Berlin. Ärztinnen und Ärzte sind für die Datenerfassung durch Konnektoren der Telematikinfrastruktur (TI) nicht verantwortlich. Das hat das Bundesgesundheitsministerium (BMG) in einem Schreiben an die Kassenärztliche Bundesvereinigung (KBV) klargestellt, das „Der Hausarzt“ vorliegt.
Das Ministerium bezieht sich dabei auf den jüngsten mutmaßlichen Datenverstoß der Konnektoren der Firma Secunet. Mitte März war bekannt geworden, dass diese bei der Prüfung der Gültigkeit der elektronischen Gesundheitskarte (eGK) die Seriennummer der Zertifikate von gesperrten eGK im Sicherheitsprotokoll des Konnektors speichern.
Konnektor nicht nach Gematik-Vorgabe
Konnektoren dürfen jedoch keine personenbezogenen Daten speichern. Das schreibt die Gematik den Herstellern vor. Die Secunet-Konnektoren widersprächen damit den Vorgaben der Gematik. Dadurch sei die Datenpanne dem Handeln des Herstellers zuzuordnen, so das BMG. Secunet selbst sieht keinen Verstoß gegen die Spezifikation der Gematik oder Datenschutzbestimmungen. Unter anderem führt der Hersteller an, dass Zertifikats-Seriennummenr nicht als personenbezogene Daten zu werten seien.
In seinem Schreiben nimmt das Ministerium aber zusätzlich Stellung, in welchen Fällen Ärztinnen und Ärzte Verstöße zu verantworten haben. Zunächst macht es deutlich: „Leistungserbringer sind für die oben genannte Datenverarbeitung (Anm. d. Red.: der Secunet-Konnektoren) nicht datenschutzrechtlich verantwortlich.“ Hier handele es sich nicht um eine Datenverarbeitung, die nach Paragraf 307 Abs. 1 SGB V den Leistungserbringern zuzuordnen sei.
Sicherheitsprotokoll nicht in ärztlicher Hand
Vielmehr schränke Paragraf 307 Abs. 1 SGB V (s. Kasten) die Verantwortlichkeit der Ärztinnen und Ärzte ein. Demnach müssen sie nur datenschutzrechtliche Konsequenzen fürchten, „wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden“. Dies treffe auf das Sicherheitsprotokoll der Konnektoren aber nicht zu – dies könnten Ärztinnen und Ärzte nicht beeinflussen.
Allerdings lege Paragraf 307 fest, dass Ärzte die Konnektoren – ebenso wie andere Komponenten der Telematikinfrastruktur – ordnungsgemäß in Betrieb nehmen, warten und verwenden müssen. Solange sie dies gewährleisteten, seien sie bei Datenpannen nicht verantwortlich.