Cyberkriminalität, sensible Patientendaten und das neue Datenschutzgesetz

Die Digitalisierung bestimmt längst auch das Gesundheitswesen. Arztpraxen und Kliniken sind digital vernetzt und Patientenakten in IT-Systemen gespeichert. Das bringt viele Vorteile – weckt aber auch das Interesse von Kriminellen.

Ein Krypto-Trojaner kann sekundenschnell Dateien verschlüsseln: Patientendaten, Diagnosen, Labor- und Operationsberichte. Kriminelle drohen oft mit deren Veröffentlichung, falls ihre Forderung nicht bezahlt wird. Zudem kann ein Ransomware-Angriff zu einem operationellen Unterbruch des Betriebs mit erheblichen Kosten und Reputationsverlust führen.

Grundversorgung und Betreuung der Patienten stehen im Fokus einer medizinischen Einrichtung. Darauf konzentriert sich die Ärzteschaft. Administration und IT werden oft von Mitarbeitern und externen Firmen übernommen. Während die Praxis bzw. Klinikabläufe fast gleich geblieben sind, schreitet die Digitalisierung rasant voran. Eine Überarbeitung des Datenschutzgesetzes wurde also notwendig. Ab Herbst 2023 änderten sich wichtige Bestimmungen zur Bearbeitung von Personendaten. Das revidierte DSG (1) beschränkt sich wie die EU-Datenschutzgrundverordnung (DSGVO) auf den Datenschutz natürlicher Personen. Auch genetische und biometrische Daten gelten neu als besonders schützenswert. Alle Firmen müssen ihren Betrieb durch technische und organisatorische Massnahmen maximal sichern und ihre Richtlinien und Datenschutzerklärungen seit dem Inkrafttreten des neuen DSG am 1. September 2023 angepasst haben. Übergangsbestimmungen sieht das Gesetz nur vereinzelt vor. Kommt es zu Persönlichkeitsrechtsverletzungen, stehen Betroffenen gemäss neuem Gesetz zur Durchsetzung ihrer Ansprüche Rechtsbehelfe zur Verfügung. Als besonders schützenswert gelten alle Gesundheitsdaten. Sie sind streng vertraulich und für Kriminelle oft interessanter als Finanzdaten. Denn Name, Geburtsdatum und AHV-Nummer verlieren ihre Gültigkeit nicht und können auf Jahre hinaus ausgebeutet werden, etwa durch Identitätsdiebstahl (2).

Das Unternehmen MOD1* berät Gesundheitseinrichtungen zur nachhaltigen und umfassenden Cybersicherheit. Es empfiehlt, eine aktuelle Übersicht über die Organisationsstruktur zu erstellen und hilft, dieses Audit durchzuführen. Im Gespräch mit IT-Partnern der medizinischen Einrichtung wird geprüft, ob alle IT-Richtlinien der FMH erfüllt sind. Als Teil dieser Hilfeleistung hat zudem die Sensibilisierung der Mitarbeiter hohe Bedeutung. Denn nicht selten führen menschliche Fehler zu einer Cyberattacke.

Marielle Johnston, Head of Business Development, MOD1 AG.