Datenschutzprobleme trotz Gematik-Zulassung

IT-Experten schlagen Alarm: Konnektoren speichern Praxisdaten

, Uhr
Berlin -

Eigentlich dient der Konnektor nur als Verbindung zur Telematischen Infrastruktur (TI). Über das Gerät werden beispielsweise Stammdaten der Versicherten ausgetauscht – gespeichert werden darf nichts. Bei einem der aktuell drei Anbieter von Konnektoren scheint es genau dazu zu kommen, wie das Computermagazin c’t berichtet. Die Kassenärztliche Bundesvereinigung (KBV) sieht die Gematik in der Verantwortung.

Laut Spezifikation der Gematik dürfen personenbezogene Daten nicht in Protokolleinträgen gespeichert werden, so steht es auch in der Spezifikation der Gematik. Doch das Computermagazin c’t schreibt, dass man bei Untersuchungen zu Ausfällen der TI in den Log-Dateien von Konnektoren auf personenbezogene Daten gestoßen sei: „Wir fanden sie im Zeitraum von Oktober 2018 bis Dezember 2020 in den Protokollen des Konnektors von T-Systems. Dieser wurde 2020 bundesweit gegen den Einboxkonnektor von Secunet ausgetauscht. Bei Secunet fanden wir personenbezogene Daten von Mai 2020 bis zum Ende unseres Testzeitraums im Juli 2021.“

Die System- und Sicherheits-Logs speicherten demnach bei jedem Fehler die Seriennummer des Krypto-Zertifikats der eGK. In den VSDM-Logs der Konnektoren sei jedoch die ICCSN (Integrated Circuit Card Serial Number) hinzugekommen. „Über diese Nummern lassen sich Versicherte zumindest indirekt zuordnen“, so das Magazin. Auch die Praxis lasse sich eindeutig identifizieren. Das sei unzulässig, denn Zugriff auf die Logs sollen laut Gematik nur „Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister“ haben, nicht jedoch die Trust Service Provider (TSP), die die Krypto-Zertifikate der eGKs ausstellen

„Wenn man die Log-Daten illegalerweise mit denen der Kartenhersteller oder TSP zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat. Man bekäme heraus, wann Herr Meier beim Psychiater war und in welchem Zeitraum Frau Müller in einer Suchtklinik behandelt wurde.“ Für c’t ist unklar, warum die Sache nicht bei bei den Zulassungstests entdeckt wurden – zumal der gleiche Fehler bereits 2018 bei den KoCoBox-Konnektoren aufgetreten sei und behoben werden musste.

Arzt haftet, nicht Gematik

Das Team von c’t meldete diese Beobachtungen im Januar beim Bundesdatenschutzbeauftragen, der daraufhin auch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) feststellte. Demnach protokolliert der Secunet-Konnektor auch mit der aktuellen Version nach wie vor personenbezogene Daten. Verantwortlich sind aber laut Datenschutzbeauftragtem nicht der Hersteller oder die Gematik, sondern Ärzte und Leistungserbringer, die die Konnektoren einsetzen.

Die Kassenärztliche Vereinigung (KBV) reagierte prompt: Die Verantwortung liege bei der Gematik, man fordere sofortige Aufklärung. In einem Schreiben an den Gematik-Chef Markus Leyck Dieken wird um Beantwortung zahlreicher Fragen gebeten, beispielsweise müssten die Ärzt:innen und Psychotherapeuten nun erfahren, wie sie mit den Konnektoren umgehen sollen.

Ärzte nicht verantwortlich

Doch die KBV möchte auch erfahren, wie es zu diesem Spezifilations-Verstoß kommen konnte und „welche Lehren die Gematik aus dem Vorfall“ zieht. „Die Verantwortung für die Gewährleistung der technischen Anforderungen an die Datenschutzsicherheit liege im Rahmen des Prüf- und Zulassungsprozesses bei der Gematik“, heißt es im Schreiben der KBV.

Ärzt:innen müssten jetzt jedoch nicht selbst aktiv werden, so die KBV. Da sich die Klärung der offenen Fragen im Verantwortungsbereich der Gematik befinde, müssen in den Praxen keine eigenständigen weitergehenden Prüfungen vorgenommen werden. „Die betroffenen Arzt- und Psychotherapeutenpraxen sind für die Verstöße nicht verantwortlich.“

Auch die Kassenzahnärztliche Bundesvereinigung (KZBV) hat sich an die Gematik gewandt und bittet um Aufklärung. „Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten. Das ist in den Produkt-Spezifikationen klar ausgeschlossen und wird im Rahmen der Zulassung von der Gematik und dem Bundesamt für Sicherheit in der Informationspolitik geprüft. Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssen die Probleme so schnell wie möglich behoben werden. Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten“, so Dr. Karl Georg Pochhammer, stellvertretender Vorsitzender des Vorstandsder KZBV. Bei der Fehlersuche solle beim Hersteller selbst, aber eben auch bei der Gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) beginnen.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Mehr zum Thema
Noch vor Gesellschafterversammlung
25 Euro pro Monat: Gedisa schafft Fakten
Mehr aus Ressort
Erstmal keine Sanktionen für Praxen
ePA: „Abwarten und vorbereiten“
„Deutliche Effizienzsteigerung“
Mycare startet mit CardLink

APOTHEKE ADHOC Debatte