Wann diese Anleitung gilt#

Diese Anleitung gilt, wenn ein Laptop, Smartphone oder Tablet gestohlen wurde, auf dem Sie Psido verwendet haben.

Das Risiko ist besonders hoch, wenn die Festplatte des Geräts nicht verschlüsselt war. In diesem Fall könnten lokal gespeicherte Daten oder Zugangsinformationen in falsche Hände geraten.

Diese Seite ist eine praktische Orientierung für den Ernstfall und ersetzt keine Rechtsberatung. Wenn Sie unsicher sind, kontaktieren Sie bitte Ihre Rechtsberatung oder Ihren Berufsverband.

1) Sofort Zugänge absichern#

  1. Ändern Sie sofort Ihr Psido-Passwort. Gehen Sie in Psido auf Einstellungen > Kennwort ändern. Nach dem Ändern des Kennworts werden Sie sofort ausgeloggt. Alle anderen Geräte, die in Psido eingeloggt sind, werden ebenfalls sofort ausgeloggt.
  2. Ändern Sie sofort das Passwort Ihres E-Mail-Kontos.
  3. Verwenden Sie jeweils ein neues, einzigartiges Passwort. Ein gutes Kennwort ist lang, nicht unbedingt kompliziert. Eine Kombination aus zufälligen Wörtern, z. B. Herz-Jalousie-Pool-Kammer, ist ein gutes Kennwort. Ein schlechtes Kennwort ist z. B. das Geburtsdatum Ihres Kindes.

Warum das wichtig ist: Wenn Sie Ihr Psido-Passwort ändern, setzt Psido alle aktiven Anmeldesitzungen zurück. Dadurch werden bestehende Sitzungen auf anderen Geräten ungültig und ein möglicher Fremdzugriff wird unterbrochen.

2) Risiko am gestohlenen Gerät bewerten#

Prüfen Sie so früh wie möglich:

  1. War die Festplatte vollständig verschlüsselt?
  2. War das Gerät mit einem starken Geräte-Passwort geschützt?
  3. Waren Browser-Passwörter oder automatische Logins gespeichert?
  4. Waren lokal exportierte Dokumente mit Patient:innendaten am Gerät gespeichert?

Wenn die Festplatte nicht verschlüsselt war, oder Ihr Kennwort leicht zu erraten, müssen Sie von einem erhöhten Risiko für Patient:innendaten ausgehen und sich darauf vorbereiten, mit der Datenschutzbehörde in Kontakt zu treten.

3) Audit-Log in Psido prüfen#

Psido protokolliert Zugriffe und Änderungen im Audit-Log. Das Audit-Log wird einmal täglich aktualisiert. Zugriffe, die gerade jetzt passieren, sehen Sie daher erst am nächsten Tag.

  1. Öffnen Sie in Psido: Einstellungen > Mein Konto.
  2. Klicken Sie auf Audit-Log einsehen.
  3. Prüfen Sie auffällige Zugriffe oder Aktionen rund um den Zeitpunkt des Diebstahls.
  4. Dokumentieren Sie Datum, Uhrzeit und betroffene Bereiche für Ihre Vorfallsakte.

Im Audit-Log sehen Sie technische Protokolle (JSON) der letzten 60 Tage. Das hilft bei der internen Aufarbeitung und bei einer allfälligen Meldung. Wenn kein Zugriff ersichtlich ist, gibt es aktuell keinen Hinweis auf einen dokumentierten Fremdzugriff.

4) Vorfall intern dokumentieren#

Erstellen Sie eine Vorfallsdokumentation mit:

  1. Zeitpunkt und Art des Diebstahls.
  2. Gerätestatus (verschlüsselt oder nicht verschlüsselt).
  3. Durchgeführte Sofortmaßnahmen (Passwortwechsel, Audit-Log-Prüfung).
  4. Einschätzung, welche Daten betroffen sein könnten.
  5. Begründung, ob eine DSGVO-Meldung erforderlich ist.

5) DSGVO-Meldepflicht in Österreich abklären#

Bei möglicher Verletzung des Schutzes personenbezogener Daten müssen Sie prüfen, ob eine Meldung an die zuständige Aufsichtsbehörde erforderlich ist.

Für Österreich ist das die Datenschutzbehörde (DSB): https://www.dsb.gv.at/

Wichtige Orientierung:

  1. Eine Meldung an die Behörde ist in der Regel erforderlich, wenn ein Risiko besteht, dass jemand Zugang zu Ihren Daten von Psido hatte.
  2. Bei hohem Risiko kann zusätzlich eine Information der betroffenen Patient:innen erforderlich sein.
  3. Die Prüfung und eine allfällige Meldung sollten unverzüglich erfolgen, spätestens jedoch nach 72 Stunden.

Da es sich um sensible Gesundheitsdaten handelt, sollten Sie bei Unsicherheit frühzeitig rechtliche Beratung einholen. Ihr Berufsverband kann Ihnen behilflich sein.

6) Patient:innen informieren#

Sie können in Psido die E-Mail Adressen Ihrer Patient:innen extrahieren, indem Sie auf Extras > Statistiken & Abfragen > E-Mail Adressen klicken. Die Datenschutzbehörde oder Ihr Berufsverband helfen Ihnen beim Verfassen dieser Nachricht.

Allgemeine Sicherheitsmaßnahmen#

Folgende Maßnahmen empfehlen wir grundsätzlich:

  1. Aktivieren Sie die Festplattenverschlüsselung auf allen verbleibenden Geräten.
  2. Entfernen Sie nicht benötigte lokale Exporte mit Patient:innendaten.
  3. Überprüfen Sie regelmäßig Ihre Kontosicherheit und das Audit-Log.

Mehr zu den technischen Schutzmaßnahmen in Psido finden Sie unter Datensicherheit und Datenschutz.