Secunet rechtfertigt Datenspeicherung

Während des Betriebs des Secunet-Konnektors müssen nach den Spezifikationen der Gematik eine Vielzahl von Zertifikaten geprüft werden, wie der Hersteller erklärt. Dies umfasse unter anderem die Zertifikate der elektronischen Gesundheitskarte (eGK).

„Schlägt die Online-Prüfung der Zertifikate fehl, so wird im Konnektor ein Log-Eintrag erzeugt, der auch die Seriennummer des jeweiligen Zertifikats enthält.“

Einträge dauerhaft gespeichert

Diese Einträge würden tatsächlich auf der Festplatte des Konnektors nach den Vorgaben der Gematik dauerhaft gespeichert. „Der Konnektor verfügt deshalb über eine Speichergröße für Protokolldateien, so dass Einträge (protokollierte Ereignisse ab der Schwere ‚Warning‘) über einen Zeitraum von bis zu einem Jahr darin vorgehalten werden können.“ Die Speicherung erfolge dabei rollierend. „Übersteigt die Anzahl der Einträge gewisse Grenzen, so werden ältere Einträge überschrieben.“

Secunet rechtfertigt dieses Vorgehen: „Auf diese Weise können Leistungserbringer-Institutionen wie Arztpraxen oder Krankenhäuser oder deren Dienstleister fehlgeschlagene Zertifikatsprüfungen über die vielen Zertifikatstypen hinweg nachvollziehen und die Ursachen beheben, um einen reibungslosen Betrieb zu ermöglichen. Nur diese haben dabei Zugriff auf diese Daten über die GUI des Konnektors oder über eine REST-Schnittstelle.“

Hinsichtlich der Zertifikate der eGK kann dabei nach Auffassung von Secunet „nur theoretisch und indirekt – über mehrere Stufen, die nicht miteinander kommunizieren dürfen – von der Seriennummer des eGK-Zertifikats in den Konnektor-Logs auf den Inhaber der eGK geschlossen werden“. Die Seriennummer des eGK-Zertifikats könne ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. „Damit würde sich ein TSP allerdings rechtswidrig verhalten.“

Außerdem habe der TSP „praktisch und rechtlich keine Zugriffsmöglichkeit auf die gegenständlichen Konnektor-Logs“, so das Unternehmen weiter. „Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister können auf Konnektor-Protokolle zugreifen. Da die Seriennummern keine Information darüber enthalten, welcher TSP Zertifikatsherausgeber ist, besteht hier neben der rechtlichen Unzulässigkeit ein weiterer tatsächlicher Schutzmechanismus, um eine Zuordnung durch die Leistungserbringer auszuschließen.“

Kein Datenschutzverstoß

Aus diesen Gründen sind nach Auffassung von Secunet die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. „Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.“

Ungeachtet dieser Auffassung werde Secunet dem Wunsch der Gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können. Dies gilt auch für historische Seriennummern.

„In den Werkseinstellungen wird nur im Fall, dass eine gesperrte eGK verwendet wird, die Seriennummer des Krypto-Zertifikats im Protokoll gespeichert. Durch Änderung des Loglevels auf FATAL kann auch für diesen Fehlerfall sofort ohne Firmwareupdate die Protokollierung der Seriennummer unterbunden werden.“

Desweiteren weist Secunet im Zusammenhang mit den Aussagen von c’t zur Protokollierung der ICCSN (Integrated Circuit Card Serial Number) darauf hin, dass diese gemäß TIP1-A_4710 im Fehlerfall durch Fachmodule in Protokolleinträgen ausdrücklich gespeichert werden darf. „Diese Protokolleinträge werden im Einklang mit den Spezifikationen der Gematik nach 30 Tagen unwiderruflich gelöscht.“