Telematik

Datenschutzprobleme von Konnektoren: Datenschutzrechtliche Verantwortlichkeit liegt nicht bei den Praxen

Vor wenigen Wochen wurde berichtet, dass die Konnektoren des Herstellers secunet unberechtigt Patientendaten (Seriennummern der eGK-Zertifikate von gesperrten elektronischen Gesundheitskarten) protokollieren würden und damit den Produkt-Spezifikationen widersprechen. Das Bundesgesundheitsministerium (BMG) hat nun in einem Schreiben an ärztliche und zahnärztliche Standesorganisationen klargestellt, dass die Leistungserbringer hierfür datenschutzrechtlich nicht verantwortlich sind.

Demnach ist die Speicherung von Daten im Sicherheitsprotokoll der Konnektoren des Herstellers secunet kein Datenverarbeitungsvorgang, der nach § 307 Abs. 1 SGB V in die Verantwortlichkeit der Leistungserbringer fällt.

Weiter erklärt das BMG: „§ 307 Abs. 1 S. 1 letzter Halbsatz SGB V schränkt die Verantwortlichkeit der Leistungserbringer insoweit ein, als eine Verantwortung nur besteht, wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden […]. Aus der Begründung zu § 307 Abs. 1 SGB V ergibt sich zudem, dass sich die Zuweisung der Verantwortlichkeit an den für die jeweilige Stelle überblickbaren und beherrschbaren Strukturen orientiert. Die Leistungserbringer können über die Mittel der Datenverarbeitung für das Sicherheitsprotokoll der Konnektoren jedoch gerade nicht mitentscheiden und haben darauf auch keinen Einfluss.“

Verantwortung des Herstellers

Zur Frage der Verantwortung für die Datenpanne erläutert das BMG: „Die Anforderungen an die Konnektoren gibt die gematik in Spezifikationen vor. Der Hersteller hat die in Frage stehende Funktion des Konnektors entgegen der von der gematik vorgegebenen Konnektorspezifikation eigenverantwortlich entwickelt und umgesetzt. Im Rahmen der Zulassung prüft die gematik lediglich die funktionale Eignung, die sicherheitstechnische Eignung sowie die elektrische, mechanische und physikalische Eignung. Die hier in Frage stehende Datenverarbeitung widerspricht den Spezifikationen der gematik und entspricht auch nicht den von dem gesetzlichen Regelwerk der Telematikinfrastruktur vorausgesetzten Datenverarbeitungsvorgängen für den ordnungsgemäßen Betrieb und die Nutzung der Telematikinfrastruktur. Die Datenspeicherung im Sicherheitsprotokoll der Konnektoren ist vielmehr der Sphäre des Herstellers zuzuordnen.“

Risikobewertung

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat das Risiko für einen möglichen Schaden bewertet und ist zu dem Ergebnis gekommen, dass die Wahrscheinlichkeit für den Schadenseintritt als sehr gering einzustufen ist. Nach Informationen der gematik sei ein Update bei secunet in Planung, das sobald verfügbar, zeitnah installiert werden sollte. Bis dahin können die Konnektoren ohne Einschränkung bestimmungsgemäß verwendet werden.