Es ist einer jener Momente, über die man nicht gerne nachdenkt: Sie kommen morgens in die Praxis, starten den Rechner – und nichts geht mehr. Oder alles läuft, aber auf einem Bildschirm steht eine Nachricht, die Sie nie sehen wollten. Ransomware. Oder: Ein Mitarbeiter meldet, dass er versehentlich ein falsches Dokument an den falschen Empfänger geschickt hat.
Solche Momente passieren. Die Frage ist nicht, ob Sie vorbereitet sein wollen – sondern ob Sie es sind.
Was gilt als Datenpanne im Sinne der DSGVO?
Eine Datenpanne ist jede Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.
In Arztpraxen kann das viele Formen annehmen: ein Ransomware-Angriff, bei dem Patientendaten verschlüsselt oder gestohlen werden. Ein Phishing-Angriff, durch den Zugangsdaten kompromittiert wurden. Das versehentliche Senden von Patientendaten an einen falschen Empfänger. Ein verlorener oder gestohlener Datenträger mit Patientendaten. Ein unbefugter Zugriff auf das Praxisnetz – auch wenn niemand etwas bemerkt hat.
Nicht jeder Vorfall ist automatisch meldepflichtig. Entscheidend ist die Risikoabwägung: Wie wahrscheinlich ist es, dass Betroffene durch die Panne tatsächlich Schaden nehmen? Diese Einschätzung muss dokumentiert werden – unabhängig davon, ob am Ende eine Meldung erfolgt oder nicht.
Welche Meldepflichten gelten – und wie schnell?
Wenn die Datenpanne voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, besteht eine Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde. In Berlin ist das die Berliner Beauftragte für Datenschutz und Informationsfreiheit, in Brandenburg der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht. Die Frist beträgt 72 Stunden nach Bekanntwerden des Vorfalls.
Wenn das Risiko als hoch einzustufen ist – etwa bei einem Ransomware-Angriff mit wahrscheinlichem Datenzugriff durch Unbefugte – müssen zusätzlich die betroffenen Patienten informiert werden. Ohne Verzögerung, verständlich formuliert, mit konkreten Angaben zum Vorfall.
72 Stunden klingen nach viel. Im Ernstfall, wenn die Systeme nicht laufen, niemand weiß, was genau passiert ist, und das Team im Stress ist, sind sie wenig. Wer nicht vorbereitet ist, wird diese Frist nicht einhalten.
Wie reagiere ich richtig, wenn es passiert?
Erstens: Isolieren. Betroffene Systeme sofort vom Netzwerk trennen – Netzwerkkabel ziehen oder WLAN deaktivieren. Nicht einfach herunterfahren: Ein normales Herunterfahren kann forensische Spuren vernichten, die für die spätere Analyse wichtig sind. Ziel ist, eine weitere Ausbreitung zu verhindern, ohne Beweise zu zerstören.
Zweitens: Dokumentieren. Sofort aufschreiben: Was wurde wann bemerkt? Wer hat es bemerkt? Welche Systeme sind betroffen? Was wurde seitdem getan? Diese Dokumentation ist die Grundlage für die Behördenmeldung, die Schadensanalyse und – im schlimmsten Fall – für rechtliche Auseinandersetzungen.
Drittens: Informieren. IT-Dienstleister kontaktieren – die Kontaktdaten sollten offline, auf Papier, verfügbar sein, weil die digitalen Systeme möglicherweise nicht funktionieren. Den Datenschutzbeauftragten einbeziehen – er muss in den Prozess eingebunden werden und kann bei der Risikoabwägung und der Behördenmeldung unterstützen.
Viertens: Backup prüfen. Gibt es ein aktuelles, sauberes Backup? Liegt es außerhalb des betroffenen Systems – nicht auf einem Netzlaufwerk, das ebenfalls verschlüsselt sein könnte? Wurde es kürzlich auf Wiederherstellbarkeit geprüft? Genau hier zeigt sich, ob das Backup-Konzept wirklich funktioniert – oder nur auf dem Papier existierte.
Was tun nach der Soforthilfe?
Wenn die akute Phase überstanden ist, beginnt die Aufarbeitung: forensische Analyse des Vorfalls, Wiederherstellung der Systeme aus einem sauberen Backup, Überprüfung, welche Daten tatsächlich betroffen waren, und – falls erforderlich – Meldung an die Behörde und Information der Betroffenen.
Das ist keine Aufgabe, die man alleine stemmt. Ein spezialisierter IT-Dienstleister, der Ihre Umgebung kennt, kann die Wiederherstellung deutlich schneller und zuverlässiger durchführen als jemand, der Ihre Systeme erst kennenlernen muss.
Checkliste: Netzwerksicherheit Ihrer Praxis
[ ] Zwischen meinem Router und dem Praxisnetz steht eine echte Firewall – kein Consumer-Router.
[ ] Praxisnetz und TI-Netz sind sauber getrennt – gematik-konform segmentiert.
[ ] Ausgehender Datenverkehr wird aktiv geprüft.
[ ] Meine Firewall-Signaturen werden regelmäßig aktualisiert.
[ ] Alle Endpunkte sind durch modernen Virenschutz mit EDR-Funktionalität geschützt.
[ ] Ich könnte im Fall einer Datenpanne angemessene Schutzmaßnahmen nachweisen.
Häufige Fragen
Mein IT-Dienstleister sagt, der Router reicht. Stimmt das? Nicht nach aktuellem Stand der Technik und nicht nach den Empfehlungen von gematik, BSI und KBV-IT-Sicherheitsrichtlinie. Für ein einfaches Heimnetzwerk ohne Patientendaten und TI-Anbindung mag das gelten. Für eine Arztpraxis gilt es nicht. Wenn Ihr Dienstleister das anders sieht, lohnt ein zweites Gespräch – oder ein zweite Meinung.
Was ist ein IDS/IPS – und brauche ich das wirklich Ein Intrusion Detection System erkennt Angriffe anhand bekannter Muster und meldet sie. Ein Intrusion Prevention System erkennt und blockiert sie aktiv – in Echtzeit, bevor Schaden entsteht. Beide analysieren Datenpakete auf Angriffsmuster, die ein einfacher Paketfilter nicht sieht. Für Arztpraxen mit Patientendaten und TI-Anbindung ist IDS/IPS keine Überdimensionierung, sondern eine verhältnismäßige Schutzmaßnahme.
Muss ich die Firewall regelmäßig aktualisieren? Ja – und das ist keine Frage des guten Willens, sondern technische Notwendigkeit. Signaturen und Erkennungsmuster müssen aktuell gehalten werden, damit die Firewall gegen neue Bedrohungen wirksam bleibt. Beim Linogate Praxiswächter ist ein Wartungsvertrag deshalb obligatorisch – nicht als Zusatzleistung, sondern als notwendiger Teil des Schutzes.
Was kostet eine ordentliche Firewall-Lösung für eine Arztpraxis? Der Linogate Praxiswächter ist für Praxen bis zehn Arbeitsplätze ausgelegt und liegt in einer Größenordnung, die für die meisten Einzelpraxen verhältnismäßig ist – insbesondere wenn man sie dem Risiko gegenüberstellt, das ein Sicherheitsvorfall bedeutet. Wir nennen Ihnen im Erstgespräch konkrete Zahlen.



