Die Vertreterversammlung der Kassenärztliche Bundesvereinigung hat am 16. Dezember 2020 die Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit beschlossen.
Die IT-Sicherheitsrichtlinie nach § 75b SGB V regelt die Anforderungen an das IT-Sicherheitsniveau in den Praxen der Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte und Psychotherapeutinnen und Psychotherapeuten in der gesetzlichen Versorgung.
Die „Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit“ soll Vertragszahnärztinnen und Vertragszahnärzte sowie Vertragsärztinnen und Vertragsärzte bei der Umsetzung der IT-Sicherheit in ihren Praxen unterstützen.
Hierdurch sollen Patientendaten / Gesundheitsdaten besser geschützt werden.
Was bedeutet das für die Cyberversicherung?
Nach einer festgestellten IT-Sicherheitsverletzung, also nach einem Cybervorfall oder Cyberangriff müssen Betroffene (Praxisinhaber), eine Selbstanzeige wegen Verletzung der DSGVO stellen.
Die Datenschutzbehörde wird dann ein Bußgeld verhängen. Über die Cyberversicherung sind Bußgelder zwar nicht versichert, aber wenn eine Cyberversicherung nachgewiesen werden kann, hat dies Einfluss auf die Höhe des Bußgeldes. Die Cyberversicherung wird als positive Gegenmaßnahme angerechnet und dadurch wird die Höhe des Bußgeldes verringert.
Wie berechnet sich ein Bußgeld nach § 83 DSGVO?
Bußgeld = Tagessatz X Multiplikatoren
(Tagessatz = Vorjahresumsatz : 365)
Multiplikatoren:
Schwere des Vorfalls
Fahrlässigkeit
Gegenmaßnahmen
Kooperation
Ein Rechenbeispiel:
Unser Kunde betreibt eine Arzt – oder Rechtsanwaltspraxis und erzielte im letzten Jahr 1.000.000 € Umsatz. Ein Mitarbeiter der Buchhaltung öffnet eine vermeintliche Bewerbung und infiziert das Netzwerk mit einer Ransomware der dritten Generation. Dadurch werden die Krankenakten der Kunden verschlüsselt und auf die Rechner der Angreifer kopiert.
Durch die Cyberversicherung hat unser Kunde sofortigen Zugang zu einem Experten-Netzwerk. Der Vorfall wird juristisch korrekt und umgehend gemeldet, Gegenmaßnahmen werden sofort umgesetzt. Es handelt sich um einen erstmaligen Verstoß des Unternehmens.
Die finanziellen Kosten werden von der Versicherung gedeckt – allerdings verhängt die Datenschutzbehörde ein Bußgeld, da es sich um einen Datenschutzvorfall handelt. Hier gilt der Grundsatz, dass Bußgelder nicht versicherbar sind. Trotzdem hat sich die Versicherung in doppelter Weise für den Kunden gelohnt und zahlbar gemacht, wie wir im Folgenden schildern:
DSGVO-Bußgeld-Berechnungsformel
1.000.000 € Umsatz führt zu einem Tagessatz von 2.739,72 €. Die Datenschutzbehörden setzen die Schwere des Verstoßes fest. Da es sich um sehr sensible personenbezogene Daten handelt, wird der Faktor auf „schwer“ und der Multiplikator damit auf 8 eingestuft.
Es ergibt sich also ein Grundbußgeld von 21.917,80 € (Tagessatz x 8).
Durch die schnelle und korrekte Reaktion des Kunden werden folgende Faktoren festgelegt:
- Normale Fahrlässigkeit,
- sehr gute Kooperation,
- sehr gute Gegenmaßnahmen und
- es handelte sich um den ersten Verstoß des Mandanten.
Die Faktoren verringern das Bußgeld auf 10.958,90 € (-0 % Fahrlässigkeit; -25 % Kooperation; -25 % Gegenmaßnahmen; -0 % Anzahl des Verstoßes).
Hätte unser Kunde diesen Zugriff auf das Experten-Netzwerk – sprich die Versicherung – nicht gehabt, wäre er im Schadensfall auf sich allein gestellt gewesen. Dies hätte dann zu folgendem Bußgeld führen können:
Grundbußgeld 21.917,80 € x 100 % (-0 % Fahrlässigkeit; +50 % Kooperation; +50 % Gegenmaßnahmen; -0 % Anzahl des Verstoßes) = 43.835,60 €
Die Cyberversicherung ist sicherlich kein Allheilmittel und zahlt zum Beispiel nicht alles, hier das Bußgeld, aber es verringert die Strafe durch die Bewertung für Kooperation und Gegenmaßnahmen. Bezogen auf das Beispiel bedeutet das: Der Kunde verringert die Strafe auf 10.958,90 € Strafe, im schlechtesten Fall ohne Cyberversicherung wäre das Grundbußgeld auf 43.825,60 € angewachsen. Ein gutes Argument für den Abschluss einer Cyberversicherung?
Wenn man dann noch die anfallenden Kosten des Schadensfalles wie Datenwiederherstellung, Sicherung des Systems und und und … bedenkt. Dann sind die Prämien im Moment für eine Cyberversicherung ein Schnäppchen.
Ein Hinweis: Unter www.datenschutz.org findet man alles, was man wissen muss über die Datenschutzgrundverordnung vom Bußgeldrechner bis zu Hinweisblättern. Ein Blick lohnt sich!
Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit
Die Kassenärztliche Bundesvereinigung hat nach § 75b SGB V den Auftrag, Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen Versorgung zu regeln. Sie hat damit den Auftrag, den Stand der Technik der technisch-organisatorische Maßnahmen im Sinne von Artikel 32 Datenschutz-Grundverordnung zu standardisieren.
Die hier getroffenen Richtlinien erfüllen diesen Auftrag und dienen damit dem Zweck, die Handhabung der Vorgaben der Datenschutz-Grundverordnung im Zusammenhang mit der elektronischen Datenverarbeitung für die vertragsärztliche Praxis zu vereinheitlichen und zu erleichtern.
Die Richtlinie adressiert die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme in der vertragsärztlichen –psychotherapeutischen Praxis. Die Richtlinie legt technischen Anforderungen fest und beschreibt das Mindestmaß der zu ergreifenden Maßnahmen, um die Anforderungen der IT-Sicherheit zu gewährleisten.
Mit der Umsetzung der Anforderungen werden die Risiken der IT-Sicherheit minimiert. Bei der Umsetzung können Risiken auch an Dritte, wie IT-Dienstleister oder Versicherungen, übertragen oder durch den Verantwortlichen akzeptiert werden.
Angebot
Der erste Schritt besteht darin, den aktuellen Sicherheitsstatus deines Unternehmens zu analysieren. Wie gut sind deine IT-Systeme geschützt? Gibt es bereits bestehende Sicherheitsmaßnahmen wie Firewalls, Verschlüsselungen oder regelmäßige Backups? Eine umfassende Überprüfung dieser Faktoren hilft dabei, potenzielle Schwachstellen zu identifizieren und den Bedarf an einer Cyberversicherung einzuschätzen.
Darüber hinaus ist es wichtig, die Art und Größe deines Unternehmens zu berücksichtigen. Ein kleines Start-up hat möglicherweise andere Risiken als ein etabliertes Unternehmen mit einem großen Kundenstamm. Um den idealen Versicherungsschutz zu finden, empfehle ich vorab eine Bedarfsermittlung.