Datenverstöße aufgedeckt: Neuer Ärger um TI-Konnektoren

/todja, stockadobecom

Berlin – Bei einer Überprüfung von Konnektoren der Telematikinfrastruktur (TI) hat das IT-Magazin c’t in Logfiles der Geräte des Herstellers Secunet Daten gefunden, mit denen man einen persönlichen Bezug zum Arzt und Patienten herstellen könnte. Die Gematik hatte die Geräte zuvor für die Nutzung freigege­ben. Der Bundesdatenschutzbeauftragte sieht die Ärzte in der Pflicht.

Dem Bericht der c´t zufolge wurden in System- und Sicherheitslogs bei jedem Fehler des Abgleichs der Versi­chertenstammdaten (VSDM) die Seriennummer des Kryptozertifikats der elektronischen Gesund­heits­karte (eGK) gespeichert. In den VSDM-Logs der Konnektoren kam dem Magazin zufolge noch die ICCSN (Integrated Circuit Card Serial Number) der eGK hinzu.

„Über diese Nummern lassen sich Versicherte zumindest indirekt zuordnen. Sie zählen deshalb laut der genannten Spezifikationen zu den personenbezogenen Daten“, schreibt das Magazin. Und die ICCSN dür­fe nicht mit dem Sicherheitsprotokoll gespeichert werden. Die Protokolle würden zudem die Praxis ein­deutig identifizieren, hieß es weiter.

Zugriff auf die Logs sollten der Gematik zufolge nur „Leistungserbringer-Institutionen und von ihnen be­auftragte Dienstleister“ haben, nicht jedoch die Trust Service Provider (TSP), die die Kryptozertifikate der eGKs ausstellen.

„Wenn man die Logdaten illegalerweise mit denen der Kartenhersteller oder TSP zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat. Man bekäme heraus, wann Herr Meier beim Psychiater war und in welchem Zeitraum Frau Müller in einer Suchtklinik behandelt wurde“, schreibt die c´t. Das Magazin erklärte, dass es bereits 2018 einen gleichen Fehler bei den KoCo­Box-Konnektoren eines anderen Herstellers gegeben habe, der habe behoben werden müssen.

Wie die c’t berichtet, wurden bei dem Test solche personenbezogenen Daten nun im Zeitraum von Okto­ber 2018 bis Dezember 2020 in den Protokollen des Konnektors von T-Systems gefunden. Dieser sei 2020 bundesweit gegen den Einboxkonnektor von Secunet ausgetauscht worden, wie es hieß. Bei Secu­net fand das Magazin perso­nen­bezogene Daten von Mai 2020 bis zum Ende des Testzeitraums im Juli 2021.

Die Erkenntnisse meldete die Zeitschrift bereits Mitte Januar an den Bundesbeauftragen für Datenschutz und Informationsfreiheit (BfDI), der daraufhin eine Datenschutzverletzung feststellte. Dem BfDI zufolge hat die Gematik den Hersteller Secunet informiert.

Demnach protokolliere der Secunet-Konnektor auch noch mit der aktuellen Firmware 4.10.1 personen­bezogene Daten und vertieß damit gegen die Datenschutzgrundverordnung (DGVO). Secunet wolle dies in einem kommenden Update des Konnektors beheben, heißt es weiter. Anfragen von c’t wollte Secunet nicht beantworten.

Die Verantwortung für die Einhaltung des Datenschutzes sieht der BfDI dem Beitrag zufolge bei den Ärzten und Leistungserbringern. Gematik und BfDI seien im Austausch, ob Ärzte etwa die gegen die DS­GVO verstoßenden Secunet-Konnektoren abschalten müssen und wie betroffene Patienten informiert werden sollen. Ungeklärt blieben Fragen von c’t zu Bußgeldern und Schadenersatzforderungen.

Die Kassenärztliche Bundesvereinigung (KBV) ist verärgert. KBV-Vorstand Thomas Kriedel bezeichnete die Aussage des Bundesdatenschutzbeauftragten als „Unding“. Das mache ihn „zornig“. „Es darf doch nicht wahr sein, den Ärztinnen und Ärzte die Verantwortung für etwas in die Schuhe zu schieben, das sie ein­fach nicht zu verantworten haben“, sagte er dem Deutschen Ärzteblatt.

Die Ärzte seien per Gesetz und unter Androhung von Sanktionen gezwungen worden, unausgereifte Sys­teme in die Praxen einzuführen. Nun sollen sie für die Fehler in Haftung genommen werden. „Das ist ein­fach unzumutbar!“ Statt abzutauchen, müssten Gematik und der Hersteller Secunet sofort und unver­züg­lich die Probleme ausräumen – und schleunigst den betroffenen Ärzten mitteilen, wie und wann diese Fehler der Konnek­toren beseitigt werden.

„Ich erwarte Antworten! Jetzt und sofort! Die Praxen sind nicht dafür verantwortlich, was in den Kon­nek­toren passiert. Die nach den Vorgaben der Gematik konforme Umsetzung der Hersteller wird sowohl durch die Gematik als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft. Sie prüfen die Funktionalität – und haben offenbar beide versagt.“

Von der Gematik hieß es auf Nachfrage des Deutschen Ärzteblattes, durch das Festhalten der Serien­nummer eines eGK-Zertifikats in Konnektorprotokollen sei „kein direkter Rückschluss auf Versicherte möglich, deren eGKs in einem der betroffenen Terminals geprüft werden“.

„Die Seriennummer des eGK-Zertifikats ist ein pseudonymes Datum und könnte ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden, damit würde sich ein TSP aller­dings rechtswidrig verhalten“, erklärte ein Sprecher. Der TSP wiederum habe keinen Zugriff auf die be­troffenen Protokolle.

Laut Gematik können nur die Leistungserbringerinstitutionen und gegenebenfalls die von ihnen dafür beauftragten Dienstleister auf Konnektorprotokolle zugreifen. Gleichwohl sei es „nicht Intention der Spe­zifikation, wenn in den Konnektoren des Herstellers bei der Prüfung der eGK die Seriennummer eines Zertifikats der eGK in den internen Protokollen festgehalten wird“.

Die Gematik betonte, der Hersteller werde das Problem mittels Update für die betroffenen Konnektoren beheben. „Wir empfehlen den Ärztinnen und Ärzten, sobald der Hersteller das Update bereitgestellt hat, dieses auch zu installieren“, teilte die Gematik mit.

Im Übrigen gehe man rechtlich davon aus, dass die Leistungserbringer ihren datenschutzrechtlichen Sorgfaltspflichten nach der DSGVO hinreichend nachkommen, solange diese die Geräte bestimmungsge­mäß verwenden und verfügbare Updates installieren.

Von Secunet hieß es auf Nachfrage heute, hinsichtlich der Zertifikate der eGK könne nur theoretisch und indirekt – über meh­rere Stufen, die nicht miteinander kommunizieren dürften – von der Seriennummer des eGK-Zertifikats in den Konnektor-Logs auf den Inhaber der eGK geschlossen werden.

„Die Seriennummer des eGK-Zertifikats kann ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. Damit würde sich ein TSP allerdings rechtswidrig verhalten.“ Aus Sicht von Secunet seien die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. „Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.“

Secunet wolle aber dem Wunsch der Gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden könnten. Dies gilt auch für historische Seriennummern.

„Unserer Auffassung nach liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Daten­schutzbestimmungen vor. Ärzte, die den Konnektor einsetzen, können das weiterhin tun und sollten kommende Updates – wie immer – zeitnah einspielen“, sagte ein Sprecher. © may/aerzteblatt.de