Kommentar: Die Telematik ist der BER der IT-Branche
Verpfuschte Digitalisierung: Neben dem Ärger über IT-Probleme sollen Ärzte jetzt auch noch für Datenschutzfehler geradestehen, die sie nicht begangen haben.
(Bild: Shutterstock/BlurryMe)
Eigentlich sollte die Digitalisierung in der Medizin ja Ärzte vom lästigen Papierkram entlasten, sodass sie mehr Zeit für ihre Patienten haben. Doch das Gegenteil ist der Fall.
Nicht nur, dass die Telematische Infrastruktur (TI), über die Ärzte, Apotheken und Versicherungen Gesundheitsdaten austauschen, sich technisch in einem so desolaten Zustand befindet, dass die Einführung des E-Rezepts auf unbestimmte Zeit verschoben wurde. Der Kassenärztliche Bundesverband (KBV) klagt zudem über Ausfallraten der TI in der Größenordnung von 40 Prozent und ist verständlicherweise auf Zinne. Denn Alt-Gesundheitsminister Jens Spahn hatte den Ärzten mit seiner Brechstangenpolitik ein IT-System aufgezwungen, das technisch nicht ausgereift ist. Ärztinnen und Ärzte, die sich weigern, es zu nutzen, bekommen 2,5 Prozent vom Honorar abgezogen.
Bei großen Bauvorhaben wie dem Berliner Flughafen BER ist Politikern bewusst, dass dort keine Flugzeuge starten dürfen, solange die Sicherheit nicht gewährleistet ist. Natürlich gibt es planerische Wunschtermine, aber die können platzen, wenn es auf der Baustelle nicht rund läuft. Deshalb gehen solche Projekte auch schon mal mit 13 Jahren Verspätung in Betrieb – erst nachdem alle Prüfer grünes Licht gegeben haben. Bei der Telematischen Infrastruktur wollte Spahn aber nicht so lange warten. Sie sollte per Gesetz zu einem festen Termin in Betrieb gehen – egal ob fertig und sicher oder nicht. Hauptsache digitalisiert.
Das ist unverantwortlich, im wahrsten Sinne des Wortes. Denn die Verantwortlichen drücken sich um die Verantwortung – mit Kleingedrucktem in Gesetzestexten.
Gesellschaft mit beschränkter Haftung
Beaufsichtigt wird die Telematik von der Gematik GmbH. Sie entscheidet unter anderem, welche Router (sogenannte Konnektoren) und Kartenleser Praxen kaufen und anschließen dürfen. Für die dazu nötige Zulassung gibt es eine Reihe von Vorgaben an die Hersteller. Eigentlich sollten die Geräte umfangreich geprüft werden, bevor die Gematik die Zulassung erteilt. Aber offenbar wurde dabei geschlampt.
Hier bekommt das kleine B im Namen der Gematik GmbH seinen großen Auftritt. Die Gesellschafter (51 Prozent gehören dem Bund) sind für Fehler bei der Zulassung, Betrieb und Aufsicht der Telematik offenbar kaum haftbar zu machen. So zumindest legt der Bundesdatenschutzbeauftragte (BfDI) im vom Computermagazin c't aufgedeckten Fall die Gesetzeslage aus. Die Gematik hat einen Konnektor zugelassen, obwohl dieser personenbezogene Daten von Versicherten protokolliert und dies nicht erlaubt ist.
Doch für den Datenschutzverstoß macht der BfDI weder Hersteller noch Gematik verantwortlich, sondern Ärzteschaft und Leistungserbringer.
Der Grund für die Argumentation liegt im Patientendaten-Schutz-Gesetz (PDSG), das die Große Koalition aus CDU/CSU und SPD vor anderthalb Jahren beschloss. Dort wurde der § 307 im Fünften Sozialgesetzbuch (SGB V) neu geregelt. Dort heißt es im ersten Satz:
Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden.
Laut BfDI sind demnach Ärzte und Leistungserbringer für Datenschutzverstöße verantwortlich. Doch im zweiten Satz im § 307 heißt es auch:
Die Verantwortlichkeit nach Satz 1 erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten.
Doch die personenbezogenen Daten werden von den Secunet-Konnektoren unerlaubterweise bei ordnungsgemäßem Betrieb protokolliert. Ärzte können dies nicht abstellen – es sei denn, sie schalten den gesamten Router ab und trennen sich von der TI. Das hätte dann aber wieder Honorarkürzungen zur Folge. Eine Zwickmühle.
Update, 25.2.22, 12:15 Uhr: Rechtsanwalt Dr. Arnd-Christian Kulow widerspricht deshalb dem BfDI und sieht laut Medical Tribune den Konnektor-Hersteller Secunet in der Verantwortung.
Wer behält den Schwarzen Peter?
In der Kette der Verantwortlichkeiten für Datenschutzfehler in der TI steht die Gematik GmbH erst an fünfter und letzter Stelle, wie es am Ende von § 307 heißt:
Die Gesellschaft für Telematik ist Verantwortliche für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben nach § 311 Absatz 1 die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist.
Die Auslegung des § 307 SGB V wird Ärzte und ihre Anwälte wahrscheinlich noch lange beschäftigen. Knifflig wird vor allem die Frage sein, wer für Datenschutzverstöße vor dem 14. Oktober 2020 verantwortlich ist. Denn erst ab diesem Zeitpunkt trat das PDSG mit seinen Änderungen zum SGB V in Kraft. Die Konnektor-Protokolle mit personenbezogenen Daten, die Sicherheitsexperte Thomas Maus für c't analysiert hat, reichen jedoch bis ins Jahr 2018 zurück.
Wenn die Digitalisierung versagt
Der Fall zeigt, wie Ärzte und Leistungserbringer erst ein unausgereiftes System unter Androhung von Honorareinbußen oktroyiert bekommen und anschließend für Fehler, die sie nicht begangen haben, zur Verantwortung gezogen werden sollen. Leidtragende sind Patientinnen und Patienten, deren Daten nicht ausreichend geschützt werden, und Ärzte, die sich neben einer hingepfuschten Telematik jetzt auch noch mit Anwälten auseinandersetzen müssen, statt sich während einer Pandemie um die Gesundheit der Bevölkerung zu kümmern.
Statt dass also die Digitalisierung durch die TI den Medizinern hilft, hält diese sie nicht nur mit technischen Problemen von ihrer Arbeit ab, sondern belegt sie jetzt womöglich auch noch mit zusätzlichem juristischen Ärger und eventuellen Schadenersatzforderungen. Schuld ist hier aber nicht etwa ein "übertriebener Datenschutz", wie einige Digitalisierungs-Evangelisten mantraartig wiederholen, sondern eine politisch gewollte Verschleierung von Verantwortlichkeiten, die mit übertriebenem Ehrgeiz und Schlamperei eine unheilvolle Liaison eingeht.
Lesen Sie dazu auch:
Update 25.2. 14:30 Uhr: Der Hersteller Secunet hat sich in zwischen mit einem Statement gemeldet, laut dem die Protokollierung personenbezogener Daten im Konnektor abgeschaltet werden kann. (hag)
