Contact
QR code for the current URL

Story Box-ID: 1107174

ECOVIS AG Steuerberatungsgesellschaft Ernst-Reuter-Platz 10 10587 Berlin, Germany http://www.ecovis.com
Contact Ms Gudrun Bergdolt +49 89 5898266

Arztpraxen nicht für Datenschutzverstöße bei Konnektoren verantwortlich

(PresseBox) (Berlin, )
Neben dem ständigen Ärger mit der Telematik wurden im Frühjahr 2022 Datenschutzrechtsverstöße durch Secunet-Konnektoren bekannt. Für große Verunsicherung sorgte die Ankündigung des Bundesdatenschutzbeauftragten, dass Ärzte für diese Datenschutzverstöße haften könnten.

Im Normalfall stecken Kassenpatienten beim Arztbesuch ihre elektronische Gesundheitskarte (eGK) in ein Kartenterminal. Dieses ist über den Konnektor mit der Telematik Infrastruktur (TI) verbunden. Dadurch wird ein Patientendatenaustausch unter anderem mit den gesetzlichen Krankenkassen ermöglicht. Laut Spezifikation der Konnektor-Anforderungen durch die für die Digitalisierung im Gesundheitswesen zuständigen Gematik, dürfen diese Daten nicht in den Log-Dateien der Konnektoren gespeichert werden. Im Februar 2022 hatte das Computermagazin c’t darüber berichtet, dass bei einigen Konnektoren eben diese Daten im Speicher gefunden wurden. Das ist ein klarer Datenschutzverstoß, der einen Streit um die Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung (DSGVO) losgetreten hat.

Bundesdatenschutzbeauftragter will Praxen zur Verantwortung ziehen

Zunächst sah der Bundesdatenschutzbeauftragte die Verantwortung für diesen Datenschutzvorfall bei den Praxen. Denn die Datenverarbeitung liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. Dabei handelt es sich um die Leistungserbringer, also beispielsweise die Praxen.

Dieser Auffassung widerspricht die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in ihrer Stellungnahme von September 2019. Sie sieht die Gematik in der datenschutzrechtlichen Verantwortung für die Verarbeitung der Daten durch die Konnektoren.

Dennoch wird abweichend von diesem Beschluss durch das Patientendatenschutzgesetz (PDSG) die datenschutzrechtliche Verantwortung auf die Nutzer der Komponenten der dezentralen Infrastruktur abgeschoben. Die Nutzer der Konnektoren sind also datenschutzrechtlich verantwortlich.

Kassenärztliche Bundesvereinigung sieht Gematik und Konnektor-Hersteller in der Verantwortung

Dieser Auffassung widerspricht die Kassenärztliche Bundesvereinigung (KBV). Sie verlangt eine „schnelle und ausdrückliche“ Klarstellung des Bundesgesundheitsministeriums (BMG). Denn: Praxen können die Verarbeitung von Daten im Konnektor weder beeinflussen, noch bestimmen. Somit können sie auch nicht für etwas haften, auf das sie keinen Einfluss haben.

Rückenwind für die Ärzte durch das BMG

Das BMG bestätigt die Auffassung der KBV in einer Stellungnahme. Demnach seien Praxen lediglich verantwortlich, „wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden“. Da ihnen dies in diesem Fall nicht möglich sei, seien die Praxen nur für die „ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten“ verantwortlich. „Solange keiner dieser Fälle vorliegt, sind die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit des Leistungserbringers nicht gegeben.“ Die von der Gematik festgelegten Anforderungen an die Konnektoren seien von Secunet nicht entsprechend umgesetzt.

Ärzteschaft fordert nun gesetzliche Klarstellung

„Der aktuelle Fall zeigt, dass es hier dringend einer eindeutigen und klaren Regelung bedarf, die keinen Raum für Interpretationen zulässt. Solche bestehenden Unsicherheiten bremsen die schleppend anlaufende Digitalisierung im Gesundheitswesen zusätzlich aus“, kritisiert Larissa von Paultgerg, zertifizierte Datenschutzbeauftragte bei Ecovin in München.
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.