Datenschutz-Verstöße bei Konnektoren

KZBV: „Zahnarztpraxen sind nicht in der Verantwortung!“

Wie das Magazin c’t berichtet, protokollieren die Konnektoren des Herstellers secunet unbefugterweise Patientendaten. Die Kassenzahnärztliche Bundesvereinigung (KZBV) fordert Hersteller und gematik auf, diese Vorwürfe aufzuklären. Zahnärztinnen und Zahnärzte sieht die KZBV ausdrücklich nicht in der Verantwortung.

Konnektoren dürfen keine persönlichen Daten aufzeichnen – die Modelle der secunet AG scheinen jedoch genau das zu tun. Adobe Stock_Suttipun

Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten“, stellte der stellvertretende KZBV-Vorsitzende Dr. Karl-Georg Pochhammer klar. Das sei in den Produkt-Spezifikationen klar ausgeschlossen und werde im Rahmen der Zulassung von der gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft.

Pochhammer: „Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssen die Probleme so schnell wie möglich behoben werden. Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten.“ 

Die gematik hat den Konnektor zugelassen

Die Bewertung des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), Prof. Ulrich Kelber, der dem Bericht zufolge die Praxen in der Verantwortung sieht, weist die KZBV entschieden zurück. „Die zitierte Aussage ist sehr ärgerlich. Und sie ist falsch!“, betonte Pochhammer. 

c't-Recherche

Ergebnisse und Reaktionen

Die Experten des c't-Magazins fanden von Mai 2020 bis zum Ende des Untersuchungszeitraums im Juli 2021 personenbezogene Dateien in den entsprechenden Log-Dateien von secunet – einer von drei Anbietern, die Konnektoren für die TI bereitstellen. In den Spezifikationen der für die TI verantwortlichen gematik (gemSpec_Kon_ V4.11.1.doc und gemSpec_Kon_V5.8.0.docx) steht aber gleichlautend: „Personenbezogene Daten DÜRFEN NICHT in Protokolleinträgen gespeichert werden.“

Wie das Magazin am 24. Februar berichtete, hatte die Redaktion den Verstoß Mitte Januar dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gemeldet, der demnach am 14. Februar „eine Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO“ feststellte. BfDI-Sprecher Christof Stein zufolge habe die gematik daraufhin secunet informiert, denn selbst mit der aktuellen Software 4.10.1 protokolliere der secunet-Konnektor mmer noch personenbezogene Daten und verstoße damit gegen die Datenschutz-Grundverordnung (DSGVO). Secunet erwiderte, man wolle den Fehler in einem kommenden Update des Konnektors beheben.

Datenschutzrechtlich verantwortlich für die Konnektoren sind aus Sicht des BfDI allerdings „Ärzte und Leistungserbringer“, soweit sie über die Mittel der Datenverarbeitung mitentscheiden – nicht die für den Betrieb der TI verantwortliche gematik, die die fehlerhaften Konnektoren trotz Prüfung überhaupt erst zugelassen hat.

In einem Statement an c't vom 25. Februar widerspricht secunet dem Vorwurf des BfDI, dass ein Datenschutzverstoß vorliegt: „Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister können auf Konnektor-Protokolle zugreifen. [...] Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor. Ungeachtet dieser Auffassung wird secunet dem Wunsch der gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können.“

„Zahnarztpraxen sind gesetzlich verpflichtet, sich an die Telematikinfrastruktur anzuschließen“, erläuterte er. „Die Verarbeitung personenbezogener Daten liegt dabei ausdrücklich nicht in ihrer Verantwortung, weil Praxen eben nicht über die Mittel der Datenverarbeitung mitentscheiden, sondern nach dem Willen des Gesetzgebers einen zugelassenen Konnektor einsetzen müssen.“

„abwegig, den Praxen jetzt die Schuld zu geben“

Zahnärztinnen und Zahnärzte hätten also schlichtweg keine Möglichkeit, Einfluss auf das in dem Bericht geschilderte Vorgehen des Konnektors zu nehmen. „Vor diesem Hintergrund ist es vollkommen abwegig, nun den Praxen die Schuld an dieser erneuten TI-Panne in die Schuhe zu schieben.“ 

Die KZBV verwahre sich im Namen des gesamten Berufsstands gegen solche unzutreffenden Schuldzuweisungen. „Wenn Prof. Kelber als BfDI sich schon medienwirksam auf Fehlersuche begibt, dann sollte er damit zunächst beim Hersteller secunet, bei der gematik und beim BSI beginnen.“ Die letztlich Verantwortlichen müssten die betroffenen Praxen schnellstmöglich über den Vorfall aufklären und klarstellen, dass die Zahnärzte für die vermeintlichen Fehler eben nicht verantwortlich sind, sagte Pochhammer. 

Auch die Kassenärztliche Bundesvereinigung (KBV) sieht die Verantwortung für die Gewährleistung der technischen Anforderungen an die Datenschutzsicherheit im Rahmen des Prüf- und Zulassungsprozesses bei der gematik. Auf diese Prüfungen dürften und müssten sich Ärzte und Patienten verlassen können.

gematik widerspricht c‘t

Die fraglichen Protokolle seien nur den Ärzten und gegebenenfalls ihren Dienstleistern zugänglich, teilt die gematik in Reaktion auf den c‘t-Bericht mit. Diese könnten aber ohnehin anhand der Primärdaten nachvollziehen, welche Patienten die Praxis besucht haben: „Damit hat zunächst keine Datenschutzverletzung stattgefunden.“ Darüber hinaus wären Dritte nicht in der Lage, von der Zertifikatsseriennummer direkt auf die Identität der Versicherten zu schließen. Hierfür müsste der (korrekte) Trust Service Provider der Krankenkasse mit dieser „dritten Person“ widerrechtlich kooperieren und die Identität offenlegen – ein Szenario, das aus Sicht der gematik kein reales Risiko darstellt.

Die Speicherung der Zertifikatsseriennummern entspreche aber nicht der Intention der Spezifikation. Ein entsprechender Hotfix für den PTV-5 sei bei secunet in Planung. Ärzte sollten dieses Update dann wie üblich installieren. Bis dahin könnten die Konnektoren ohne Einschränkung bestimmungsgemäß verwendet werden.

67950126759969675997367599746795013 6795014 6759976
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare