Konnektor mit Datenschutzlücke: Was heißt das für die Apotheken?

Das Fachmagazin „c`t“ berichtet von Problemen der Konnektoren des Herstellers Secunet. Demnach sollen die Geräte personenbezogene Daten aufzeichnen und gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. „Wenn man die Log-Daten illegalerweise mit denen der Kartenhersteller oder Trust Service Provider (TSP) zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat.“ Zudem sei es über die Protokolle möglich, die Arztpraxis zu identifizieren. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) habe eine „Datenschutzverletzung nach Art. 33 Abs.1 DSGVO“ festgestellt. Verantwortlich für den Verstoß gegen die DSGVO seien diejenigen, „die diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden“, also „Ärzte und Leistungserbringer“. Die Geräte missachteten laut Bericht auch die Vorschriften der Gematik. Denn nach deren Vorgaben sollen allein „Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister“ Zugriff auf die sogenannten Log-Dateien haben.

Bei der Kassenärztlichen Bundesvereinigung (KBV) ist die Verärgerung groß. „Das Problem beweist einmal mehr, dass neue Anwendungen erst ausreichend getestet werden müssen, bevor sie in die Praxen ,ausgerollt` werden“, sagte KBV-Sprecher Roland Stahl am Montag auf Nachfrage der DAZ. Es sei ärgerlich und für die Ärztinnen und Ärzte frustrierend, wenn nur unzureichend getestete und mit Fehlern behaftete Produkte in die Praxen gelangen. „Ein Unding ist es, wenn dann auch noch die Behörde des Datenschutzbeauftragten den Ärzten die Verantwortung in die Schuhe schieben will für Unzulänglichkeiten, die sie nun wirklich nicht zu verantworten haben“, so Stahl. Das Thema werde am kommenden Freitag eine Rolle in der KBV-Vertreterversammlung spielen. Bereits am vergangenen Freitag hatte die KBV einen Brief an die Gematik und zur Kenntnis an Bundesgesundheitsminister Karl Lauterbach geschickt. Darin fordert sie die Gematik auf, zeitnah Antworten auf entstandene Fragen zu geben, etwa wie es zu den Problemen kommen konnte, wie nun mit den betroffenen Konnektoren umzugehen ist und welche Lehren aus dem Vorgang gezogen würden.

Unterstützung bekommt die KBV von den Zahnärzten. Deren Interessenvertretung, die Kassenzahnärztliche Bundesvereinigung (KZBV) forderte Hersteller und die Gematik auf, die Vorwürfe schnell und umfassend aufzuklären. Zahnärztinnen und Zahnärzte sieht sie „ausdrücklich nicht in der Verantwortung“. KZBV-Vize Dr. Karl Georg Pochhammer erklärte: „Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten. Das ist in den Produkt-Spezifikationen klar ausgeschlossen und wird im Rahmen der Zulassung von der Gematik und dem Bundesamt für Sicherheit in der Informationspolitik geprüft.“ Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssten die Probleme so schnell wie möglich behoben werden. „Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten.“

Die betroffene Hersteller-Firma „secunet Security Networks AG“ äußerte sich ebenfalls zu den Vorwürfen. Ihrer Auffassung nach sind die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. „Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.“ Ungeachtet dieser Auffassung werde Secunet jedoch dem Wunsch der Gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der elektronischen Gesundheitskarte derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können.