Ende Februar sorgte ein Bericht auf Aufregung: „c’t deckt auf: Datenschutzverstöße bei TI-Konnektoren im Gesundheitswesen. Konnektoren verbinden Gesundheitskarten-Terminals mit der telematischen Infrastruktur. Sie dürfen keine persönlichen Daten aufzeichnen – einige tun das jedoch“ (siehe auch "Datenschutz-Verstöße bei Konnektoren").
Beim Einstecken der elektronischen Gesundheitskarte in das Kartenterminal der (Zahn-)Arztpraxis werden über den Konnektor und damit über die Telematikinfrastruktur unter anderem die Versichertenstammdaten mit den Daten der gesetzlichen Krankenkassen abgeglichen, um sie aktuell zu halten. Dem Bericht des IT-Magazins zufolge zeichnen Secunet-Konnektoren im Fehlerfall des VSDM Daten auf: „Die System- und Sicherheits-Logs speicherten bei jedem VSDM-Fehler die Seriennummer des Krypto-Zertifikats der eGK.“ Deutet man diese Daten als „personenbezogene Daten“, verstieße dies gegen die DSGVO. Und wer ist dann dafür verantwortlich? Das fragte die „c’t“ den Bundesbeauftragen für Datenschutz und Informationsfreiheit (BfDI). Das seien die „Ärzte und Leistungserbringer“, teilte der BfDI über einen Sprecher mit.
Den Letzten beißen die Hunde?
Das muss man sich auf der Zunge zergehen lassen. Die (Zahn-)Arztpraxen müssen sich sanktionsbewehrt an die TI anschließen. Die Gematik legt die technischen Spezifikationen für die Zulassung auch der Konnektoren fest. Unternehmen entwickeln daraufhin die entsprechende Hard- und Software und die Gematik prüft diese und lässt sie dann zu oder auch nicht. Im Falle der Secunet-Konnektoren sind diese zugelassen. Die „Ärzte und Leistungserbringer“ können sich derzeit zwischen drei Konnektor-Anbietern entscheiden. Und wer sich nun für ein Secunet-Konnektor entschieden hat, soll jetzt für eventuelle DSGVO-Verstöße verantwortlich sein? Für Fehler eines zugelassenen Produkts, das er oder sie weder prüfen noch verändern kann und darf? Und nun? Einfach abschalten? Wohl kaum.
Keiner war‘s gewesen
Die Reaktionen der Standespolitik ließen auch nicht lange auf sich warten. Zahnärzte hätten schlichtweg keine Möglichkeit, Einfluss auf das in dem Bericht geschilderte Vorgehen des Konnektors zu nehmen. „Vor diesem Hintergrund ist es vollkommen abwegig, nun den Praxen die Schuld an dieser erneuten TI-Panne in die Schuhe zu schieben“, sagte der für die TI zuständige Vorstand der KZBV, Dr. Karl-Georg Pochhammer.
Die betroffenen Arzt- und Psychotherapeutenpraxen seien für die Verstöße nicht verantwortlich, hieß es in einer Stellungnahme der KBV. Die Verantwortung für die Gewährleistung der technischen Anforderungen an die Datenschutzsicherheit liege im Rahmen des Prüf- und Zulassungsprozesses bei der Gematik, so der KBV-Vorstand.
Gut gebrüllt Löwen, könnte man meinen. Nur sind sowohl die KZBV als auch die KBV Anteilseigner der Gematik. Und hier beißen sich die Großkatzen in den eigenen Schwanz.
Gematik und Hersteller halten sich derweil die Augen zu und sehen gar kein Problem. „Die fraglichen Protokolle sind nur den Ärztinnen und Ärzten und den durch sie beauftragten Dienstleistern zugänglich. Diese hätten aber ohnehin die Möglichkeit, anhand der Primärdaten nachzuvollziehen, welche Patientinnen und Patienten die Praxis besucht haben. Damit hat zunächst keine Datenschutzverletzung stattgefunden“, argumentiert die Gematik. Um von der Zertifikatsseriennummer auf die Identität der Versicherten schließen zu können, müsse der Trust Service Provider der Krankenkasse mit einer „Dritten Person“ widerrechtlich kooperieren, das sei ein Szenario, das kein reales Risiko darstelle. Ist ja verboten.
Und Secunet sieht in den Zertifikats-Seriennummern nach Auffassung schlicht keine „personenbezogene Daten“. Kündigt aber sicherheitshalber eine Fehlerkorrektur mit dem nächsten Update an.
Der reale Schaden lässt sich für Nicht-Datenschutz-Experten nur schwer abschät-
zen. Auch wenn jetzt viele auf den Anti-TI-Zug aufspringen und einen „kompletten
Reset bei der TI“ fordern. Aber der Vertrauensverlust der (Zahn-)Ärzteschaft in TI lässt sich schon abschätzen. Sanktionszwangsanschluss, Berlin-Flughafen-Desaster-Vergleich – all das kocht wieder hoch.
Herr Lauterbach, bitte übernehmen
Die Digitalisierung im Gesundheitswesen hat Jens Spahn, Ex-Gesundheitsminister und Ex-Hoffnungsträger der CDU, als Teilenteigner der Gematik und Macher in Windeseile vorangetrieben. Konnektoren, die kurz nach Einführung nicht mehr Teil der angekündigten TI 2.0 sein sollen, elektronische Gesundheitskarten mit NFC, die zu Systemabstürzen führen können, digitale Gesundheitsanwendung, die ohne Evidenznachweis nach vom Hersteller festgelegten Preis von der GKV refinanziert werden müssen – all das können Teile der Gesundheitswirtschaft als Gewinn ansehen, nur ein Segen für die „Leistungserbringer“ und die Patienten ist diese Digitalisierung bislang nicht. Jetzt darf Spahn-Nachfolger Karl Lauterbach den digitalen Scherbenhaufen aufkehren – in Corona-Zeiten – in Zeiten eines Krieges in der Ukraine.
Danke Jens, mag er sich denken.
Dr. Helge David