Anzeige

Premium Article

Premium Article
0

Advertorial

Advertorial
0

Datenschutzpannen: Wer trägt die Verantwortung?

Ende Februar legte die Telematikinfrastruktur ein vorösterliches Ei. Wie das „Magazin für Computertechnik – c‘t“ berichtete, gab es beim Secunet-Konnektor unter bestimmten Umständen beim Einlesen der eGK Verstöße gegen die DSGVO. Nach Angaben des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) seien für diese Verstöße die „Leistungserbringer“ sprich die Praxisinhaber verantwortlich: „Gemäß Paragraf 307 SGB V hat der Gesetzgeber festgelegt, dass die Datenverarbeitung in der Verantwortung derjenigen liegt, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. Dabei handelt es sich um die Leistungserbringer, also beispielsweise die Praxen.“

BMG bezieht Stellung zur Verantwortlichkeit bei den aktuellen Datenschutzverstößen

Das rief nun umgehend die KZBV und die KBV auf den Plan, die diese Verantwortungszuweisung aus gutem Grund unverzüglich abwiesen. „Die zitierte Aussage ist sehr ärgerlich. Und sie ist falsch!“, betonte Dr. Karl-Georg Pochhammer, Vorstandsvize der KZBV und hier für den Bereich TI zuständig. „Zahnarztpraxen sind gesetzlich verpflichtet, sich an die Telematikinfrastruktur anzuschließen. Die Verarbeitung personenbezogener Daten liegt dabei ausdrücklich nicht in ihrer Verantwortung, weil Praxen eben nicht über die Mittel der Datenverarbeitung mitentscheiden, sondern nach dem Willen des Gesetzgebers einen zugelassenen Konnektor einsetzen müssen.“ Dieses Verantwortungskuckucksei wollte man sich nun doch nicht ins Nest legen lassen. Schließlich legt die Gematik die TI-Spezifikationen fest und ihr obliegt auch die Zulassung etwa für die Konnektoren. Was kann also eine Praxisinhaberin dafür, wenn das „Ding“ Dinge tut, die es nicht soll?

ein Bild, das digitale Paragrafen-Zeichen zwischen zwei geöffneten Händen zeigt

Das BMG und der Bundesbeauftragte für Datenschutz und Informationsfreiheit haben unterschiedliche Rechtsauffassungen, wer für die aktuellen Verstöße gegen die DSGVO verantwortlich ist.

Das sah auch die KBV so und wandte sich an das Bundesgesundheitsministerium mit der Bitte um Klarstellung. „Vertragsärzte und Vertragspsychotherapeuten können die Verarbeitung von Daten im Konnektor weder beeinflussen noch bestimmen, da die Abläufe und Prozesse im Konnektor allein durch die Gematik spezifiziert und allein durch die Konnektorhersteller umgesetzt würden“, so KBV-Vorstandsmitglied Dr. Thomas Kriedel.

Dieser Sichtweise schloss sich das BMG nun an: „Nach Auffassung des Bundesministeriums für Gesundheit sind die Leistungserbringer für die oben genannte Datenverarbeitung nicht verantwortlich.“ Die Speicherung von Daten im Sicherheitsprotokoll der Konnektoren des Herstellers Secunet sei „kein Datenverarbeitungsvorgang, der nach Paragraf 307 Abs. 1 SGB V in der Verantwortung der Leistungserbringer fällt“. Die Verantwortlichkeit der Praxen beschränke sich nach Auskunft des BMG „auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten“.

Die Frage bleibt: Wer ist nun verantwortlich?

Diese Frage stellt auch die KBV und fordert vom Gesetzgeber eine Schärfung der gesetzlichen Regelung. „Der aktuelle Fall hat gezeigt, dass wir dringend eine eindeutige und klare Regelung benötigen, die nicht mal so und mal so ausgelegt werden kann“, unterstrich Kriedel in seiner Stellungnahme.

Ob es eine gute Idee ist, die für die TI zuständige Gematik zur „digitalen Gesundheitsagentur“ auszubauen, wie es der Koalitionsvertrag vorsieht?

Das Ei des Kolumbus ist dieser Plan offenkundig nicht. Dafür läuft bei der TI vieles zu unrund.