Datenschutzverstöße bei TI-Konnektoren: Müssen Zahnärzte für Fehler des Herstellers haften?

Das IT-Magazin „c’t“ hat schwere Datenschutzverstöße bei TI-Konnektoren von Secunet aufgedeckt: Es werden unerlaubterweise Patientendaten gespeichert. Für die Datenschutzverletzung haftet allerdings nicht der Hersteller, sondern der Anwender – also die Zahnarztpraxis.

In dem Bericht wird belegt, dass personenbezogene Daten in den Log-Daten der TI-Konnektoren von Secunet gespeichert werden (siehe https://www.heise.de/select/ct/2022/6/2204618460492956498 ). Ein klarer Verstoß gegen die Spezifikationen der Gematik, denn dort heißt es: „Personenbezogene Daten DÜRFEN NICHT in Protokolleinträgen gespeichert werden“. Leider ist das nicht das einzige Problem: Die Speicherung verstößt auch gegen die Vorgaben der Datenschutzverordnung. Solche Vergehen können im Zweifelsfalls ziemlich teuer werden.

Den Verstoß gegen die DSGVO begehen die Zahnärzte

Auf Anfrage der c’t hat der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber in dem Fall eine Datenschutzverletzung nach Art. 33 Abs. 1 Datenschutz-Grundverordnung (DSGVO) bestätigt. Die rechtliche Verantwortung für die DSGVO-Verstöße liegt allerdings nicht beim Hersteller oder der Gematik, die den Konnektor trotz Spezifikationsverletzung zugelassen hat, sondern bei den Zahnärzten – auch wenn die von diesem Problem gar nichts wussten.

Aus rechtlicher Sicht sind nämlich immer diejenigen verantwortlich, die „diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden.“ Also die Zahnärzte und Zahnärztinnen, die diese TI-Konnektoren in ihren Praxen einsetzen.

„Praxen entscheiden nicht über die Mittel der Datenverarbeitung mit“

Die Reaktionen lassen nicht lange auf sich warten. Dr. Karl Georg Pochhammer, stellv. Vorsitzender des Vorstands der Kassenärtlichen Bundesvereinigung weist die Bewertung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) jedenfalls entschieden zurück. „Die zitierte Aussage ist sehr ärgerlich. Und sie ist falsch!“, betonte Pochhammer. „Zahnarztpraxen sind gesetzlich verpflichtet, sich an die Telematikinfrastruktur anzuschließen. Die Verarbeitung personenbezogener Daten liegt dabei ausdrücklich nicht in ihrer Verantwortung, weil Praxen eben nicht über die Mittel der Datenverarbeitung mitentscheiden, sondern nach dem Willen des Gesetzgebers einen zugelassenen Konnektor einsetzen müssen.“

Zahnärztinnen und Zahnärzte hätten also schlichtweg keine Möglichkeit, Einfluss auf das in dem Bericht geschilderte Vorgehen des Konnektors zu nehmen. „Vor diesem Hintergrund ist es vollkommen abwegig, nun den Praxen die Schuld an dieser erneuten TI-Panne in die Schuhe zu schieben.“

Die KZBV verwahre sich im Namen des gesamten Berufsstandes gegen solche „unzutreffenden Schuldzuweisungen“, so Pochhammer. „Wenn Herr Prof. Kelber als BfDI sich schon medienwirksam auf Fehlersuche begibt, dann sollte er damit zunächst beim Hersteller secunet, bei der gematik und beim BSI beginnen.“ Die letztlich Verantwortlichen müssten betroffene Praxen schnellstmöglich über den Vorfall aufklären und klarstellen, dass die Zahnärzte für die vermeintlichen Fehler eben nicht verantwortlich sind, sagte Pochhammer.

Gesetzgeber sieht Anwender in der Verantwortung

Die Empörung ist berechtigt, allerdings hätte die Antwort des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wohl gar nicht anders ausfallen können. Denn laut § 307 SGB 5 sind tatsächlich diejenigen datenschutzrechtlich verantwortlich, die „diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden.“ Also Zahnärzte und Zahnärztinnen, die die TI-Konnektoren in ihren Praxen einsetzen.

Immerhin: Die Gematik hat laut „c’t“ den Hersteller Secunet zwischenzeitlich wohl informiert. Dieser will das Problem mit dem nächsten Update des Konnektors beheben.