Datenschutz-Verstöße bei Konnektoren

Ein Bild, das Schild mit Schloss enthält — KZBV nimmt zu aktuellen Medienbericht über Datenschutz-Verstöße bei Konnektoren Stellung: Die Zahnarztpraxen seien nicht in der Verantwortung.

UPDATE

„Lauterbach muss Konsequenzen ziehen“ – KZVB fordert Stopp der Telematikinfrastruktur

Am 25. Februar wurde bekannt, dass es bei der Telematikinfrastruktur (TI) massive Datenschutzprobleme gibt. Einige Konnektoren zeichnen personenbezogene Daten von Patienten auf und verstoßen damit gegen die Datenschutzgrundverordnung (DSGVO) sowie die Spezifikationen, wie sie von der gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben sind. Die Kassenzahnärztliche Vereinigung Bayerns fordert Konsequenzen.

Dr. Manfred Kinner, Mitglied des Vorstands: „Es ist ein Skandal, dass Konnektoren über einen Zeitraum von fast drei Jahren rechtswidrig personenbezogene Daten gespeichert haben. Das ist ein schwerwiegender Verstoß gegen die Datenschutzgrundverordnung. Der Bundesdatenschutzbeauftragte muss jetzt unverzüglich handeln. Die Verantwortlichen - und das sind nicht die Zahnärzte - müssen zur Rechenschaft gezogen werden. Das Systemversagen hat bei der gematik System. Ein solcher Vorgang darf sich unter keinen Umständen wiederholen. Deshalb brauchen wir einen kompletten Reset bei der TI.“

Dr. Rüdiger Schott, stellvertretender Vorsitzender des Vorstands: „Wir haben von Anfang an vor den Folgen der Digitalisierung mit der Brechstange gewarnt. Der ehemalige Bundesgesundheitsminister Jens Spahn hat die TI gegen den Widerstand der Ärzte und Zahnärzte durchgesetzt und die gematik verstaatlicht. Hohe Strafzahlungen für Praxen, die sich nicht an die TI anbinden ließen, waren ein grundfalsches Signal. Die Digitalisierung unseres Gesundheitswesens kann nur gelingen, wenn sie im Einvernehmen mit den Betroffenen erfolgt.“

Christian Berger, Vorsitzender des Vorstands: „Bundesgesundheitsminister Karl Lauterbach muss den weiteren Ausbau der TI jetzt unverzüglich stoppen und einen Neuanfang bei der Digitalisierung des Gesundheitswesens wagen. Die Telematik wird zu Recht als Berliner Flughafen der IT-Branche bezeichnet. Eine desolate Technik führt zu Ausfallraten von bis zu 40 Prozent. Entsprechend groß ist der Frust in unseren Praxen. Wir brauchen eine gesamtgesellschaftliche Diskussion darüber, welche Daten wo gespeichert werden und wer sie einsehen kann. An einem Reset bei der TI führt jetzt kein Weg mehr vorbei.“

KZBV nimmt zu aktuellem Medienbericht Stellung: Einem aktuellen Bericht des IT-Magazins „c’t“ zufolge protokollieren die Konnektoren des Herstellers Secunet unberechtigt Patientendaten. Die Kassenzahnärztliche Bundesvereinigung (KZBV) fordert Hersteller und Gematik auf, diese Vorwürfe schnell und umfassend aufzuklären. Zahnärztinnen und Zahnärzte sieht die KZBV ausdrücklich nicht in der Verantwortung.

„Zahnarztpraxen nicht in der Verantwortung!“

Dr. Karl Georg Pochhammer, stellvertrender Vorsitzender des KZBV-Vorstands: „Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten. Das ist in den Produkt-Spezifikationen klar ausgeschlossen und wird im Rahmen der Zulassung von der Gematik und dem Bundesamt für Sicherheit in der Informationspolitik geprüft. Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssen die Probleme so schnell wie möglich behoben werden. Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten.“
Die Bewertung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der dem Bericht zufolge die Praxen in der Verantwortung sieht, weist die KZBV entschieden zurück. „Die zitierte Aussage ist sehr ärgerlich. Und sie ist falsch!“, betonte Pochhammer. „Zahnarztpraxen sind gesetzlich verpflichtet, sich an die Telematikinfrastruktur anzuschließen. Die Verarbeitung personenbezogener Daten liegt dabei ausdrücklich nicht in ihrer Verantwortung, weil Praxen eben nicht über die Mittel der Datenverarbeitung mitentscheiden, sondern nach dem Willen des Gesetzgebers einen zugelassenen Konnektor einsetzen müssen.“
Zahnärztinnen und Zahnärzte hätten also schlichtweg keine Möglichkeit, Einfluss auf das in dem Bericht geschilderte Vorgehen des Konnektors zu nehmen. „Vor diesem Hintergrund ist es vollkommen abwegig, nun den Praxen die Schuld an dieser erneuten TI-Panne in die Schuhe zu schieben.“ Die KZBV verwahre sich im Namen des gesamten Berufsstandes gegen solche unzutreffenden Schuldzuweisungen. „Wenn Herr Prof. Kelber als BfDI sich schon medienwirksam auf Fehlersuche begibt, dann sollte er damit zunächst beim Hersteller secunet, bei der gematik und beim BSI beginnen.“ Die letztlich Verantwortlichen müssten betroffene Praxen schnellstmöglich über den Vorfall aufklären und klarstellen, dass die Zahnärzte für die vermeintlichen Fehler eben nicht verantwortlich sind, sagte Pochhammer.

Schutz von Patientendaten gefährdet?!

Am 25. Februar wurde bekannt, dass es innerhalb der sogenannten Telematikinfrastruktur (TI) Datenschutzprobleme bei Konnektoren der Fa. Secunet gibt: Die Geräte zeichnen Daten von Patientinnen und Patienten auf – entgegen den Bestimmungen der Datenschutzgrundverordnung (DSGVO) und entgegen den Spezifikationen, wie sie von der Gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für diese Hardwarekomponenten festgeschrieben sind.

„Immer wieder hat die Zahnärzteschaft darauf hingewiesen, dass bei der Digitalisierung im Gesundheitswesen die Daten von Patientinnen und Patienten zu jeder Zeit geschützt sein müssen und dass die Praxen selbst nicht haftbar dafür zu machen sind, wenn die gesetzlich vorgegebene Sicherheitsarchitektur keinen ausreichenden Schutz bietet“, sagt Stephan Allroggen, Vorsitzender des Vorstandes der Kassenzahnärztlichen Vereinigung Hessen.

„Der jetzige Vorfall zeigt, dass die Skepsis berechtigt war und dass diese Skepsis auch weiterhin berechtigt ist. Zahnärztinnen und Zahnärzte müssen sich auf die in ihren Praxen zum Einsatz kommenden Geräte und Komponenten verlassen können, die von der Gematik vorgegeben sind. Es ist unfassbar, wie leichtfertig offenbar technische Komponenten zur Nutzung freigegeben wurden, die in der Praxis DSGVO-Vorgaben brechen. Das darf weder zulasten der Patienten und Patientinnen erfolgen, noch dürfen dafür Zahnärztinnen und Zahnärzte zur Verantwortung gezogen werden. Wir fordern von der Gematik und vom BSI in Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eine umgehende Klärung des Sachverhalts.“

Die Konnektoren

Konnektoren sind Hardware-Bestandteile, die mit Blick auf die Digitalisierung im Gesundheitswesen Kliniken, ärztliche und zahnärztliche Praxen an die sogenannte Telematikinfrastruktur (TI) anschließen. Von der Gematik zugelassen sind Konnektoren der Firmen KoCo Connector GmbH, Research Industrial Systems Engineering (RISE) GmbH und Secunet Security Networks AG.

Im Mai 2021 informierte die Gematik über ein zugelassenes neues Upgrade für die Konnektoren der secunet AG. „Damit nimmt die Einführung ePA in Deutschland weiter Fahrt auf, denn der secunet-Konnektor hat den größten Marktanteil der drei Konnektorhersteller“, hieß es in der Pressemitteilung vom 6. Mai 2021. Mit der Zulassung der ersten Konnektor-Upgrades gehe die Einführung der ePA nun mit großen Schritten voran. Im Dezember 2021 vermeldete die Gematik innerhalb der Telematikinfrastruktur eine Schwachstelle („Log4j“), die in Praxen mit dem Konnektor der Fa. Rise ein sofortiges Update dieses Konnektors erforderlich machte. Über die Konnektoren als „geprüfte Sicherheitskomponenten“ und ihre Schlüsselfunktion innerhalb der Telematikinfrastruktur informiert die Gematik auf ihrer Website.