Hannover – Konnektoren des Herstellers Secunet zeichnen in Logs personenbezogene Daten auf und missachten damit die Spezifikationen der Gematik. Der Bundesdatenschützer sieht erstaunlicherweise Ärzte statt Hersteller in der Verantwortung für die DSGVO-Verstöße. In den Protokollen des Konnektors von Secunet fand c’t personenbezogene Daten von Patienten.
Patientendaten gehen nur den Arzt und die Versicherung etwas an. Deshalb haben diese Daten in Logs des Konnektors nichts zu suchen.
Wenn man die Log-Daten illegalerweise mit denen der Kartenhersteller oder TSP zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat. Man bekäme heraus, wann Herr Meier beim Psychiater war und in welchem Zeitraum Frau Müller in einer Suchtklinik behandelt wurde.
Auf die Frage, wer für den DSGVO-Verstoß verantwortlich sei, antwortete der BfDI: „Datenschutzrechtlich verantwortlich für die Konnektoren sind diejenigen, die diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden.“ Auf Nachfrage erklärte der BfDI, dies seien „Ärzte und Leistungserbringer“ – und nicht etwa die für den Betrieb der TI verantwortliche Gematik, die die fehlerhaften Konnektoren zugelassen hat.
Ärzte und Leistungserbringer wurden jedoch unter der Androhung von Honorarkürzungen gesetzlich verpflichtet, sich über einen von der Gematik zugelassenen Konnektor mit der TI zu verbinden. Sie haben keinerlei Möglichkeiten, die Protokollierung der personenbezogenen Daten abzustellen – außer sie schalten den Konnektor aus.
Kommentar von Hartmut Gieselmann, Redakteur bei c’t: „Der Fall zeigt, wie Ärzte und Leistungserbringer erst ein unausgereiftes System unter Androhung von Honorareinbußen aufoktroyiert bekommen und anschließend für Fehler, die sie nicht begangen haben, zur Verantwortung gezogen werden sollen. Gematik und Hersteller Secunet spielen hier munter Schwarzer Peter. Leidtragende sind Patienten, deren Daten nicht ausreichend geschützt werden, und Ärzte, die sich neben einer hingepfuschten Telematik jetzt auch noch mit Anwälten auseinandersetzen müssen, statt sich während einer Pandemie um die Gesundheit ihrer Patienten zu kümmern.“ (Quelle und Auszüge aus dem Artikel DSGVO-Zwickmühle, c’t 2022, Heft 6)
BVOU fragt nach
Grotesk mutet die Aussage des BfDI an, dass für den unterstellten Verstoß gegen die DSGVO der betreibende Arzt verantwortlich sein soll. Denn dieser betreibt den Konnektor einerseits als „black box“ und andererseits auf staatliche Anordnung hin. Dem einzelnen Arzt ist weder bekannt, noch zuzumuten, Logfiles im Konnektor auf Datenschutzkonformität zu prüfen. Er darf sicher davon ausgehen, dass ihm die von öffentlicher Hand zur Verfügung gestellten und zertifizierten Geräte ihren Dienst einwandfrei und nach den allen geltenden Bestimmungen versehen.
Der BVOU hat deshalb bei der gematik nachgefragt, wie sie den Sachverhalt der vermeintlichen Aufzeichnung personenbezogener Daten in den Konnektoren sieht und ob dafür wirklich der betreibende Arzt zur Verantwortung gezogen werden kann.
Die Antwort der gematik gibt erfreulicherweise Entwarnung bzgl. der Schwere des Datenproblems und entlastet Ärzte vollständig von einer Verantwortung für diesen herstellerbedingten Fehler:
Durch das Festhalten der Seriennummer eines eGK Zertifikats in Konnektor-Protokollen ist kein direkter Rückschluss auf Versicherte möglich, deren eGKs in einem der betroffenen Terminals geprüft werden.
Zum technischen Verständnis: Die Seriennummer des eGK Zertifikats ist ein pseudonymes Datum und könnte ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden, damit würde sich ein TSP allerdings rechtswidrig verhalten. Der TSP wiederum hat keinen Zugriff auf die betroffenen Protokolle. Nur die Leistungserbringer-Institutionen und ggf. die von ihnen hierzu beauftragten Dienstleister können auf Konnektor-Protokolle zugreifen. Gleichwohl ist es nicht Intention der Spezifikation, wenn in den Konnektoren des Herstellers bei der Prüfung der eGK die Seriennummer eines Zertifikats der eGK in den internen Protokollen festgehalten wird. Der Hersteller wird dies mittels Update für die betroffenen Konnektoren beheben. Wir empfehlen den Ärztinnen und Ärzten, sobald der Hersteller das Update bereitgestellt hat, dieses auch zu installieren.
Im Übrigen geht die gematik rechtlich davon aus, dass die LeistungserbringerInnen ihren datenschutzrechtlichen Sorgfaltspflichten nach der DSGVO hinreichend nachkommen, solange diese die Geräte bestimmungsgemäß verwenden und verfügbare Updates installieren.
Eine Verantwortung von an die TI angeschlossene Ärzte für fehlerhafte oder nicht datenschutzkonform arbeitende Konnektoren schließt die gematik also aus. Der betreibende Arzt kommt seiner Sorgfaltspflicht hinreichend nach, wenn er die verfügbaren Konnektor-Updates einspielt.
Dr. Jörg Ansorg, BVOU-Geschäftsführer
