Secunet-Konnektor: Bundesgesundheitsministerium äußert sich zu Datenschutz
Patientendaten gelten als besonders sensibel.
Foto: imago images/Westend61Berlin. Wer im Fall einer Datenschutzverletzung durch Konnektoren verantwortlich wäre, wird weiterhin diskutiert. Das Bundesgesundheitsministerium (BMG) teilt nun in einem Schreiben mit, dass die Verantwortung der Leistungserbringer – dazu zählen Ärzte und Psychotherapeuten – „gesetzlich begrenzt“ ist.
Der Bundesdatenschutzbeauftragte Ulrich Kelber teilte Ende Februar mit, dass die Verantwortung für die Daten bei denjenigen liege, die diese Komponenten nutzen, „also beispielsweise die Praxen“.
Die Frage ist, wer die Verantwortung trägt, falls Patientendaten durch einen Fehler im Konnektor offengelegt werden. Bei einem Konnektor handelt es sich um einen speziellen Router, durch den Praxen mit dem Gesundheitsdatennetz, der Telematikinfrastruktur (TI), verbunden sind. Die Geräte dürfen laut Anforderung von der zuständigen Gematik keine personenbezogenen Daten speichern.
Auslöser für die Debatte ist ein Vorfall mit einem Gerät des Herstellers Secunet. Der Konnektor hatte unter bestimmten Umständen die Seriennummer von Zertifikaten von Versichertenkarten gespeichert – immer dann, wenn eine Karte gesperrt war.
Über die Seriennummer könnte ein Patient, der eine Praxis besucht hat, identifiziert werden. Für die Identifizierung bräuchte es jedoch Zusatzinformationen, die nur bei einem sogenannten Trust Service Provider vorliegen. Die umstrittene Funktion des Secunet-Konnektors deckte das Magazin für Computertechnik „c’t“ Ende Februar auf.
Anwältin hält Gefahr für gering
Die Anwältin für Datenschutzrecht Sabrina Neuendorf von der D+B-Kanzlei hält das Schadensrisiko für Patienten für überschaubar. „Selbst, wenn ein Dritter auf die gespeicherte Seriennummer zugreift, braucht er noch Zusatzinformationen, um auf eine konkrete Person schließen zu können“, sagt sie. „Da diese nicht ohne weiteres zu erlangen sind, halte ich die Gefahr eines Schadens für betroffene Personen für nicht besonders groß.“
Die aufgedeckte Speicherfunktion im Secunet-Konnektor veranlasste die Kassenärztliche Bundesvereinigung (KBV) dazu, vom BMG eine Klarstellung zu fordern, wer die Verantwortung in dem Fall trage. Das Antwortschreiben liegt Handelsblatt Inside vor.
Das Ministerium teilt darin mit, dass die Verantwortung für Ärzte und Psychotherapeuten bei Datenschutzverstößen nur bestehe, „wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden“. Das Ministerium verweist dabei auf eine Ausnahmeregelung im Sozialgesetzbuch (Paragraph 307 SGB V). Die Leistungserbringer könnten über das Sicherheitsprotokoll des Konnektors nicht mitentscheiden und darauf keinen Einfluss nehmen.
Keine umfassende Verantwortung
Diese Auslegung des Gesetzes vertritt auch die Datenschutz-Anwältin Neuendorf. „Die umfassende Verantwortung der Leistungserbringer, die der Bundesdatenschutzbeauftragte formuliert hat, ist im Gesetz nicht vorgesehen“, sagt sie. „Das Gesetz macht die Einschränkung, dass die Ärzte und Psychotherapeuten nur verantwortlich sind, soweit sie über die Mittel der Datenverarbeitung mitentscheiden.“ Verantwortlich seien die Praxen laut Gesetzesbegründung etwa für die Inbetriebnahme, Wartung und die Verwendung der Komponenten.
Diskutiert wird darüber hinaus, ob die Seriennummern von Zertifikaten auf Versichertenkarten personenbezogene Daten sind. Der Hersteller Secunet teilt diese Auffassung nicht. „Nach wie vor sind wir der Meinung, dass es sich nicht um ein personenbezogenes Datum handelt“, schreibt Secunet auf Anfrage. Neuendorf widerspricht dem. „Die Seriennummer kann durchaus als personenbezogenes oder genauer personenbeziehbares Datum eingeordnet werden, da die Seriennummer einer bestimmten Versichertenkarte und darüber auch wieder einer Person zuzuordnen ist.“
Secunet teilte Ende Februar mit, dass die Konnektoren durch ein Update die Seriennummern nicht mehr speichern werden. Das Update wurde am Freitag zugelassen und steht voraussichtlich ab Mitte April zur Verfügung.