Neben dem ständigen Ärger mit der Telematik wurden im Frühjahr 2022 Datenschutzrechtsverstöße durch Secunet-Konnektoren bekannt. Für große Verunsicherung sorgte die Ankündigung des Bundesdatenschutzbeauftragten, dass Ärzte für diese Datenschutzverstöße haften könnten.
Im Normalfall stecken Kassenpatienten beim Arztbesuch ihre elektronische Gesundheitskarte (eGK) in ein Kartenterminal. Dieses ist über den Konnektor mit der Telematik Infrastruktur (TI) verbunden. Dadurch wird ein Patientendatenaustausch unter anderem mit den gesetzlichen Krankenkassen ermöglicht. Laut Spezifikation der Konnektor-Anforderungen durch die für die Digitalisierung im Gesundheitswesen zuständigen Gematik, dürfen diese Daten nicht in den Log-Dateien der Konnektoren gespeichert werden. Im Februar 2022 hatte das Computermagazin c’t darüber berichtet, dass bei einigen Konnektoren eben diese Daten im Speicher gefunden wurden. Das ist ein klarer Datenschutzverstoß, der einen Streit um die Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) losgetreten hat.
Bundesdatenschutzbeauftragter will Praxen zur Verantwortung ziehen
Zunächst sah der Bundesdatenschutzbeauftragte die Verantwortung für diesen Datenschutzvorfall bei den Praxen. Denn die Datenverarbeitung liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. Dabei handelt es sich um die Leistungserbringer, also beispielsweise die Praxen.
Dieser Auffassung widerspricht die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in ihrer Stellungnahme von September 2019. Sie sieht die Gematik in der datenschutzrechtlichen Verantwortung für die Verarbeitung der Daten durch die Konnektoren.
Dennoch wird abweichend von diesem Beschluss durch das Patientendatenschutzgesetz (PDSG) die datenschutzrechtliche Verantwortung auf die Nutzer der Komponenten der dezentralen Infrastruktur abgeschoben. Die Nutzer der Konnektoren sind also datenschutzrechtlich verantwortlich.
Kassenärztliche Bundesvereinigung sieht Gematik und Konnektor-Hersteller in der Verantwortung
Dieser Auffassung widerspricht die Kassenärztliche Bundesvereinigung (KBV). Sie verlangt eine „schnelle und ausdrückliche“ Klarstellung des Bundesgesundheitsministeriums (BMG). Denn: Praxen können die Verarbeitung von Daten im Konnektor weder beeinflussen, noch bestimmen. Somit können sie auch nicht für etwas haften, auf das sie keinen Einfluss haben.
Rückenwind für die Ärzte durch das BMG
Das BMG bestätigt die Auffassung der KBV in einer Stellungnahme. Demnach seien Praxen lediglich verantwortlich, „wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden“. Da ihnen dies in diesem Fall nicht möglich sei, seien die Praxen nur für die „ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten“ verantwortlich. „Solange keiner dieser Fälle vorliegt, sind die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit des Leistungserbringers nicht gegeben.“ Die von der Gematik festgelegten Anforderungen an die Konnektoren seien von Secunet nicht entsprechend umgesetzt.
Ärzteschaft fordert nun gesetzliche Klarstellung
„Der aktuelle Fall zeigt, dass es hier dringend einer eindeutigen und klaren Regelung bedarf, die keinen Raum für Interpretationen zulässt. Solche bestehenden Unsicherheiten bremsen die schleppend anlaufende Digitalisierung im Gesundheitswesen zusätzlich aus“, kritisiert Larissa von Paultgerg, zertifizierte Datenschutzbeauftragte bei Ecovin in München.
Im Normalfall stecken Kassenpatienten beim Arztbesuch ihre elektronische Gesundheitskarte (eGK) in ein Kartenterminal. Dieses ist über den Konnektor mit der Telematik Infrastruktur (TI) verbunden. Dadurch wird ein Patientendatenaustausch unter anderem mit den gesetzlichen Krankenkassen ermöglicht. Laut Spezifikation der Konnektor-Anforderungen durch die für die Digitalisierung im Gesundheitswesen zuständigen Gematik, dürfen diese Daten nicht in den Log-Dateien der Konnektoren gespeichert werden. Im Februar 2022 hatte das Computermagazin c’t darüber berichtet, dass bei einigen Konnektoren eben diese Daten im Speicher gefunden wurden. Das ist ein klarer Datenschutzverstoß, der einen Streit um die Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) losgetreten hat.
Bundesdatenschutzbeauftragter will Praxen zur Verantwortung ziehen
Zunächst sah der Bundesdatenschutzbeauftragte die Verantwortung für diesen Datenschutzvorfall bei den Praxen. Denn die Datenverarbeitung liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. Dabei handelt es sich um die Leistungserbringer, also beispielsweise die Praxen.
Dieser Auffassung widerspricht die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in ihrer Stellungnahme von September 2019. Sie sieht die Gematik in der datenschutzrechtlichen Verantwortung für die Verarbeitung der Daten durch die Konnektoren.
Dennoch wird abweichend von diesem Beschluss durch das Patientendatenschutzgesetz (PDSG) die datenschutzrechtliche Verantwortung auf die Nutzer der Komponenten der dezentralen Infrastruktur abgeschoben. Die Nutzer der Konnektoren sind also datenschutzrechtlich verantwortlich.
Kassenärztliche Bundesvereinigung sieht Gematik und Konnektor-Hersteller in der Verantwortung
Dieser Auffassung widerspricht die Kassenärztliche Bundesvereinigung (KBV). Sie verlangt eine „schnelle und ausdrückliche“ Klarstellung des Bundesgesundheitsministeriums (BMG). Denn: Praxen können die Verarbeitung von Daten im Konnektor weder beeinflussen, noch bestimmen. Somit können sie auch nicht für etwas haften, auf das sie keinen Einfluss haben.
Rückenwind für die Ärzte durch das BMG
Das BMG bestätigt die Auffassung der KBV in einer Stellungnahme. Demnach seien Praxen lediglich verantwortlich, „wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden“. Da ihnen dies in diesem Fall nicht möglich sei, seien die Praxen nur für die „ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten“ verantwortlich. „Solange keiner dieser Fälle vorliegt, sind die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit des Leistungserbringers nicht gegeben.“ Die von der Gematik festgelegten Anforderungen an die Konnektoren seien von Secunet nicht entsprechend umgesetzt.
Ärzteschaft fordert nun gesetzliche Klarstellung
„Der aktuelle Fall zeigt, dass es hier dringend einer eindeutigen und klaren Regelung bedarf, die keinen Raum für Interpretationen zulässt. Solche bestehenden Unsicherheiten bremsen die schleppend anlaufende Digitalisierung im Gesundheitswesen zusätzlich aus“, kritisiert Larissa von Paultgerg, zertifizierte Datenschutzbeauftragte bei Ecovin in München.
