DATENSCHUTZ-VERSTÖßE BEI KONNEKTOREN KZBV: „Zahnarztpraxen sind nicht in der Verantwortung!“ Wie das Magazin c’t berichtet, protokollieren die Konnektoren des Herstellers secunet unbefugterweise Patientendaten. Die Kassenzahnärztliche Bundesvereinigung (KZBV) fordert Hersteller und gematik auf, diese Vorwürfe aufzuklären. Zahnärztinnen und Zahnärzte sieht die KZBV ausdrücklich nicht in der Verantwortung. Die Hersteller von Konnektoren dürfen keinen Zugriff auf personenbezogene Logdaten erhalten“, stellte der stellvertretende KZBV-Vorsitzende Dr. Karl-Georg Pochhammer klar. Das sei in den Produkt-Spezifikationen klar ausgeschlossen und werde im Rahmen der Zulassung von der gematik und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft. Pochhammer: „Sollten bei diesen Verfahren Fehler passiert sein und sich die Vorwürfe tatsächlich bewahrheiten, müssen die Probleme so schnell wie möglich behoben werden. Zugleich müssen betroffene Praxen umgehend darüber informiert werden, wie und wann die fehlerhaften Konnektoren wieder bestimmungsgemäß arbeiten.“ DIE GEMATIK HAT DEN KONNEKTOR ZUGELASSEN Die Bewertung des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), Prof. Ulrich Kelber, der dem Bericht zufolge die Praxen in der Verantwortung sieht, weist die KZBV entschieden zurück. „Die zitierte Aussage ist sehr ärgerlich. Und sie ist falsch!“, betonte Pochhammer. C'T-RECHERCHE ERGEBNISSE UND REAKTIONEN Die Experten des c't-Magazins fanden von Mai 2020 bis zum Ende des Untersuchungszeitraums im Juli 2021 personenbezogene Dateien in den entsprechenden Log-Dateien von secunet – einer von drei Anbietern, die Konnektoren für die TI bereitstellen. In den Spezifikationen der für die TI verantwortlichen gematik (gemSpec_Kon_ V4.11.1.doc und gemSpec_Kon_V5.8.0.docx) steht aber gleichlautend: „Personenbezogene Daten DÜRFEN NICHT in Protokolleinträgen gespeichert werden.“ Wie das Magazin am 24. Februar berichtete, hatte die Redaktion den Verstoß Mitte Januar dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gemeldet, der demnach am 14. Februar „eine Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO“ feststellte. BfDI-Sprecher Christof Stein zufolge habe die gematik daraufhin secunet informiert, denn selbst mit der aktuellen Software 4.10.1 protokolliere der secunet-Konnektor mmer noch personenbezogene Daten und verstoße damit gegen die Datenschutz-Grundverordnung (DSGVO). Secunet erwiderte, man wolle den Fehler in einem kommenden Update des Konnektors beheben. Datenschutzrechtlich verantwortlich für die Konnektoren sind aus Sicht des BfDI allerdings „Ärzte und Leistungserbringer“, soweit sie über die Mittel der Datenverarbeitung mitentscheiden – nicht die für den Betrieb der TI verantwortliche gematik, die die fehlerhaften Konnektoren trotz Prüfung überhaupt erst zugelassen hat. In einem Statement an c't vom 25. Februar widerspricht secunet dem Vorwurf des BfDI, dass ein Datenschutzverstoß vorliegt: „Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister können auf KonnektorProtokolle zugreifen. [...] Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor. Ungeachtet dieser Auffassung wird secunet dem Wunsch der gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können.“ Foto: Adobe Stock_Suttipun Konnektoren dürfen keine persönlichen Daten aufzeichnen – die Modelle der secunet AG scheinen jedoch genau das zu tun. 16 | POLITIK
RkJQdWJsaXNoZXIy MjMxMzg=