Zum Inhalt

Teil 9: Personal & Zugänge

Eine Medizinische Fachangestellte verlässt die Praxis – ihre Zugangsdaten funktionieren noch drei Monate später. Das ist nicht Sicherheit, das ist Fahrlässigkeit.

Das zentrale Prinzip: Need-to-Know

Jeder Mitarbeiter bekommt Zugang nur zu dem, was er oder sie für ihre konkrete Arbeit braucht – und nicht mehr. Das ist nicht Misstrauen – das ist Schutz.

Wenn ein Mitarbeiterkonto kompromittiert wird, richtet ein Konto mit minimalen Rechten weit weniger Schaden an als ein Administratorkonto mit Vollzugriff auf alles.

Der praktische Gedanke: Wenn eine MFA versehentlich eine Patientenakte löscht, die sie nie hätte sehen sollen – wer haftet? Wenn ein ehemaliger Mitarbeiter Kundendaten mitnimmt – wie war das möglich? Das alles lässt sich durch minimale Rechte verhindern.

Berechtigungen und Rollen in der Praxis

Die typische Rollen-Struktur in einer Arztpraxis:

  • Arzt/Ärztin: Voller Zugriff auf PVS, eHBA (elektronischer Heilberufsausweis), alle Patientenakten, Abrechnung
  • MFA (Medizinische Fachangestellte): Zugriff auf Terminverwaltung, Patientendaten für Terminübersicht, aber nicht auf sensitive Befunde oder Laborwerte ohne Grund
  • Abrechnungsbeauftragte: Zugang zu Abrechnung und Kostenträgerdaten, aber kein Zugriff auf klinische Patientenakten
  • Verwaltung: Terminen, Patientenkontakt, aber keine Patientendaten
  • Ggf. Arzt-Vertreter: Zugang wie Arzt, aber zeitlich begrenzt

Das sind Rollen – keine Personen. Der Punkt ist, dass Sie nicht ein "Büro-Login" für alle teilen, sondern dass jeder Mensch sein oder ihr eigenes Konto mit seinen oder ihren Rollen hat.

Warum Shared Accounts verboten sind: - Du weißt nicht, wer was getan hat - Du kannst den Zugang nicht gezielt entziehen - Es ist unmöglich, Zwei-Faktor-Authentifizierung einzurichten - Die KBV verbietet es explizit

Onboarding – Der erste Tag ist entscheidend

1. Eigene Konten einrichten

Der erste Tag: Der neue Mitarbeiter bekommt eigene Zugangsdaten für alle Systeme, die er nutzt. Im PVS wird ein eigenes Benutzerkonto angelegt – nicht "allgemeines Büro-Login", sondern die Person als Individuum.

Für externe Dienste (E-Mail, Cloud, etc.) bekommt er oder sie eine Einladung mit eigener E-Mail-Adresse.

2. Rechte dokumentieren

Bevor Zugänge eingerichtet werden, ist dokumentiert:

System Zugriffsumfang Zielgruppe
PVS MFA-Rolle (Terminverwaltung + Basispatientendaten) Alle MFAs
E-Mail Voll Alle
Labor-Interface Read-only MFA, Arzt
Abrechnung Admin Abrechnungsbeauftragte nur

Das kostet 10 Minuten, spart aber beim Offboarding Stunden.

3. Verpflichtung auf Vertraulichkeit

Vor dem ersten Datenzugriff unterschreibt der Mitarbeiter: - Art. 32 Abs. 4 DSGVO: Verpflichtung auf Vertraulichkeit bei der Verarbeitung personenbezogener Daten - § 203 Abs. 4 StGB: Förmliche Verpflichtung auf Schweigepflicht (speziell für ärztliche Praxen)

Die KBV stellt Muster bereit. Eine Seite, Unterschrift – fertig. Aber: vor dem ersten Zugang, nicht danach.

4. Sicherheits-Einweisung

Ein kurzes Gespräch (30 Minuten) über: - Passwort-Sicherheit - Phishing-Erkennung - Umgang mit Patientendaten - Was tun bei verdächtigem Vorfall? - Meldepflicht

Unterschrift unter eine "Sicherheits-Regeln"-Seite. Dokumentation in Personalakte.

Offboarding – Der kritischste Moment

Das ist das Sicherheits-Problem, das fast alle übersehen: Ein Mitarbeiter, der vor sechs Monaten die Praxis verlassen hat und theoretisch noch Zugang zur Kundendatenbank hat.

Die Offboarding-Checkliste – am letzten Arbeitstag:

Sofort (vor der Person Praxis verlässt, im Idealen Fall): - [ ] PVS-Konto sperren - [ ] E-Mail-Konto sperren oder auf Nachfolger weiterleiten - [ ] WLAN-Passwort ändern - [ ] Alle mobilen Device-Zugriffe deaktivieren - [ ] eHBA oder andere Authentifizierungs-Token zurückfordern

Innerhalb 24 Stunden: - [ ] Alle geteilten Passwörter ändern (auch die "nur kurz genutzten") - [ ] Cloud-Zugang deaktivieren - [ ] VPN-Zugang sperren - [ ] Fernlöschung von ausgegebenen Geräten prüfen

Für Berufsgeheimnisträger zusätzlich: - [ ] Schriftliche Erinnerung an fortbestehende Schweigepflicht (§ 203 StGB) – unterschreiben lassen! - [ ] Alle Unterlagen und Datenträger mit geschützten Daten zurückfordern - [ ] Löschnachweis für personenbezogene Daten auf ausgegebenen Geräten

Das muss ein standardisierter Prozess sein – ausgeführt am selben Tag, nicht irgendwann später.

Zugriffsprotokollierung im PVS

Ein Punkt, den viele vergessen: Das PVS muss protokollieren, wer auf welche Patientenakte zugegriffen hat und wann.

  • Mindestens 30 Tage protokollieren
  • Monatlich oder quartalsweise überprüfen: Wer hat Zugriff auf Patienten, die nicht in seinem Terminplan sind?
  • Ungewöhnliche Zugriffe eskalieren

Das ist kein Misstrauen – es ist Sicherheit. Es schützt Patienten und Mitarbeiter.

Checkliste: Personal und Zugänge

  • Jeder Mitarbeiter hat eigene Zugangsdaten – keine Shared Accounts.
  • Rollen sind definiert (Arzt, MFA, Abrechnung, etc.) und dokumentiert.
  • Verpflichtungserklärungen (Art. 32 Abs. 4 DSGVO + § 203 StGB) sind unterschrieben und in der Personalakte.
  • Eine Zugangsliste existiert: Wer hat Zugang zu was, seit wann?
  • Onboarding-Checkliste wird bei jedem neuen Mitarbeiter durchlaufen.
  • Offboarding-Checkliste wird am letzten Arbeitstag durchlaufen – nicht später.
  • PVS-Audit-Logs werden mindestens monatlich überprüft.
  • Ungewöhnliche Zugriffe werden dokumentiert und eskaliert.
  • Mitarbeiter sind in Sicherheits-Regeln eingewiesen und haben dies bestätigt.