Problemfall Telematikinfrastruktur?

Konnektor mit Datenschutzlücke: Was heißt das für die Apotheken?

Berlin - 01.03.2022, 10:45 Uhr

Der TI-Konnektor von Secunet speichert personenbezogene Daten. Ob darin ein Verstoß gegen die Datenschutzvorgaben der Gematik besteht, darüber gibt es unterschiedliche Auffassungen. (s / Foto: Secunet)

Der TI-Konnektor von Secunet speichert personenbezogene Daten. Ob darin ein Verstoß gegen die Datenschutzvorgaben der Gematik besteht, darüber gibt es unterschiedliche Auffassungen. (s / Foto: Secunet)


Ein Konnektor der Telematikinfrastruktur soll Medienberichten zufolge gegen die Datenschutzgrundverordnung verstoßen. Das sorgt vor allem bei Ärzten für Wirbel, weil sie nach Einschätzung des Bundesbeauftragten für Datenschutz und Informationsfreiheit die Verantwortung tragen. Betrifft das auch die Apotheken? 

Das Fachmagazin „c`t“ berichtet von Problemen der Konnektoren des Herstellers Secunet. Demnach sollen die Geräte personenbezogene Daten aufzeichnen und gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. „Wenn man die Log-Daten illegalerweise mit denen der Kartenhersteller oder Trust Service Provider (TSP) zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat.“ Zudem sei es über die Protokolle möglich, die Arztpraxis zu identifizieren. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) habe eine „Datenschutzverletzung nach Art. 33 Abs.1 DSGVO“ festgestellt. Verantwortlich für den Verstoß gegen die DSGVO seien diejenigen, „die diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden“, also „Ärzte und Leistungserbringer“. Die Geräte missachteten laut Bericht auch die Vorschriften der Gematik. Denn nach deren Vorgaben sollen allein „Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister“ Zugriff auf die sogenannten Log-Dateien haben.

Bei der Kassenärztlichen Bundesvereinigung (KBV) ist die Verärgerung groß. „Das Problem beweist einmal mehr, dass neue Anwendungen erst ausreichend getestet werden müssen, bevor sie in die Praxen ,ausgerollt` werden“, sagte KBV-Sprecher Roland Stahl am Montag auf Nachfrage der DAZ. Es sei ärgerlich und für die Ärztinnen und Ärzte frustrierend, wenn nur unzureichend getestete und mit Fehlern behaftete Produkte in die Praxen gelangen. „Ein Unding ist es, wenn dann auch noch die Behörde des Datenschutzbeauftragten den Ärzten die Verantwortung in die Schuhe schieben will für Unzulänglichkeiten, die sie nun wirklich nicht zu verantworten haben“, so Stahl. Das Thema werde am kommenden Freitag eine Rolle in der KBV-Vertreterversammlung spielen. Bereits am vergangenen Freitag hatte die KBV einen Brief an die Gematik und zur Kenntnis an Bundesgesundheitsminister Karl Lauterbach geschickt. Darin fordert sie die Gematik auf, zeitnah Antworten auf entstandene Fragen zu geben, etwa wie es zu den Problemen kommen konnte, wie nun mit den betroffenen Konnektoren umzugehen ist und welche Lehren aus dem Vorgang gezogen würden.

Hersteller sieht keinen Verstoß

Unterstützung bekommt die KBV von den Zahnärzten. Deren Interessenvertretung, die Kassenzahnärztliche Bundesvereinigung (KZBV) forderte Hersteller und die Gematik auf, die Vorwürfe schnell und umfassend aufzuklären. Zahnärztinnen und Zahnärzte sieht sie „ausdrücklich nicht in der Verantwortung“. KZBV-Vize Dr. Karl Georg Pochhammer erklärte: „Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten. Das ist in den Produkt-Spezifikationen klar ausgeschlossen und wird im Rahmen der Zulassung von der Gematik und dem Bundesamt für Sicherheit in der Informationspolitik geprüft.“ Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssten die Probleme so schnell wie möglich behoben werden. „Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten.“

Mehr zum Thema

Whitepaper der Gematik

TI 2.0: Ohne Karten und Konnektoren

Die betroffene Hersteller-Firma „secunet Security Networks AG“ äußerte sich ebenfalls zu den Vorwürfen. Ihrer Auffassung nach sind die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. „Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.“ Ungeachtet dieser Auffassung werde Secunet jedoch dem Wunsch der Gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der elektronischen Gesundheitskarte derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können.

Apotheken sind im Normalfall nicht betroffen

Was heißt das Wirr-Warr für die Apotheken? Sie sind offenbar nicht wirklich betroffen, da sie keinen Stammdatenabgleich vornehmen. Allerdings enthalte das E-Rezept massenhaft personenbezogene Daten, „für deren Speicherung ein berechtigtes Interesse besteht“, sagte IT-Experte Manuel Blechschmidt von der Incentergy GmbH auf Nachfrage der DAZ. „Normalerweise hat ein Betreiber von Infrastruktur auch ein berechtigtes Interesse, Protokolldaten zu erzeugen. Dass die Gematik hier so strenge Vorgaben macht, halte ich persönlich für bedauerlich.“ Die Problematik wird aus Blechschmidts Sicht viel zu stark hochgekocht. „Auf einer besonders gesicherten Hardware in der Praxis eines Arztes befinden sich Pseudonummern der Patienten. Das ist ungefähr so, als würde ich nachts auf einer Autobahn, wo man nur 100 km/h fahren darf, 101 km/h fahren. Wenn ich hier Daten missbrauchen möchte, dann klaue ich lieber den Computer mit dem Praxisverwaltungsystem anstatt den Konnektor.“



Anja Köhler, Freie Journalistin
redaktion@daz.online


Diesen Artikel teilen:


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.