Datenschutzversto? Bußgeld versichern - Symbolbild: Steve Buissinne via Pixabay

Eine Versicherung gegen Datenschutzverstöße

Zack, Datenschutzverstoß, Bußgeld: Geht im Geschäftsalltag ganz schnell

Vor kurzem hat Dagmar Hartge, die Brandenburgische Landesdatenschutzbeauftragte, ihren Tätigkeitsbericht 2020 veröffentlicht. Der Bericht liefert viele Beispiele dafür, wie schnell ein Unternehmen ins Visier der Datenschützer gerät. Die Folge ist dann häufig ein Bußgeld, das wehtut.

Einige Beispiele:

  • Ein Kreditvermittler schickt einem potenziellen Kreditnehmer eine abschlägige E-Mail. Darin nennt er dessen negative Schufa-Werte. Weil die E-Mail nicht komplett verschlüsselt ist, moniert der Abgelehnte einen Datenschutzverstoß. Die Landesdatenschutzbeauftragte sieht es genauso: Der Kreditvermittler wird offiziell verwarnt.
  • Ein Immobilienmakler soll ein Haus an Käufer vermitteln. In den Werbeunterlagen veröffentlicht er Fotos, die er vom Eigentümer bekommt. Darunter sind auch Fotos einer Einliegerwohnung. Die Mieter sehen eine Datenschutzverletzung. Auch dafür gibt es eine Verwarnung.
  • Ein anderes Immobilienunternehmen macht Drohnen-Fotos von Objekten, die es verkaufen will. Dummerweise sind auch Teile der Nachbargrundstücke abgebildet. Deren Eigentümer beschweren sich. Die Landesdatenschutzbeauftragte übt Druck aus, bis das Immobilienunternehmen die Fotos von der Website nimmt.
  • Ein Wirt benutzt die Kontaktdaten-Liste seiner Gäste, die er wegen Corona führen muss, um ihnen Werbung zu schicken. Das darf er aber nicht – Bußgeld.
  • Eine Ballettschule veröffentlicht auf Facebook Bilder, auf denen die Mädchen beim Tanzen zu sehen sind. Die Eltern wurden nicht um Erlaubnis gefragt. Ergebnis: Ein Bußgeld in vierstelliger Höhe.
  • Günstiger kommt eine Arzthelferin davon, die sich in einen Patienten der Praxis verliebt. Sie kontaktiert ihn über die Telefonnummer in der Patientendatei. Auch das ist ein Datenschutzverstoß. Immerhin ist ihr Bußgeld nur dreistellig.
  • Ein Tourismus-Unternehmen lässt seine Datenbank mit Kunden und Gastgebern ungesichert im Netz. Als das Landesamt vorstellig wird, bleiben trotz erster Korrekturen Sicherheitslücken. Das Unternehmen muss sich auf ein Bußgeld einstellen.

Datenschutzverstoß? Diese Kosten übernimmt Ihre Cyber-Versicherung

  • Manche Cyber-Versicherungen versichern DSGVO-Bußgelder, soweit dies gesetzlich erlaubt ist. (Natürlich nicht bei Vorsatz.)
  • Beim Vorwurf eines Datenschutzverstoßes braucht man den Anwalt. Und auch schon vorher: Dann, wenn man herausfinden will, ob ein Datenschutzverstoß vorliegt, über den man die Behörden informieren muss. Die Kosten für beides sind als Teil der Cyber-Deckung versicherbar.
  • Viele Cyber-Versicherungen haben selbst spezialisierte Anwälte unter Vertrag, die im Notfall direkt helfen.
  • Nach einem Datenschutzverstoß haben die Betroffenen Anspruch auf Schadenersatz. Solche Forderungen decken Cyber-Versicherungen ebenfalls.
  • Wenn der Geschäftsführer dafür haften soll, dass der Datenschutzverstoß möglich war, deckt eine D&O-Versicherung (Manager-Haftpflichtversicherung) die Schadenersatzforderung .
  • Viele Cyber-Versicherer stellen Fachleute für Krisen-PR. Sie helfen bei einem Datenschutz-Gau, Imageschäden zu minimieren.

acant hilft beim Eindämmen der DSGVO-Risiken

Datenschutz ist eine gute Sache. Für Unternehmen wird er allerdings schnell zum Glatteis. Es gibt einfach zu viele Möglichkeiten, im Geschäftsalltag gegen Datenschutzbestimmungen zu verstoßen.

Dieses finanzielle Risiko lässt sich durch eine Cyber-Versicherung weitgehend eindämmen, genauso wie die Schäden durch Hacker und Trojaner. acant ist als Spezialmakler für Cyber-Policen der richtige Ansprechpartner.

Wir finden die Versicherung, die Sie und Ihr Unternehmen optimal schützt. Schreiben Sie uns oder rufen Sie uns an: 030 863 926 990

elektronische Patientenakte, Symbolfoto: Bokskapet via Pixabay

Elektronische Patientenakte: Ärzte als Hochrisikogruppe beim Datenschutz?

Die elektronische Patientenakte soll die Digitalisierung im Gesundheitswesen forcieren

Bundesgesundheitsminister Spahn treibt die Pläne zur raschen Digitalisierung im Gesundheitswesen voran. Das Patientendaten-Schutzgesetz ist seit kurzem in Kraft. Es bringt die elektronische Patientenakte (ePA), das E-Rezept und eine einheitliche Infrastruktur für den Datenaustausch im Gesundheitswesen (Telematik-Infrastruktur, TI).

Die Digitalisierung ist sinnvoll und überfällig. Wenn Versicherte direkten Überblick über ihre Arbeitsunfähigkeiten, Behandlungen, Impfungen, Krankenhausaufenthalte, Vorsorgetermine und Rezepte haben, ist das positiv. In anderen Ländern existieren die Voraussetzungen dafür schon längst. Es gibt keinen Grund, warum der Datenaustausch zwischen Ärzten, Kliniken, Versicherern und Apotheken nicht digital stattfinden sollte. Dass Patienten selbst kontrollieren, wer Zugriff auf Befunde, Diagnosen und andere Daten hat, ergibt Sinn.

Das Problem ist das Datenschutzrisiko. Der Bundesdatenschutzbeauftragte Ulrich Kelber rät laut „Deutschland sicher im Netz“ von der Nutzung der elektronischen Patientenakte ab. Außerdem will er die Krankenkassen verpflichtend anweisen, die ePA-Apps gesetzeskonform zu gestalten. Dummerweise ist das technisch offenbar erst ab 2022 möglich.

Ärzte müssen die elektronische Patientenakte auf Wunsch ausfüllen.

Die gesetzlichen Krankenkassen müssen seit Jahresbeginn ihren Versicherten die elektronische Patientenakte bereitstellen, zum Beispiel per App fürs Smartphone. Die privaten Krankenversicherungen sind erst ab 2022 dazu verpflichtet. Ärzte, Therapeuten, Apotheken etc. haben die ePA mit Daten zu befüllen, wenn der Patient es wünscht.

Das Problem: Bislang kann der Versicherte nicht „granular“ vorgeben, welchem Arzt er welche Informationen zugänglich macht. Das ist zwar vorgeschrieben, soll aus technischen Gründen jedoch erst nächstes Jahr kommen. Im Moment sieht damit im Zweifel auch der Zahnarzt, dass die Patientin letztes Jahr einen Schwangerschaftsabbruch hatte oder der Patient in psychiatrischer Behandlung ist.

Auch im Praxisalltag dürfte es neue datenschutzrechtliche Risiken geben – etwa dann, wenn die Mitarbeiterin an der Rezeption dem älteren Patienten hilft, die App zu bedienen. Oder wenn Hacker versuchen, an dieser Nahtstelle den Datenaustausch abzuschöpfen oder die App zu kompromittieren.

Wer trägt das Datenschutz-Risiko?

Das Risiko für die Heilberufe liegt auf der Hand. Fehler werden dem niedergelassenen Arzt und seinen Mitarbeitern angelastet werden. Das gilt auch dann, wenn der Patient missverständlich kommuniziert oder mögliche Mängel der Infrastruktur Datenverluste begünstigen.

Der Praxis-Inhaber ist dafür verantwortlich, dass das Datenschutzniveau in der Praxis sowohl technisch wie organisatorisch gewahrt bleibt. Er muss eine angemessene IT-Sicherheit gewährleisten, dafür sorgen, dass stets die notwendigen Einwilligungen vorliegen und keine unbefugten Mitarbeiter Zugriff erhalten. Dafür haften die Ärztin oder der Therapeut.

Noch ist die ePA in der Testphase – aber an die Versicherung sollten Ärzte und Therapeuten schon jetzt denken

Bis jetzt ist die ePA noch in der Testphase. Ab dem zweiten Halbjahr 2021 sollen dann alle Patienten die entsprechenden Apps nutzen können, und alle Arztpraxen die Akten auf Wunsch elektronisch ausfüllen. Ab 2022 werden weitere Nachweise digitalisiert, zum Beispiel der Mutterpass oder das Zahnarzt-Bonusheft.

Für Ärzte, Therapeuten und alle anderen, die am Austausch von Patientendaten über die Telematik-Infrastruktur im Gesundheitswesen mitwirken dürfen/müssen, gibt es eine klare Empfehlung: rechtzeitig eine passende Cyber-Versicherung für niedergelassene Praxen abschließen, die auch Datenschutzverstöße abdeckt. Fragen Sie uns nach den Einzelheiten: Wir von acant sind Spezialmakler für Cyber-Versicherungen und kennen uns mit der Deckung von Datenschutzrisiken aus.

Patientendaten sind für Datendiebe sehr, sehr wertvoll

Man kann nicht oft genug darauf hinweisen: Patientendaten sind für Hacker wie Goldstaub. Ein eindrückliches Beispiel war der Diebstahl von 40.000 digitale Patientenakten in Finnland – mit Adressdaten und den Notizen der behandelnden Psychotherapeuten.

Und selbst, wenn es nicht so schlimm kommt: Selbst ein Fehler im Praxisalltag kann direkt zu einem Datenschutzverstoß und damit zu einem Bußgeld-Verfahren führen. DSGVO-Bußgelder sind von empfindlicher Höhe – bis zu zwei Prozent vom Jahresumsatz sind möglich.

Haben Sie Fragen zur Cyber-Versicherung speziell im Gesundheitswesen? Rufen Sie uns einfach unter 030 863 926 990 an oder schreiben Sie uns eine kurze Nachricht.