Es ist die wunderbare Welt der Digitalisierung in der Medizin, die sowohl Patienten als auch Arztpraxen, Krankenhäusern und Apotheken versprochen wird – frei von Problemen. Sie mache beispielsweise "den Praxisalltag effektiver", Ärzte gewönnen "wertvolle Zeit für das Wichtigste: die Diagnostik und Behandlung Ihrer Patientinnen und Patienten". So verspricht es die Gematik immer wieder.

c't kompakt Ein von c’t aufgedecktes Datenschutzproblem in der digitalen Medizin-Infrastruktur zeitigt unterschiedliche juristische Interpretationen des Bundesdatenschutzbeauftragten und des Bundesgesundheitsministeriums.

Gerichte müssen entscheiden, ob Arztpraxen in der Verantwortung für Probleme der zertifizierten Hardware stehen.

Nach Betrachtung der Gesetzeslage haften die Ärzte doch nicht.

Die Gematik GmbH, das ist die "Nationale Agentur für Digitale Medizin", 2005 gegründet, um die elektronische Gesundheitskarte nebst der dazu erforderlichen Infrastruktur aufzubauen. Gesellschafter sind unter anderem das Bundesministerium für Gesundheit (BMG), die Bundesärztekammer (BÄK) und die Versicherungen. Mittlerweile hält das BMG, damit der Bund, 51 Prozent der Anteile.

In einem Fall, den c’t aufgedeckt hat, liegen nun die Gesellschafter mit dem Datenschutz völlig über Kreuz. Es geht ausgerechnet um jene Sicherheit und Effektivität, die die Gematik stets in den Vordergrund stellt: Im Februar dieses Jahres hatte c’t veröffentlicht, dass es in der sogenannten Telematik-Infrastruktur (TI) der Gematik mindestens von Oktober 2018 bis Juli 2021 eine datenschutzrechtlich relevante Schwachstelle gab – und zwar in den Räumen von Arztpraxen.

Ärzte in Verantwortung?

Jeder Kassenpatient kennt es: Man steckt beim Arztbesuch seine elektronische Gesundheitskarte (eGK) in ein Kartenterminal, bevor es ins Wartezimmer geht. Was nicht jeder weiß: Dieses Terminal ist über einen VPN-Router, den sogenannten Konnektor, mit der TI verbunden und tauscht darüber unter anderem mit den gesetzlichen Krankenkassen Stammdaten der Versicherten (VSDM) aus.

In Log-Dateien dieser Konnektoren fanden wir kurz gesagt personenbezogene Patientendaten, die die Geräte bei Fehlern abgespeichert hatten. Mittels dieser Daten hätten Angreifer beispielsweise nach Zusammenführung mit anderen Daten feststellen können, wann welcher Patient welchen Arzt besucht hat. Nach Spezifikationen der Gematik hätte das nicht passieren dürfen. Dennoch ist es das, und zwar beim oft eingesetzten "Einbox-Konnektor" des Unternehmens Secunet.

c’t hatte die Lücke vor Veröffentlichung Mitte Januar dem Bundesbeauftragen für Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber, gemeldet. Dieser hatte wenige Wochen später "eine Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO" festgestellt. Man habe sowohl die Gematik als auch den Hersteller Secunet informiert.

Für Datenschutzexperten überraschend: Der BfDI erklärte in seiner Stellungnahme kurzerhand die Leistungserbringer, also auch und gerade die Ärztinnen und Ärzte in den Praxen, zu Verantwortlichen im Sinne der DSGVO für diese Datenschutzpanne. Er forderte sie auf, ihre Patientinnen und Patienten entsprechend zu benachrichtigen.

Umstrittener Paragraf 307

Im März legte der BfDI sogar eine FAQ zu den Konsequenzen aus der von c’t gemeldeten Schwachstelle in der TI nach. Wörtlich heißt da: "Gemäß § 307 SGB V hat der Gesetzgeber festgelegt, dass die Datenverarbeitung in der Verantwortung derjenigen liegt, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. Dabei handelt es sich um die Leistungserbringer, also beispielsweise die Praxen."

Der umstrittene Paragraf 307 des Fünften Buchs des Sozialgesetzbuchs (kurz: SGB V), auf den sich BfDI Kelber hier bezieht, wurde in dieser Form durch das Patienten-Datenschutzgesetz (PDSG) vom Oktober 2020 eingeführt, ist also vergleichsweise neu. Das SGB V enthält alle Regeln zur gesetzlichen Krankenversicherung in Deutschland. Und § 307 SGB V befasst sich eingehend mit den datenschutzrechtlichen Verantwortlichkeiten zur Telematikinfrastruktur.

Corpus Delicti: Der Konnektor von Secunet speicherte bei Fehlfunktion entgegen datenschutzrechtlicher Bestimmungen personenbezogene Patientendaten in Logfiles. (Bild: Secunet GmbH)

Viel auf dem Spiel

Der Vorstand der Kassenärztlichen Bundesvereinigung, Thomas Kriedel, reagierte auf die Verantwortungszuweisung des BfDI in Richtung Ärzteschaft gelinde gesagt verärgert: "Die Praxen sind nicht dafür verantwortlich, was in den Konnektoren passiert. Die nach den Vorgaben der Gematik konforme Umsetzung der Hersteller wird sowohl durch die Gematik selbst als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft. Sie prüfen die Funktionalität – und haben offenbar beide versagt."

Im Ergebnis sieht dies nun auch das BMG so. In einem Schreiben von Ende März an die Bundesärztekammer, die Kassenzahnärztliche Bundesvereinigung und die Bundeszahnärztekammer teilte das Ministerium mit, dass seiner Interpretation zufolge die Ärzte nicht für die Schwachstelle im Secunet-Konnektors verantwortlich zu machen sind.

Das Thema dürfte damit wohl kaum vom Tisch sein. Der BfDI ist weiterhin der Ansicht, die Ärzteschaft hafte generell für fehlerhafte Konnektoren. Wenn diese Haltung alle juristischen Prüfstände passieren würde, kämen auf die Praxen schwere Zeiten zu. Sie wären zu umfassenden Prüfungen ihrer zwangsweise anzuschaffenden TI-Hard- und Software verpflichtet. Dafür benötigten sie externe Hilfe von spezialisierten IT-Firmen, und die kostet viel Geld.

Darüber hinaus stellt sich die Frage, ob die Praxen dann nicht auch spezielle "Cyberversicherungen" abschließen müssten. Denn es ist nicht auszuschließen, dass sich neue Pannen im Umfeld der TI ereignen und wieder eine Verantwortung der Ärzteschaft nach dem PDSG gesehen wird. Kurz: Bei der datenschutzrechtlichen Konfrontation steht einiges auf dem Spiel.

Haftung für "Komponenten"?

Um die Grundlagen zur Verantwortlichkeit für Datenschutzverstöße zu verstehen, muss man die DSGVO heranziehen. Denn diese hat 2018 zunächst einmal die rechtliche Anwendung aller nationalen Datenschutzvorschriften verdrängt. Sie werden zwar nicht generell ungültig oder unwirksam, dürfen aber, wenn in der DSGVO einschlägige Regelungen für die Verarbeitung von personenbezogenen Daten vorhanden sind, von den nationalen Gerichten nicht herangezogen werden.

Die DSGVO enthält in Artikel 24 die Begriffsdefinition des "verantwortlichen Datenverarbeiters". "Verantwortlicher" ist demnach, wer "allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Als solche Mittel der Verarbeitung kommen beispielsweise das Computersystem in der Arztpraxis, aber auch der gute alte Karteikasten in Betracht. Der "Zweck" der Verarbeitung ist das "Wofür". In einer Arztpraxis wird der Zweck regelmäßig aus der Erfüllung des Behandlungsvertrags bestehen.

Unstreitig hat das Unternehmen Secunet die Log-Funktion eingebaut, damit diese im Fall von Fehlfunktionen des Geräts die nach Ansicht der Entwickler nötigen (Patienten-)Daten speichert. Dadurch konnte Secunet eine bessere Fehlerkontrolle gewährleisten und das Produkt verbessern. Secunet hat also das Mittel – die Fertigung eines Logfiles – als auch den Zweck Produktverbesserung bestimmt. Damit ist das Unternehmen als verantwortlich im Sinne der DSGVO anzusehen. Genau aus diesem Grund scheidet auch eine "gemeinsame Verantwortung", wie sie die DSGVO in Artikel 26 durchaus kennt, für die Konnektoren aus.

Gematik muss Sicherheitskonzept haben

Der BfDI vertritt hier eine andere Ansicht und weist darauf hin, dass nach Artikel 4 DSGVO auch abweichende Verantwortlichkeiten bestehen können, wenn das nationale Recht dies so bestimmt. Konkret meint er, dass § 307 Abs. 1 SGB V genau so einen Fall regelt. Tatsächlich bürdet § 307 SGB V in diesem ersten Absatz (siehe Kasten unten) denjenigen eine datenschutzrechtliche Verantwortung auf, die mithilfe von "Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur" arbeiten. Solche "Komponenten" sind auch die Konnektoren. Haften die Arztpraxen also nach dem Patienten-Datenschutzgesetz (PDSG), obwohl nach der DSGVO eine Verantwortlichkeit der Ärzte nicht vorliegt?

§ 307 Sozialgesetzbuch V (Datenschutzrechtliche Verantwortlichkeiten) (1) Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden. Die Verantwortlichkeit nach Satz 1 erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten.

Nein, denn die Haftung nach dem PDSG bestünde in Bezug auf die Konnektoren nur, soweit die Verantwortlichen, also die Ärztinnen und Ärzte, "über die Mittel der Datenverarbeitung mitentscheiden", wie es in § 307 Abs. 1 SGB V wörtlich heißt. Genau das tut die Ärzteschaft gerade nicht. Zwar können Praxisinhaber unter mehreren Konnektoren auswählen, dies kann das Gesetz aber nicht meinen.

Die Gematik hat nämlich nach § 311 SGB V die gesetzliche Aufgabe, die "Komponenten der Telematikinfrastruktur" zuzulassen. Unter diesen Komponenten versteht das Gesetz wie erwähnt beispielsweise die Konnektoren. Die Gematik muss zugleich ein Sicherheitskonzept haben, das den Datenschutz nach DSGVO sowie die nationalen Datenschutznormen und die Datensicherheit berücksichtigt.

In der Gematik-TI tauschen Patienten mit allen möglichen medizinischen Versorgern fröhlich Patientendaten aus. Dass die Daten auch ohne Wissen der Ärzte in Praxis-Hardware verbleiben, sieht das Schaubild nicht vor. (Bild: Gematik GmbH)

Unsinniges Gedankenspiel

Da die Gematik alle Konnektoren gemäß ihrem gesetzlichen Auftrag technisch und datenschutzrechtlich prüft und freigibt, kann der Praxisinhaber keine relevante Auswahlentscheidung im datenschutzrechtlichen Sinn treffen. Doch selbst wenn man dies annehmen würde, erstreckt sich die Verantwortlichkeit der Ärzte nicht auf jede Datenschutzpanne, die mit den Konnektoren zusammenhängt. Dies ergibt sich aus dem letzten Satz von § 307 Abs. 1 SGB V, der die Verantwortlichkeit der Ärzte genauer beschreibt: "Die Verantwortlichkeit nach Satz 1 erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten."

Es stellt sich hier die Frage, ob zur ordnungsgemäßen Inbetriebnahme auch die Untersuchung einer TI-Komponente nach Fehlern gehört. Dies könnte bestenfalls dann der Fall sein, wenn bei der normalen Einrichtung des Konnektors im Einrichtungsmenü ein Schritt nach dem Muster "Speichern von Patientendaten in Logfiles" erschienen wäre. Dies war im vorliegenden Fall unstreitig nicht so.

Die gesetzliche Prüfungs- und Zulassungspflicht der Konnektoren durch die Gematik wäre einigermaßen sinnlos, wenn die Verwender gleichwohl verpflichtet wären, ihrerseits zusätzlich die Hard- und Software auf Herz und Nieren zu prüfen. Eine Arztpraxis kann folglich nur für die korrekte Verwendung der von der Gematik geprüften Komponenten verantwortlich gemacht werden.

Gematik grundsätzlich Haftungsadressat

Sollte sich unabhängig davon ein Datenschutzverstoß ergeben, ist die Gematik grundsätzlich der Haftungsadressat, beziehungsweise im Fall der Konnektoren auch der Hersteller. Dieser hat für seine Zwecke mit dem Mittel der Logfile-Erstellung die Datenschutzverletzung begangen. Die Arztpraxen dagegen haben nicht gegen ihre datenschutzrechtlichen Pflichten aus § 307 Abs. 1 SGB V verstoßen.

Eine Haftung ohne Pflichtverletzung wäre eine sogenannte "Gefährdungshaftung". Diese kann es geben, wenn eine an sich sehr gefährliche Tätigkeit trotzdem erlaubt werden soll. Die Kfz-Halterhaftung ist ein Beispiel für diese Konstellation. Nähme man bei den Konnektoren also eine Haftung der Ärzte ohne Verschulden an, so würde man damit sagen, dass der Einsatz der von der Gematik geprüften Geräte so gefährlich ist, dass es auf ein Verschulden nicht mehr ankommen soll – ein offensichtlich unsinniges Gedankenspiel.

Bundesdatenschützer Ulrich Kelber zeigt am von c’t aufgedeckten Fall, dass durch die von den Datenschutzbehörden kritisierten Änderungen im Patientendatenschutzgesetz Ärzte für Fehler von Herstellern und der Gematik verantwortlich gemacht werden sollen. (Bild: Bernd von Jutrczenka/dpa)

Mit dem Patientendatenschutzgesetz hatte der ehemalige Bundesgesundheitsminister Jens Spahn die Gematik weitgehend aus der datenschutzrechtlichen Verantwortung für die Telematische Infrastruktur genommen. (Bild: Michael Kappeler/dpa)

Ausstieg verbaut

Festzuhalten bleibt, dass die Ärzte zwar eine datenschutzrechtliche Verantwortung für die Konnektoren haben, diese aber keinesfalls so weit geht, dass bei der Einrichtung nach verborgenen Fehlern gesucht werden muss. Die Rechtsauffassung des BfDI wird daher vor Gerichten – und nur diese können den Fall gegebenenfalls abschließend und verbindlich entscheiden – keinen Bestand haben.

Sie steht im Übrigen auch klar im Widerspruch zur Auffassung des Gesetzgebers, der sich bei der Zuweisung der Verantwortlichkeit strikt an den "für die jeweilige Stelle überblickbaren und beherrschbaren Strukturen" orientiert hat. So jedenfalls ist es der Begründung des Regierungsentwurfs zum PDSG zu entnehmen.

All dies hilft jenen Ärztinnen und Ärzten, die genau aus den gerade beschriebenen Problemen heraus vorerst auf TI-Konnektivität verzichten wollen, nur begrenzt. Sie müssen mitmachen. Seit dem 1.1.2019 existiert für sie die gesetzliche Pflicht, sich an das Versichertenstammdaten-Management anzuschließen und unter anderem quartalsmäßig die Leistungspflicht der Krankenkassen zu online zu prüfen. Wer dieser Prüfpflicht nicht nachkommt, für den sieht § 291 b Abs. 5 SGB V Kürzungsmöglichkeiten von 1 Prozent oder sogar 2,5 Prozent der Ausschüttung vor.

Dagegen ging ein Arzt vor und klagte vor dem Sozialgericht Stuttgart (Az. S 24 KA 166/20). Der Mediziner hatte schriftlich erklärt, dass er die zur Teilnahme an der TI notwendigen Komponenten nicht bestellen werde. Prompt wurde ihm das vertragsärztliche Honorar um ein Prozent gekürzt. Das Sozialgericht hielt die Klage zwar für zulässig, sah sie jedoch in der Sache als unbegründet an. Im Ergebnis heißt das für Ärztinnen und Ärzte, dass momentan ein "Ausstieg" aus der TI wohl nur um den Preis einer entsprechenden Kürzung des Honorars zu haben ist.

(hob)