Wer haftet für die IT-Sicherheit in der Praxis?

(Zahn-)Ärzt:innen und Psychotherapeut:innen tragen eine große Verantwortung und Verpflichtung, die Gesundheitsdaten von Patient:innen zu schützen. Angesichts der zunehmenden Digitalisierung im Gesundheitswesen wird der Schutz dieser sensiblen Daten immer wichtiger. Denn neue Schadsoftware-Varianten entwickeln sich rasant. Im Jahr 2021 verzeichnete das BSI im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 einen Zuwachs von durchschnittlich 394.000 neuen Schadsoftware-Varianten pro Tag. Die Frage ist: Wer trägt im Ernstfall die Verantwortung, etwa bei einem Datendiebstahl von Patientendaten? Haftet die Praxis oder doch der IT-Dienstleister, sofern dieser mit der IT-Sicherheit der Praxis beauftragt wurde? Wir klären über IT-Sicherheit auf und unterstützen Praxen dabei, sich gegen Cyberrisiken abzusichern.  

Grundsätzlich sind Praxisinhaber:innen für die Sicherheit der Praxis-IT verantwortlich. Allerdings bleibt im Praxisalltag häufig wenig Zeit, sich mit IT-Themen zu beschäftigen. Deshalb beauftragen Praxen häufig IT-Dienstleister, die die professionelle Betreuung der IT-Infrastruktur managen sollen. Doch die Beauftragung bedeutet nicht automatisch, dass der IT-Dienstleister alles leisten kann, was für die IT-Sicherheit wichtig ist – wie beispielsweise regelmäßige Updates der Firewall. Ein Managed Service Anbieter hingegen stellt langfristig wiederkehrende IT-Dienstleistungen zur Verfügung und übernimmt deren Betrieb, Verwaltung und Wartung. Daraus ergibt sich die Frage: Wer haftet bei Cyberangriffen für Datendiebstahl oder Betriebsausfälle? 

 

In welchem Fall haften Praxen? 

Praxisinhaber:innen tragen auch rechtlich die Verantwortung für die Sicherheit der Praxis-IT. Nach der durch die KBV bzw. KZBV in Kraft gesetzte IT-Sicherheitsrichtlinie müssen Beschäftigte im Gesundheitswesen Eigenverantwortung für die IT-Sicherheit ihrer Systeme und Prozesse tragen. Dies gilt auch dann, wenn IT-Dienstleister die Implementierung von Maßnahmen übernehmen. Gleiches gilt, wenn mit Dienstleistern ein Vertrag zur Gewährleistung eines bestimmten Schutzniveaus besteht.  

 

In welchem Fall haften Dritte? 

Bedient sich die Praxis bei der Datenverarbeitung oder IT-Sicherheit der Hilfe eines Dienstleisters, kann dieser im Einzelfall ebenfalls haften, zum Beispiel bei einer nachweislichen Fehlkonfiguration oder eines nachweislichen Fehlverhaltens. In Zukunft könnte auch die Herstellerhaftung an Bedeutung gewinnen, zum Beispiel bei fehlerhaften Produkten. Dies ist jedoch ein Aspekt, an dem auf politischer Ebene noch gearbeitet wird. Zudem entbindet die Hersteller-Haftung die Praxis nach wie vor nicht von der Verantwortung: Hersteller sind nur für die Technik, nicht aber für die Organisation der IT-Sicherheit verantwortlich. 

 

Was sollte ein IT-Dienstleister für eine sichere Praxis-IT leisten? 

Um sich bestmöglich vor Cyberrisiken zu schützen und Haftungsrisiken zu vermeiden, ist es ratsam, einen gut informierten IT-Dienstleister zu beauftragen. Dabei ist es für Praxen besonders wichtig, dass der IT-Dienstleister mit seinen Leistungen die K(Z)BV-IT-Sicherheitsrichtlinie erfüllt. Ob sich der IT-Dienstleister mit der K(Z)BV IT-Sicherheitsrichtlinie auskennt, kann man zum Beispiel daran erkennen, ob dieser die Zertifizierung der KBV erlangt hat. Folgende Leistungen sind für die IT-Sicherheit von Praxen wichtig: 

  • gemanagte UTM-Firewall  
  • gemanagte Datensicherung
  • gemanagtes Antivirenschutzprogramm
  • Festplattenverschlüsselung
  • Support bei der Konfiguration von Office-Produkten und Mobiler-/ Internet-Anwendungen
  • Schulungen für das Personal 

 

Als Managed Service Anbieter entlasten wir Praxen bei der IT-Sicherheit 

Das (zahn-)ärztliche und psychotherapeutisches Personal trägt eine große Verantwortung für den Schutz sensibler Patientendaten. Doch es sollte nicht die Aufgabe von Ärzt:innen und Psychotherapeut:innen sein, das IT-Netzwerk auf die neuen Anforderungen der KBV/KZBV IT-Sicherheitsrichtlinie abzustimmen. Ihr Augenmerk soll auf der Versorgung Ihrer Patient:innen liegen.  

Deshalb möchten wir Sie mit unserem Service Sichere Praxis-IT bei der Umsetzung der Richtlinie und der Etablierung und Gewährleistung eines ganzheitlich sicheren IT-Netzwerks unterstützen. Wer zusätzlich das Restrisiko von Cyberangriffen absichern möchte, profitiert von einer Cyberversicherung. Wir sind für Sie da – kompetent, serviceorientiert und made in Germany!