Datenschutzverstöße bei TI-Konnektoren aufgedeckt: Arztpraxen haften für Fehler des Herstellers

TI-Konnektoren des Herstellers Secunet zeichnen in Logs personenbezogene Daten auf und missachten damit die Spezifikation der Gematik. Das berichtet die Computerfachzeitschrift c’t.  Für Praxen, die den Konnektor einsetzen, könnte das ein ernsthaftes Problem werden, denn der Bundesdatenschützer sieht die Ärzteschaft und nicht den Hersteller in der Verantwortung für die DSGVO-Verstöße.

In dem am 25.2.2022 erschienenen c’t-Artikel beschreibt Autor Thomas Maus eingehend, wie personenbezogene Daten in den Log-Daten von TI-Konnektoren gespeichert werden (siehe https://www.heise.de/select/ct/2022/6/2204618460492956498 ). Dort haben sie laut den Spezifikationen der Gematik aber nichts zu suchen. Dort heißt es: „Personenbezogene Daten DÜRFEN NICHT in Protokolleinträgen gespeichert werden“. Das ist bei den Konnektoren von Secunet dem Bericht zufolge aber der Fall.

Den Verstoß gegen die DSGVO begehen die Nutzer, sprich Ärzte

Nach Angabe der c’t hat der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber auf die Anfrage von c’t bestätigt, dass  eine Datenschutzverletzung nach Art. 33 Abs. 1 Datenschutz-Grundverordnung (DSGVO) vorliegt. Laut c’t sehen die Bundesdatenschützer aber erstaunlicherweise Ärzte und andere Leistungserbringer in der rechtlichen Verantwortung für die DSGVO-Verstöße und nicht den Hersteller oder die Gematik, die den Konnektor trotz Spezifikationsverletzung zugelassen hat.

Datenschutzrechtlich verantwortlich sind aus rechtlicher Sicht aber tatsächlich diejenigen, die „diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden.“ Also Ärzte und Psychotherapeuten, die die TI-Konnektoren in ihren Praxen einsetzen.

„Bei der Zulassung sind Dilettanten am Werk“

Die Reaktionen lassen nicht lange auf sich warten. Als Erster äußerte sich der Vorsitzende des Deutschen Psychotherapeuten Netzwerks (DPNW) Dieter Adler. Er hat seiner Empörung über den Vorgang in einer offiziellen Stellungnahme Luft gemacht. Die Enthüllungen des Magazins würden offenbaren, dass die Zulassung durch die Gematik „großer Murks ist. Da sind Dilettanten am Werk, die keine Ahnung vom Datenschutz haben oder diesen absichtlich missachten.“

Er sei erschüttert darüber, dass man die Verantwortung bei den Nutzern sehe: „Das kann doch nicht wahr sein. Erst machen augenscheinlich einzelne Hersteller Mist, die Gematik ist im Zulassungsverfahren augenscheinlich blind oder unfähig und dann wird den Ärzten und Psychotherapeuten die rechtliche Verantwortung dafür in die Schuhe geschoben. Wir Leistungserbringer können nun wirklich nichts dafür. Sondern sind angehalten, diese von der Gematik zugelassenen Systeme zu verwenden.“

Man könne das technische Problem noch nicht einmal selbst abstellen. In seinen Augen heiße das für Kollegen, die an die TI angeschlossen sind: „Konnektor ausschalten und abstöpseln – eine andere Lösung gibt es im Moment nicht. Es hat schon seinen Grund, warum wir dauerhaft davon abraten, sich an die Telematik-Infrastruktur anschließen zu lassen.“ (Das DPNW bietet seinen Mitgliedern am 26.02.2022 ein SonderWebinar zum aktuellen Thema an).

Auch KBV-Vorstand Thomas Kriedel hat sich zwischenzeitlich geäußert. Gegenüber dem Deutschen Ärzteblatt sagte er: „Es darf doch nicht wahr sein, den Ärztinnen und Ärzte die Verantwortung für etwas in die Schuhe zu schieben, das sie ein­fach nicht zu verantworten haben“.

Immerhin: Die Gematik hat laut “c’t” den Hersteller Secunet zwischenzeitlich wohl informiert. Dieser will das Problem mit dem nächsten Update des Konnektors beheben.