Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat einen Beschluss zur Verteilung der datenschutzrechtlichen Verantwortung in der Telematikinfrastruktur veröffentlicht. Hier bestand seit längerer Zeit Unklarheit, ob die Konnektoren, die als Schnitt- und Verbindungsstelle zwischen den Praxissystemen in Arztpraxen und der TI fungieren, unter die Verantwortung der Praxisbetreiber oder der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) fallen.
Die DSK unterscheidet hierbei eine "zentrale Zone der TI", in der sie die gematik datenschutzrechtlich als alleinverantwortlich erachtet sowie eine "dezentrale Zone der TI", für den die gematik datenschutzrechtlich mitverantwortlich sei. "Der Umfang der Verantwortung der gematik für die dezentrale Zone der Telematik-Infrastruktur bedarf einer gesetzlichen Regelung", heißt es. "Die gematik ist verantwortlich für die Verarbeitung, insbesondere soweit sie durch die von ihr vorgegebenen Spezifikationen und Konfigurationen für die Konnektoren, VPN-Zugangsdienste und Kartenterminals bestimmt ist."
gematik-Definition zentrale/dezentrale Komponenten
"Die zentrale TI-Plattform-Zone enthält die zentralen Dienste der TI-Plattform, welche die Anwendungen der TI mit grundlegenden, anwendungsunabhängigen Funktionalitäten unterstützen. Dazu gehören: VPN-Zugangsdienst, Zentrales Netz und Zugangspunkte, PKI-Dienste, Verzeichnisdienst und weitere zentrale Dienste."
"Die dezentrale TI-Plattform-Zone enthält die dezentralen Komponenten. Zu diesen gehören sämtliche Karten aller Beteiligten in der TI (eGK, HBA, SMCB), Kartenterminals, der Konnektor sowie Gerätekarten, die den Kartenterminals und Konnektoren eine eindeutige Identität zuordnen. Diese Komponenten kommen in den Umgebungen der Nutzer der TI zum Einsatz, also in den Arztpraxen, Krankenhäusern etc. All diese Komponenten müssen nach den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geprüft werden, bevor sie zum Einsatz kommen dürfen. Damit können alle Beteiligten sicher sein, dass die Sicherheit der Daten, die mit den Komponenten verarbeitet werden, stets gewahrt ist."
gematik sieht weder sich noch Ärzte in der Haftung
Der Beschluss des DSK widerspricht damit der jüngsten Darstellung der gematik. Diese hatte erst Ende Juli festgestellt, die Ausstattung der Praxen und ihr Anschluss an die Telematikinfrastruktur (TI) – insbesondere der Konnektor – lägen außerhalb ihres Verantwortungsbereichs. Die gematik nahm damit direkt Bezug auf den Vorstoß des Ärzteverbands MEDI GENO Deutschland, der angeregt hatte, dass sich Leistungserbringer bei Fragen zu Datensicherheit, Datenschutz und Haftung im Zusammenhang mit der TI mit einem Musterschreiben an ihre IT-Dienstleister als auch an die gematik wenden sollten.
Zwei Wochen zuvor hatte die gematik noch klargestellt, dass Ärzte nicht für Schäden infolge von Sicherheitslücken der TI haften. In dem von ihr veröffentlichten Informationsblatt hieß es damals wörtlich: "Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den mit dem BSI abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Leistungserbringer aufgestellt und betrieben werden, scheidet eine Haftung des Leistungserbringers nach der Datenschutz-Grundverordnung in jedem Fall aus."
BMG sieht keinen rechtlichen Nachbesserungsbedarf
Das Bundesministerium für Gesundheit (BMG) hatte wenige Tage zuvor eine anderslautende Mitteilung abgegeben, wonach sie sehr wohl die Praxisinhaber als verantwortlich im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ansieht. Diese müssten als Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen ergreifen und würden bei Verstößen gegen die Sorgfaltspflichten für den daraus resultierenden Schaden haften, wird das Ministerium in einer Antwort auf eine kleine Anfrage von FDP und Die Linke zitiert.
Politischen Handlungsbedarf sieht man bei datenschutzrechtlichen Haftungsfragen indes nicht: "Die Bundesregierung sieht keinen Nachbesserungsbedarf hinsichtlich der geltenden Rechtslage", hieß es in der Mitteilung weiter. Dieser Einschätzung hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder jetzt widersprochen.
Keine Kommentare