ThemenDatenschutzDatenverstöße aufgedeckt: Neuer Ärger um TI-Konnektoren
Datenschutz

Datenschutz

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Ärzteschaft

Datenverstöße aufgedeckt: Neuer Ärger um TI-Konnektoren

Freitag, 25. Februar 2022

/todja, stockadobecom

Berlin – Bei einer Überprüfung von Konnektoren der Telematikinfrastruktur (TI) hat das IT-Magazin c’t in Logfiles der Geräte des Herstellers Secunet Daten gefunden, mit denen man einen persönlichen Bezug zum Arzt und Patienten herstellen könnte. Die Gematik hatte die Geräte zuvor für die Nutzung freigege­ben. Der Bundesdatenschutzbeauftragte sieht die Ärzte in der Pflicht.

Dem Bericht der c´t zufolge wurden in System- und Sicherheitslogs bei jedem Fehler des Abgleichs der Versi­chertenstammdaten (VSDM) die Seriennummer des Kryptozertifikats der elektronischen Gesund­heits­karte (eGK) gespeichert. In den VSDM-Logs der Konnektoren kam dem Magazin zufolge noch die ICCSN (Integrated Circuit Card Serial Number) der eGK hinzu.

„Über diese Nummern lassen sich Versicherte zumindest indirekt zuordnen. Sie zählen deshalb laut der genannten Spezifikationen zu den personenbezogenen Daten“, schreibt das Magazin. Und die ICCSN dür­fe nicht mit dem Sicherheitsprotokoll gespeichert werden. Die Protokolle würden zudem die Praxis ein­deutig identifizieren, hieß es weiter.

Zugriff auf die Logs sollten der Gematik zufolge nur „Leistungserbringer-Institutionen und von ihnen be­auftragte Dienstleister“ haben, nicht jedoch die Trust Service Provider (TSP), die die Kryptozertifikate der eGKs ausstellen.

„Wenn man die Logdaten illegalerweise mit denen der Kartenhersteller oder TSP zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat. Man bekäme heraus, wann Herr Meier beim Psychiater war und in welchem Zeitraum Frau Müller in einer Suchtklinik behandelt wurde“, schreibt die c´t. Das Magazin erklärte, dass es bereits 2018 einen gleichen Fehler bei den KoCo­Box-Konnektoren eines anderen Herstellers gegeben habe, der habe behoben werden müssen.

Wie die c’t berichtet, wurden bei dem Test solche personenbezogenen Daten nun im Zeitraum von Okto­ber 2018 bis Dezember 2020 in den Protokollen des Konnektors von T-Systems gefunden. Dieser sei 2020 bundesweit gegen den Einboxkonnektor von Secunet ausgetauscht worden, wie es hieß. Bei Secu­net fand das Magazin perso­nen­bezogene Daten von Mai 2020 bis zum Ende des Testzeitraums im Juli 2021.

Die Erkenntnisse meldete die Zeitschrift bereits Mitte Januar an den Bundesbeauftragen für Datenschutz und Informationsfreiheit (BfDI), der daraufhin eine Datenschutzverletzung feststellte. Dem BfDI zufolge hat die Gematik den Hersteller Secunet informiert.

Demnach protokolliere der Secunet-Konnektor auch noch mit der aktuellen Firmware 4.10.1 personen­bezogene Daten und vertieß damit gegen die Datenschutzgrundverordnung (DGVO). Secunet wolle dies in einem kommenden Update des Konnektors beheben, heißt es weiter. Anfragen von c’t wollte Secunet nicht beantworten.

Die Verantwortung für die Einhaltung des Datenschutzes sieht der BfDI dem Beitrag zufolge bei den Ärzten und Leistungserbringern. Gematik und BfDI seien im Austausch, ob Ärzte etwa die gegen die DS­GVO verstoßenden Secunet-Konnektoren abschalten müssen und wie betroffene Patienten informiert werden sollen. Ungeklärt blieben Fragen von c’t zu Bußgeldern und Schadenersatzforderungen.

Die Kassenärztliche Bundesvereinigung (KBV) ist verärgert. KBV-Vorstand Thomas Kriedel bezeichnete die Aussage des Bundesdatenschutzbeauftragten als „Unding“. Das mache ihn „zornig“. „Es darf doch nicht wahr sein, den Ärztinnen und Ärzte die Verantwortung für etwas in die Schuhe zu schieben, das sie ein­fach nicht zu verantworten haben“, sagte er dem Deutschen Ärzteblatt.

Die Ärzte seien per Gesetz und unter Androhung von Sanktionen gezwungen worden, unausgereifte Sys­teme in die Praxen einzuführen. Nun sollen sie für die Fehler in Haftung genommen werden. „Das ist ein­fach unzumutbar!“ Statt abzutauchen, müssten Gematik und der Hersteller Secunet sofort und unver­züg­lich die Probleme ausräumen – und schleunigst den betroffenen Ärzten mitteilen, wie und wann diese Fehler der Konnek­toren beseitigt werden.

„Ich erwarte Antworten! Jetzt und sofort! Die Praxen sind nicht dafür verantwortlich, was in den Kon­nek­toren passiert. Die nach den Vorgaben der Gematik konforme Umsetzung der Hersteller wird sowohl durch die Gematik als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft. Sie prüfen die Funktionalität – und haben offenbar beide versagt.“

Von der Gematik hieß es auf Nachfrage des Deutschen Ärzteblattes, durch das Festhalten der Serien­nummer eines eGK-Zertifikats in Konnektorprotokollen sei „kein direkter Rückschluss auf Versicherte möglich, deren eGKs in einem der betroffenen Terminals geprüft werden“.

„Die Seriennummer des eGK-Zertifikats ist ein pseudonymes Datum und könnte ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden, damit würde sich ein TSP aller­dings rechtswidrig verhalten“, erklärte ein Sprecher. Der TSP wiederum habe keinen Zugriff auf die be­troffenen Protokolle.

Laut Gematik können nur die Leistungserbringerinstitutionen und gegenebenfalls die von ihnen dafür beauftragten Dienstleister auf Konnektorprotokolle zugreifen. Gleichwohl sei es „nicht Intention der Spe­zifikation, wenn in den Konnektoren des Herstellers bei der Prüfung der eGK die Seriennummer eines Zertifikats der eGK in den internen Protokollen festgehalten wird“.

Die Gematik betonte, der Hersteller werde das Problem mittels Update für die betroffenen Konnektoren beheben. „Wir empfehlen den Ärztinnen und Ärzten, sobald der Hersteller das Update bereitgestellt hat, dieses auch zu installieren“, teilte die Gematik mit.

Im Übrigen gehe man rechtlich davon aus, dass die Leistungserbringer ihren datenschutzrechtlichen Sorgfaltspflichten nach der DSGVO hinreichend nachkommen, solange diese die Geräte bestimmungsge­mäß verwenden und verfügbare Updates installieren.

Von Secunet hieß es auf Nachfrage heute, hinsichtlich der Zertifikate der eGK könne nur theoretisch und indirekt – über meh­rere Stufen, die nicht miteinander kommunizieren dürften – von der Seriennummer des eGK-Zertifikats in den Konnektor-Logs auf den Inhaber der eGK geschlossen werden.

„Die Seriennummer des eGK-Zertifikats kann ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. Damit würde sich ein TSP allerdings rechtswidrig verhalten.“ Aus Sicht von Secunet seien die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. „Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.“

Secunet wolle aber dem Wunsch der Gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden könnten. Dies gilt auch für historische Seriennummern.

„Unserer Auffassung nach liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Daten­schutzbestimmungen vor. Ärzte, die den Konnektor einsetzen, können das weiterhin tun und sollten kommende Updates – wie immer – zeitnah einspielen“, sagte ein Sprecher. © may/aerzteblatt.de

Kommentare

Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.
Avatar #672734
isnydoc
am Montag, 28. Februar 2022, 14:52

Im Falle eines Falles

klebt UHU sicher alles ... was so "Haftung" angeht, wenn mal etwas bricht ...
und mit der Verantwortung ist es so eine Sache, die verläuft sich gerne im Nirwana der Projekte. Das wird auch anderswo beklagt:
"Ermutigend sind die vielen im Land ergriffenen Initiativen von Behörden, Schulen, Kultureinrichtungen und kleinen IT-Unternehmen, die wenigstens in ihren Bereichen versuchen, die digitale Abhängigkeit zu entschärfen.
Damit dies nicht völlig unkoordiniert erfolgt, müssen diese Kräfte gefördert und verstärkt in den laufenden Transformationsprozess einbezogen werden."
https://www.nzz.ch/meinung/fuer-mehr-digitale-souveraenitaet-ld.1668122
Avatar #88767
fjmvw
am Freitag, 25. Februar 2022, 10:26

Farce: Haftung wg. TI-Konnektoren liegt beim Arzt.

Das IT-Magazin c’t hat in TI-Konnektoren Daten gefunden, die gem. den geltenden Datenschutzvorschriften dort nicht sein dürf(t)en. Ein Verstoß also.

Nun sind die TI-Konnektoren den Praxen vom Gesetzgeber aufgezwungen, von der Gematik zertifiziert, von IT-Firmen entwickelt und können in den Praxen bezüglich der Einhaltung der Datenschutzbestimmungen nicht überprüft werden. Abgesehen von den fehlenden Fähigkeiten im IT-Bereich, um solche Überprüfungen durchzuführen – dafür gibt es normalerweise Zertifizierungsstellen wie die Gematik, aber die Gematik glänzt lediglich durch Inkompetenz, ist ein TI-Konnektor für Dritte eine black box. Man muss sie nutzen, aber man erfährt nicht, was in der black box genau passiert.

Trotzdem haften die Praxisinhaber, falls es zu Verstößen gegen den Datenschutz kommt.

Ärzte, die die Konnektoren weder entwickelt noch zertifiziert haben und denen man diese TI-Konnektoren unter Strafandrohung aufgezwungen hat, sind also in der Verantwortung und müssen betroffene Patienten informieren. Und das wegen einer TI,
- die viel zu teuer ist, die
- hohe Kosten verursacht und enormen Zusatzaufwand erfordert und
- technisch völlig veraltet ist und
- extrem unzuverlässig ist und
- vielfach gegen die Datenschutzbestimmung verstößt und
- den Ärzten gegen ihren Willen aufgezwungen wurde und
- den Ärzten wegen dilettantischer Arbeit von Dritten unkalkulierbare Haftungsprobleme verschafft.

Am Ende sollen die Ärzte dafür auch noch haften.

Eine Farce.
LNS

Zum Artikel

Coronakrise: Newsletter

Handlungsempfehlungen COVID-19

Handlungsempfehlungen COVID-19
Handlungs­empfeh­lungen für verschie­dene Fach­gebiete

Fachgebiet

Stellenangebote

    Weitere...