DSGVO: Angemessene Sicherheit bei der Datenverarbeitung

(15.12.2017) Das Thema der Datensicherheit nimmt in der ab 25. Mai 2018 geltenden DSGVO eine zentrale Rolle ein. Für die Tierarztpraxis bedeutet das: nicht alles, was bisher gut war, entspricht dann noch den Vorgaben.

Bildquelle: pixabay/Creative Commons CC0 Die ab 25. Mai 2018 geltende neue EU Datenschutz-Grundverordnung (DSGVO), die wir seit Dezember mit einer eigenen Artikelserie im Detail beleuchten, definiert in Artikel 5 einige Grundsätze. Einer davon ist das sogenannte "angemessene Schutzniveau", das für die Verarbeitung personenbezogener Daten gewährleistet sein muss.

Konkret heißt es im Gesetz: "Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ('Integrität und Vertraulichkeit')"

Damit fordert man vom Verantwortlichen (also Sie als Tierärztin/Tierarzt) bzw. vom Auftragsverarbeiter (also Ihren Dienstleistern, so Sie auf welche zurückgreifen), dass technische und organisatorische Maßnahmen getroffen werden, um ein angemessenes Schutzniveau zu gewährleisten. Berücksichtigt werden muss dabei der Stand der Technik, die Implementierungskosten, die Art, Umfang, Umstände und Zwecke der Datenverarbeitung und die unterschiedlichen Eintrittswahrscheinlichkeiten und Höhe des Risikos.

Als geeignete Maßnahmen werden angeführt (Details siehe unten): Pseudonymisierung und Verschlüsselung, die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, eine rasche Wiederherstellung der Verfügbarkeit von Daten und Systemen im Krisenfall und die Einrichtung eines Auditprozesses zur regelmäßigen Überprüfung der technischen und organisatorischen Maßnahmen.

Pseudonymisierung ist ein Kunstwort aus Pseudonym und Anonymisierung und bezeichnet ein Verfahren, wo einzelne Merkmale von Datensätzen von den ihnen zuordenbaren Personen getrennt werden. Anschauliches Beispiel ist da die automatisierte Auswertung Ihres Einkaufsverhaltens aufgrund Ihrer Kundennummer. Welche konkrete Person hinter einer jeweiligen Kundennummer steht, wird aber getrennt verarbeitet und gespeichert und somit sind Daten für sich genommen nicht mehr konkret genug. Jemand, der Ihnen etwas nachweisen möchte, müsste immer beide Datenverarbeitungen in Besitz bekommen. Für Sie ist das relevant, wenn Sie beispielsweise auf Analysedienste für Ihre Website oder Ihre Newsletter zurückgreifen.

Wesentlich relevanter für Sie ist die Forderung nach Verschlüsselung. Das bedeutet: Sie dürfen künftig auch einfachste Excel-Listen oder Word-Dateien mit Kundendaten nicht mehr unverschlüsselt abspeichern. Am einfachsten geht dies mit den bereits vorhandenen Tools in Windows 10 oder auch Linux, mit denen Sie Ihre gesamte Festplatte verschlüsseln. Wird nun am System etwas verändert (zB. durch einen Hacker-Angriff), so fordert Sie Ihr Windows auf, den Schlüssel erneut einzugeben. Das passiert auch, wenn beispielsweise jemand die Festplatte physisch ausbaut und wo anders anschließt: Ohne korrekten Schlüssel, ist es dann nur Datenmüll.

Risiken wie zufällige oder unrechtmäßige Veränderung sowie unbefugte Weitergabe von personenbezogenen Daten zwingen Sie zu Maßnahmen, die auch die einzelnen Zugriffe nachvollziehbar machen. Leicht implementierbar aber trotzdem noch immer nicht bei allen im Einsatz, sind gezielte Benutzeraccounts pro Mitarbeiter/in mit unterschiedlichen Berechtigungsfreigaben. Nur damit haben Sie überhaupt die Chance zu erkennen, wer was und wann gemacht hat. Auch hier sind Sie natürlich im Vorteil, wenn Sie bereits eine webbasierte Praxismanagementsoftware einsetzen, die derartiges von Haus aus mitbringt.

Bei der raschen Wiederherstellung der Verfügbarkeit werden Sie jetzt spontan an Backups denken. Sie haben doch welche? Oder zählen Sie zu den unglaublichen 25%(!) der Firmen, die über keine aktuellen Backups verfügen? (Daten beziehen sich auf Österreich). Aber wie sieht es mit dem Einspielen eines Backups aus (Restore): Testen Sie dies ebenfalls regelmäßig? Nur wenn Sie sicher gehen können, dass sich Ihre Backups jederzeit auch wieder einspielen lassen, sind Sie auf der sicheren Seite. Analysen der Wirtschaftskammer Österreich haben gezeigt, dass nur 25% der Unternehmen, ihre Backups regelmäßig testen. Das bedeutet dann: nur 19% der Unternehmen (25% von 75%) verfügen über eine belastbare Strategie zur Vermeidung von Datenverlusten!

Wir empfehlen hier dringend die Verwendung von sogenannten Online-Backups, am besten sogar mit einer live-Anbindung, über die permanent gesichert wird. Damit sind gleich mehrere Risiken vermindert bzw. ausgeschaltet: elementare Schäden wie Wasser, Feuer, Einbruch, Vandalismus die potentiell sowohl die Daten selbst als auch das Backup betreffen können. Prominentes Beispiel wie man es nicht machen sollte: Laptop und zugehörende externe Festplatte mit den Backups im gleichen Auto zu lassen. Es könnte beides gleichzeitig gestohlen werden und dann hilft auch das beste Backup nichts mehr...

In Zeiten von Verschlüsselungstrojanern, also Software, die Ihre Daten gezielt verschlüsselt und Sie dann damit erpresst, den Schlüssel nur gegen Bezahlung im Bereich von wenigen bis mehreren 1000,- Euro herauszurücken, sind auch Backups nicht mehr sicher. Die meisten Anbieter von Online-Backups bieten hier aber wirksamen Schutz, da Sie derartige Angriffsmuster mittlerweile erkennen können und die Verbindung zum Schutz der Daten unterbrechen.

Stand der Technik als größte Änderung

Die wohl weitgreifendste Änderung ist die Forderung nach Schutzmaßnahmen entsprechend dem Stand der Technik. Das ist nicht zu unterschätzen und angesichts der hohen Bußgelder sollten Sie das wirklich ernst nehmen. Das bedeutet nämlich konkret, dass Sie nur noch Hard- und Software einsetzen dürfen, die vom Hersteller aktiv supportet wird. Besonders weit verbreitet sind beispielsweise noch Windows XP Installationen, die oft deshalb noch weiter verwendet werden, weil die Spezialsoftware nur noch darauf läuft.

Windows XP wird von Microsoft jedoch nicht mehr mit Updates versorgt und daher ist dieses Betriebssystem per definitionem (und auch in echt) als unsicher einzustufen. Entdeckte Sicherheitslücken können so nicht mehr geschlossen werden und die Systeme sind damit angreifbar. Aber auch Hardware ist betroffen: Ihr Router/Ihre Firewall von einem Hersteller, der mittlerweile insolvent ist, oder das Produkt aus anderen Gründen (Alter!) nicht mehr unterstützt, hinterlässt Ihnen nun per definitionem Elektronikschrott, weil Sie keine Updates mehr erhalten.

Überhaupt muss man festhalten, dass passive Firewalls, die nur simple Port-Filterung betreiben, nicht mehr Stand der Technik sind. Gerne werden diese im Zuge eines Internetzugangs gleich direkt vom Anbieter mitgeliefert oder noch schlimmer - wie im Falle eines großen Kabelnetzbetreibers - sogar mit einem eigenen zusätzlichen ("gratis") WLAN beschaltet, über das Sie keinerlei Kontrolle haben, das aber permanent bei Ihnen im Haus aktiv ist.

regelmäßige Audits notwendig

Zusammenfassend kann festgehalten werden, dass Sie nun gefordert sind, Prozesse zu implementieren, die Ihr Risiko bewerten, Maßnahmen zur Vermeidung festlegen und die Umsetzung und Wirksamkeit auch regelmäßig überprüfen. Erst dann haben Sie ein angemessenes Schutzniveau erreicht und entsprechen der EU-Datenschutz-Grundverordnung. Anhand von regelmäßig durchgeführten Audits können Sie das Niveau halten und dokumentieren somit auch die Einhaltung der Vorgaben gegenüber den Datenschutzbehörden.


Bilden Sie sich weiter!

Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.

Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.

Die Termine und Anmeldelinks sind:

Für Sie als VET-MAGAZIN-Leser gibt es € 25,- Ermäßigung!

Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Ist WhatsApp noch erlaubt und wäre Signal eine Alternative?

Der beliebte Instant-Messenger „WhatsApp“ eignet sich für Gruppenchats, Textnachrichten, kostenlose Sprachanrufe sowie für den Austausch von Fotos und Videos. Leider steht er im Konflikt mit der DSGVO und könnte Ihnen eine empfindliche Strafe eintragen. Die alternative App „Signal“ ist davon nicht betroffen.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Software für die Tierarztpraxis

Die ab 25. Mai 2018 geltende Datenschutzgrundverordnung wirft natürlich auch die Frage auf, ob die in der Praxis eingesetzte Software bereits ausreichend darauf vorbereitet ist. Ein Rundruf unter den Anbietern.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Könnten Sie auf einen derartigen Brief bereits korrekt reagieren?

Der kanadische Datenschutzexperte Constantine Karbaliotis von PwC konnte mit seinem „Nightmare Letter“ veranschaulichen, was auf die Unternehmen – und Tierärzte – mit der ab 25. Mai 2018 geltende Datenschutzgrundverordnung zukommt.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Könnten Sie auf einen derartigen Brief bereits korrekt reagieren?

Der kanadische Datenschutzexperte Constantine Karbaliotis von PwC konnte mit seinem „Nightmare Letter“ veranschaulichen, was auf die Unternehmen – und Tierärzte – mit der ab 25. Mai 2018 geltende Datenschutzgrundverordnung zukommt.
Weiterlesen

vets4vets

Datenschutz mit der neuen EU-Verordnung: Wie Sie Ihre Tierarztpraxis gesetzeskonform machen

Seminar mit IT & Security Specialist Christoph Illnar am 29. April 2018 in Maria Enzersdorf
Weiterlesen

myvetlearn

eLearning-Kurs zur EU-Datenschutz-Grundverordnung - Was Tierarztpraxen beachten müssen

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Damit gehen zahlreiche Änderungen der bislang geltenden Datenschutzbestimmungen einher
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO und die Tierarztpraxis – die Zeit läuft

Für die Datenschutzgrundverordnung muss ab 25. Mai 2018 auch in der Tierarztpraxis alles vorbereitet sein. Falls Sie noch kein Verfahrensverzeichnis haben, dann ist jetzt höchste Zeit, denn die Erstellung lässt sich nicht in einer Stunde erledigen.
Weiterlesen

inBehandlung Praxissoftware

Datenschutz mit inBehandlung Tierarztsoftware

Tierärzte haben sicherlich aus den Medien und der Fachpresse entnommen, dass dem Datenschutz in 2018 eine besondere Bedeutung zukommt
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

Seminar: Datenschutz mit der neuen EU-Verordnung

Wie Sie Ihre Tierarztpraxis gesetzeskonform machen. VETS4VETS bietet Ihnen in Kooperation mit dem VET-MAGAZIN eine praxisorientierte Fortbildung zur DSGVO.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Pflicht zur Führung eines Verarbeitungsverzeichnisses

Die Dokumentationspflichten sind ein wichtiger Baustein in der neuen Datenschutz-Grundverordnung. Sie dienen dem Nachweis der Erfüllung der Pflichten, vor allem in Bezug auf die Rechte der Betroffenen. Im Zentrum steht das Verzeichnis aller Datenverarbeitungen, das Verarbeitungsverzeichnis.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Hohe Geldbußen bei Verstößen und zusätzlich zivilrechtliche Haftung

"Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist."
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Aufgaben und Befugnisse der Datenschutzbehörde – mit Strafdrohungen

Zum Jahreswechsel betrachten wir, wie sich die Aufsichtsbehörde nach der ab 25. Mai 2018 geltenden DSGVO verändern wird und warum das alle betrifft.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Datenschutzrechtliche Zustimmungserklärung beim Tierarzt

Wer ab 25. Mai 2018 mit seinen Klienten in Kontakt treten möchte, benötigt dazu in vielen Fällen eine Zustimmungserklärung.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Ist Ihre Tierarztpraxis schon fit?

Neues EU-weit geltendes Gesetz muss ab 25. Mai 2018 auch von Tierärzten beachtet werden, denn ab diesem Zeitpunkt drohen hohe Geldstrafen!
Weiterlesen

Firmennews

Vetmeduni Vienna

Neuerscheinungen