Datenschutzprobleme trotz Gematik-Zulassung

IT-Experten schlagen Alarm: Konnektoren speichern Praxisdaten

, Uhr
Die KBV informiert über Datenschutzprobleme bei Konrektoren. Es werden personenbezogene Daten gespeichert.Foto: shutterstock.com/ Yuri Gurevich
Berlin -

Eigentlich dient der Konnektor nur als Verbindung zur Telematischen Infrastruktur (TI). Über das Gerät werden beispielsweise Stammdaten der Versicherten ausgetauscht – gespeichert werden darf nichts. Bei einem der aktuell drei Anbieter von Konnektoren scheint es genau dazu zu kommen, wie das Computermagazin c’t berichtet. Die Kassenärztliche Bundesvereinigung (KBV) sieht die Gematik in der Verantwortung.

Laut Spezifikation der Gematik dürfen personenbezogene Daten nicht in Protokolleinträgen gespeichert werden, so steht es auch in der Spezifikation der Gematik. Doch das Computermagazin c’t schreibt, dass man bei Untersuchungen zu Ausfällen der TI in den Log-Dateien von Konnektoren auf personenbezogene Daten gestoßen sei: „Wir fanden sie im Zeitraum von Oktober 2018 bis Dezember 2020 in den Protokollen des Konnektors von T-Systems. Dieser wurde 2020 bundesweit gegen den Einboxkonnektor von Secunet ausgetauscht. Bei Secunet fanden wir personenbezogene Daten von Mai 2020 bis zum Ende unseres Testzeitraums im Juli 2021.“

Die System- und Sicherheits-Logs speicherten demnach bei jedem Fehler die Seriennummer des Krypto-Zertifikats der eGK. In den VSDM-Logs der Konnektoren sei jedoch die ICCSN (Integrated Circuit Card Serial Number) hinzugekommen. „Über diese Nummern lassen sich Versicherte zumindest indirekt zuordnen“, so das Magazin. Auch die Praxis lasse sich eindeutig identifizieren. Das sei unzulässig, denn Zugriff auf die Logs sollen laut Gematik nur „Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister“ haben, nicht jedoch die Trust Service Provider (TSP), die die Krypto-Zertifikate der eGKs ausstellen

„Wenn man die Log-Daten illegalerweise mit denen der Kartenhersteller oder TSP zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat. Man bekäme heraus, wann Herr Meier beim Psychiater war und in welchem Zeitraum Frau Müller in einer Suchtklinik behandelt wurde.“ Für c’t ist unklar, warum die Sache nicht bei bei den Zulassungstests entdeckt wurden – zumal der gleiche Fehler bereits 2018 bei den KoCoBox-Konnektoren aufgetreten sei und behoben werden musste.

Arzt haftet, nicht Gematik

Das Team von c’t meldete diese Beobachtungen im Januar beim Bundesdatenschutzbeauftragen, der daraufhin auch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) feststellte. Demnach protokolliert der Secunet-Konnektor auch mit der aktuellen Version nach wie vor personenbezogene Daten. Verantwortlich sind aber laut Datenschutzbeauftragtem nicht der Hersteller oder die Gematik, sondern Ärzte und Leistungserbringer, die die Konnektoren einsetzen.

Die Kassenärztliche Vereinigung (KBV) reagierte prompt: Die Verantwortung liege bei der Gematik, man fordere sofortige Aufklärung. In einem Schreiben an den Gematik-Chef Markus Leyck Dieken wird um Beantwortung zahlreicher Fragen gebeten, beispielsweise müssten die Ärzt:innen und Psychotherapeuten nun erfahren, wie sie mit den Konnektoren umgehen sollen.

Ärzte nicht verantwortlich

Doch die KBV möchte auch erfahren, wie es zu diesem Spezifilations-Verstoß kommen konnte und „welche Lehren die Gematik aus dem Vorfall“ zieht. „Die Verantwortung für die Gewährleistung der technischen Anforderungen an die Datenschutzsicherheit liege im Rahmen des Prüf- und Zulassungsprozesses bei der Gematik“, heißt es im Schreiben der KBV.

Ärzt:innen müssten jetzt jedoch nicht selbst aktiv werden, so die KBV. Da sich die Klärung der offenen Fragen im Verantwortungsbereich der Gematik befinde, müssen in den Praxen keine eigenständigen weitergehenden Prüfungen vorgenommen werden. „Die betroffenen Arzt- und Psychotherapeutenpraxen sind für die Verstöße nicht verantwortlich.“

Auch die Kassenzahnärztliche Bundesvereinigung (KZBV) hat sich an die Gematik gewandt und bittet um Aufklärung. „Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten. Das ist in den Produkt-Spezifikationen klar ausgeschlossen und wird im Rahmen der Zulassung von der Gematik und dem Bundesamt für Sicherheit in der Informationspolitik geprüft. Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssen die Probleme so schnell wie möglich behoben werden. Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten“, so Dr. Karl Georg Pochhammer, stellvertretender Vorsitzender des Vorstandsder KZBV. Bei der Fehlersuche solle beim Hersteller selbst, aber eben auch bei der Gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) beginnen.

Warenwirtschaft/EDV Ärzte
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Experten testen: So unzuverlässig ist die TI
Fehlerquoten bis zu 80 Prozent
Experten testen: So unzuverlässig ist die TI
Ärzte rechnen mit Spahn ab: „Grenze des Machbaren weit überschritten“
Kriedel: „Er tritt die Motivationsbremse noch weiter durch“
Ärzte rechnen mit Spahn ab: „Grenze des Machbaren weit überschritten“
Konnektoren: Pharmatechnik darf Apotheken den Anschluss verweigern
Red Medical verliert vor Gericht
Konnektoren: Pharmatechnik darf Apotheken den Anschluss verweigern
Berlin: Apotheke erhält erstes E-Entlassrezept
Kliniken steigen in Testphase ein
Berlin: Apotheke erhält erstes E-Entlassrezept
Fachärzte zum E-Rezept: „Das sind alles Krücken“
SpiFa fordert Kurswechsel bei Digitalisierung
Fachärzte zum E-Rezept: „Das sind alles Krücken“
Neuere Artikel zum Thema
Den Konnektor des Kollegen nutzen
E-Rezept-Lösungen
Den Konnektor des Kollegen nutzen
c’t: Konnektorentausch ist überflüssig
Millionen für IT-Konzerne
c’t: Konnektorentausch ist überflüssig
HNO-Ärzt:innen: Praxen nicht bereit für mehr Ärger
Konnektoren-Tausch
HNO-Ärzt:innen: Praxen nicht bereit für mehr Ärger
Zertifikate laufen aus: Gematik lässt Konnektoren tauschen
Überbrückung bis zur TI 2.0
Zertifikate laufen aus: Gematik lässt Konnektoren tauschen
Welche WaWi ist E-Rezept-ready?
TI-Score der Gematik
Welche WaWi ist E-Rezept-ready?
Secunet rechtfertigt Datenspeicherung
Datenschutzprobleme bei TI-Konnektoren
Secunet rechtfertigt Datenspeicherung
Mehr zum Thema
Apothekensoftware statt Finanzen
Neuer Chef bei Pharmatechnik
Alle Gematik-Dienste betroffen
Dienstag: Wartungsarbeiten im Notdienst
gSMC-KT-Ablaufdatum kontrollieren
Karten-Deadline: Apothekerin warnt vor TI-Ausfall
Mehr aus Ressort
Seit 11.45 Uhr
CGM: Probleme beim Einlesen der eGK
Seit 17.45 Uhr behoben
E-Rezept: Ärger mit der eGK
Ausstellen und Einlösen betroffen
E-Rezept-Störung: Erneut Probleme bei Medisign

APOTHEKE ADHOC Debatte

Newsletter

Hinweis zum Newsletter & Datenschutz