Während die Karteikarte nur durch Feuer- oder Wasserschaden oder durch Diebstahl gefährdet werden konnte, sind die möglichen Fehlfunktionen digitaler Praxissysteme sehr viel zahlreicher. Regelmäßige und gut durchdachte Datensicherung ist daher die Lebensversicherung der Praxis.
Ein zu 100 Prozent sicheres digitales System existiert nicht. Das gilt auch für die Speicherung von Daten. Auslöser für einen Datenverlust kann es viele geben:
- durch Verschleiß bedingter Defekt von Datenträgern,
- Defekt durch physische Einwirkungen wie Hitze, Stoß oder Wasserschaden,
- Defekt durch Stromausfälle, Blitzschlag oder andere Schwankungen in der elektrischen Spannung,
- Fehlfunktionen der Software, zum Beispiel des Praxisverwaltungssystems,
- Befall mit Ransomware, die die Daten verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt,
- Befall mit anderer Schadsoftware,
- böswillige Eingriffe von Personen aus der Ferne (über das Internet) oder vor Ort in der Praxis.
Eine Datensicherungsstrategie (Backup-Strategie) dient in erster Linie dazu, dass die Praxis den Betrieb zeitnah wieder aufnehmen kann und keine Abrechnungsdaten verloren gehen – also kein finanzieller Verlust entsteht.
Zudem müssen auch bei digitaler Dokumentation die Aufbewahrungsfristen erfüllt werden, die in zahlreichen gesetzlichen Regelungen vorgeschrieben sind, etwa die zehnjährige Aufbewahrung nach § 630 f BGB („Patientenrechtegesetz“) und die Aufbewahrungspflichten nach Röntgenverordnung, Strahlenschutzverordnung, DMP-Aufbewahrungsfristen-Richtlinie, Gendiagnostikgesetz, nach den Grundsätzen der ordnungsgemäßen Buchführung und Weiteren.
Möglichst wenig Daten und Betriebszeit verlieren
Zum Zeitpunkt eines Zwischenfalls möchte man also möglichst wenig Daten rückwirkend verlieren: Wenn es am Dienstagabend zu einem Absturz im Praxisverwaltungsprogramm kommt, wollen Sie den Stand von Dienstagnachmittag wiederherstellen – nicht den vom vergangenen Freitag. Die zwischen dem letzten Back-up und dem Zwischenfall vergangene Zeit wird auch als Recovery Point Objective (RPO) bezeichnet und soll möglichst gering gehalten werden.
Auch die Zeit bis zur vollständigen Wiederaufnahme des Praxisbetriebs soll gering gehalten werden – dies wird als Recovery Time Objective (RTO) bezeichnet. Im obigen Beispiel sollte also der Betrieb möglichst bis zur Sprechstunde am Mittwochmorgen wieder laufen.
Back-up-Strategien, die zu einem minimalen RPO und RTO führen, sind aufwendiger und teurer, rechnen sich aber im Schadensfall. Praxen, die eine besonders hohe Verfügbarkeit benötigen, finden solche Angebote bei Dienstleistern unter dem Stichwort „Business Continuity Management“. Ähnlich wie bei Versicherungen lässt sich also hier keine absolute Empfehlung abgeben, sondern die optimale Lösung richtet sich nach der Risikotoleranz der Praxisinhaberin oder des Praxisinhabers. Eine gute Faustregel ist aber, dass eine Datensicherung mindestens einmal täglich stattfinden sollte, also die RPO höchstens einen Tag beträgt.
Es gibt drei mögliche Speicherorte für Back-ups:
- Externe Datenträger, zum Beispiel externe Festplatten oder USB-Sticks
- Zusätzlicher Server im Praxisnetzwerk
- Rechenzentrum oder eine mit der Datenschutz-Grundverordnung (DSGVO) konforme Cloud
Die Speicherung auf externen Datenträgern hat den Vorteil, dass sie einfach umzusetzen ist. Wenn die externen Datenträger außerhalb der Praxis untergebracht werden (etwa in einem Tresor zu Hause), sind sie außerdem vor physischen Gefahren in der Praxis gesichert, beispielsweise bei einem Brand oder Einbruch in der Praxis. Das ist auch gleichzeitig der Nachteil externer Datenträger: Die Datensicherung ist nur so zuverlässig wie ihre Aufbewahrung. Wenn Datenträger außerhalb der Praxis transportiert oder aufbewahrt werden und es zu einem Diebstahl kommt – etwa aus dem Auto heraus – können außerdem sensible Patientendaten in falsche Hände geraten. Daher sollten in jedem Fall nur verschlüsselte Medien zur Datensicherung verwendet werden.
Vorteile und Stolperfallen von Servern
Die Handhabung der Datensicherung auf einen separaten Server im Praxisnetzwerk kann komfortabel automatisiert werden. Wenn ein sogenanntes RAID-System (redundante Anordnung unabhängiger Festplatten) vorhanden ist, sind die Daten zudem vor Verlust durch Festplattendefekt geschützt, da hierbei mehrere Platten verwendet werden und ein Defekt so lange kompensiert werden kann, bis die entsprechende Platte ausgetauscht wurde.
Nachteilig ist allerdings, dass dieser nicht nur Zwischenfällen in der Praxis ausgesetzt ist (Brand, Wasserschaden, Diebstahl), sondern über das Netzwerk auch von Schadsoftware befallen werden oder von Cyberattacken betroffen sein kann. Wenn eine Ransomware also sowohl das Primärsystem als auch die Datensicherung befällt, hilft auch die Datensicherung nicht mehr. Das kann passieren, wenn das Medium für die Datensicherung nach Abschluss der Sicherung nicht automatisch ausgeworfen wird.
Bei kleinen Servern, die für die Datenspeicherung optimiert sind (Network Attached Storage, NAS), muss außerdem sichergestellt werden, dass der Hersteller nicht eine automatische Sicherung in eine externe Cloud aktiviert hat, die möglicherweise nicht DSGVO-konform ist. Optimal ist die zusätzliche Sicherung auf eine durch das System verschlüsselte USB-Festplatte oder ein zweites NAS.
Schließlich besteht auch die Möglichkeit der automatischen Sicherung in ein auf medizinische Daten spezialisiertes Rechenzentrum oder eine verschlüsselte Cloud, deren Schlüssel in der Praxis sicher verwahrt werden muss. Verschlüsselte Clouds speziell für den Gesundheitsbereich werden beispielsweise von einigen Herstellern von Praxissoftware angeboten oder auch von unabhängigen Rechenzentren direkt. Sie haben den Vorteil, dass hier ein gewisses Servicelevel (also etwa Werte für RPO und RTO) vertraglich vereinbart werden und der Praxisinhaber damit Verantwortung an den Anbieter abgeben kann – allerdings mit entsprechenden Kosten.
Faktoren für die Entscheidungsfindung
Natürlich sind Kombinationen all dieser Speicherorte möglich und sogar empfehlenswert. Die optimale Lösung hängt unter anderem von der Größe der Praxis, dem Schutzbedarf und auch dem Umfang der Datensätze ab – man denke an die Unterschiede zwischen einer psychotherapeutischen und einer radiologischen Praxis.
Auch die Umsetzbarkeit darf nicht aus dem Auge verloren werden: Die schlechteste Back-up-Strategie ist die, die nur in der Theorie existiert und im Praxisalltag zugunsten des Tagesgeschäftes vernachlässigt wird. Besser ist eine nicht perfekte Strategie, die aber zuverlässig umgesetzt wird. Sie können zur Festlegung der Vorgehensweise auch einmalig einen Dienstleister zur Beratung hinzuziehen, ohne sich unbedingt langfristig vertraglich zu binden.
Christina Czeschik, Thomas Klug
Datensicherung in Eigenregie
Je mehr die Datensicherung in der Praxis in Eigenregie erfolgt statt durch einen Dienstleister, desto mehr Dinge müssen Niedergelassene dabei im Blick behalten:
- Es müssen mindestens zwei Personen in der Praxis mit der Back-up-Strategie und der praktischen Umsetzung vertraut sein (für den Urlaubs- oder Krankheitsfall und Personalwechsel).
- Es muss sichergestellt sein, dass Daten nur dort abgelegt werden, wo sie von den Back-ups mit erfasst werden.
- Die Hardware (externe Datenträger, Server) muss regelmäßig überprüft werden (siehe dazu auch DÄ 47/2020). Nichts ist ärgerlicher als festzustellen, dass das regelmäßige Back-up auf eine defekte Festplatte erfolgt ist.
- Ein zusätzlicher Server im Praxisnetzwerk genügt nicht als alleiniger Back-up-Ort, da er bei Zwischenfällen in der Praxis (Feuer, Wasserschaden, Einbruch) ebenfalls in Mitleidenschaft gezogen werden kann. Außerdem kann er über das Netzwerk durch Ransomware oder andere Schadsoftware mit infiziert werden und wird dann nutzlos.
- Im Schadensfall entsteht die Doppelbelastung, den Betrieb aufrechtzuerhalten und gleichzeitig den Schaden zu beheben. Hier hilft ein Notfallplan, der gegebenenfalls auch die Kontaktdaten eines Dienstleisters enthält, der Feuerwehr spielen kann.
- Je nach Art des Zwischenfalls kann ein Datenverlust auch meldepflichtig nach Art. 33 DatenschutzGrundverordnung (DSGVO) werden. Das sollte im Notfallplan berücksichtigt und für den Fall die Kontaktdaten der zuständigen Aufsichtsbehörde (je nach Bundesland) hinterlegt werden. Bei einem „hohen Risiko“ für die Verletzung der persönlichen Rechte und Freiheiten müssen auch die Betroffenen (also Patientinnen und Patienten) informiert werden (Art. 34 DSGVO).
