Bezug: c't-Artikel mit dem Titel „DSGVO-Zwickmühle“ in Ausgabe 6/2022, S. 36.

• secunet-Konnektor mit aktueller Firmware 4.10.1 speichert die ICCSN der eGK in Konnektor-Logs. Es wird allerdings nicht klar gesagt in welchem Log: VSDM-Fachmodul-Log, was gemäß Anforderung Nr. TIP1-A_4710¹⁾ aus der Konnektorspezifikation²⁾ und erlaubt wäre, oder Security-Log, was gemäß der Afo nicht erlaubt wäre.
• Die ICCSN lässt sich (nur) vom TSP (VDA) auflösen. Eine (illegale!) Zusammenführung der TSP-Daten mit den Logs des Konnektors könnte also offenbaren, welcher Patient zu welchem Arzt geht.
• c't hat dies Mitte Januar dem BfDI gemeldet, wobei der genaue Wortlaut der Meldung nicht veröffentlicht ist.
• Der BfDI stellte laut c't „eine Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO“ fest, wobei auch der genaue Wirtlaut der Antwort des BfDI nicht veröffentlicht ist.
• Zudem antwortet der BfDI auf die Frage, wer für den konstatierten Datenschutzverstoß verantwortlich sei: „Datenschutzrechtlich verantwortlich für die Konnektoren sind diejenigen, die diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, sowie sie über die Mittel der Datenverarbeitung mitentscheiden.“ In dieser Allgemeinheit nur eine Paraphrase der Zuweisung der datenschutzrechtlichen Verantwortlichkeiten, wie sie § 307 SGB V Abs. 1 S. 1 regelt. Gemeint sind damit (so auch die Antwort des BfDI auf explizite Nachfrage der c't) die Ärzte und Leistungserbringer.

In einer Stellungnahme erklärt secunet die technischen Hintergründe der ICCSN-Speicherung. Gleichzeitig wird behauptet, bei den ICCSN handele es sich nicht um personenbezogene Daten und man verstoße weder gegen die Spezifikation noch gegen den Datenschutz.

Auch die gematik ordnet das Thema nochmals in einer News ein. Dort wird explizit von nicht spezifikationskonformen Verhalten gesprochen.

Verschiedene Artikel in der Fachpresse greifen das Thema auf.

Die KBV wendet sich per Schreiben an die gematik und fordert Aufklärung. Sie sieht die gematik in der Verantwortung, da diese den secunet-Konnektor zugelassen habe, obwohl er gegen Datenschutzanforderungen der gematik-Spezifikationen verstoße.

Weitere Artikel, die das Thema auf Basis des c't-Artkels aufgreifen:

• Negt, Alexandra. IT-Experten schlagen Alarm: Konnektoren speichern Praxisdaten, apotheke ad-hoc, 26.2.2022.
• Urbanek, Margarethe. DSGVO-Verstöße bei Konnektoren: Ärzte in der Verantwortung? ÄrzteZeitung online, 25.2.2022. (hinter Paywall)
• Datenverstöße aufgedeckt: Neuer Ärger um TI-Konnektoren, aerzteblatt.de, 25.02.2022

Reaktion der KBV:

• KBV fordert unverzügliche Aufklärung des Sicherheitsvorfalls in der TI – Verantwortung liegt bei der gematik, Praxisnachrichten 25.2.2022.

Meine Bewertung

• ICCSN ist ein persönliches Datum, da sie prinzipiell auf persönliche Daten zurückzuführen ist. Gemäß DSGVO gelten solche (prinzipiell auflösbaren) Daten als personenbezogen. Diese Auffassung widerspricht der secunet-Stellungnahme.
• Es ist nirgendwo eindeutig gesagt, in welchem Log die ICCSN nun gespeichert wird, aber die gematik meldet Spezifikationsverstoß, es handelt sich also wohl nicht um das VSDM-Protokoll. Hat die gematik als zulassende Instanz recht, stimmt die Behauptung in der secunet-Stellungnahme nicht.
• Wenn die ICCSN - und damit personenbezogene Daten - außerhalb des VSDM-Fachmodul-Log gespeichert werden, wird gegen eine Datenschutzanforderung verstoßen. Die gematik hat somit einen Konnektor zugelassen, der nicht konform ist zu dieser Datenschutzanforderung.
• Zudem sieht der BfDI - zumindest laut c't - einen datenschutzrechtlichen Verstoß gegen Art. 33 Abs. 1 DSGVO. Als juristischer Laie nicht einfach zu beurteilen, allerdings wäre ja das datenschutzrechtliche Vergehen in diesem Falle die fehlende Meldung des Vorgangs bei Bekanntwerden. Wie soll ein Arzt etwas melden, von dem er nichts weiß. Im Prinzip hätten müssten dann nun alle Ärzt:innen - als Reaktion auf einen Artikel in der c't? - jetzt Meldung machen. Meldung müsste zudem nur erfolgen, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Ein Risiko bestünde nur, wenn der Ärzt:innen die Logs - illegalerweise(!) - an einen TSP geben würden. Hier fehlt aus meiner Sicht eine klare Stellungnahme des BfDI zu dem Thema, das immerhin über 100.000 Ärzt:innen und deren Patient:innen betrifft! Mindestens könnte man erwarten, dass die c't den genauen Schriftverkehr mit dem BfDI zur Klärung offenlegt. Ein Zugriff der TSP auf die Logs ist nicht möglich.
• Wenn nun ein datenschutzrechtlicher Verstoß vorläge, wären Ärzt:innen gemäß der eigenartigen Gesetzeslage des § 307 SGB V verantwortlich für etwas, von dem sie in der Regel nicht mal wissen, dass es existiert. Welche Ärzt:innen wissen, dass es eine ICCSN gibt, was das ist und dass sie in einem Log (was ist das?) ihres Konnektors (was war das nochmal genau?) gespeichert wird. Hier liegt das eigentliche Problem, dass bspw. auch im ersten Teil einer Artikel-Serie zum PDSG vom Juristen Carsten Dochow detailliert beleuchtet wird.