Bundesgesundheitsministerium weist gematik zurecht
Über die Datenschutzverstöße der Konnektoren des Herstellers „Secunet“ berichteten wir bereits in der letzten Ausgabe des BZB. Im Nachgang entbrannte eine intensive Diskussion darüber, wer für die Verstöße haftet. So behauptete die gematik, rechtlich verantwortlich dafür seien die Praxisinhaber. Unterstützt wurde sie in dieser Haltung ausgerechnet vom Bundesdatenschutzbeauftragten Ulrich Kelber. Die ärztliche und zahnärztliche Selbstverwaltung forderte das Bundesgesundheitsministerium (BMG) zu einer Klarstellung auf.
Die Secunet-Konnektoren zeichneten über einen Zeitraum von fast drei Jahren personenbezogene Daten von Versicherten auf und verstießen damit gegen die Datenschutz-Grundverordnung (DSGVO). Davon hatten weder die Betroffenen selbst noch die Ärzte oder Zahnärzte Kenntnis. Nach den dreisten Schuldzuweisungen der gematik forderte die ärztliche und zahnärztliche Selbstverwaltung unisono eine schnelle und ausdrückliche Klarstellung von Bundesgesundheitsminister Karl Lauterbach. Und die bekamen sie auch. In einem Schreiben, das unter anderem an die Bundes-KZV und die Bundeszahnärztekammer adressiert ist, heißt es:
„Im Rahmen der Zertifikatsprüfung bei der Gültigkeitsprüfung der elektronischen Gesundheitskarte (eGK) wurde bzw. wird die Seriennummer der eGK-Zertifikate von gesperrten eGKen im Sicherheitsprotokoll der Konnektoren des Herstellers secunet gespeichert. Die Spezifikation des Konnektors sieht dagegen vor, dass keine personenbezogenen Daten protokolliert werden dürfen. Für diese Datenverarbeitung gibt es keine Rechtsgrundlage. Nach Auffassung des Bundesministeriums für Gesundheit sind die Leistungserbringer für die oben genannte Datenverarbeitung nicht datenschutzrechtlich verantwortlich. Die Speicherung von Daten im Sicherheitsprotokoll der Konnektoren des Herstellers secunet ist kein Datenverarbeitungsvorgang, der nach § 307 Abs. 1 SGB V in die Verantwortlichkeit der Leistungserbringer fällt.
Die Verantwortlichkeit der Leistungserbringer ist demnach gesetzlich begrenzt. § 307 Abs. 1 S. 1 letzter Halbsatz SGB V schränkt die Verantwortlichkeit der Leistungserbringer insoweit ein, als eine Verantwortung nur besteht, wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden. Die Leistungserbringer können über die Mittel der Datenverarbeitung für das Sicherheits-protokoll der Konnektoren jedoch gerade nicht mitentscheiden und haben darauf auch keinen Einfluss. § 307 Abs. 1 S. 2 SGB V konkretisiert die Begrenzung der Verantwortlichkeit auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten; im vorliegenden Fall also des Konnektors. Solange keiner dieser Fälle vorliegt, sind die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit des Leistungserbringers nicht gegeben.
Im Übrigen ist der Anwendungsbereich des § 307 SGB V im vorliegenden Fall nach Auffassung des Bundesministeriums für Gesundheit nicht eröffnet. Die Anforderungen an die Konnektoren gibt die gematik in Spezifikationen vor. Der Hersteller hat die infrage stehende Funktion des Konnektors entgegen der von der gematik vorgegebenen Konnektorspezifikation eigenverantwortlich entwickelt und umgesetzt. Im Rahmen der Zulassung prüft die gematik lediglich die funktionale Eignung, die sicherheitstechnische Eignung sowie die elektrische, mechanische und physikalische Eignung.
Die hier infrage stehende Datenverarbeitung widerspricht den Spezifikationen der gematik und entspricht auch nicht den von dem gesetzlichen Regelwerk der Telematik-Infrastruktur (TI) vorausgesetzten Datenverarbeitungsvorgängen für den ordnungsgemäßen Betrieb und die Nutzung der Telematik-Infrastruktur. Die Datenspeicherung im Sicherheitsprotokoll der Konnektoren ist vielmehr der Sphäre des Herstellers zuzuordnen.“
Sowohl die Kassenärztliche als auch die Kassenzahnärztliche Bundesvereinigung (KBV und KZBV) begrüßten die Klarstellung des BMG und forderten das Ministerium zugleich auf, die gesetzliche Regelung für die Anbieter von Konnektoren zu verschärfen. „Der aktuelle Fall hat gezeigt, dass wir dringend eine eindeutige und klare Regelung benötigen, die nicht mal so und mal so ausgelegt werden kann“, heißt es seitens der KBV.
Die KZBV kritisierte auch den Bundesdatenschutzbeauftragten (BfDI) wegen seiner falschen Bewertung der Datenpanne. „Die zitierte Aussage ist sehr ärgerlich. Und sie ist falsch! Wenn Prof. Kelber sich schon medienwirksam auf Fehlersuche begibt, dann sollte er damit zunächst beim Hersteller secunet, bei der gematik und beim BSI beginnen.“ Die letztlich Verantwortlichen müssten betroffene Praxen schnellstmöglich über den Vorfall aufklären und klarstellen, dass die Zahnärzte für die vermeintlichen Fehler eben nicht verantwortlich sind, sagte der stellvertretende KZBV-Vorsitzende Dr. Karl-Georg Pochhammer.
Leo Hofmeier