Datenleck im Konnektor Datenschutzverletzung im Konnektor - Bundesdatenschützer konstatiert Verantwortung von Ärzten
Bei jedem fehlgelaufenen Versichertenstammdatenmanagement (VSDM) – also auch schon bei kleinen Verbindungsproblemen – wird der fehlgeschlagene Vorgang in den Protokolldateien des Konnektors gespeichert. Das ist die Aufgabe dieser Logs: Fehlerhafte Vorgänge zu speichern, damit ITler herausfinden können, was in der jeweiligen „Blackbox“ falsch gelaufen ist. Deswegen neigt man in der IT dazu, die Geräte in der Grundeinstellung möglichst viele Informationen protokollieren zu lassen.
Vielleicht ist es so zu erklären, dass manche Konnektoren in ihrer Grundeinstellung bei fehlgeschlagenen VSDM auch die Seriennummer der eingesteckten elektronischen Gesundheitskarte (eGK) und die des Krypto-Zertifikats abspeichern. Das hat der IT-Sicherheitsexperte Thomas Maus herausgefunden.
Das Problem: Die gespeicherten Angaben gelten als personenbezogene Daten: Sie können – zumindest indirekt – eindeutig mit einer Person verbunden werden. Gleichzeitig lassen die Logfiles auch eindeutige Rückschlüsse auf die Praxis und den Zeitpunkt der Datenabfrage zu. In der Kombination lässt sich also potenziell feststellen, welche Patienten wann in welcher Praxis waren.
Nur weil es illegal ist, ist es nicht unmöglich
Es wäre natürlich illegal diese Daten auszulesen und dann zu kombinieren. Und vielleicht auch nicht leicht. Aber eben nicht unmöglich. Der Umgang mit solchen Protokolldateien ist eher leger – einfach weil niemand dort vertrauliche Daten vermutet. Die ITler vor Ort haben leichten Zugriff darauf und Praxisverantwortliche können sie mit speziellen Programmen selbst auslesen und z.B. der Helpline des Herstellers zukommen lassen.
In der c‘t schreibt Maus, sie hätten die genannten Daten im Zeitraum von Oktober 2018 bis Dezember 2020 in den Protokollen des Konnektors von T-Systems gefunden. Und bei dessen Nachfolger Secunet von Mai 2020 bis zum Ende des Testzeitraumes im Juli 2021. Die Gematik-Konnektor-Spezifikationen verbieten jedoch an mehreren Stellen, dass der Konnektor medizinische und personenbezogene Daten in die Protokolldateien schreibt – weswegen die entscheidenden Wörter DARF/DÜRFEN und NICHT in Großbuchstaben gedruckt sind. Und dort steht auch, dass z.B. die Seriennummer der eGK-Smartcard als ein personenbezogenes Datum behandelt werden muss.
Die Gematik hätte vorgewarnt sein können
Im Logfile lassen sich die Daten eigentlich nicht übersehen, so der Experte. Bei der Zulassung hätte die Gematik das Problem also erkennen können. Und sie hätte vorgewarnt sein können: Gleich der erste Konnektor, der im November 2017 zugelassen wurde – die KoCoBox – verstieß gegen die Konnektor-Spezifikation und protokollierte personenbezogene Daten, ohne dass dies bei der Zulassung durch die Gematik entdeckt worden wäre, sagt Maus. Zum April 2018 hat der Hersteller ein Update entwickelt, mit dem der Fehler behoben wurde. Es wurde Anfang September 2018 zugelassen.
Quasi genau einen Monat davor erhielt der Konnektor von T-Systems seine erste Zulassung – trotz Vorwarnung wurde bei der Zulassungsprüfung aber offensichtlich keine Protokollierung personenbezogener Daten entdeckt. Die Erstzulassung der Secunet-Konnektoren erfolgte dann Ende 2018 – und noch einmal wurde die Protokollierung nicht wahrgenommen. Die Frage drängt sich förmlich auf: Was wurde noch nicht entdeckt?
Die Gematik erklärte auf Anfrage des Computermagazins, die Seriennummer des eGK-Zertifikats könne nur von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. Damit würde sich ein TSP aber rechtswidrig verhalten. Und Zugriff auf die betroffenen Protokolle hätten nur die Leistungserbringer und ihre Dienstleister. Da also von der Seriennummer des eGK-Zertifikats nicht direkt auf die Person geschlossen werden könne, sei der Hersteller anscheinend davon ausgegangen, dass die Protokollierung entsprechend der Spezifikation durchgeführt würde.
Warum die Spezifikationsverletzung bei den Zulassungstests nicht entdeckt wurde, erklärte die Gematik nicht. Offen bleibt auch, wie es sich mit der Serienummer der eGK verhält, warum bei den TSP ein Datenabfluss unmöglich sein soll und ob nicht vielleicht z.B. bei den Kartenherstellern oder Kassen auch Konstellationen denkbar sind, in denen sich jemand die unrechtmäßige Datenspeicherung zunutze machen könnte.
Dann habe man das Datenleck Anfang des Jahres dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gemeldet, schreibt c‘t. Dieser stellte eine Datenschutzverletzung nach Art. 33 Abs. 1 Datenschutzgrundverordnung (DSGVO) fest.
Auf die Frage, wer für den Verstoß datenschutzrechtlich verantwortlich sei, verwies der BfDI auf § 307 SGB V. Dieser Paragraph wurde mit dem Patientendaten-Schutz-Gesetz 2020 dort eingefügt und setzte einen Beschluss der Bundesdatenschutzkonferenz, der die Gematik als mitverantwortlich für die dezentrale Zone der TI benennt, außer Kraft. Aus dem neuen Gesetzespassus geht hervor, dass für die Konnektoren diejenigen verantwortlich sind, die sie nutzen. Auf Nachfrage erklärte der BfDI, dies seien „Ärzte und Leistungserbringer“.
Das klingt ernst. Denn das hieße, dass Leistungserbringende, sofern die DSGVO es erfordert, ihre Patienten über Datenschutzverstöße, die z.B. durch die Konnektoren passieren, informieren müssten.Sie könnten datenschutzrechtlich zu Bußgeldern herangezogen werden und sie müssten für den Fall, dass Patienten geschädigt werden, Schadensersatzforderungen entgegentreten.
Der Datenschutzexperte und Rechtsanwalt Dr. Arnd-Christian Kulow, Stuttgart, beleuchtet dagegen einen anderen datenschutzrechtlichen Aspekt. Die Verantwortung der Nutzer werde im Gesetz begrenzt, sagt er. Dort heißt es, die Verantwortlichkeit erstrecke sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten. „Zur Inbetriebnahme eines von der Gematik zugelassenen Gerätes gehört sicher nicht die Kontrolle irgendwelcher Logfiles, die da gar nicht sein dürften“, so Dr. Kulow.
In der DSGVO, die über nationalstaatlichen Regeln stehe, werde geregelt, dass stattdessen die Person bzw. Stelle verantwortlich sei, die über die Zwecke und Mittel der Verarbeitung der Daten entscheide. „Zweck und Mittel der Logfiles bestimmt der Hersteller, er ist der Verantwortliche.“
Wenn die Daten also protokolliert wurden, so der Jurist, dann sei davon auszugehen, dass einmal der Hersteller gegen seine Pflichten verstoßen habe und einmal die zulassende Stelle, also die Gematik, gegen ihre Gewährleistungsverantwortung.
Aus der Sicht von Hartmut Gieselmann, Redakteur bei c‘t, spielen die Gematik und der Hersteller, der sich auf die Anfragen des Magazins nicht äußern wollte, Ping-Pong mit der Verantwortung. „Leidtragende sind Patienten, deren Daten nicht ausreichend geschützt werden, und Ärzte, die sich neben einer hingepfuschten Telematik jetzt gegebenenfalls auch noch mit Anwälten auseinandersetzen müssen.“
Verantwortungs-Ping-Pong zulasten der Ärzte
Der Fall zeige seiner Meinung nach, wie Leistungserbringer ein unausgereiftes System aufgezwungen bekommen und dann für Fehler, die sie nicht begangen haben, zur Verantwortung gezogen werden sollen. Dabei haben sie keine Möglichkeiten, die Protokollierung der personenbezogenen Daten abzustellen – außer sie schalten den Konnektor aus. Und wie geht es weiter? Ein Sprecher des BfDI sagte, der Hersteller wolle das Problem in einem Update des Konnektors beheben. Ein Termin dafür sei jedoch nicht genannt worden. Der BfDI werde beobachten, ob die Änderungen vorgenommen werden. Und es werde geprüft, ob gegebenenfalls weitere Maßnahmen notwendig sein könnten.
Medical-Tribune-Recherche