KZBV: „Zahnarztpraxen sind nicht in der Verantwortung!“
Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten“, stellte der stellvertretende KZBV-Vorsitzende Dr. Karl-Georg Pochhammer klar. Das sei in den Produkt-Spezifikationen klar ausgeschlossen und werde im Rahmen der Zulassung von der gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft.
Pochhammer: „Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssen die Probleme so schnell wie möglich behoben werden. Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten.“
Die gematik hat den Konnektor zugelassen
Die Bewertung des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), Prof. Ulrich Kelber, der dem Bericht zufolge die Praxen in der Verantwortung sieht, weist die KZBV entschieden zurück. „Die zitierte Aussage ist sehr ärgerlich. Und sie ist falsch!“, betonte Pochhammer.
Ergebnisse und Reaktionen
c't-Recherche
Die Experten des c't-Magazins fanden von Mai 2020 bis zum Ende des Untersuchungszeitraums im Juli 2021 personenbezogene Dateien in den entsprechenden Log-Dateien von secunet – einer von drei Anbietern, die Konnektoren für die TI bereitstellen. In den Spezifikationen der für die TI verantwortlichen gematik (gemSpec_Kon_ V4.11.1.doc und gemSpec_Kon_V5.8.0.docx) steht aber gleichlautend: „Personenbezogene Daten DÜRFEN NICHT in Protokolleinträgen gespeichert werden.“
Wie das Magazin am 24. Februar berichtete, hatte die Redaktion den Verstoß Mitte Januar dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gemeldet, der demnach am 14. Februar „eine Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO“ feststellte. BfDI-Sprecher Christof Stein zufolge habe die gematik daraufhin secunet informiert, denn selbst mit der aktuellen Software 4.10.1 protokolliere der secunet-Konnektor mmer noch personenbezogene Daten und verstoße damit gegen die Datenschutz-Grundverordnung (DSGVO). Secunet erwiderte, man wolle den Fehler in einem kommenden Update des Konnektors beheben.
Datenschutzrechtlich verantwortlich für die Konnektoren sind aus Sicht des BfDI allerdings „Ärzte und Leistungserbringer“, soweit sie über die Mittel der Datenverarbeitung mitentscheiden – nicht die für den Betrieb der TI verantwortliche gematik, die die fehlerhaften Konnektoren trotz Prüfung überhaupt erst zugelassen hat.
In einem Statement an c't vom 25. Februar widerspricht secunet dem Vorwurf des BfDI, dass ein Datenschutzverstoß vorliegt: „Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister können auf Konnektor-Protokolle zugreifen. [...] Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor. Ungeachtet dieser Auffassung wird secunet dem Wunsch der gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können.“
„Zahnarztpraxen sind gesetzlich verpflichtet, sich an die Telematikinfrastruktur anzuschließen“, erläuterte er. „Die Verarbeitung personenbezogener Daten liegt dabei ausdrücklich nicht in ihrer Verantwortung, weil Praxen eben nicht über die Mittel der Datenverarbeitung mitentscheiden, sondern nach dem Willen des Gesetzgebers einen zugelassenen Konnektor einsetzen müssen.“
„Abwegig, den Praxen jetzt die Schuld zu geben“
Zahnärztinnen und Zahnärzte hätten also schlichtweg keine Möglichkeit, Einfluss auf das in dem Bericht geschilderte Vorgehen des Konnektors zu nehmen. „Vor diesem Hintergrund ist es vollkommen abwegig, nun den Praxen die Schuld an dieser erneuten TI-Panne in die Schuhe zu schieben.“
Die KZBV verwahre sich im Namen des gesamten Berufsstands gegen solche unzutreffenden Schuldzuweisungen. „Wenn Prof. Kelber als BfDI sich schon medienwirksam auf Fehlersuche begibt, dann sollte er damit zunächst beim Hersteller secunet, bei der gematik und beim BSI beginnen.“ Die letztlich Verantwortlichen müssten die betroffenen Praxen schnellstmöglich über den Vorfall aufklären und klarstellen, dass die Zahnärzte für die vermeintlichen Fehler eben nicht verantwortlich sind, sagte Pochhammer.
Auch die Kassenärztliche Bundesvereinigung (KBV) sieht die Verantwortung für die Gewährleistung der technischen Anforderungen an die Datenschutzsicherheit im Rahmen des Prüf- und Zulassungsprozesses bei der gematik. Auf diese Prüfungen dürften und müssten sich Ärzte und Patienten verlassen können.
gematik widerspricht c‘t
Die fraglichen Protokolle seien nur den Ärzten und gegebenenfalls ihren Dienstleistern zugänglich, teilt die gematik in Reaktion auf den c‘t-Bericht mit. Diese könnten aber ohnehin anhand der Primärdaten nachvollziehen, welche Patienten die Praxis besucht haben: „Damit hat zunächst keine Datenschutzverletzung stattgefunden.“ Darüber hinaus wären Dritte nicht in der Lage, von der Zertifikatsseriennummer direkt auf die Identität der Versicherten zu schließen. Hierfür müsste der (korrekte) Trust Service Provider der Krankenkasse mit dieser „dritten Person“ widerrechtlich kooperieren und die Identität offenlegen – ein Szenario, das aus Sicht der gematik kein reales Risiko darstellt.
Die Speicherung der Zertifikatsseriennummern entspreche aber nicht der Intention der Spezifikation. Ein entsprechender Hotfix für den PTV-5 sei bei secunet in Planung. Ärzte sollten dieses Update dann wie üblich installieren. Bis dahin könnten die Konnektoren ohne Einschränkung bestimmungsgemäß verwendet werden.
Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten“, stellte der stellvertretende KZBV-Vorsitzende Dr. Karl-Georg Pochhammer klar. Das sei in den Produkt-Spezifikationen klar ausgeschlossen und werde im Rahmen der Zulassung von der gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft.
Pochhammer: „Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssen die Probleme so schnell wie möglich behoben werden. Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten.“
Die gematik hat den Konnektor zugelassen
Die Bewertung des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), Prof. Ulrich Kelber, der dem Bericht zufolge die Praxen in der Verantwortung sieht, weist die KZBV entschieden zurück. „Die zitierte Aussage ist sehr ärgerlich. Und sie ist falsch!“, betonte Pochhammer.
Ergebnisse und Reaktionen
c't-Recherche
Die Experten des c't-Magazins fanden von Mai 2020 bis zum Ende des Untersuchungszeitraums im Juli 2021 personenbezogene Dateien in den entsprechenden Log-Dateien von secunet – einer von drei Anbietern, die Konnektoren für die TI bereitstellen. In den Spezifikationen der für die TI verantwortlichen gematik (gemSpec_Kon_ V4.11.1.doc und gemSpec_Kon_V5.8.0.docx) steht aber gleichlautend: „Personenbezogene Daten DÜRFEN NICHT in Protokolleinträgen gespeichert werden.“
Wie das Magazin am 24. Februar berichtete, hatte die Redaktion den Verstoß Mitte Januar dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gemeldet, der demnach am 14. Februar „eine Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO“ feststellte. BfDI-Sprecher Christof Stein zufolge habe die gematik daraufhin secunet informiert, denn selbst mit der aktuellen Software 4.10.1 protokolliere der secunet-Konnektor mmer noch personenbezogene Daten und verstoße damit gegen die Datenschutz-Grundverordnung (DSGVO). Secunet erwiderte, man wolle den Fehler in einem kommenden Update des Konnektors beheben.
Datenschutzrechtlich verantwortlich für die Konnektoren sind aus Sicht des BfDI allerdings „Ärzte und Leistungserbringer“, soweit sie über die Mittel der Datenverarbeitung mitentscheiden – nicht die für den Betrieb der TI verantwortliche gematik, die die fehlerhaften Konnektoren trotz Prüfung überhaupt erst zugelassen hat.
In einem Statement an c't vom 25. Februar widerspricht secunet dem Vorwurf des BfDI, dass ein Datenschutzverstoß vorliegt: „Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister können auf Konnektor-Protokolle zugreifen. [...] Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor. Ungeachtet dieser Auffassung wird secunet dem Wunsch der gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können.“
„Zahnarztpraxen sind gesetzlich verpflichtet, sich an die Telematikinfrastruktur anzuschließen“, erläuterte er. „Die Verarbeitung personenbezogener Daten liegt dabei ausdrücklich nicht in ihrer Verantwortung, weil Praxen eben nicht über die Mittel der Datenverarbeitung mitentscheiden, sondern nach dem Willen des Gesetzgebers einen zugelassenen Konnektor einsetzen müssen.“
„Abwegig, den Praxen jetzt die Schuld zu geben“
Zahnärztinnen und Zahnärzte hätten also schlichtweg keine Möglichkeit, Einfluss auf das in dem Bericht geschilderte Vorgehen des Konnektors zu nehmen. „Vor diesem Hintergrund ist es vollkommen abwegig, nun den Praxen die Schuld an dieser erneuten TI-Panne in die Schuhe zu schieben.“
Die KZBV verwahre sich im Namen des gesamten Berufsstands gegen solche unzutreffenden Schuldzuweisungen. „Wenn Prof. Kelber als BfDI sich schon medienwirksam auf Fehlersuche begibt, dann sollte er damit zunächst beim Hersteller secunet, bei der gematik und beim BSI beginnen.“ Die letztlich Verantwortlichen müssten die betroffenen Praxen schnellstmöglich über den Vorfall aufklären und klarstellen, dass die Zahnärzte für die vermeintlichen Fehler eben nicht verantwortlich sind, sagte Pochhammer.
Auch die Kassenärztliche Bundesvereinigung (KBV) sieht die Verantwortung für die Gewährleistung der technischen Anforderungen an die Datenschutzsicherheit im Rahmen des Prüf- und Zulassungsprozesses bei der gematik. Auf diese Prüfungen dürften und müssten sich Ärzte und Patienten verlassen können.
gematik widerspricht c‘t
Die fraglichen Protokolle seien nur den Ärzten und gegebenenfalls ihren Dienstleistern zugänglich, teilt die gematik in Reaktion auf den c‘t-Bericht mit. Diese könnten aber ohnehin anhand der Primärdaten nachvollziehen, welche Patienten die Praxis besucht haben: „Damit hat zunächst keine Datenschutzverletzung stattgefunden.“ Darüber hinaus wären Dritte nicht in der Lage, von der Zertifikatsseriennummer direkt auf die Identität der Versicherten zu schließen. Hierfür müsste der (korrekte) Trust Service Provider der Krankenkasse mit dieser „dritten Person“ widerrechtlich kooperieren und die Identität offenlegen – ein Szenario, das aus Sicht der gematik kein reales Risiko darstellt.
Die Speicherung der Zertifikatsseriennummern entspreche aber nicht der Intention der Spezifikation. Ein entsprechender Hotfix für den PTV-5 sei bei secunet in Planung. Ärzte sollten dieses Update dann wie üblich installieren. Bis dahin könnten die Konnektoren ohne Einschränkung bestimmungsgemäß verwendet werden.
