Das Computermagazin c’t hat nachgewiesen, dass TI-Konnektoren des Herstellers Secunet gegen die Spezifikationen der Gematik verstoßen. Betroffene Praxen können somit nicht DSGVO-konform arbeiten, außer sie schalten den Konnektor aus.
In einem aktuellen c’t-Artikel beschreibt Autor Thomas Maus, wie personenbezogene Daten in den Log-Daten von Konnektoren gespeichert werden (siehe hier). Bei einer illegalen Zusammenführung unterschiedlicher Log-Daten ist demnach zu sehen, wann und wo ein Patient zur Behandlung war. Betroffen sind die Konnektoren des Herstellers Secunet, der damit gegen die Spezifikationen der Gematik verstößt. Der Bundesdatenschutzbeauftragte Professor Ulrich Kelber hat auf Anfrage von c´t bestätigt, dass eine Datenschutzverletzung (nach Art. 33 Abs. 1 Datenschutz-Grundverordnung DSGVO) vorliegt.
Wie betroffene Patienten informieren?
Da Kassenärzte und auch über die GKV abrechnende Psychotherapeuten verpflichtend die Telematikinfrastruktur nutzen müssen, befinden diese sich jetzt in einer schwierigen Situation. Denn laut c’t sehen die Bundesdatenschützer rein rechtlich Ärzte und andere Leistungserbringer in der Verantwortung für die DSGVO-Verstöße – nicht die Hersteller. Aktuell versuchen der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und Gematik zu klären, ob Ärzte etwa die gegen die DSGVO verstoßenden Secunet-Konnektoren abschalten müssen und wie betroffene Patienten informiert werden sollen.
Der Vorsitzende des Deutschen Psychotherapeuten Netzwerks (DPNW) Dieter Adler zeigt sich angesichts dieses Missstandes verärgert: „Wir Leistungserbringer können nun wirklich nichts dafür. Sondern sind gehalten diese von der Gematik zugelassenen Systeme zu verwenden. Wir können das technische Problem noch nicht einmal selbst abstellen. Einzige Lösung für Kollegen, die an die TI-angeschlossen sind: Konnektor ausschalten und abstöpseln – eine andere Lösung gibt es im Moment nicht.”
Update – Stellungnahme von Secunet
Secunet widerspricht zwischenzeitlich den Kritikpunkten des Fachmagazins c’t und weist darauf hin, dass nur bei einer Verkettung unglücklicher Umstände ein Auslesen möglich wäre: „…Hinsichtlich der Zertifikate der eGK kann dabei nach Auffassung von Secunet nur theoretisch und indirekt – über mehrere Stufen, die nicht miteinander kommunizieren dürfen – von der Seriennummer des eGK-Zertifikats in den Konnektor-Logs auf den Inhaber der eGK geschlossen werden….“