eHealth: Arztpraxen nicht für Datenschutzverstöße bei Konnektoren verantwortlich
Das Bundesgesundheitsministerium hat gegenüber der Kassenärztlichen Bundesvereinigung bestätigt: Praxen haften für Datenschutzverstöße bei Konnektoren nicht.
(Bild: TippaPatt/Shutterstock.com)
Das Bundesgesundheitsministerium (BMG) hat der Kassenärztlichen Bundesvereinigung (KBV) bestätigt, dass Ärzte und Psychotherapeuten datenschutzrechtlich nicht bei Fehlern von TI-Konnektoren verantwortlich sind. Die Konnektoren sollen eine sichere elektronische Verbindung zwischen Gesundheitskarten-Terminals und der telematischen Infrastruktur (TI) herstellen. Der Bundesdatenschutzbeauftragte sah nach einem Datenschutzverstoß bei den Konnektoren von Secunet zunächst die Praxen in der Verantwortung.
Über den Datenschutzverstoß bei den Secunet-Konnektoren hatte c't im Februar berichtet. Kassenpatienten stecken beim Arztbesuch ihre elektronische Gesundheitskarte (eGK) in ein Kartenterminal, das über einen Konnektor mit der TI verbunden ist. Die Patientendaten werden darüber unter anderem mit den gesetzlichen Krankenkassen ausgetauscht. Normalerweise sollen diese Daten nicht in den Log-Dateien der Konnektoren gespeichert werden, jedoch wurden personenbezogene Daten in den Protokollen des Secunet-Konnektors gefunden. Nach den Spezifikationen der für die Digitalisierung im Gesundheitswesen zuständigen Gematik dürfen jedoch keine personenbezogenen Daten protokolliert werden.
KBV sieht Gematik und Konnektor-Hersteller verantwortlich
Nachdem der Bundesdatenschutzbeauftragte zunächst die Praxen für diesen Fauxpas zur Verantwortung ziehen wollte, verlangte die KBV eine "schnelle und ausdrückliche Klarstellung" des BMG. Praxen könnten die "Verarbeitung von Daten im Konnektor weder beeinflussen noch bestimmen". Die bei den Konnektoren stattfindenden Abläufe seien allein durch die Gematik spezifiziert und durch die Hersteller der Konnektoren umgesetzt, stellte KBV-Vorstandsmitglied Dr. Thomas Kriedel klar. "Die Ärzte und Psychotherapeuten können nicht für etwas haften, auf das sie keinerlei Einfluss haben", sagte Kriedel.
Praxen trifft keine Schuld
Das BMG bestätigt die KBV in einer Stellungnahme: "Nach Auffassung des Bundesministeriums für Gesundheit sind die Leistungserbringer für die oben genannte Datenverarbeitung nicht verantwortlich." Demzufolge sei die Datenspeicherung im Sicherheitsprotkoll der Secunet-Konnektoren "kein Datenverarbeitungsvorgang, der nach § 307 Abs. 1 SGB V in der Verantwortung der Leistungserbringer fällt". Außerdem sei die Verantwortung der Praxen in diesem Zusammenhang "gesetzlich begrenzt".
Praxen seien laut BMG lediglich verantwortlich, "wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden". Dies sei ihnen in diesem Fall allerdings nicht möglich. Die Praxen seien nur für "die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten" verantwortlich. "Solange keiner dieser Fälle vorliegt, sind die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit des Leistungserbringers nicht gegeben." Die Anforderungen an die Konnektoren seien von der Gematik festgelegt worden und Secunet habe diese nicht entsprechend umgesetzt.
KBV fordert gesetzliche Klarstellung
"Die Ärzte und Psychotherapeuten können nicht für etwas haften, auf das sie keinerlei Einfluss haben", sagte Kriedel und fordert vom BMG, die gesetzlichen Anforderungen an die TI – speziell Paragraf 307 Absatz 1 SGB V – anzupassen: "Der aktuelle Fall habe gezeigt, dass wir dringend eine eindeutige und klare Regelung benötigen, die nicht mal so und mal so ausgelegt werden kann." Bestehende Unsicherheiten würden die Digitalisierung ausbremsen.
(mack)
