Ärger um TI-Konnektoren: Ärzte verantworlich für Datenschutzverletzung?

28. Februar 2022 – Wie das c‘t Magazin in einer Untersuchung herausfand, wurden unrechtmäßig personenbezogene Daten in Protokollen von Konnektoren der Telematikinfrastruktur gespeichert. Derzeit ist unklar, ob Ärzte und Leistungserbringer oder die Hersteller der Konnektoren für diesen Datenschutzverstoß verantwortlich sind.

Telematik Konnektoren speicherten personenbezogene Daten

Das c‘t entdeckte in den Protokollen des Konnektors von T-Systems im Zeitraum von Oktober 2018 bis Dezember 2020 personenbezogene Daten. Bei bestimmten Fehler bei der Zertifikatsüberprüfung wurde die Seriennummer des Krypto-Zertifikats der elektronischen Gesundheitskarte (eGK) von Patienten gespeichert. Dabei verbietet die Spezifikation der für die Telematikinfrastruktur verantwortlichen Gematik verbietet die Speicherung personenbezogener Daten in Protokollen ausdrücklich. Die T-Systems Konnektoren wurden 2020 bundesweit durch Konnektoren der Firma Secunet ausgetauscht. Aber auch diese Konnektoren wiesen für den Zeitraum Mai 2020 bis Juli 2021 entsprechende Speicherungen auf.

Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI) stellt Datenschutzverletzung fest

Der BfDI stellte am 14. Februar offiziell eine Datenschutzverletzung fest. Der Hersteller wurde von der Gematik über die unrechtmäßige Speicherung informiert. Die Speicherung findet aktuell immer noch statt und soll mit dem nächsten Firmware Update behoben werden. Der Hersteller Secunet widersprach in einer Stellungnahme der Auffassung einer Datenschutzverletzung, da außer den Leistungserbringern (Ärzte) niemand sonst rechtmäßig auf diese Protokolldaten zugreifen könne. Die Zuordnung der Zertifikatsnummern zu einem Patienten ließe sich nur theoretisch und indirekt bewerkstelligen.

Wer ist datenschutzrechtlich verantwortlich für die TI Konnektoren?

Der BfDI sieht die Ärzte und Leistungserbringer verantwortlich für den Datenschutz der TI-Konnektoren. Derzeit wird diskutiert, ob Ärzte die Konnektoren ausschalten und Patienten informieren müssen. Die Kassenärztliche Bundesvereinigung (KBV) hält diese Einschätzung zur Verantwortlichkeit für nicht zumutbar und fordert Nachbesserung von den Anbietern der TI.

Sind Sie datenschutzrechtlich gut aufgestellt?

Es gibt immer etwas zu tun, unabhängig vom Ärger rund um die Telematikinfrastruktur. Wir beraten Sie gerne. Kontaktieren Sie uns!