Die Begriffe Datenschutz und Datensicherheit werden oft in einen Topf geworfen. Dabei steckt hinter jedem ein eigenes Konzept. Wer den Unterschied kennt, versteht besser, worauf es beim Schutz sensibler PatientInnendaten wirklich ankommt.
Ein einfaches Bild
Stellen Sie sich Ihre Praxis als Haus vor: Datenschutz bestimmt, wer das Haus betreten darf. Datensicherheit sorgt dafür, dass die Tür stabil genug ist, damit niemand Unbefugtes hineinkommt.
Beides gehört zusammen – aber es sind zwei verschiedene Dinge.
Was ist Datenschutz?
Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte. Nicht die Daten selbst stehen im Mittelpunkt, sondern der Mensch dahinter. Das Ziel: Jede Person soll selbst entscheiden können, wer was über sie weiß. Dabei geht es ausschließlich um personenbezogene Daten – also Name, Adresse, Geburtsdatum oder Gesundheitsdaten. Die zentrale Frage lautet: „Darf ich diese Daten überhaupt erheben, speichern und verarbeiten?" In Europa regelt das die DSGVO (Datenschutz-Grundverordnung).
Für Sie in der Praxis heißt das zum Beispiel: Bevor Sie PatientInnendaten erfassen, brauchen Sie eine Einwilligung. Und Sie dürfen nur die Daten speichern, die für Ihre Arbeit tatsächlich notwendig sind.
Was ist Datensicherheit?
Datensicherheit umfasst alle technischen und organisatorischen Maßnahmen, um Daten vor Verlust, Manipulation oder unbefugtem Zugriff zu schützen. Das Ziel: Daten sollen sicher verwahrt sein – vor Hackerangriffen, Hardwarefehlern oder menschlichem Versagen. Anders als beim Datenschutz geht es hier um alle Arten von Daten, nicht nur um personenbezogene. Die zentrale Frage lautet: „Wie stelle ich sicher, dass die Daten nicht gestohlen, verändert oder gelöscht werden?" Typische Maßnahmen sind Verschlüsselung, Firewalls, Backups, Passwortrichtlinien und Zugangskontrollen.
Warum beides zusammengehört
Ohne Datensicherheit gibt es keinen Datenschutz. Selbst wenn Sie rechtlich alles korrekt machen, aber Ihre Software die Daten nicht technisch absichert, können PatientInnendaten trotzdem in falsche Hände geraten. Umgekehrt kann ein System technisch perfekt geschützt sein – wenn die Daten aber ohne Erlaubnis weitergegeben werden, ist der Datenschutz verletzt.
| Datenschutz | Datensicherheit | |
|---|---|---|
| Was wird geschützt? | Die Person und ihre Privatsphäre | Die Daten selbst |
| Welche Daten? | Nur personenbezogene Daten | Alle Arten von Daten |
| Hintergrund | Rechtlich (DSGVO) | Technisch und organisatorisch |
| Beispiel | Einwilligung vor der Datenerfassung | Verschlüsselung der Datenbank |
Wie Psido beides umsetzt
Datenschutz bei Psido
Psido ist vollständig DSGVO-konform. Alle Daten werden ausschließlich in der Europäischen Union gespeichert – es findet keine Übertragung in Drittstaaten statt. Wie Psido mit Ihren Daten umgeht, ist transparent in unseren Nutzungsbedingungen und der Selbstverpflichtungserklärung festgehalten.
Datensicherheit bei Psido
Auf der technischen Seite setzt Psido auf mehrere Schutzschichten:
Encryption At Rest – Verschlüsselung im Ruhezustand
Vielleicht fragen Sie sich: Was passiert mit meinen Daten, wenn sie auf dem Server gespeichert sind? Genau hier kommt „Encryption At Rest" ins Spiel. Das bedeutet: Alle Daten werden verschlüsselt gespeichert – auch dann, wenn sie gerade nicht aktiv verwendet werden. Psido nutzt dafür AES-256-Verschlüsselung, denselben Standard, der auch für Regierungsdokumente eingesetzt wird.
Selbst wenn jemand direkten Zugriff auf den Server bekäme, wären die Daten nicht lesbar – sie sähen aus wie eine zufällige Zeichenfolge. Zusätzlich erhält jeder Psido-Account einen eigenen Verschlüsselungsschlüssel. Die Daten verschiedener Accounts sind dadurch voneinander isoliert.
Zwei-Faktor-Authentifizierung – Doppelte Absicherung beim Login
Ein Passwort allein kann gestohlen oder erraten werden. Deshalb sichert Psido jeden Login mit einer Zwei-Faktor-Authentifizierung (2FA) ab. Das funktioniert so:
- Sie geben Ihr persönliches Passwort ein.
- Sie erhalten einen Einmal-Code per E-Mail, der nur fünf Minuten gültig ist.
Erst wenn beide Schritte erfolgreich sind, erhalten Sie Zugang. Selbst wenn jemand Ihr Passwort kennen würde, könnte diese Person sich ohne den zweiten Faktor nicht einloggen. Das schützt zuverlässig vor Passwort-Diebstahl und sogenannten Brute-Force-Angriffen – das sind automatisierte Versuche, bei denen ein Computer in kürzester Zeit tausende Passwortkombinationen durchprobiert, um Zugang zu einem Konto zu erlangen.
Automatische Backups
Im Hintergrund sichert Psido Ihre Daten regelmäßig an geographisch getrennten Standorten in der EU. Sollte es zu einem technischen Ausfall kommen, sind Ihre Daten trotzdem sicher und schnell wiederherstellbar. Darüber hinaus können Sie jederzeit ein vollständiges Backup Ihrer gesamten Praxisdaten herunterladen.
Was passiert bei einem Datenleck?
Kein System der Welt kann einen Sicherheitsvorfall zu 100 % ausschließen. Entscheidend ist, was in einem solchen Fall passiert. Sollte es trotz aller Schutzmaßnahmen jemals zu einem Datenleck kommen, greift bei Psido die Verschlüsselung als letzte Verteidigungslinie: Da alle PatientInnendaten mit AES-256 verschlüsselt gespeichert sind und jeder Account seinen eigenen Schlüssel besitzt, wären die Daten für Angreifer nicht lesbar – sie sähen lediglich eine bedeutungslose Zeichenfolge. Zusätzlich ist Psido gemäß DSGVO verpflichtet, Sie und die zuständige Datenschutzbehörde innerhalb von 72 Stunden über einen Vorfall zu informieren, damit Sie und Ihre PatientInnen schnellstmöglich reagieren können.
Ein Datenleck (auch „Data Breach" genannt) liegt vor, wenn personenbezogene Daten unbefugt zugänglich werden – sei es durch einen Hackerangriff, einen gestohlenen Laptop oder versehentliches Versenden an die falsche Person. Auch Sie als TherapeutIn haben in so einem Fall Pflichten: Die DSGVO verlangt, dass Sie als Verantwortliche/r die Österreichische Datenschutzbehörde (dsb.gv.at) innerhalb von 72 Stunden informieren, wenn ein Risiko für die Rechte Ihrer PatientInnen besteht. Besteht sogar ein hohes Risiko, müssen Sie auch die betroffenen PatientInnen direkt benachrichtigen, damit diese sich schützen können – etwa durch eine Passwortänderung bei anderen Diensten. Im Falle eines Vorfalls auf Seiten von Psido würden wir selbstverständlich die Meldung an die Behörde übernehmen und informieren Sie umgehend mit allen relevanten Details. Ein Notfallplan auf unserer Seite existiert.
Was Sie tun können
Wichtig ist auch Ihr eigener Beitrag: Wenn Sie ein leicht zu erratendes Passwort verwenden (z. B. „123456" oder Ihren Namen) und ein Angreifer gleichzeitig Zugriff auf Ihr E-Mail-Postfach hat, könnte dieser beide Faktoren der Authentifizierung überwinden. Deshalb empfehlen wir dringend, ein starkes, einzigartiges Passwort zu wählen und auch Ihr E-Mail-Konto gut abzusichern – am besten ebenfalls mit einer Zwei-Faktor-Authentifizierung. Die beste Technik schützt nur dann zuverlässig, wenn auch die Grundlagen stimmen.
Fazit
Als TherapeutIn tragen Sie eine besondere Verantwortung für die Daten Ihrer PatientInnen. Datenschutz und Datensicherheit sind dabei zwei Seiten derselben Medaille. Psido nimmt Ihnen den technischen Teil dieser Verantwortung ab – mit Verschlüsselung, Zwei-Faktor-Authentifizierung und DSGVO-konformer Speicherung in der EU. So können Sie sich auf das konzentrieren, was wirklich zählt: Ihre therapeutische Arbeit.
