Schon wieder DSGVO? Wie Du mit wenig Aufwand Millionenklagen vermeiden kannst (14.10.2020)

3 Minuten mit Uwe Großmann, Leiter Storage & Backup

Hallo Uwe, die DSGVO ist ja ein Riesenthema und gerade Krankenkassen, bei denen sich alles um sensible Versichertendaten dreht, können es sich gar nicht leisten, den entsprechenden Anforderungen nicht nachzukommen. Aber man muss ja an so vieles denken… da geht bestimmt schnell mal etwas unter, auch wenn man die besten Absichten hat.

Ja, darüber haben wir uns auch Gedanken gemacht. Unser Ziel ist es, unseren Kunden den Rücken freizuhalten und sie nach Möglichkeit so unterstützen, dass sie sich komplett auf ihre eigentlichen Aufgaben konzentrieren können. Im Bereich Storage & Backup haben wir zwei Themenfelder identifiziert, für die wir den Krankenkassen eine komfortable Gesamtlösung bieten können, deren Komponenten sich in meinen Augen optimal ergänzen. Das betrifft einerseits ein vollumfängliches, automatisiertes Löschkonzept und andererseits das Thema E-Mail-Verschlüsselung. Das heißt konkret: mehr Sicherheit, geringeres Risiko.

Fangen wir mal mit dem Löschkonzept an. Welche Vorteile bringt es der Krankenkasse, Eure Lösung zu nutzen?

Die DSGVO gibt für personenbezogene Daten je nach Kategorie bestimmte Löschfristen vor, die zwingend einzuhalten sind. Wenn man diese Fristen missachtet, kann es auch schnell erschreckend teuer werden. Ende letzten Jahres machte z. B. ein Fall aus der Immobilienbranche Schlagzeilen, in dem ein Bußgeld von 14,5 Millionen Euro veranschlagt wurde, weil auf deren Archivsystem große Datenmengen lagerten, die längst hätten gelöscht werden müssen. Das lässt sich verhindern, wenn man im Rahmen eines Löschkonzepts festlegt, innerhalb welcher Frist Dokumente einer bestimmten Kategorie automatisch und dauerhaft gelöscht werden.

Wenn ich das richtig verstehe, muss ich mir als Kassenverantwortlicher also einmalig umfassende Gedanken zum Thema Löschfristen machen und habe dafür anschließend mehr Ruhe und ein geringeres Risiko?

Ganz grob könnte man das so sagen, ja. Wichtig ist es, das Löschkonzept einmal sauber aufzusetzen und kassenintern die Einführung zu begleiten, also alle Anwender entsprechend einzuweisen. Danach übernimmt das System und man muss sich über die Löschfristen einzelner Dateien oder Verzeichnisse keine Gedanken mehr machen. Sämtliche Löschvorgänge sowie Fehlermeldungen werden in einem Löschprotokoll festgehalten und sind standardmäßig drei Monate einsehbar, auf Wunsch auch länger, sofern dies im Vorfeld festgelegt wurde. Damit ist man dann auch für Prüfungen der Aufsicht gut aufgestellt.

Du hattest auch über E-Mail-Verschlüsselung gesprochen. Wie greifen diese beiden Themen denn ineinander?

Krankenkassen existieren ja nicht zum Selbstzweck, sondern sind wie jedes Unternehmen für ihre Kunden, in diesem Fall die Versicherten tätig. Das bedeutet, dass jede Krankenkasse täglich Daten mit ihren Versicherten austauscht und diese Daten fallen in vielen Fällen in den Geltungsbereich der DSGVO.

Und was bedeutet das konkret? Wie kann ich mich in diesem Zusammenhang absichern?

Sensible Daten, wie die Gesundheitsdaten der Versicherten, müssen in besonderem Maße vor unberechtigten Zugriffen geschützt werden. Im Falle von E-Mails bedeutet das eben Verschlüsselung. Dies ist in der DSGVO klar geregelt und verpflichtend.

Wir unterstützen unsere Kunden in diesem Zusammenhang mit einem stimmigen Gesamtpaket: Auf der einen Seite wird durch das Löschkonzept sichergestellt, dass Daten, deren Löschfrist abgelaufen ist, tatsächlich vernichtet werden und somit nicht länger auf den Systemen der Krankenkasse verfügbar sind. Das heißt, sie können beispielsweise auch nicht mehr für den Austausch mit Versicherten herangezogen werden. Auf diese Weise werden Kassenmitarbeiter bereits beim Zugriff auf die Daten im Filesystem abgesichert. Und dann ist es natürlich so, dass auch der Versand von Informationen per E-Mail ein Sicherheitsrisiko darstellt. Hier kommt dann die zweite Komponente zum Tragen – die Ende-zu-Ende-Verschlüsselung der E-Mail inkl. umfangreicher Protokollierung im Hinblick auf Versand und Abruf der E-Mail. Außerdem werden auch hier zuvor definierte Löschfristen automatisiert eingehalten.

Das klingt jetzt sehr technisch. Was bringt der Einsatz der Verschlüsselungssoftware mir als Sachbearbeiter denn im Alltag?

Der größte Vorteil ist ein höheres Maß an Sicherheit. Oder anders formuliert: Falls meine E-Mail in die falschen Hände gerät – sei es, weil ich im hektischen Arbeitsalltag abgelenkt war, mich vertippt habe oder auch, weil bewusst Daten aus meiner E-Mail durch Dritte abgegriffen werden – kann der finanzielle Schaden, der sich daraus ergibt, immens sein. Vom Imageschaden ganz zu schweigen. Nutze ich jedoch die Verschlüsselungssoftware, kann ich diese Probleme relativ einfach umgehen und muss dafür weder ein langes Handbuch lesen, noch ein separates Tool starten oder eine ungewohnte Benutzeroberfläche bedienen, denn bei uns wird alles direkt in Outlook eingebunden.

Gibt es weitere Vorteile?

Ja, sicher. Aber hier ins Detail zu gehen, würde zu weit führen. Zusammenfassend kann man sagen, dass das Risiko der Kasse aus unterschiedlichen Blickwinkeln in erheblichem Maße minimiert wird und dafür im Gegenzug relativ wenig Aufwand erforderlich ist. Natürlich beantworten wir konkrete Fragen gerne oder informieren auch umfassend über unser Angebot.  

Eine letzte Frage zum Schluss: Ist dieser Service nur für Bestandskunden des itsc nutzbar?

Im Prinzip nicht. Technisch wäre es möglich, auch andere Kassen zu bedienen und natürlich freuen wir uns über „externes Interesse“. Allerdings müssten wir hier dann im Einzelfall besprechen, wie eine Kooperation im jeweiligen Umfeld aussehen könnte. Für Anfragen stehe ich gerne zur Verfügung: uwe.grossmann@itsc.de.