Telematik-Infrastruktur

Datenschützer sehen Teil-Verantwortung bei gematik

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sieht die gematik in der datenschutzrechtlichen Mitverantwortung für die TI-Konnek­toren. Aktuell fehlt eine gesetzliche Regelung.

Wer haftet, wenn beim Betrieb der TI der datenschutzrechtliche Schadensfall eintritt: Der Arzt, die gematik oder beide? Datenschützer, Bundesregierung und gematik sind uneinig in diesem Punkt. AdobeStock_NicoElNino

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat einen Beschluss zur Verteilung der datenschutzrechtlichen Verantwortung in der Telematikinfrastruktur veröffentlicht. Hier bestand seit längerer Zeit Unklarheit, ob die Konnektoren, die als Schnitt- und Verbindungsstelle zwischen den Praxissystemen in Arztpraxen und der TI fungieren, unter die Verantwortung der Praxisbetreiber oder der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) fallen.

Die DSK unterscheidet hierbei eine "zentrale Zone der TI", in der sie die gematik datenschutzrechtlich als alleinverantwortlich erachtet sowie eine "dezentrale Zone der TI", für den die gematik datenschutzrechtlich mitverantwortlich sei. "Der Umfang der Verantwortung der gematik für die dezentrale Zone der Telematik-Infrastruktur bedarf einer gesetzlichen Regelung", heißt es. "Die gematik ist verantwortlich für die Verarbeitung, insbesondere soweit sie durch die von ihr vorgegebenen Spezifikationen und Konfigurationen für die Konnektoren, VPN-Zugangsdienste und Kartenterminals bestimmt ist."


gematik-Definition zentrale/dezentrale Komponenten

"Die zentrale TI-Plattform-Zone enthält die zentralen Dienste der TI-Plattform, welche die Anwendungen der TI mit grundlegenden, anwendungsunabhängigen Funktionalitäten unterstützen. Dazu gehören: VPN-Zugangsdienst, Zentrales Netz und Zugangspunkte, PKI-Dienste, Verzeichnisdienst und weitere zentrale Dienste."

"Die dezentrale TI-Plattform-Zone enthält die dezentralen Komponenten. Zu diesen gehören sämtliche Karten aller Beteiligten in der TI (eGK, HBA, SMCB), Kartenterminals, der Konnektor sowie Gerätekarten, die den Kartenterminals und Konnektoren eine eindeutige Identität zuordnen. Diese Komponenten kommen in den Umgebungen der Nutzer der TI zum Einsatz, also in den Arztpraxen, Krankenhäusern etc. All diese Komponenten müssen nach den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geprüft werden, bevor sie zum Einsatz kommen dürfen. Damit können alle Beteiligten sicher sein, dass die Sicherheit der Daten, die mit den Komponenten verarbeitet werden, stets gewahrt ist."


gematik sieht weder sich noch Ärzte in der Haftung

Der Beschluss des DSK widerspricht damit der jüngsten Darstellung der gematik. Diese hatte erst Ende Juli festgestellt, die Ausstattung der Praxen und ihr Anschluss an die Telematikinfrastruktur (TI) – insbesondere der Konnektor – lägen außerhalb ihres Verantwortungsbereichs. Die gematik nahm damit direkt Bezug auf den Vorstoß des Ärzteverbands MEDI GENO Deutschland, der angeregt hatte, dass sich Leistungserbringer bei Fragen zu Datensicherheit, Datenschutz und Haftung im Zusammenhang mit der TI mit einem Musterschreiben an ihre IT-Dienstleister als auch an die gematik wenden sollten.

Zwei Wochen zuvor hatte die gematik noch klargestellt, dass Ärzte nicht für Schäden infolge von Sicherheitslücken der TI haften. In dem von ihr veröffentlichten Informationsblatt hieß es damals wörtlich: "Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den mit dem BSI abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Leistungserbringer aufgestellt und betrieben werden, scheidet eine Haftung des Leistungserbringers nach der Datenschutz-Grundverordnung in jedem Fall aus."

BMG sieht keinen rechtlichen Nachbesserungsbedarf

Das Bundesministerium für Gesundheit (BMG) hatte wenige Tage zuvor eine anderslautende Mitteilung abgegeben, wonach sie sehr wohl die Praxisinhaber als verantwortlich im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ansieht. Diese müssten als Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen ergreifen und würden bei Verstößen gegen die Sorgfaltspflichten für den daraus resultierenden Schaden haften, wird das Ministerium in einer Antwort auf eine kleine Anfrage von FDP und Die Linke zitiert.

Politischen Handlungsbedarf sieht man bei datenschutzrechtlichen Haftungsfragen indes nicht: "Die Bundesregierung sieht keinen Nachbesserungsbedarf hinsichtlich der geltenden Rechtslage", hieß es in der Mitteilung weiter. Dieser Einschätzung hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder jetzt widersprochen.

20953672091065209106620910672095368 2095369 2091069
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare