IT-Sicherheitsrichtlinie & Praxissoftware: So arbeiten Psychotherapeuten datenschutzkonform

Als Berufsgeheimnisträger unterliegen Heilberufler der ärztlichen Schweigepflicht. Damit werden Datenschutz und Datensicherheit zu elementaren Bestandteilen ihres Berufsalltags. Im Rahmen des Ausbaus der Telematikinfrastruktur werden diese Vorgänge zunehmend digitalisiert. Trotz strenger Vorgaben des Gesetzgebers trauen Psychotherapeuten dem elektronischen Datenschutz aber nur bedingt. Die Angst vor unbefugtem Zugriff auf sensible Patientendaten und mögliche Datenlecks ist groß. Daher ist die Einstellung gegenüber dem digitalisierten Gesundheitswesen in dieser Berufsgruppe eher kritisch. In diesem Artikel erfahren Sie, wie effektiver Datenschutz im Gesundheitswesen funktioniert und wie Sie in Ihrer psychotherapeutischen Praxis diesen unterstützen.

Für Ärzte und Psychotherapeuten besteht eine rechtliche Verpflichtung, Untersuchungen und Behandlungen an Patienten zu dokumentieren. Die Sicherheit dieser Daten ist hierbei von fundamentaler Bedeutung. Neben dem allgegenwärtigen § 203 StGB (Schweigepflicht) geben die EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) allgemeine Sicherheitsstandards vor, die von allen medizinischen Einrichtungen zwingend eingehalten werden müssen. Konkrete Handlungsanweisungen beinhalten diese Gesetze jedoch nicht – die Umsetzung liegt in der Verantwortung der Praxen selbst. Um diese Vorgaben greifbarer zu machen, hat die Kassenärztlichen Bundesvereinigung (KBV) die IT-Sicherheitsrichtlinie entwickelt, die seit dem Jahr 2021 gültig ist.

Was genau enthält diese Richtlinie? Welche Rolle spielen Praxisverwaltungssysteme bei der Gewährleistung des Datenschutzes? Und gibt es die eine Lösung für optimale Datensicherheit? Auf diese Fragen werden wir in folgendem Artikel näher eingehen – mit einem Schwerpunkt auf psychotherapeutische Praxen.

Schützenswerte Daten in der Psychotherapie

Die dokumentierten Daten einer psychotherapeutischen Praxis erstrecken sich von reinen Adress- und Versicherungsdaten über Anamnese- und Therapiedaten bis hin zu Abrechnungsdaten. Die Erfassung beginnt bereits mit der ersten Terminvereinbarung. Im Rahmen der Behandlung kommen nun sukzessive weitere hochsensible Informationen hinzu, wie etwa gestellte Diagnosen und Behandlungsverläufe. Verwaltet werden diese schützenswerten Daten in der Regel von einer Praxissoftware, die von der KBV zugelassen sein muss.

Der Gesetzgeber gibt Heilberuflern vor, patientenbezogene Informationen für zehn Jahre sicher aufzubewahren. Als sichere Aufbewahrung gilt, wenn die Informationen vor jeglichem Zugriff durch Dritte geschützt sind – wenn also niemand außer dem Patienten und dem Psychotherapeuten selbst auf diese Daten zugreifen kann.

Datenschutz in der Psychotherapie: Eine Psychotherapeutin und eine Patientin sitzen über einen Tisch gebeugt, wobei nur deren Hände zu sehen sind. Die Psychotherapeutin schreibt Notizen auf ein Tablet. Neben dem Tablet liegt ein analoges Klemmbrett auf dem Tisch.
Datenschutz in der Psychotherapie: Eine Psychotherapeutin und eine Patientin sitzen über einen Tisch gebeugt, wobei nur deren Hände zu sehen sind. Die Psychotherapeutin schreibt Notizen auf ein Tablet. Neben dem Tablet liegt ein analoges Klemmbrett auf dem Tisch.

Die Anforderungen der IT-Sicherheitsrichtlinie

Die IT-Sicherheitsrichtlinie der KBV übersetzt die Anforderungen der DSGVO und des BDSG in konkrete Handlungsanweisungen für psychotherapeutische Praxen. Im Folgenden erhalten Sie einen Überblick über die wichtigsten Vorgaben, die für die Sicherheit Ihrer Patientendaten essenziell sind:

Setzen Sie Virenschutzprogramme ein.
Verwenden Sie nur verschlüsselte Internetanwendungen und offizielle Apps aus dem App-Store.
Verwenden Sie komplexe Gerätesperrcodes.
Versenden Sie vertrauliche Daten nicht über Apps.
Melden Sie nach der Nutzung eines Gerätes den Benutzer ab.
Wenn Sie mit dem Internet verbunden sind: Richten Sie eine Firewall ein.
Nehmen Sie regelmäßige Datensicherungen vor.
Überprüfen Sie externe Geräte (z. B. USB-Sticks) auf Schadsoftware.
Verschlüsseln Sie wichtige Dokumente.
Bearbeiten Sie patientenbezogene Dokumente nicht öffentlich.
Setzen Sie Virenschutzprogramme ein.
Verwenden Sie nur verschlüsselte Internetanwendungen und offizielle Apps aus dem App-Store.
Verwenden Sie komplexe Gerätesperrcodes.
Versenden Sie vertrauliche Daten nicht über Apps.
Melden Sie nach der Nutzung eines Gerätes den Benutzer ab.
Wenn Sie mit dem Internet verbunden sind: Richten Sie eine Firewall ein.
Nehmen Sie regelmäßige Datensicherungen vor.
Überprüfen Sie externe Geräte (z. B. USB-Sticks) auf Schadsoftware.
Verschlüsseln Sie wichtige Dokumente.
Bearbeiten Sie patientenbezogene Dokumente nicht öffentlich.

Genauere Informationen dazu können Sie der Website der KBV entnehmen.

Das Risiko eines Datenlecks vermeiden – aber wie?

Um das Risiko eines unautorisierten Zugriffs auf ein absolutes Minimum zu reduzieren, ist ein weiteres Kriterium von großer Bedeutung: die Wahl einer geeigneten Praxissoftware. Praxissysteme sind entsprechend der gesetzlichen Vorgaben so zu konzipieren, dass Patientendaten sicher verwaltet werden. Hierbei ist jedoch zu beachten, dass es zwischen den einzelnen Softwaresystemen signifikante Unterschiede gibt. Es wird zwischen zwei Arten klassifiziert: cloudbasierte Systeme und lokale Lösungen (“on premise”).

Lokale Systeme

Bei On-Premise-Lösungen erfolgt die Datenspeicherung auf einem lokalen Server in der Praxis. Durch den internen Serverbetrieb sind die Praxen eigenständig für die Kosten und Durchführungen der Geräte-Installationen, Wartungen, Updates und Datensicherungen verantwortlich und tragen auch die entsprechenden Kosten.

Cloudbasierte Systeme

Bei cloudbasierten Systemen befindet sich der Server nicht in der Praxis, sondern in einem externen Rechenzentrum. Das hat zur Folge, dass jeglicher administrativer Aufwand – von der Installation des Servers bis hin zur Instandhaltung – von System-Administratoren der Software-Anbieter übernommen wird.

Warum ist ein Cloud-System für den Praxisalltag besser geeignet als ein On-Premise-System?

Durch die Auslagerung des Servers in ein Rechenzentrum fallen einmalige Anschaffungs- und Installationskosten lokaler Hardware weg. Außerdem werden Wartungen oder Datensicherungen direkt im Rechenzentrum vorgenommen, weshalb kostenintensive Techniker-Einsätze vor Ort nicht mehr notwendig sind. Das führt zu wesentlichen Zeit- und Kosteneinsparungen auf Seiten der Praxis. Des Weiteren besteht die Möglichkeit des mobilen Arbeitens, da über den Webbrowser ortsunabhängig auf das System zugegriffen werden kann. Ebenfalls wichtig: Cloudbasierte Software ist ohne weitere praxisinterne Maßnahmen jederzeit auf dem aktuellsten Stand, da Updates vom Betreiber aufgespielt werden.

Warum ist ein Cloud-System für den Praxisalltag besser geeignet als ein On-Premise-System?

Durch die Auslagerung des Servers in ein Rechenzentrum fallen einmalige Anschaffungs- und Installationskosten lokaler Hardware weg. Außerdem werden Wartungen oder Datensicherungen direkt im Rechenzentrum vorgenommen, weshalb kostenintensive Techniker-Einsätze vor Ort nicht mehr notwendig sind. Das führt zu wesentlichen Zeit- und Kosteneinsparungen auf Seiten der Praxis. Des Weiteren besteht die Möglichkeit des mobilen Arbeitens, da über den Webbrowser ortsunabhängig auf das System zugegriffen werden kann. Ebenfalls wichtig: Cloudbasierte Software ist ohne weitere praxisinterne Maßnahmen jederzeit auf dem aktuellsten Stand, da Updates vom Betreiber aufgespielt werden.

Es ist jedoch zu beachten, dass jedes cloudbasierte Praxissystem die zwei folgenden Konditionen zwingend erfüllen muss, um die notwendige Datensicherheit zu gewährleisten und sich somit für den täglichen Praxisbetrieb zu qualifizieren:

Allgemein gesprochen bedeutet “Ende-zu-Ende-Verschlüsselung”, dass Daten über ALLE Übertragungsstationen hinweg verschlüsselt werden. Diese Art der Verschlüsselung ist deutlich wirksamer als eine reine Punkt-zu-Punkt-Verschlüsselung, die zwar den Transport der Daten schützt, nicht aber die Übertragungspunkte zwischen Servern oder die Daten auf den Servern selbst.

Um die maximale (und damit die notwendige) Datensicherheit in der Psychotherapie zu gewährleisten und der Schweigepflicht gemäß § 203 StGB zu entsprechen, muss cloudbasierte Praxissoftware also stets Ende-zu-Ende-verschlüsselt sein. Das bedeutet, dass die Daten den Praxisrechner bereits verschlüsselt verlassen, sicher ins Rechenzentrum übertragen und dort weiter verschlüsselt gespeichert werden. Erst wenn die Praxis die Daten auf den eigenen Rechner “zurückholt”, dürfen diese dort wieder entschlüsselt werden. Unbefugte Dritte (und dazu zählen selbstverständlich auch die System- und Datenbankadministratoren des Herstellers) haben indes zu keiner Zeit Zugriff auf die Daten – denn der Schlüssel zum Ver- und Entschlüsseln der Daten ist nur der Praxis selbst bekannt.

Im Rahmen einer redundanten Datenspeicherung werden die Daten auf mehreren Servern in verschiedenen Rechenzentren gespeichert. Diese Rechenzentren befinden sich in Deutschland und sind entsprechend der ISO-Norm 27001 zertifiziert. IT-Administratoren überwachen den laufenden Betrieb der Server und gewährleisten durch notwendige Updates, Firewalls und Monitoring einen optimalen Schutz der sensiblen Daten.

Wieso ist die redundante Speicherung in Rechenzentren nun sicherer als eine lokale Datenspeicherung in der Praxis?

Neben der administrativen Überwachung sind die sensiblen Patientendaten in den Rechenzentren durch modernste Technik und professionelle Ausstattung vor Diebstahl, Unfällen und / oder anderweitigen (Natur-)Katastrophen geschützt. Durch die Redundanz der Server ist die Datensicherheit auch dann gegeben, wenn ein ganzes Rechenzentrum ausfällt.

Szenario: Was passiert mit den Daten, wenn ein Server ausfällt?

Server können aus mehreren Gründen ausfallen oder funktionsunfähig werden. Ein reales Beispiel stellt die Flutkatastrophe im Ahrtal im Jahr 2021 dar. Die gravierenden Ausmaße der Flut hatten zur Folge, dass ganze Praxisgebäude zerstört wurden. Diejenigen Praxen, die mit einem On-Premise-System arbeiteten, verloren mit der Zerstörung des lokalen Servers all ihre Patientendaten unwiderruflich. Praxen, die ein Cloud-System nutzen, sind hingegen deutlich weniger zu Schaden gekommen. Mit neuer technischer Ausstattung konnten sie wie gewohnt auf ihre Patientendaten zugreifen, die die ganze Zeit über sicher im Rechenzentrum verwahrt wurden. Die Daten sind nicht verloren gegangen und der Praxisbetrieb konnte nach der Katastrophe wieder aufgenommen werden.

RED medical – die cloudbasierte Praxissoftware für Psychotherapeuten

Wir bei RED haben ein zertifiziert sicheres Cloud-System entwickelt, das alle oben genannten Punkte zu 100 % erfüllt und sensible Patientendaten somit optimal vor externem Zugriff und anderweitigen Gefahren schützt. Unsere Praxissoftware heißt RED medical und ist seit dem Jahr 2012 in mehreren hundert Praxen erfolgreich im täglichen Einsatz.

Wenn Sie Interesse an unserer Software-Lösung haben, können Sie jederzeit einen unverbindlichen und individuellen Beratungstermin bei unseren Praxis-Experten vereinbaren.

Praxissoftware für die Psychotherapie: Grafische Darstellung eines Computers, einer Tastatur, eines Aktenordners und eines Notizbuchs. Auf dem Bildschirm des Computers ist das Gesicht einer Patientin sowie ein E-Mail-Symbol zu sehen, das eine neue Benachrichtigung anzeigt.

RED medical

Die webbasierte Praxissoftware erleichtert den Arbeitsalltag vieler Psychotherapeuten mit modernsten Technologien und zertifizierter Sicherheitsarchitektur.

Übrigens: Die Nachfrage nach virtuellen Psychotherapie-Sitzungen wächst auch nach der Pandemie weiter an. Unsere Videosprechstunde RED connect arbeitet ebenfalls nach den höchsten Sicherheitsstandards und hat sich in den vergangenen Jahren zur klaren Nummer 1 unter den deutschen Videosystemen mit Zertifizierung entwickelt. Das Beste: Sollten Sie sich für unsere Praxissoftware entscheiden, ist unsere RED connect Videosprechstunde automatisch in Ihren RED medical Account integriert.