch eins steht mit Sicherheit fest, die DSGVO gleicht in diesem Kontext einem Minenfeld und wird mit jeder Erweiterung in der Digitalisierung – wie z.B. nun mit der elektronischen Patientenakte (ePA) – immer größer. Ein bedachtes Begehen dieser Fläche ist von Nöten. Ein „Rumtapsen“ wäre gefährlich.

Allen Vorteilen der Digitalisierung in der (Zahn-)Medizin steht auch immer der Gedanke gegenüber, dass auch eine Gefahr besteht. Immerhin handelt es sich hier um ca. 70 Millionen Versicherte der Gesetzlichen Krankenversicherung, die Ihre sensiblen Gesundheitsdaten auf digitalem Wege teilen.

Eine Verletzung der Datenschutzpflichten oder der ärztlichen Schweigepflicht – bewusst oder unbewusst, direkt oder indirekt verschuldet – führt zu Sanktionen.

Hilfe der Cyberversicherung bei einem DSGVO-Verstoß

Nach deutschem Recht können Versicherer Bußgeldforderungen nicht übernehmen. Die deutschen Behörden vertreten, anders wie einige Nachbarländer, den Standpunkt, dass eine Versicherungsleistung den Sanktionszweck und so auch die Prävention für zukünftige Verstöße unterlaufen würden.

Unabhängig dieser Rechtslage kann eine Cyberversicherung jedoch behilflich sein, Bußgelder positiv zu beeinflussen. Dies geschieht z.B. über die schnelle und effektive Einleitung von Gegenmaßnahmen oder den nachweislich professionellen Umgang mit dem Schaden sowie der Zusammenarbeit mit den Behörden. Diese Faktoren fließen nämlich in die Berechnung der Bußgeldhöhe mit ein.

Auch die Abwehr von ungerechtfertigten Bußgeldern im Zuge eines Haftpflicht-, bzw. Drittschadens zählt zu den Aufgaben einer Cyberversicherung. Dabei steht auch die Prüfung einer vorgeworfenen Datenschutzrechtsverletzung einschließlich der rechtlichen Beratung zur Minderung der negativen Folgen einer solchen Verletzung im Fokus.

Zudem sind die Höhen im Bereich der Informations- und Benachrichtigungskosten nicht zu unterschätzen, welche ebenfalls eine Cyberversicherung trägt. Es besteht eine Meldepflicht bei Datenverlust, somit wird es in Ihrem Sinne sein eine Minderung eines (drohenden) Reputationsschadens herbeizuführen. Im Rahmen der Versicherungsleistungen stehen Ihnen externe Krisen- und Kommunikationsberater zur Seite, wenn die Praxis über Datenschutzverletzungen öffentlich informieren muss.

Cyberrisiken durch die Telematikinfrastruktur

Zukünftig soll das strukturierte Speichern von Befunden, Arztberichten und Röntgenbildern sowie Mutterpass, dem gelben U-Haft für Kinder und dem Zahn-Bonushefte in der elektronischen Patientenakte (ePA) möglich sein. Es werden Diagnoseergebnisse, Therapiemaßnahmen und Medikationspläne gespeichert. Die Nutzung und den Umfang der Speicherung auf der ePA ist für den Versicherten freiwillig – nur er entscheidet, welche Daten gespeichert werden dürfen.

Die ePA ist das Krönchen der Telematikinfrasturktur, das Ziel der digitalen Vernetzung.

In den Praxen stellt der Konnektor für das Praxisverwaltungssystem die Verbindung zur Telematikinfrastruktur her. Dabei ist dieser unter aktuellster Verschlüsslungstechnologie vollständig abgeschirmt vom Internet und arbeitet auf höchstem Sicherheitsniveau. Stattdessen wird über ein Virtual Private Network (VPN) der Zugang gewährt.

Bei der vorschriftsgemäßen Einrichtung und Nutzung der TI übernimmt die Gesellschaft für Telematikanwendungen der Gesundheitskarte (gematik) GmbH die Haftung bei einem Cyberangriff. Verantwortlich für einen haftungsrechtlichen und auch strafrechtlichen Tatbestand ist laut der gematik GmbH nach der Datenschutzgrundverordnung der Datenverarbeiter.

In diesem Jahr wurde für Klarheit gesorgt, im Patientendaten-Schutz-Gesetz (PDSG, Fassung Oktober 2020) werden die Verantwortlichkeiten des Datenschutzes nun definiert und in drei Bereiche eingestuft: dezentrale-, zentrale- und Anwendungsinfrastruktur.

Dr. Karl-Georg Pochhammer sagte im Mai 2020 zum damaligen Gesetzesentwurf im Gesundheitsausschuss des Deutschen Bundestages; „Die Verantwortlichkeit des Zahnarztes endet ‚vor dem Konnektor‘. Zahnärzte sind demnach weder für die zentrale TI noch für die Anwendungsinfrastruktur entsprechender Dienste verantwortlich. Und ihre Verantwortlichkeit für die Komponenten der dezentralen Infrastruktur ist nunmehr sachgerecht und entsprechend unserer Forderung auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung begrenzt. Das PDSG schafft in diesem Punkt somit die nötige Klarheit. Es entbindet Praxen von einem zunächst vorgesehenen Umfang an Verantwortlichkeit, den sie gar nicht hätten wahrnehmen können.“

Dennoch muss bedacht werden, dass bei einer fehlerhaften Installation zunächst der Praxisinhaber haftet, nicht die mit der Installation beauftragte Firma.

„Die Datenschutzaufsichtsbehörden sehen hier die Praxisinhaber in der Pflicht, Sicherheitsprobleme nach Eingriffe zu entdecken und abzustellen.“ so Herr Dr. Werner Baumgärtner, Vorstandsvorsitzender von MEDI GENO Deutschland.

Er sieht außerdem eine Haftungslücke, wenn die Installation des TI-Konnektors im Parallelbetrieb erfolgt ist, wenn also der Konnektor nur mit einem Netzwerkkabel mit dem Switch verbunden ist. Im Seriellen Betrieb fungiert der Konnektor als Firewall und die Schnittstellen zur übrigen digitalen Infrastruktur der Praxis sind geschützt. Zudem besteht dann eine Gefahr, wenn bei der Installation des Konnektors Anti-Viren-Programme und Firewalls abgeschaltet oder sicherheitsrelevante Funktionen deaktiviert wurden.

Schadensersatzpflichten

Sollte es zu einer Sicherheitslücke mit anschließendem Cyberangriff im Verantwortungsbereich der Praxis kommen, kann der Praxisinhaber einer Schadensersatzforderung gegenüberstehen.

Die geschädigten Patienten können nach Artikel 82 DSGVO heutzutage eine materielle oder auch immaterielle Schadensforderung zum Ausgleich bringen. Neben dem bekannten Schadensersatz von Vermögensschäden, wie z.B. Anwaltskosten, ist nun auch die finanzielle Erstattung von Eingriffen in das Persönlichkeitsrecht ansetzbar (Schmerzensgeld).

Umso wichtiger ist es sich einen spezialisierten Rechtsanwalt für die Verteidigung gegen entsprechende Vorwürfe zur Hilfe zu holen. Teils können auch externe Dienstleister für das Datenleck verantwortlich sein, wo ggf. im Nachgang über eine Regressforderung ein Ausgleich erfolgen kann.

Die finanziellen Aufwendungen für die Abwehrkosten übernimmt die Cyberversicherung.

Fazit

Die Cyberversicherung kann auch im Kontext der Telematik zu einem wichtigen Begleiter werden. Die verschiedenen Deckungsbausteine bei einer DSGVO-Verletzung können die vielfältigen Auswirkungen auffangen. Neben Kostenübernahmen stehen professionelle Dienstleister zur Schadensregulierung oder Minderung zur Verfügung.

Genau wie Sie sich als Praxisinhaber gegen die Gefahr einer berufsrechtlichen Auseinandersetzung auf Grund eines vermeintlichen Behandlungsfehlers schützen oder dem Wasserschaden in der Praxis, sollte es zur Normalität werden, sich in einer digitalen Welt gegen Cyberrisiken über eine Versicherung abzusichern.

Zuletzt sei erwähnt, dass es sich in diesem Artikel nur um einen Aspekt aus dem sehr umfangreichen Leistungsspektrum einer Cyberversicherung handelt.

Zum Original Beitrag

Kontaktdaten

T 02 01 – 10 22 77 – 53
 
F 02 01 – 10 22 77 – 77

Standorte

Essen

von Buddenbrock Concepts GmbH
c/o Nicole Gerwert
Renteilichtung 1
45134 Essen
(Postanschrift)

Münster

Nicole Gerwert
Wirtschaftsberatung für Zahnärzte
Wienburgstr. 171a
48147 Münster

Maria Veen

Nicole Gerwert
Wirtschaftsberatung für Zahnärzte
Heideweg 36
48734 Reken (Maria Veen)

Deutschlandweit

Digital oder vor Ort
Standortnetzwerk von Buddenbrock Gruppe und weiteren Netzwerkpartnern