Telematik-Infrastruktur

Datenschützer sehen Teil-Verantwortung bei gematik

mg/pm
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sieht die gematik in der datenschutzrechtlichen Mitverantwortung für die TI-Konnek­toren. Aktuell fehlt eine gesetzliche Regelung.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat einen Beschluss zur Verteilung der datenschutzrechtlichen Verantwortung in der Telematikinfrastruktur veröffentlicht. Hier bestand seit längerer Zeit Unklarheit, ob die Konnektoren, die als Schnitt- und Verbindungsstelle zwischen den Praxissystemen in Arztpraxen und der TI fungieren, unter die Verantwortung der Praxisbetreiber oder der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) fallen.
Die DSK unterscheidet hierbei eine "zentrale Zone der TI", in der sie die gematik datenschutzrechtlich als alleinverantwortlich erachtet sowie eine "dezentrale Zone der TI", für den die gematik datenschutzrechtlich mitverantwortlich sei. "Der Umfang der Verantwortung der gematik für die dezentrale Zone der Telematik-Infrastruktur bedarf einer gesetzlichen Regelung", heißt es. "Die gematik ist verantwortlich für die Verarbeitung, insbesondere soweit sie durch die von ihr vorgegebenen Spezifikationen und Konfigurationen für die Konnektoren, VPN-Zugangsdienste und Kartenterminals bestimmt ist."


gematik sieht weder sich noch Ärzte in der Haftung


Der Beschluss des DSK widerspricht damit der jüngsten Darstellung der gematik. Diese hatte erst Ende Juli festgestellt, die Ausstattung der Praxen und ihr Anschluss an die Telematikinfrastruktur (TI) – insbesondere der Konnektor – lägen außerhalb ihres Verantwortungsbereichs. Die gematik nahm damit direkt Bezug auf den Vorstoß des Ärzteverbands MEDI GENO Deutschland, der angeregt hatte, dass sich Leistungserbringer bei Fragen zu Datensicherheit, Datenschutz und Haftung im Zusammenhang mit der TI mit einem Musterschreiben an ihre IT-Dienstleister als auch an die gematik wenden sollten.
Zwei Wochen zuvor hatte die gematik noch klargestellt, dass Ärzte nicht für Schäden infolge von Sicherheitslücken der TI haften. In dem von ihr veröffentlichten Informationsblatt hieß es damals wörtlich: "Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den mit dem BSI abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Leistungserbringer aufgestellt und betrieben werden, scheidet eine Haftung des Leistungserbringers nach der Datenschutz-Grundverordnung in jedem Fall aus."

BMG sieht keinen rechtlichen Nachbesserungsbedarf


Das Bundesministerium für Gesundheit (BMG) hatte wenige Tage zuvor eine anderslautende Mitteilung abgegeben, wonach sie sehr wohl die Praxisinhaber als verantwortlich im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ansieht. Diese müssten als Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen ergreifen und würden bei Verstößen gegen die Sorgfaltspflichten für den daraus resultierenden Schaden haften, wird das Ministerium in einer Antwort auf eine kleine Anfrage von FDP und Die Linke zitiert.
Politischen Handlungsbedarf sieht man bei datenschutzrechtlichen Haftungsfragen indes nicht: "Die Bundesregierung sieht keinen Nachbesserungsbedarf hinsichtlich der geltenden Rechtslage", hieß es in der Mitteilung weiter. Dieser Einschätzung hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder jetzt widersprochen.

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.