FORUM-11-2020

(1)

Rundschreiben und Bekanntmachungen

KVB FORUM

DATENSCHUTZ

UND DATENSICHERHEIT

So machen Praxen alles richtig

11 |20

18 | RECHT INTERESSANT: Die IT-Sicherheitsrichtlinie 23 | KVB INTERN: Suchtmedizin in Bayern

26 | VERSORGUNG FÖRDERN: Eggenfelden heißt Hausärzte willkommen

(2)

12 „Bislang keine Bußgelder für Niedergelassene“

Interview mit Michael Will, Präsident des Bayerischen Landes- amts für Datenschutzaufsicht, zu Prüfkriterien für Praxen im Rahmen der Datenschutz-Grund- verordnung

14 Praxishacking – das eigene Risikobewusstsein schärfen Mit zunehmender Vernetzung steigen auch für Praxen die Risiken für Cyberattacken. Wie können die sensiblen Patienten- daten davor geschützt werden?

17 Nutzung von Whatsapp in Arztpraxen

Patientendaten dürfen aus Daten- schutzgründen auf keinen Fall über den Messengerdienst Whatsapp – zum Beispiel an Kollegen – verschickt werden 8 Folgen des SCHREMS II-

Urteils für Praxisinhaber Der Europäische Gerichtshof hat das Privacy Shield zwischen EU und USA gekippt. Was Praxen aus datenschutzrechtlicher Sicht nun beachten müssen

10 Datenschutz und moderne Praxiskommunikation Wie sich Praxen bei Videosprech- stunde oder E-Mail-Kommuni- kation gut aufstellen, um die Rechtssicherheit beim Daten- transfer mit ihren Patienten zu gewährleisten

4 AKTUELLES IN KÜRZE 5 EDITORIAL

TITELTHEMA

6 DSGVO: Zwischen Licht und Schatten

Viele Befürchtungen rund um die Datenschutz-Grundverordnung sind nicht eingetreten. Skepsis ist weiterhin trotzdem geboten 7 PDSG tritt trotz vehementer

Kritik in Kraft

Nach monatelangen Diskus- sionen hat der Bundesrat das Patientendaten-Schutzgesetz am 18. September 2020 gebilligt

Bei der Kommuni- kation mit den Patienten müssen Praxen einiges beachten. So ist ein unverschlüs- selter E-Mail- Verkehr nur unter bestimmten Vorausset- zungen möglich

10

Bayerns Praxen mussten bislang noch keine Buß- gelder wegen Datenschutz- verletzungen bezahlen

6

Aus datenschutzrechtlicher Sicht ist bereits die Kontaktaufnahme zwischen Arzt und Patient via Whatsapp nicht unbedenklich

17

(3)

VERSORGUNG FÖRDERN 26 Eggenfelden Nord heißt

Hausärzte willkommen Für niederlassungswillige Kandi- daten hat die KVB ein umfassen- des Förderprogramm ausge- schrieben. Auch die Gemeinden sind behilflich

KURZMELDUNGEN

28 Zi startet MVZ-Panel 2020 28 Stärkung der Selbsthilfe

im Suchtbereich 28 Positionspapier zur

Pandemiebewältigung 29 IMPRESSUM

30 KVB SERVICENUMMERN 23 Suchtmedizin in Bayern

Besuch der Drogenbeauftragten der Bundesregierung, Daniela Ludwig (CSU), beim Vorstand der KVB in München

GASTKOMMENTAR

24 Zusammenarbeit von Gesund- heitsregionen^plus und KVB- Praxisnetzen

Das Bayerische Landesamt für Gesundheit und Lebensmittel- sicherheit sieht die Kooperationen von Gesundheitsregionen^plus und KVB-Praxisnetzen als Gewinn mit hohen Synergieeffekten für alle Beteiligten

RECHT INTERESSANT 18 Die IT-Sicherheitsrichtlinie

und die Beteiligungsrechte Die Kassenärztliche Bundesver- einigung ist gemeinsam mit der Kassenzahnärztlichen Bundes- vereinigung vom Gesetzgeber mit der Erstellung einer IT- Sicherheitsrichtlinie beauftragt

KVB INTERN

20 NEU: Serviceschreiben- versand über „Meine KVB“

Sukzessive sollen die Service- schreiben der KVB nur noch über das Nachrichtencenter in

„Meine KVB“ zur Verfügung gestellt werden

20

Ab Januar 2021 wird mit den Ser- viceschreiben ein zusätzlicher Online-Dienst im persönlichen Nachrichtencen- ter des Mitglieder- portals „Meine KVB“ bereitgestellt

Der Planungs- bereich Eggen- felden Nord benötigt mehr Hausärzte, wes- halb eine Nieder- lassung hier derzeit finanziell gefördert wird

26

Die KVB setzt sich seit Jahren für die Sucht- medizin ein und fördert finanziell unter anderem den Erwerb der Zusatzbezeich- nung „Sucht- medizinische Grundversorgung“

23

(4)

Wichtiges für die Praxis ZITAT DES MONATS ZAHL DES MONATS

66

Prozent mehr Daten- schutzverletzungen aufgrund von Daten- pannen (Artikel 33 DSGVO) wurden in Bayern im Jahr 2019 im Vergleich zum Vorjahr registriert.

(Quelle: Bayerisches Landesamt für Datenschutzaufsicht, Tätigkeits- bericht 2019, eigene Berechnungen)

„Gefälligkeitsatteste sind mit der Berufsordnung nicht vereinbar.“

Dr. med Gerald Quitterer, Präsident der Bayerischen Landesärzte- kammer, zu Attesten zur Befreiung vom Mund-Nasen-Schutz (Quelle: Bayerischer Rundfunk vom 7. Oktober 2020)

SORGFALT BEI ATTESTEN ZUR MUND-NASEN-BEDECKUNG

Der 79. Bayerische Ärztetag hat einen Entschließungsantrag des Präsidiums unterstützt, wonach Ärzte zur notwendigen Sorgfalt bei der Ausstellung von Attesten zu Mund-Nasen-Bedeckungen verpflichtet sind. Paragraf 25 Satz 1 der Berufsordnung für die Ärzte Bayerns lautet: „Bei der Ausstel- lung ärztlicher Gutachten und Zeugnisse hat der Arzt mit der notwendigen Sorgfalt zu verfahren und nach bestem Wissen seine ärzt- liche Überzeugung auszusprechen.“ Ein Attest für einen Patienten, dass ihm das Tragen einer Mund-Nasen-Bedeckung aufgrund einer Behinde- rung oder aus gesundheitlichen Gründen nicht möglich oder unzumutbar ist, könne nur aus der unmittelbaren Kenntnis der gesundheitlichen Situ- ation des Patienten erstellt werden. Deshalb seien eine gründliche Ana- mnese und eine körperliche Untersuchung entsprechend den medizi- nisch-fachlichen Standards notwendig.

Redaktion

Der TI-Verzeichnisdienst

Der Verzeichnisdienst der Telematikinfrastruktur (TI-Verzeichnisdienst) dient künftig als zentrales Adressierungsverzeichnis, ähnlich einem allgemeinen Adressbuch, in diesem Fall jedoch aus- schließlich für TI-Anwendungen. So soll der TI- Verzeichnisdienst beispielsweise für die Berechti- gungsvergabe der elektronischen Patientenakte durch Versicherte oder auch für den gezielten Nachrichtenversand über den Dienst „Kommunika- tion im Medizinwesen“ (KIM) genutzt werden. Die gematik als Betreiber des TI-Verzeichnisdienstes ist zuständig dafür, dass die Sicherheit der Daten gewährleistet wird.

Einträge in den TI-Verzeichnisdienst dürfen nur qualitätsgesichert vorgenommen werden. Diese Aufgabe wurde an die Kassenärztlichen Vereinigun- gen (KVen) als Herausgeber der SMC-B Praxisaus- weise übertragen. Die KVen sind aufgrund Paragraf 313 Absatz 5 SGB V gesetzlich dazu verpflichtet, die ihnen vorliegenden, im TI-Verzeichnisdienst zu spei- chernden Daten der TI-Anwender an den TI-Ver- zeichnisdienst zu übermitteln und aktuell zu halten.

Neben den Basisdaten einer Betriebsstätte (unter anderem BSNR, Name und Adresse) wird auch der Zertifikatseintrag des Praxisausweises in den TI- Verzeichnisdienst aufgenommen. Der Eintrag erfolgt mit Freischaltung des Praxisausweises. Der jeweilige Anbieter des Praxisausweises benach- richtigt den SMC-B Antragsteller per E-Mail über den erfolgten Eintrag.

Weitere Informationen zum TI-Verzeichnisdienst finden Sie unter www.kvb.de/ti in der Rubrik TI-Verzeichnisdienst.

Kathrin Walenda (KVB)

VERTRETERVERSAMMLUNGEN 2020

Die letzte Vertreterversammlung der KVB im Jahr 2020 findet an folgen- dem Termin in der Elsenheimerstraße 39, 80687 München, statt:

Samstag, 21. November 2020

Nähere Informationen zum Ablauf der Sitzung finden Sie zu gegebener Zeit unter www.kvb.de in der Rubrik Über uns/Organisation/Vertreter- versammlung.

(5)

Dr. med. Krombholz

Vorsitzender des Vorstands Dr. med. Schmelz

1. Stellv. Vorsitzender des Vorstands Dr. med. Ritter-Rupp

2. Stellv. Vorsitzende des Vorstands

Ihr KVB-Vorstand

Sehr geehrte Damen und Herren, liebe Kolleginnen und Kollegen,

die Zahlen, die das Bundeskriminalamt (BKA) Ende September der Öffentlichkeit vorgestellt hat, beunruhigen: Demnach hat die deutsche Polizei 2019 über 100.000 Fälle von Cyber- crime im engeren Sinne registriert, was einem Anstieg von über 15 Prozent gegenüber dem Vorjahr entspricht. 2018 hatten die Behörden noch rund 87.000 Fälle registriert. Die Schäden, die durch entsprechende Taten entstehen, sind immens: So schätzt der Branchenverband BITKOM, dass der Wirtschaft 2019 durch Cyberangriffe ein Schaden von über 100 Milliarden Euro entstanden ist.

Auch vor den IT-Systemen der Praxen machen die Hacker nicht halt. Dabei geht die größte Gefahr weiterhin von Angriffen mittels sogenannter Ransomware aus (siehe Artikel auf Seite 15).

Diese verschlüsselt die Daten auf dem angegriffenen Rechner und legt so den gesamten Praxisbetrieb lahm. Für die Entschlüsselung fordern die Täter meist einen hohen Geldbetrag.

Wir wollen Ihnen mit diesem Heft eine Hilfestellung an die Hand geben, wie Sie sich am besten vor solchen Angriffen schützen können. Auf politischer Ebene haben wir uns als Vorstand dafür eingesetzt, dass Sie als Praxisinhaber Unterstützung erhalten, wie Sie bei IT- Dienstleistern qualitativ die Spreu vom Weizen trennen. Denn niedergelassene Ärzte und Psychotherapeuten sind in der Regel keine IT-Experten und müssen sich darauf verlassen können, dass Servicepartner, die die Praxissoftware konfigurieren, ihr „Handwerk“ wirklich beherrschen. Gerade unter den Systemadministratoren ist die Güte der Qualifikation sehr unterschiedlich. Hier soll Ihnen geholfen werden, damit Sie durch gute Beratung für künftige Bedrohungen gewappnet sind.

(6)

D

as schwedische Textilhan- delsunternehmen H&M hat Anfang Oktober einen Negativrekord aufgestellt: 35 Mil- lionen Euro Strafe muss die Mode- kette bezahlen – wegen eines Ver- stoßes gegen die DSGVO, bei dem auch medizinische Daten betroffen waren. Der Vorwurf: Mindestens seit 2014 habe die Firma ihre Be- schäftigten im Servicecenter Nürn- berg ausgefragt und die Angaben gespeichert. Waren die Angestell- ten beispielsweise krank, mussten sie anschließend zu Krankheits- symptomen oder Diagnosen Aus- künfte geben.

Ziel: einheitlicher Datenschutz in Europa

Mit dem Inkrafttreten der DSGVO im Mai 2018 sollten die Regeln zur Verarbeitung personenbezogener Daten EU-weit nicht nur vereinheit- licht werden, sondern die Daten-

schutzbehörden auch ein schärfe- res Schwert gegen Verstöße erhalten. Das obige Beispiel zeigt, dass die Aufsichtsbehörden diesen Spielraum nutzen und bei Zuwider- handlungen durchaus hohe Stra- fen aussprechen, wie das bisher höchste Bußgeld seit Inkrafttreten der DSGVO gegen H&M zeigt.

Im Bereich der niedergelassenen Ärzte und Psychotherapeuten gab es hingegen, zumindest in Bayern, keinen Fall, in dem das Landesamt für Datenschutzsicherheit Bußgel- der verhängen musste (siehe unser Interview auf Seite 12). Auch eine Welle von Abmahnungen durch sogenannte Abmahnanwälte ist weit- gehend ausgeblieben. Zudem gab es eine Entlastung für größere Praxen: War zunächst mit dem In- krafttreten der Verordnung die Benennung eines Datenschutz- beauftragten Pflicht, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt waren, so wurde diese Schwelle im September 2019 auf 20 Mitarbeiter angehoben.

Zielkonflikt bei der Telematik- infrastruktur weiterhin nicht gelöst

Ist deswegen alles gut? Sicher nicht.

Einerseits steigen die Anforderun-

gen an den Datenschutz durch die aktuelle Rechtsprechung wie das Schrems II-Urteil des EuGH (siehe Seite 8) weiter an, gleichzeitig hat die Politik in puncto Digitalisierung im Gesundheitswesen zahlreiche Vorhaben auf den Weg gebracht, die dem Ziel eines besseren Daten- schutzes entgegenstehen. So ist bis heute der Konflikt zwischen Zwangsanbindung an die Telematik- infrastruktur und den Vorgaben des Datenschutzes nicht geklärt.

Schließt sich die Praxis wegen Datenschutzbedenken nicht an die Telematikinfrastruktur an, droht eine nach dem Sozialgesetzbuch vorgeschriebene Honorarkürzung.

Auf diesen Konflikt hat die KV Bayerns in einem offenen Brief an Bundesgesundheitsminister Jens Spahn Anfang Januar dieses Jahres noch einmal deutlich hingewiesen.

Dr. phil. Axel Heise (KVB)

Die Datenschutz-Grundverordnung (DSGVO) startete vor gut zwei Jahren – begleitet von viel Skepsis. Viele Befürchtungen sind nicht eingetreten, aller- dings haben sich mit dem von der Politik betriebenen Digitalisierungsschub im Gesundheitswesen neue Konflikte aufgetan, die den Datenschutz in der Praxis komplizierter machen.

DSGVO: ZWISCHEN LICHT UND SCHATTEN

Bayerns Praxen mussten bislang noch keine Buß- gelder wegen Datenschutz- verletzungen

bezahlen.

(7)

D

as PDSG kann nun nach der Veröffentlichung im Bundesgesetzblatt in Kraft treten (bei Redaktionsschluss war dies noch nicht erfolgt). Mit dieser Entscheidung des Bundesrats steht nun auch fest, dass sämtliche Kritik an den Regelungen des Gesetzes ungehört blieb. Wir haben als KV Bayerns bis zuletzt versucht, die berechtigten Anliegen und Kritik- punkte der Ärzte und Psychothera- peuten in das Gesetzgebungs- verfahren einzubringen – durch eine umfangreiche Stellungnahme vor Verabschiedung im Bundestag und durch Presseinformationen vor der finalen Entscheidung im Bundes- rat. Auch von anderer Stelle gab es massive Kritik an den geplanten Regelungen. Insbesondere die Stel- lungnahme des Bundesbeauftragten für den Datenschutz und die Infor- mationsfreiheit, Professor Ulrich Kelber, ließ dabei aufhorchen.

Fundierte Kritik wurde ignoriert Kelber kritisierte zum einen das formale Vorgehen bei der Verab- schiedung des Gesetzes, dass durch Änderungen am Gesetz in buchstäb- lich letzter Minute eine konstruk- tive Auseinandersetzung mit den Regelungen massiv erschwert wurde. Dies verstärkt das Bild, dass das PDSG trotz gravierender inhalt- licher Mängel von der Regierungs- koalition durchgedrückt werden sollte. Inhaltlich kritisiert der Bun-

desbeauftragte insbesondere, dass das sogenannte feingranulare Be- rechtigungsmanagement zum Start der elektronischen Patientenakte (ePA) am 1. Januar 2021 noch nicht zur Verfügung stehe und erst An- fang 2022 verpflichtend werden solle. Zudem moniert er, dass diese Regelung nur für diejenigen Patien- ten gelte, die auf die ePA über ein eigenes geeignetes Smartphone oder Tablet zugreifen – eine gra- vierende Ungleichbehandlung beim Grundrecht auf informationelle Selbstbestimmung, die auch die KV Bayerns wiederholt beanstan- det hat.

Zweifel, ob mit Europarecht vereinbar

Ein weiterer Kritikpunkt betrifft das Authentifizierungsverfahren. Ins- besondere bei der Sicherheit sogenannter alternativer Authentifizie- rungsverfahren ohne Einsatz der ePA äußert der Datenschützer Be- denken. Kelber schlussfolgert, dass eine Umsetzung der ePA nur auf Grundlage des PDSG mit Europa- recht nicht vereinbar sei und dass er gegebenenfalls in seiner Eigen- schaft als Aufsicht über 65 gesetz- liche Krankenkassen auf eine euro- parechtskonforme Umsetzung der ePA pochen werde. Das Bundes- gesundheitsministerium hat mehrfach betont, diese Rechtsauffas- sung nicht zu teilen. Das PDSG hat nun den Raum der politischen

Auseinandersetzung verlassen, wird aber die Gerichte möglicher- weise im Rahmen juristischer Aus- einandersetzungen dauerhaft be- schäftigen.

Neben den Einlassungen des Daten- schutzbeauftragten kritisieren wir insbesondere die Streichung des Einwilligungserfordernisses der Patienten zur Auswertung der Daten durch die Krankenkassen.

Damit wird auch ein Case-Ma- nagement durch die Krankenkas- sen wahrscheinlicher.

Für die KV Bayerns ist klar: Wir werden weiterhin die politischen Entwicklungen bei der Digitalisie- rung des Gesundheitswesens konstruktiv kritisch begleiten und unseren Einfluss an geeigneter Stelle geltend machen, um den Schutz sensibelster Gesundheits- daten und des Vertrauensverhält- nisses zwischen Arzt beziehungsweise Psychotherapeut und Patien- ten zur Geltung zu bringen. Das gilt beim Umgang der Krankenkas- sen mit Patientendaten ebenso wie etwa bei digitalen Gesundheits- anwendungen, die vermehrt in die Versorgungsrealität drängen. Wir wollen eine verantwortungsvolle Digitalisierung.

Adam Hofstätter (KVB)

Nach monatelanger intensiver Diskussion hat das Patientendaten-Schutzgesetz (PDSG) nun auch die letzte parlamentarische Hürde genommen: Der Bundes- rat hat in seiner Sitzung am 18. September 2020 das Gesetz gebilligt.

PDSG TRITT TROTZ

VEHEMENTER KRITIK IN KRAFT

(8)

D

as Privacy Shield (auch EU-US Datenschutzschild) ist im Jahr 2016 zwischen den USA und der EU vereinbart worden, um Datenübermittlungen aus einem Mitgliedstaat der EU in die USA zu ermöglichen.[1] Es besteht aus einer Reihe von Zusiche- rungen der amerikanischen Bundes- regierung und einem Angemessen- heitsbeschluss der EU-Kommission.

Diese hatte beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der EU entsprechen.

Das Privacy Shield wurde nun vom Europäischen Gerichtshof mit so- fortiger Wirkung für unwirksam er- klärt.[2] Das Gericht begründete seine Entscheidung damit, dass das Privacy Shield nicht für ein angemessenes Schutzniveau bei Daten- übermittlungen in die USA sorge.

Arzt- und Psychotherapeutenpraxen stehen nun – wie auch Unternehmen und Behörden – vor der Aufgabe, dieses Urteil umgehend umzusetzen.

Eine Übergangsfrist wurde vom Europäischen Gerichtshof nicht ge- währt. Übermitteln Arztpraxen trotz des Schrems II-Urteils noch Patien- tendaten auf Grundlage des Privacy Shields in die USA, stellt dies eine Datenschutzverletzung dar und kann für den Praxisinhaber hohe Geldbußen nach sich ziehen.[3]

Praktische Auswirkungen des Schrems II-Urteils für Niedergelassene

Praxisinhaber sollten in einem ers- ten Schritt prüfen, ob überhaupt

Datenübermittlungen in die USA stattfinden. Durch einen Blick ins Verzeichnis der Verarbeitungstätig- keiten können sich Praxisinhaber hierüber schnell Klarheit verschaffen. Datenverarbeitungen, die bisher auf das Privacy Shield gestützt wurden, müssen unverzüglich auf einen anderen Transfermechanis- mus umgestellt werden.[4]

Insbesondere für hausärztlich und diabetologisch tätige Praxen könnte

das Urteil entsprechende Folgen haben, denn im Rahmen der Dia- betestherapie werden Patienten- daten aus Blutzuckermessgeräten oder Insulinpumpen elektronisch verarbeitet und teilweise auf US-

Servern gespeichert.[5] Aber auch im Hinblick auf jegliche Verträge zur Auftragsverarbeitung könnte das Schrems II-Urteil Auswirkun- gen haben. Ebenso sollten Praxis- inhaber bei Cloud-Diensten, im Rahmen von Software-Wartungen, bei der Praxis-Homepage oder bei der Online-Terminvergabe prüfen, ob diese Datenverarbeitungen noch rechtmäßig sind. In diesem Zusammenhang ist auch immer zu beachten, dass viele Auftragsver-

Die Richter des Europäischen Gerichtshofs haben mit ihrem Urteil vom 16. Juli 2020 (Aktenzeichen C-311/18) das Privacy Shield zwischen der Europäischen

Union (EU) und den USA für unwirksam erklärt. Der Prozess wurde als Schrems II- Verfahren bekannt und hat unter anderem für Praxisinhaber datenschutzrecht- liche Bedeutung.

FOLGEN DES SCHREMS II-

URTEILS FÜR PRAXISINHABER

Der Europäische Gerichtshof hat das Privacy Shield zwischen der EU und den USA für unwirk-

sam erklärt.

Das kann daten- schutzrechtliche Konsequenzen für Praxen haben.

(9)

arbeiter wiederum Unterauftrags- nehmer einsetzen, die dann Pa- tientendaten auf Servern in den USA speichern.[6]

Aber nicht nur für Arztpraxen dürfte das Schrems II-Urteil Kon- sequezen haben: Für Anbieter von digitalen Gesundheitsanwendungen ist das Urteil ebenfalls relevant.[7]

Auch sie sollten reagieren, wenn sie mit US-amerikanischen Unter- nehmen zusammenarbeiten, denn eine Datenverarbeitung durch die digitale Gesundheitsanwendung selbst sowie eine Auftragsverarbei- tung in einem Drittstaat außerhalb der EU, des Europäischen Wirt- schaftsraums und der Schweiz ist nur zulässig, wenn ein Angemessen- heitsbeschluss der EU-Kommission vorliegt (Paragraf 4 Absatz 3 Digi- tale-Gesundheitsanwendungen- Verordnung, kurz: DiGAV).

Standardvertragsklauseln als Ausweg?

Einen Ausweg könnten die soge- nannten Standardvertragsklauseln bieten, denn diese können laut Europäischem Gerichtshof weiter als mögliche Rechtsgrundlage die- nen. Im Rahmen der Urteilsbe- gründung wird ausgeführt, dass die Standardvertragsklauseln weiterhin unter bestimmten Voraussetzun- gen verwendet werden können, um personenbezogene Daten in die USA zu übermitteln. Möchten Praxisinhaber Standardvertrags- klauseln verwenden, so müssen sie in einer Einzelfallprüfung be- werten, ob die Regelungen der Standardvertragsklausel nach den im Drittland geltenden Gesetz eingehalten werden können.[8] Ver- antwortliche müssen im Rahmen dieser Prüfung vor allem darauf

achten, dass ein vergleichbares Schutzniveau wie in der Europäi- schen Union gewährleistet ist (Randnummer 96 des Schrems II- Urteils). In der Praxis wird diese Prüfung aber insbesondere für klei- ne Arztpraxen entweder nicht möglich sein oder aber sie wird an der Gesetzeslage in den USA scheitern.

Suchen Praxisinhaber nach einem sicheren Weg, um datenschutz- konform zu handeln, so bleibt im Moment nur die Möglichkeit, alle Datenübermittlungen in die USA zu beenden und zu einem Anbieter in der Europäischen Union oder einem Land mit angemessenem Datenschutzniveau zu wechseln.

Katrin Niedermeier (KVB)

Datenschutz in der Praxis: Auch diesen Aspekt müssen Sie beachten

Recht auf Datenlöschung versus ärztliche Aufbewahrungspflicht

Aufgrund der Veränderungen im Datenschutzrecht sowie punktueller Veränderungen im ärztlichen Berufsrecht tritt im Alltag einer Arztpraxis immer wieder die Frage auf, wie sich beide Regelungsbereiche zueinander verhalten, vor allem dann, wenn zwischen beiden scheinbar ein Widerspruch besteht.

Datenschutzrechtlich obliegt es nämlich jedem Verantwort- lichen/Praxisinhaber/Arzt selbst, regelmäßig seinen Daten- bestand zu kontrollieren und gegebenenfalls Daten von sich aus rechtzeitig zu löschen. Korrespondierend damit kann der betroffene Patient vom Verantwortlichen/Praxisinhaber/

Arzt jederzeit verlangen, dass die ihn betreffenden Daten unverzüglich gelöscht werden (Löschanspruch). Dieser An- spruch auf Datenlöschung seitens des Betroffenen/Patienten dient vor allem als zusätzliche Kontrollinstanz.

Ist die Behandlung abgeschlossen, benötigt der Arzt die Daten nicht mehr für den Zweck, für den sie erhoben wurden.

Die Daten wären nach den datenschutzrechtlichen Vorgaben eigentlich sofort zu löschen.

Berufs- und zivilrechtlich hat der Arzt aber die Patientenakte regelmäßig für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren.

Wie verhält sich nun der datenschutzrechtliche Anspruch des Patienten auf Datenlöschung zur berufsrechtlichen Pflicht des Arztes hinsichtlich einer ordnungsgemäßen Dokumentation? Diesen scheinbaren Widerspruch hat der Gesetzgeber gesehen und deshalb ausdrücklich geregelt, dass das Recht auf Löschung nicht gilt, wenn der Verant- wortliche/Praxisinhaber/Arzt aus anderen Gründen rechtlich noch verpflichtet ist, diese personenbezogenen Daten aufzubewahren.

Soweit Sie also aus Gründen der Pflicht zur ärztlichen Doku- mentation angehalten sind, Patientendaten noch aufzubewahren, gehen diese berufs- und zivilrechtlichen Aufbewah- rungspflichten etwaigen Löschrechten des betreffenden Patienten vor.

Udo Henck (Datenschutzbeauftragter der KVB) Das Literatur- verzeichnis zu diesem Artikel finden Sie unter www.kvb.de in der Rubrik Ser- vice/Mitglieder- Informationen/

KVB FORUM/

Literaturver- zeichnis.

(10)

Videosprechstunde

Gerade in den vergangenen Mona- ten der Corona-Pandemie hat die Nutzung der Videosprechstunde bei Patientenkontakten mit Ärzten und Psychotherapeuten deutlich zugenommen.

Dafür wurde die bestehende 20- Prozent-Obergrenze für die Ab- rechnung im zweiten, dritten und vierten Quartal 2020 ausgesetzt [1], um somit mehr Patientenkon- takte über die Videosprechstunde zu ermöglichen. Zudem gilt vorüber- gehend ein vereinfachtes Anzeige-

verfahren zur temporären Nutzung, siehe auch www.kvb.de in der Rubrik Praxis/IT in der Praxis/Video- sprechstunde.

Die Anforderungen an die techni- schen Verfahren zur Durchführung von Videosprechstunden in der ver- tragsärztlichen Versorgung sind vom Patienten und vom Behandler einzuhalten. Hinsichtlich der Qua- lität und der Sicherheit wird die Leistungserbringung mittels Video- sprechstunden als synchrone Kom- munikation zwischen einem Ver- tragsarzt/-psychotherapeuten und einem Patienten definiert. Dabei

kann dem Patienten neben der tech- nischen Ausstattung gegebenenfalls auch eine Bezugsperson oder Pflegekraft zur Seite stehen.

Der Videodienstanbieter und der Vertragsarzt beziehungsweise -psychotherapeut haben für die Verarbeitung personenbezogener Patientendaten die rechtlichen Rahmenbedingungen zu beachten.

Diese ergeben sich aus den Vor- schriften der Datenschutz-Grund- verordnung (DSGVO), des Bundes- datenschutzgesetzes (BDSG) sowie des Fünften Sozialgesetzbuchs (gemäß Paragraf 291g SGB V) und – soweit anwendbar – des Zehnten Sozialgesetzbuchs (SGB X). Bei der konkreten Umsetzung kann sich der Vertragsarzt an den „Empfehlun- gen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbei- tung in der Arztpraxis“ der Bundes- ärztekammer und der Kassenärzt- lichen Bundesvereinigung (KBV) orientieren.

Folgende Anforderungen, die gegen- über der KVB nachzuweisen beziehungsweise zu bestätigen sind, muss der Videodienstanbieter erfüllen:

Der Arzt muss sich für den Videodienst registrieren.

Patienten müssen sich ohne Account anmelden können.

Der Arzt muss die Videosprech- stunde ungestört, zum Beispiel ohne Signalgeräusche weiterer Anrufer, durchführen können.

Ob Videosprechstunde oder Kommunikation per E-Mail - immer wieder müssen sich Ärzte und Psychotherapeuten auf den aktuellen Stand bringen, damit sie rechtssicher mit ihren Patienten kommunizieren können. KVB FORUM stellt für die Praxen die wichtigsten Punkte zusammen.

DATENSCHUTZ UND MODERNE PRAXISKOMMUNIKATION

Die Video- sprechstunde erlebt zur Zeit einen Boom. In puncto Daten- schutz müssen

aber trotzdem alle Vorgaben eingehalten werden.

(11)

Die Videosprechstunde erfolgt über eine Peer-to-Peer-Verbin- dung, ohne Nutzung eines zentralen Servers.

Eine Ende-zu-Ende-Verschlüs- selung muss gewährleistet sein.

Die eingesetzte Software muss bei Schwankungen der Verbin- dungsqualität bezüglich der Ton- und Bildqualität adaptiv sein.

Sämtliche Inhalte der Video- sprechstunde dürfen durch den Videodienstanbieter weder eingesehen noch gespeichert werden.

Videodienstanbieter dürfen nur Server in der EU nutzen. Alle Metadaten müssen nach spä- testens drei Monaten gelöscht werden. Die Weitergabe der Daten ist untersagt.

Die Nutzungsbedingungen müs- sen vollständig in deutscher Sprache und auch ohne vor- herige Anmeldung online ab- rufbar sein.

Das Schalten von Werbung im Rahmen der Videosprechstunde ist untersagt.

Der Videodienst muss Nach- weise und Zertifikate über Daten- schutz, Informationssicherheit und Inhalt führen.

Hinweise für die Organisation von Videosprechstunden gibt zum Bei- spiel die Bundesärztekammer unter www.baek.de/handreichung-video sprechstunde.

E-Mail-Kommunikation

Nach Auffassung des Bayerischen Landesamtes für Datenschutzauf- sicht (BayLDA) ist eine unverschlüs- selter E-Mail-Kommunikation mit dem Patienten nur unter ganz bestimmten Voraussetzungen möglich. Sie sollte auch nur dann erfolgen, wenn der Patient vorher schriftlich seine Einwilligung zu dieser Kommunikationsform gege- ben hat.

Nach Artikel 32 DSGVO haben Ärzte und Psychotherapeuten technische und organisatorische Maß- nahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Unverschlüsselte E-Mails können zum Beispiel die Vertraulichkeit und die Integrität der Daten nicht erfüllen.

Im Arzt-Patienten-Verhältnis geht es um Gesundheitsdaten und damit um besondere Arten personenbezogener Daten (Artikel 9 DSGVO), die zusätzlich auch nach Paragraf 203 StGB einem besonderen rechtlichen Schutzbereich unterliegen.

Beim E-Mail-Verkehr mit solchen Daten ist eine Transport- und eine Inhaltsverschlüsselung (Ende-zu- Ende-Verschlüsselung) vorzuneh- men. Eine Verschlüsselung mittels PGP (Pretty Good Privacy) oder SMIME (Secure/Multipurpose Inter- net Mail Extensions) würde beispielsweise den Anforderungen an die In- haltsverschlüsselung entsprechen.

Zusätzlich müsste sichergestellt sein, dass die E-Mail-Adresse, an die Informationen gesendet werden, auch tatsächlich von dem- jenigen stammt, mit dem man kommunizieren will.

Das angemessene Schutzniveau kann nach Auffassung des BayLDA von dem betroffenen Patienten nur unter folgenden Umständen abge- senkt werden:

Der Wille des Patienten muss frei und informiert gebildet und geäußert werden. Der Arzt muss daher den Patienten darauf aufmerksam machen, dass die E-Mail-Kommunikation ohne Ende-zu-Ende-Verschlüsselung nicht ausreichend sicher sein kann (beispielsweise wenn ein E-Mail-Konto gehackt ist) und er auf diesem unsicheren Weg nur ausnahmsweise kommuniziert,

[1] 4.3.1 Abs. 5 Nr. 6 und Abs. 6 der Allgemeinen Bestimmungen des EBM [2] www.lda.bayern.de/media/baylda_report_

08.pdf

Linksammlung

Datensicherheit in der Arztpraxis (KBV):

www.kbv.de/html/datensicherheit.php

Kontaktaufnahme mit dem BayLDA zu individuellen Datenschutzfragen:

www.lda.bayern.de/de/beratung.html

Videosprechstunde (Grundlagen sowie Besonderheiten zu Coronavirus)

www.kbv.de/html/videosprechstunde.php

Praxisinfo der Bundespsychotherapeuten- kammer: www.bptk.de/neue-praxis-info- videobehandlung

wenn der Patient (in Kenntnis dieser Information) es wünscht.

In keinem Fall ist ein völliges Absenken des Schutzniveaus möglich: Es gibt einen Mindest- standard (derzeit opportunisti- sche Transportverschlüsselung), der eingehalten werden muss.

Zudem muss eine dem Risiko der Rechte und Freiheiten entsprechende sichere Alternative ohne Medienbruch angeboten werden. Dies kann beispielsweise ein ausreichend sicheres Onlineportal oder ein inhalts- verschlüsselter E-Mail-Verkehr sein.[2]

Unter www.bsi-fuer-buerger.de finden Sie Empfehlungen zur Ver- schlüsselung.

Harald Lederer (KVB)

(12)

Herr Will, die DSGVO ist nun gut zwei Jahre in Kraft. Experten haben von einem „Bürokratie- monster“ gewarnt. Wie fällt, zu- nächst ganz allgemein, Ihre erste Bilanz aus?

Zweieinhalb Jahre nach Geltungs- beginn des neuen europäischen Datenschutzrechts sind nach unse- rem Eindruck zwar nicht alle Um- setzungsaufgaben erledigt, aber die erste Welle von Sorgen und Verunsicherungen ist verebbt. Ich bedauere trotzdem weiterhin, dass gerade Missdeutungen und teils fast irrationale Analysen vermeint- licher Experten das Reformwerk – und bei dem einen oder anderen vielleicht sogar das Grundkonzept des Datenschutzes – als realitäts- fremde Idee des europäischen Ge- setzgebers in Misskredit gebracht haben. Das BayLDA ist dem nach Kräften mit vielfältigen Hilfestellun- gen, Beratungsmaterial und einer Unzahl von Einzelberatungen ent- gegengetreten.

Verstöße gegen die Datenschutz- Grundverordnung können von Ihnen mit Bußgeldern geahndet werden. Haben Sie gegen niedergelassene Ärzte bereits Buß- gelder verhängt? Und können Sie darstellen, nach welchen Kriterien sich die Höhe bemisst.

Wir haben bislang keine Bußgelder gegen niedergelassene Ärzte wegen Verstößen gegen die DSGVO ver- hängt. Kriterien für die Höhe sind unter anderem, welche Art von Ver- stoß vorliegt, wie schwerwiegend dieser ist, wie lange er andauerte, ob es sich um einen Erstverstoß handelt, oder ob der Verantwortli- che schon mehrere Verstöße be- gangen hat, auch ob der Verant- wortliche gar wissentlich handelte und ob besonders sensible Daten verletzt wurden. Bei der konkreten Bußgeldhöhe erfolgt, ähnlich wie bei Geldstrafen, eine Orientierung an den wirtschaftlichen Verhältnis- sen des Verantwortlichen.

Als besonders gravierend würden wir beispielsweise die Lagerung von Patientenakten in frei zugäng- lichen Kellerräumen werten, denn hier sind stets besonders sensible Daten von vielen Patienten betroffen und daher liegt in der Regel ein mindestens fahrlässiges Verhalten des Praxisinhabers vor.

Neben dem Datenschutz ist die ärztliche Schweigepflicht für die Arzt-Patienten-Beziehung von essenzieller Bedeutung. Wie geht Ihre Behörde mit diesem erhöhten Schutzbedürfnis um?

In diesem Bereich erhalten wir leider nach wie vor zahlreiche Be-

schwerden, beispielsweise zur Gestaltung des Empfangs- oder Wartebereichs oder der Frage, an wen Patientendaten auf welcher Rechtsgrundlage weitergegeben werden dürfen, zum Beispiel an andere Ärzte, Labore, Angehörige.

Aber auch zu Online-Tools wie Online-Terminbuchungen, Video- sprechstunden oder den Einsatz von Messenger-Diensten, ebenso wie Fragen zum E-Mail-Versand.

Sie sind immer wieder Anlass, auch vor Ort Arztpraxen zu über- prüfen und die Einhaltung der DSGVO und anderer Datenschutz- anforderungen einzufordern. Teil- weise bitten Ärzte aber auch um Beratung zu einzelnen Fragen.

Insgesamt versuchen wir zu sensibilisieren und zu informieren, zum einen auf vielen Veranstaltungen, zum anderen auf unserer Website und im Austausch mit Verbänden, der Ärztekammer und auch der KVB. Die am häufigsten gestellten Fragen bemühen wir uns stets zu veröffentlichen, sodass Ärzte hier unkompliziert direkt Antworten finden können.

Zum Teil führt das BayLDA auch anlasslose Prüfungen durch, aktuell beispielsweise zu Ransomware, also Verschlüsselungstrojanern. Mit dieser Schadsoftware wird der Zu- griff auf Daten gesperrt und an-

Michael Will ist seit Februar 2020 Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Im Interview mit KVB FORUM zieht der studierte Jurist eine Bilanz nach gut zwei Jahren Datenschutz-Grundverordnung (DSGVO) und erklärt, bei welchen Datenschutzverdachtsfällen seine Behörde nieder- gelassene Ärzte und Psychotherapeuten prüfen würde.

„BISLANG KEINE BUSSGELDER

FÜR NIEDERGELASSENE“

(13)

Als Präsident des Bayerischen Landesamts für Datenschutzauf- sicht ist Michael Will mit allen denkbaren Ver- stößen gegen die Datenschutz- Grundverord- nung seit deren Bestehen ver- traut.

schließend für die Entsperrung ein Lösegeld eingefordert. Gerade im medizinischen Bereich sind Angriffe mittels Verschlüsselungstrojaner oft besonders kritisch, weil bei einem fehlenden Zugriff auf Patien- tendaten beispielsweise Behand- lungen nicht mehr ordnungsgemäß ausgeführt werden können. Es besteht also gerade eine hohe Dring- lichkeit, die Daten schnell wieder- herzustellen. Das BayLDA hat sich deshalb entschieden, Ärzte mit Fra- gestellungen zum Umgang und zur Prävention von Angriffen mittels Verschlüsselungstrojanern zu kontrollieren. Ziel ist es dabei, dass Patientendaten angemessen vor der Gefahr geschützt werden.

Medizinische Einrichtungen wurden in letzter Zeit vermehrt Ziel von Cyberattacken. Welche Angebote gibt es in Bayern, dieser Bedrohung Herr zu werden?

Das BayLDA und der Bayerische Landesbeauftragte für den Daten- schutz haben eine umfangreiche

„Checkliste Cybersicherheit für medizinische Einrichtungen mit Prüfkriterien nach Artikel 32 DSGV“

entwickelt, die man auf unserer Internetseite abrufen kann. Spe- ziell für Ransomware – Verschlüsse- lungstrojaner – haben wir noch ein weiteres Informationsblatt veröf- fentlicht, das auch die wesentlichen Punkte noch einmal beschreibt.

Der Europäische Gerichtshof (EuGH) hat kürzlich das EU-US- Privacy-Shield gekippt. Welchen Tipp können Sie Praxen geben, die sich Dienstleistern bedienen, die Daten möglicherweise in die USA exportieren, damit sie sich auch insoweit datenschutzkon- form verhalten?

Eine der Kernaussagen des soge- nannten Schrems II-Urteils des EuGH ist, dass bestimmte US-Ge-

setze den US-Nachrichtendiensten zu weitgehende Zugriffsmöglich- keiten auf personenbezogene Daten eröffnen, und dass es dagegen keinen ausreichenden Rechtsschutz für die Betroffenen gibt. Übermitt- lungen an Dienstleister in den USA, bei denen die Daten diesen Zugriffs- möglichkeiten ausgesetzt sind, sind nach europäischem Recht un- zulässig, wenn auch zusätzliche Schutzmaßnahmen die Datenzu- griffe nicht verhindern können.

Solche Fälle wird es voraussicht- lich geben – so ist zum Beispiel Verschlüsselung keine praktikable Lösung für Fälle, in denen die Daten in unverschlüsselter Form beim Dienstleister benötigt werden.

Alle Anwender, die personenbezogene Daten verarbeiten, sind dennoch an das Urteil gebunden. Es wird daher Geschäftsprozesse und damit einhergehende Datenflüsse geben, die umgestellt werden müs- sen, etwa indem die Daten in der Europäischen Union verbleiben und auch für die technische War- tung differenzierte Lösungen ge- funden werden. Die europäischen Datenschutzbehörden werden den Anwendern in den nächsten Wo- chen nähere Konkretisierungen mitteilen. Für Ärzte wie für alle anderen, die mit Dienstleistern in Drittstaaten zusammenarbeiten, ist zunächst eine Bestandsaufnah- me wichtig. Sobald geklärt ist, wer welche Daten in einem Drittstaat

verarbeitet, für das keine sogen- nannte Adäquanzentscheidung der EU-Kommission besteht, sollte Kontakt mit den Dienstleistern aufgenommen werden, um gemeinsam zu klären, welche Risiken bestehen, dass auf exportierte Daten von Dritten, auch von Behörden im Empfängerstaat, zugegriffen wird. Bestehen solche Risiken, können je nach Fallgestaltung er- gänzende vertragliche oder technische Schutzmaßnahmen erfor- derlich werden, deren genaue Ausgestaltung derzeit auch im Kreis der europäischen Daten- schutzbehörden beraten wird.

Herr Will, vielen Dank für das Gespräch!

Interview Dr. phil. Axel Heise (KVB)

Wichtige Links für niedergelassene Ärzte und Psychotherapeuten

Datenschutzsicherheit für Ärzte

https://www.lda.bayern.de/de/thema_aerzte.html

Checkliste Cybersicherheit für medizinische Einrichtungen https://www.lda.bayern.de/media/checkliste/baylda_checkliste_

medizin.pdf

Informationsblatt Ransomsoftware

https://www.lda.bayern.de/media/pruefungen/201810_

ransomware_info.pdf

(14)

S

peziell Angriffe mit Ransom- ware (siehe Kasten auf Sei- te 15) sind für Cyberkrimi- nelle ein lukratives Geschäftsmo- dell. Sind die wertvollen Daten erst- mal verschlüsselt, können Hacker im großen Stil „Lösegeldzahlungen“

erpressen. Auch Arzt- und Psycho- therapeutenpraxen sind davon betroffen – mit schwerwiegenden Folgen. Hat ein Hackerangriff Er- folg, ist ein reibungsloser Praxis- betrieb in den meisten Fällen nicht mehr möglich, da hierzu intakte Software-Programme zur Termin- verwaltung, Formularbedruckung etc. notwendig sind. Hinzu kommt die enorme Bedeutung der digitalen Patientenakten, deren Verlust

für den Praxisinhaber auch straf- und haftungsrechtliche Konse- quenzen haben kann.

Unterschätzte Gefahr?

Auch wenn man als verantwortli- cher Praxisinhaber die „Empfehlun- gen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbei- tung in der Arztpraxis“ der Bundes- ärztekammer vollständig umsetzt, kann man nicht davon ausgehen, dass nun alles Notwendige getan ist, um die Patientendaten gegen die immer häufiger auftretenden Gefahren aus dem Internet sicher und wirksam zu schützen.

Als wesentliche Schutzmaßnahme gegen Verschlüsselungsangriffe gilt die tägliche Sicherung der Daten. Diese Sicherungen müssen allerdings unbedingt getrennt vom Praxisnetz zugriffsgeschützt auf- bewahrt werden. Leider gibt es schon Fälle, bei denen auch die Datensicherung verschlüsselt, ge- löscht oder entwendet wurde.

Doch wie kann es überhaupt pas- sieren, dass das Praxisverwaltungs- system (PVS) oder andere Rechner, Tablets oder Smartphones von Schadsoftware befallen werden?

Hierfür gibt es mehrere Wege: So erfolgt eine Infizierung beispielsweise beim Surfen im Internet auf einer mit Schadsoftware infi- zierten Website. Die implementier- te Schadsoftware wird dabei aus- geführt und installiert das schädli- che Programm auf dem PVS.

Sehr häufig werden auch E-Mails mit Anhang als Transportweg für Schadsoftware verwendet. In der Mail werden „Aufmerksamkeit er- regende“ Behauptungen aufgestellt, die den Nutzer veranlassen, die Datei im Anhang zu öffnen, hinter der sich dann eben nicht das Versprochene verbirgt, sondern eine sogenannte „ausführba- re“ Datei. Diese wird beim Ankli- cken automatisch gestartet. Ab diesem Moment ist das PVS mit

Vernetzte IT-Systeme sind aus dem reibungslosen Betrieb einer Arztpraxis nicht mehr wegzudenken. Sie erleichtern viele Verwaltungsaufgaben und sparen so wertvolle Zeit für die Patienten. Doch mit der zunehmenden Vernetzung steigen die Risiken, Opfer einer Cyberattacke zu werden. Zum Schutz sensibler Patienten- daten muss die Infrastruktur deshalb immer auf dem aktuellen Stand sein.

PRAXISHACKING – DAS EIGENE RISIKOBEWUSSTSEIN SCHÄRFEN

IT-Sicherheitsrichtlinie

Die Kassenärztliche Bundesvereinigung und die Kassenzahnärztliche Bundesvereinigung wurden vom Gesetzgeber im Rahmen des Digitale-Versorgung-Gesetzes mit der Ent- wicklung einer Sicherheitsrichtlinie für alle Praxen beauftragt (siehe Seite 18). Darin sollen die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sein.

Die Richtlinie muss im Einvernehmen mit dem Bundesamt für Sicherheit in der Informa- tionstechnik (BSI) erstellt und jährlich aktualisiert werden. Auf Basis klarer Vorgaben sollen Ärzte und Psychotherapeuten sowie Zahnärzte künftig dabei unterstützt werden, sensible Gesundheitsdaten in ihren Praxen noch besser schützen, sicherer verwalten und Risiken wie Datenverlust oder Betriebsausfall minimieren zu können.

Es ist derzeit offen, zu welchem Termin die Richtlinie in Kraft tritt. Im Anschluss haben die Praxen stufenweise ein Jahr lang Zeit für die Umsetzung.

Eine weitere Richtlinie soll die Zertifizierung von Dienstleistern regeln, die die Ärzte in IT-Sicherheitsfragen beraten und die Vorgaben der Sicherheitsrichtlinie umsetzen.

(15)

der Schadsoftware infiziert.

Schadsoftware kann auch über verseuchte Downloads aus Chatrooms, Downloadportalen oder anderen Netzwerken auf das PVS gelangen.

Beim Versuch, das vermeintliche Video oder Musikstück zu starten, wird die Schadsoftware installiert.

Auch die Verwendung unbekannter USB-Sticks oder einer Speicher- karte aus dem Fotoapparat, kann zum Problem werden und den Rech- ner mit Schadsoftware infizieren.

So schützen Sie Ihre Daten Das Wichtigste für Sie und Ihre Mitarbeiter: Seien Sie im Umgang mit dem Internet und digitalen Medien immer aufmerksam und skeptisch. Darüber hinaus können Sie schon mit verhältnismäßig we- nigen Maßnahmen viel zur Sicher- heit Ihrer Praxisinfrastruktur und dem Schutz Ihrer Patientendaten beitragen:

Halten Sie Ihr Betriebssystem, Ihren Browser, die Software, Add-ons und Plug-Ins stets aktuell. Der erweiterte Support für Windows 7 endete am 14.

Januar 2020, der für Windows 8 wird am 10. Januar 2023 einge- stellt. Derzeit ist Windows 10 das aktuelle und sicherste Be- triebssystem, das von Micro- soft am besten supported wird.

Verwenden Sie ein aktuelles Antivirenprogramm.

Nutzen Sie automatische Up- date-Funktionen der (Sicher- heits-) Programme.

Machen Sie regelmäßig Back- ups und bewahren Sie diese getrennt vom Rechner auf. Nut- zen Sie mehrere Generationen.

Besser die Daten von drei Wo- chen verlieren, als alle Daten.

Prüfen Sie regelmäßig im Log, ob das Backup funktioniert hat.

Ransomware: Der Computer oder Browser wird gesperrt Häufig wird erst beim Neustart des Praxisverwaltungssystems er- kannt, dass es durch eine Schadsoftware infiziert wurde. Anstelle der Anmeldemaske erscheint dann ein Sperrbildschirm beispielsweise mit folgenden Meldungen:

Es wurden illegale Tätigkeiten des Nutzers im Internet registriert (urheberrechtlich geschützte Inhalte angesehen, Malware ver- breitet usw.).

Den Verstoß hat eine Behörde registriert – Polizei, Bundesamt für Sicherheit in der Informationstechnik, Gesellschaft für musi- kalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA), Sonstige. (Wichtig: Die angegebenen Organisationen haben in Wirklichkeit nichts mit der Sperrung des PVS zu tun).

Das IT-System wurde komplett blockiert.

Durch Bezahlen einer Gebühr kann die Strafe beglichen werden.

Nach Eingang der Zahlung wird der Computer wieder frei- geschaltet.

Die Zahlung soll beispielsweise über Bitcoin erfolgen.

Gegebenenfalls wird die aktuelle IP-Adresse oder ein Videobild des Nutzers eingeblendet.

Cryptolocker: Ransomware als Verschlüsselungsvariante

Auch hier erfolgt die Infizierung des PVS meist über verseuchte E-Mail-Anhänge, Downloads aus Chatrooms, Downloadportalen oder anderen Netzwerken.

Während in den oben genannten Fällen die Schadsoftware aber nur behauptet, die Daten zu verschlüsseln, führt ein Crypto- locker (der ebenfalls zur Familie der Ransomware gehört) die Verschlüsselung tatsächlich durch.

Meistens wird ein besonderer Druck aufgebaut und ein Count- down am befallenen Gerät angezeigt. Wenn nicht innerhalb der meist vorgegebenen drei Tage gezahlt wird, löscht sich der Ent- schlüsselungscode auf dem Rechner der Täter automatisch. Die Daten können dann nicht mehr entschlüsselt werden.

Cryptolocker können auch angeschlossene andere Rechner im Netzwerk sowie weitere Festplatten verschlüsseln.

(16)

Dateien vom Backup zurück- gespielt werden können.

Begrenzen Sie Zugriffrechte.

Nicht jeder Nutzer benötigt Ad- ministratorenrechte.

Verwenden Sie sichere Pass- wörter und einen Passwort- manager mit doppeltem Pass- wortschutz. „Praxis“ oder

„12345“ sind keine sicheren Passwörter! Das sollte allen Nutzern bewusst sein.

Externe Datenträger (USB- Stick usw.) sind immer eine po- tenzielle Gefahrenquelle für die Sicherheit Ihres Systems.

Regeln Sie den Internetzugang und den Umgang mit E-Mails und sozialen Netzwerken in Ihrer Praxis verbindlich.

sind wachsame Mitarbeiter Auch wenn die Praxisinfrastruktur mustergültig installiert wurde und alle empfohlenen Schutzvorrich- tungen aufweist, wird der wesentlichen „Schwachstelle“ im System im Allgemeinen noch zu wenig Aufmerksamkeit gewidmet: Denn bei fast allen Bedrohungen muss erst der Mensch, also gemeinhin ein Mitarbeiter aus der Praxis, bewusst getäuscht werden, um Schadsoftware auf dem System zur Ausführung zu bringen.

Damit dies nicht passiert, hat das Bundesamt für Sicherheit in der Informationstechnik auf seiner Internetseite unter www.bsi-fuer-

Mediathek/Videos/videos_node.

html sowie unter www.bsi.bund.

de/DE/Presse/Kurzmeldungen/

Meldungen/Video-Dienstleis- tungsunternehmen-190426.html entsprechende Schulungsvideos bereitgestellt, die Praxismitarbei- ter für Gefahren aus dem Internet sensibilisieren sollen. Denn ohne eine entsprechende Wachsamkeit für das Thema Datensicherheit ist trotz aller Technik mit einer hohen Wahrscheinlichkeit davon auszu- gehen, dass irgendwann in der Arztpraxis eben doch ein Schad- programm zur Ausführung kommt.

Hubert Karl, Norbert Prücklmaier (beide KVB)

Erste Hilfe im Schadensfall

Fertigen Sie mit einer Digitalkamera Bilder vom Sperrbildschirm. Am besten eines mit der Gesamt- ansicht sowie weitere Bilder mit einzelnen Details/Texten. Das kann später für die genaue Einordnung der Ransomware wichtig sein.

Versuchen Sie nicht, Ihre Daten auf eigene Faust zu retten, sofern Sie kein ausgewiesener IT-Experte mit Erfahrung sind. Lassen Sie das Gerät ausgeschaltet, bis ein versierter Experte geeignete Maßnah- men einleitet.

Informieren Sie unverzüglich Ihren Systembetreuer/PVS-Hersteller.

Wenn Ihr Systemhaus nach eigener Angabe keine Expertise auf diesem Gebiet nachweisen kann, fragen Sie nach, ob anderweitig Spezialisten bekannt sind.

Verschaffen Sie sich einen Überblick, wer im Vorfeld das PVS genutzt hat und welche Internetseiten/

sozialen Netze besucht wurden.

Klären Sie, ob Mailanhänge geöffnet wurden.

Zahlen Sie nicht. Der KV Bayerns ist kein einziger Fall bekannt, bei dem nach der Zahlung ein Ent- schlüsselungscode zur Verfügung gestellt wurde.

Denken Sie daran, Patienten abzusagen, wenn für die Behandlung/Diagnostik benötigte Geräte aufgrund des Schadensfalls nicht zur Verfügung stehen.

Informieren Sie die KV Bayerns, wenn Sie davon ausgehen müssen, dass Sie zunächst keine Quartals- abrechnung fristgerecht erstellen/einreichen können.

Möglicherweise liegt eine Meldepflicht nach Artikel 33 der Datenschutz-Grundverordnung (DSGVO) vor. Informieren Sie in diesem Fall das Bayerische Landesamt für Datenschutzaufsicht. Auf der Internet- seite www.lda.bayern.de besteht die Möglichkeit, eine Datenpanne mittels Onlineformular zu melden.

Wenden Sie sich an die „Zentrale Ansprechstelle Cybercrime – ZAC“ der Bayerischen Polizei. Diese erreichen Sie unter der zentralen Rufnummer 0 89 / 12 12 – 33 00.

Viele nützliche Informationen finden Sie auch auf folgenden Internetseiten: www.nomoreransome.org, www.bsi.de, www.bka.de, www.dieviren.de, www.golem.de.

(17)

S

chon lange vor Verkündung des Schrems II-Urteils (siehe Seite 8) hat sich das Bayerische Landesamt für Daten- schutzaufsicht zu diesem Thema geäußert und dargelegt, dass die Nutzung von Whatsapp durch Be- rufsgeheimnisträger gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.[1] Zwar liest Whatsapp keine Chats mit, da diese verschlüsselt sind. Insofern weiß der Messenger-Dienst nicht, welchen Inhalt die einzelnen Nach- richten haben. Versendet also ein Arzt an einen Kollegen ein Röntgen- bild, um sich dessen Rat einzuholen, so kann dieses vom Messenger- Dienst nicht ausgelesen werden.

Jedoch wertet Whatsapp sämtliche Metadaten aus, das heißt, wann, wer mit wem, wie oft kommuniziert hat.[2] Bei der Verwendung von Whatsapp ergeben sich noch weitere datenschutzrechtliche Probleme:

Übermittlung der Kontakte aus dem Adressbuch des Nutzers an Whatsapp

Übermittlung von personenbezogenen Daten in die USA

Nutzung von personenbezogenen Daten durch Whatsapp.[3]

Unzulässig ist regelmäßig die Über- mittlung aller Kontaktdaten aus

dem Adressbuch an Whatsapp. Bis zu fünfmal am Tag soll der Mes- sengerdienst die kompletten Adress- daten auslesen.[4] Problematisch ist hierbei vor allem, dass auch Kontaktdaten von solchen Perso- nen übermittelt werden, die Whats- app nicht nutzen. Diese Daten dürfen nur mit einer wirksamen Einwilligung der betroffenen Per- son übermittelt werden, die aber regelmäßig bei lebensnaher Be- trachtung nicht vorliegen dürfte.

Whatsapp hat seinen Sitz in Kali- fornien. Trotz einer Niederlassung in Irland, findet die Datenverarbei- tung in den USA statt. Die Über- mittlung von personenbezogenen Daten in die USA ist seit Verkün- dung des Schrems II-Urteils mehr als problematisch. Aufgrund dessen

ist Ärzten datenschutzrechtlich davon abzuraten, Whatsapp im beruflichen Kontext zu verwenden.

Es gibt jedoch bereits zahlreiche Messenger-Dienste, die auf den Einsatz im Gesundheitsbereich zugeschnitten und datenschutzrechtlich unbedenklich sind.

Katrin Niedermeier (KVB)

Inwieweit ist die Nutzung des beliebten Messenger-Dienstes Whatsapp, der seit 2014 zu Facebook gehört, im beruflichen Kontext – insbesondere in Arzt- praxen – erlaubt? Aus datenschutzrechtlicher Sicht ist bereits die Kontakt- aufnahme zwischen dem Arzt und seinem Patienten via Whatsapp nicht un- bedenklich. Patientenanfragen sollten vielmehr ausschließlich über gesicherte Wege – wie zum Beispiel über verschlüsselte E-Mail-Systeme – beantwortet werden.

NUTZUNG VON WHATSAPP IN ARZTPRAXEN

Patientendaten dürfen aus datenschutz- rechtlicher Sicht nicht per Whatsapp an Kollegen ver- schickt werden.

[1] 8. Tätigkeitsbericht des BayLDA 2017/2018, S. 58

[2] https://www.medical-tribune.de/

praxis-und-wirtschaft/praxismanagement/

artikel/fuer-aerzte-ein-no-go-so-verboten- ist-whatsapp-in-praxis-und-krankenhaus/

[3] Merkblatt für die Nutzung von „Whatsapp“ in Unternehmen, Landesbeauftragte für den Datenschutz Niedersachsen, S. 2 [4] https://www.medical-tribune.de/

praxis-und-wirtschaft/praxismanagement/

artikel/fuer-aerzte-ein-no-go-so-verboten- ist-whatsapp-in-praxis-und-krankenhaus/

(18)

(Rechts-) Politischer Hintergrund Bereits heute sind Vertragsärzte und -psychotherapeuten bei der Umsetzung von Informationssicher- heitsmaßnahmen haftungs- und strafrechtlichen Risiken sowie finanziellem Aufwand ausgesetzt.

Daher waren KBV/KZBV bis zum 30. Juni 2020 gehalten, eine Richt- linie zur IT-Sicherheit festzuset- zen.[1] Und zwar noch bevor eine bundesgesetzliche Regelungen für eine verantwortungsvolle Digitali- sierung besteht (zum Beispiel das Patientendaten-Schutz-Gesetz – PDSG). Bislang ist die Richtlinie von KBV/KZBV am fehlenden „Einver- nehmen“ mit dem Bundesamt für Sicherheit in der Informations- technik (BSI) gescheitert.

Aus Sicht der Vertragsärzte und -psychotherapeuten beziehungsweise der Vertreterversammlung der KBV kommt eine Richtlinie, an die das BSI hohe technische Anforde- rungen stelle [2], nur in Frage, wenn

eine angemessene finanzielle Kompensation der Vertragsärzte und -psychotherapeuten für die Folgen der „gesetzlich geforderten Infrastrukturmaßnahme“,

ausreichend lange Übergangs- fristen sowie

eine differenzierte, stufenweise Einführung der Sicherheitsan- forderungen geregelt ist.[3]

Ohne Einigung bezüglich dieser Faktoren mit dem BSI und dem in- volvierten Bundesministerium für Gesundheit (BMG) wird die KBV eine Richtlinie nicht beschließen.

Das hat die Vertreterversammlung der KBV in Abstimmung mit ihrem Vorstand im Juni beschlossen und im September bestätigt.[4]

Verantwortung von KBV/KZBV Mit der geforderten Richtlinie haben die KBV/KZBV in eigener Ver- antwortung die „Anforderungen zur Gewährleistung der IT-Sicher- heit in der vertragsärztlichen Ver- sorgung“ sowie die „Anforderun- gen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruk- tur, die in der vertrags(zahn)ärzt- lichen Versorgung genutzt werden“

festzulegen.[5]

KBV/KZBV müssen dem Stand der Technik entsprechende, jährlich zu

aktualisierende Anforderungen zur umfassenden Gewährleistung der IT-Sicherheit definieren – zur Ver- meidung typischer „Störungen“

bezüglich der Verfügbarkeit, Inte- grität, Authentizität und Vertrau- lichkeit von Daten. Anhand dieser Anforderungen muss zudem ein Zertifizierungssystem für IT-Dienst- leister geschaffen werden.[6] Die- se Festlegung muss gemäß § 75 b Abs. 3 S.2 SGB V unter Beteiligung folgender Stellen erfolgen, und zwar im Benehmen mit

dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit,

der Bundesärzte- und der Bundeszahnärztekammer,

der Deutschen Kranken- hausgesellschaft,

den für die Wahrnehmung der Interessen der Industrie maß- geblichen Bundesverbänden aus dem Bereich der Informations- technologie im Gesundheitswe- sen,

der Gesellschaft für Telematik – allerdings nur hinsichtlich Telematikinfrastruktur sowie im Einvernehmen mit

Die von der Kassenärztlichen Bundesvereinigung (KBV) gemeinsam mit der Kassenzahnärztlichen Bundesvereinigung (KZBV) gemäß § 75b SGB V fest- zulegende IT-Sicherheitsrichtlinie gerät durch die vom

Bundesgesetzgeber geforderte Vereinheitlichung mittels zwingender Beteiligung Dritter an die Grenzen der Umsetzbarkeit.

DIE IT-SICHERHEITS- RICHTLINIE UND DIE BETEILIGUNGSRECHTE

RECHT INTERESSANT

(19)

dem Bundesamt für Sicherheit in der Informationstechnik.

Beteiligungsrechte allgemein Im öffentlichen Recht wird im Gegensatz zum Zivilrecht meist einseitig in Ausübung von Hoheits- rechten gehandelt – zum Beispiel Erlass von Normen, Verwaltungs- akten. Der Gesetzgeber verfolgt dabei zunehmend das Ziel, Prozes- se zusammenzufassen. Zur Bünde- lung von Kompetenzen und Interes- sen werden dazu mehreren Stellen Beteiligungsrechte an einem Ver- fahren eingeräumt. So haben sich die Begriffe „Benehmen“ und „Ein- vernehmen“ im Gesetzestext des SGB V in der Fassung aus dem Jahr 1999 bis heute etwa verfünf- facht. Der Unterschied liegt im Grad des Einflusses auf die Entschei- dung: Am schwächsten ist die An- hörung (Informationszweck), stär- ker das Benehmen (Einholen und Verwerten von Stellungnahmen), am stärksten das Einvernehmen (Herbeiführen eines Konsenses).

Beispiele sind die Festsetzung des Honorarverteilungsmaßstabs (HVM)

„im Benehmen mit“ den Kranken- kassenverbänden [7] oder die Regelung des angemessenen Um- fangs der im Fünfjahreszeitraum notwendigen Fortbildung „im Einvernehmen mit“ den Kammern auf Bundesebene.[8]

Benehmen

Wie das Bundessozialgericht (BSG) bereits in seinem Urteil vom 21.

Januar 1969 (Az. 6 RKa 27/67 – noch heute aktuell) ausgeführt hat, meint „Benehmen“ eine Koopera- tion, bei der die zu beteiligende Stelle nicht bloß über das Sach- problem informiert wird und die Gelegenheit erhält, ihre Auffassung darzulegen. Es erfordert zudem eine „Fühlungnahme“, nach der der

Entscheidende die Belange der anderen Seite zu berücksichtigen und sich mit ihr zu verständigen hat. Einwände des Beteiligten dür- fen nicht übergangen werde, Diffe- renzen sind nach Möglichkeit zu bereinigen. Kommt keine Einigung zustande, gilt aber die Beschluss- entscheidung des Entscheidenden.

Einvernehmen

Entscheidung im Einvernehmen meint, dass der Entscheidende die Zustimmung des Beteiligten im Sinne einer Willensübereinstim- mung benötigt.[9] Nach § 75 b Abs. 3 S. 2 SGB V müssen KBV/

KZBV mit dem BSI über die Anfor- derungen an die IT-Sicherheit und damit an die Kriterien der Zertifi- zierung von IT-Dienstleistern einig werden. Sie können nur mit dem BSI gemeinsam entscheiden. Das gesetzgeberische Motiv für die Richtlinie ist die zunehmende Ab- hängigkeit der vertragsärztlichen Versorgung von IT-Systemen und das damit einhergehende Bedro- hungspotenzial. Daher solle die Expertise des BSI in die Schaffung von IT-Sicherheit einfließen.[10]

Fehlendes Einvernehmen von KBV und BSI

Ein „Alleingang“ der KBV wäre rechtlich problematisch, denn die Verletzung von Beteiligungsrech- ten führt zur Nichtigkeit der Richt- linie. Das heißt, sie wäre als von Anfang an unwirksam anzusehen – mit haftungsrechtlichen Konse- quenzen.

Ein „Einigungsmechanismus“, wie beispielsweise das Schiedsverfah- ren nach § 89 SGB V besteht nicht.

Dieses Verfahren ersetzt eine Eini- gung im Falle des Scheiterns von Vertragsverhandlungen und trägt damit der Notwendigkeit der ver-

tragsärztlichen Versorgung der Bevölkerung Rechnung.

Die gerichtliche Überprüfung von Rechtsakten scheidet derzeit noch mangels finaler Richtlinie oder Handeln der Aufsichtsbehörde aus. Das „Einvernehmen“ selbst ist als unselbstständige behörd- liche Verfahrenshandlung durch Rechtsmittel weder angreifbar noch erzwingbar.

Möglich wäre ein Einschreiten des BMG als Aufsichtsbehörde der KBV.

Aufsichtsmaßnahmen reichen von der Beratung bis zur zwangsweisen Durchsetzung von Handlungsan- weisungen.[11] Wenn das BMG eine Richtlinie im Wege der Ersatz- vornahme erlässt, wäre aber der KBV die Möglichkeit genommen, in eigener gesetzlich zugewiesener Richtlinienkompetenz eine Rege- lung zu schaffen, die bestmöglich die Interessen der von ihr vertrete- nen ambulant tätigen Ärzte und Psychotherapeuten abbildet.

Weitere Entwicklungen bleiben ab- zuwarten. Denn „harte Fakten“

wurden bislang von den Beteilig- ten nicht geschaffen. Die KBV hat zuletzt am 11. September 2020 beschlossen, weitere Verhandlun- gen mit den Gremien des BSI und BMG zu führen.[12] Einem Richt- linien-Beschluss in der nächsten Vertreterversammlung im Dezem- ber stehe laut KBV nichts ent- gegen, wenn die offenen Punkte bis dahin geklärt seien.[13]

Sebastian Schmidt (Rechtsabteilung der KVB)

Das Literaturverzeichnis zu diesem Artikel finden Sie unter www.kvb.de in der Rubrik Service/Mitglieder- Informationen/KVB FORUM/

Literaturverzeichnis.

(20)

I

m Nachrichtencenter von „Mei- ne KVB“ sind wichtige Informa- tionen, wie zum Beispiel Ihr Honorarbescheid, an einem Ort zentral und sicher abgespeichert, sodass nichts verlorengeht. Die Zugangsdaten zu „Meine KVB“ erhalten KVB-Mitglieder bereits mit ihrem Eintrag ins Arztregister. Ihre Dokumente können Sie vom Nach- richtencenter aus jederzeit ausdrucken – auch mehrfach, wenn dies benötigt wird. Das gilt zum Beispiel auch für Ihre DMP-Feed- backberichte oder Eingangsbestä- tigungen Ihrer über „Meine KVB“

eingereichten Abrechnungsdateien.

Ab Januar 2021 wird mit den Ser- viceschreiben nun ein zusätzlicher Online-Dienst in Ihrem persönlichen Nachrichtencenter in „Meine KVB“

bereitgestellt. In einer Übergangs- phase bis Ende März 2021 erhalten Sie Ihre Serviceschreiben zusätzlich über die bisherigen Empfangswege E-Mail, Fax und Post. Ab Anfang April 2021 dann ausschließlich über

das Nachrichtencenter in „Meine KVB“. Das spart Geld, schont die Umwelt und ist vor allem schneller:

Denn so erhalten Sie alle wichtigen Nachrichten und Informationen der KVB umgehend und ohne Zeitver- lust. Außerdem können Sie über das Nachrichtencenter alle wichtigen Nachrichten bequem an einem Ort verwalten. Selbstverständlich kön- nen Sie die Schreiben auch weiterhin ausdrucken, entscheiden das aber nach persönlichen Bedürfnissen.

Bereit für den digitalen Empfang?

Um dies beantworten zu können, haben wir für Sie eine Checkliste auf Seite 22 erstellt. Antworten auf die wichtigsten Fragen zur Umstel- lung finden Sie unter www.kvb.de/

Serviceschreiben-Umstellung.

Anwendertipps und ein Video-Tuto- rial zum Nachrichtencenter sind außerdem in „Meine KVB“ im Be- reich „Hilfe“ unter „Fragen und Ant- worten“ sowie unter „Erklärvideos“

hinterlegt.

Bei weiteren Fragen zum Zugang zu „Meine KVB“ erreichen Sie die KVB Servicetelefonie

unter der Telefonnummer 0 89 / 5 70 93 - 4 00 40

Montag bis Donnerstag von 7.30 bis 17.30 Uhr und freitags von 7.30 bis 16.00 Uhr.

Anregungen oder Feedback zu „Meine KVB“?

Sie haben eine Idee, wie wir „Mei- ne KVB“ noch benutzerfreundlicher gestalten können? Dann freuen wir uns über Ihre Nachricht - gerne mit konkreten Verbesserungsvor- schlägen. Nutzen Sie die Chance, die Zukunft des KVB-Mitglieder- portals mitzugestalten und schreiben Sie uns einfach anonym über die Feedbackfunktion 􏒥 des Mit- gliederportals.

Raphaela Fritzsche (KVB)

Die Corona-Pandemie hat einmal mehr gezeigt, wie wichtig eine zeitnahe, aktuelle Kommunikation ist. Daher erhalten Sie unsere Serviceschreiben ab Januar 2021 nicht mehr nur per E-Mail, Fax oder Brief, sondern zusätzlich auch über Ihr Nachrichtencenter im Mitgliederportal „Meine KVB“. Letzteres soll dann ab April 2021 der ausschließliche Kommuniktionsweg sein. Zur Umge- wöhnung empfehlen wir Ihnen schon jetzt, Ihren persönlichen Zugang zu

„Meine KVB“ und zu Ihrem dortigen Nachrichtencenter zu überprüfen.

NEU: SERVICESCHREIBEN- VERSAND ÜBER „MEINE KVB“

MEINE

KVB

(21)

Vorstand begrüßt Umstellung des Versands der KVB-Serviceschreiben

„Die Vorteile liegen auf der Hand: Der digitale Versand ist schnell, sicher, spart Kosten und schont die Umwelt“, so der Vorstand der KVB zur geplanten Umstellung der Versandart. „Uns ist gleichzeitig wichtig, dass wir unseren Mitgliedern genügend Zeit geben, sich an den neuen Empfangsweg zu gewöhnen. Daher haben wir uns für die dreimonatige Übergangsphase entschieden“, machen Dr. med. Wolfgang Krombholz, Dr. med. Pedro Schmelz und Dr. med. Claudia Ritter-Rupp deutlich. „Gerade die letzten Monate haben uns gezeigt, wie wichtig schnelle Kommunikation ist. Dennoch wollen wir es jetzt nicht übers Knie bre- chen und bieten bis Ende März 2021 den parallelen Versand der KVB-Serviceschreiben an. Denn wenn unsere Mitglieder eins in dieser herausfordernden Zeit nicht brauchen, dann ist es zusätzlicher Stress aufgrund einer kurzfristigen ‚harten‘ Umstellung.“ Die Empfehlung des Vorstands: „Nutzen Sie die Zeit und prüfen Sie Ihren Zugang zu ,Meine KVB‘. Unsere Servicetelefonie unterstützt Sie gerne.“

Startseite des Mitgliederportals „Meine KVB“

Startseite des Mitgliederpor- tals: Über das Briefumschlag- Symbol oben rechts rufen Sie das Nachrichten- center auf.

In Ihrem Nach- richtencenter finden Sie ab Januar 2021 die KVB-Service- schreiben.

Ihr Nachrichtencenter in „Meine KVB“

(22)

Umstellung in Phasen: Ein Überblick über die Versandwege unserer Serviceschreiben

„Nein“ „Ja“

Haben Sie eine KVB-Benutzerkennung?

Wenn „Ja“

➔ Bei Verwendung eines KV-Ident Plus Token, der Telematik- infrastruktur oder KV-SafeNet*, melden Sie sich mit Ihrer Benutzerkennung auf www.kvb.de über die Schaltfläche

„Meine KVB“ an. Das Nachrichtencenter finden Sie im Mit- gliederportal oben rechts in der Navigationsleiste unter dem Briefumschlag-Symbol.

 Sie haben keinen dieser Zugangswege?

Bitte wenden Sie sich an die KVB-Servicetelefonie.

 Sie haben das Kennwort Ihrer KVB-Benutzerkennung vergessen?

Falls Sie einen KV-Ident Plus-Token besitzen, dann folgen Sie bitte den Anweisungen auf der Anmeldemaske. Unter

„Kennwort vergessen?“ können Sie komfortabel ein neues Kennwort anfordern.

Wenn „Nein“

➔ Bitte wenden Sie sich an die KVB-Servicetelefonie.

Überprüfen Sie Ihren Posteingang

➔ Sie finden das Nachrichtencenter in „Meine KVB“ oben rechts in der Navigationsleiste unter dem Briefumschlag- Symbol.

➔ Tipp: Mit aktivierter E-Mail-Benachrichtigung erhalten Sie täglich morgens eine E-Mail an eine E-Mail-Adresse Ihrer Wahl, wenn Sie neue Nachrichten in „Meine KVB“ erhalten haben.

*Bitte beachten Sie, dass KV-SafeNet nicht mit der Firma SafeNet, Inc., USA, in firmenmäßiger oder vertraglicher Verbindung steht.

Waren Sie schon einmal in „Meine KVB“ eingeloggt?