Entwarnung: Praxen nicht für Konnektoren-Fehler verantwortlich
Marzena SickingDie Konnektoren von secunet sollen unerlaubt Patientendaten gespeichert haben. Eine erste rechtliche Einschätzung sah die Praxen in der Verantwortung. Dem hat das Bundesministerium für Gesundheit auf Anfrage der KBV nun widersprochen.
Nach Art. 33 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sind diejenigen für Datenschutzverstöße verantwortlich, die entsprechende Produkte „für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden.“ Also Anwender, sprich Ärzte und Psychotherapeuten, die fehlerhafte TI-Konnektoren in ihren Praxen einsetzen. So hat es jedenfalls der Bundesbeauftragte für Datenschutz und Informationsfreiheit bisher ausgelegt.
Gesundheitsministerium sieht Ärzte nicht in der Verantwortung
Dem hat das Bundesministerium für Gesundheit jetzt aber widersprochen. „Nach Auffassung des Bundesministeriums für Gesundheit sind die Leistungserbringer für die oben genannte Datenverarbeitung nicht verantwortlich.“
Anlass war eine Anfrage der Kassenärztlichen Bundesvereinigung (KBV), die nach einem mutmaßlichen Datenschutzverstoß durch Konnektoren von secunet gestellt wurde. Die KBV hatte daraufhin eine Klarstellung des Bundesministeriums für Gesundheit (BMG) gefordert.
Ohne Einfluss keine Haftung
Diese hat das BMG nun geliefert und damit Ärzte und Psychotherapeuten aus der Verantwortung entlassen. Die Speicherung von Daten im Sicherheitsprotokoll der Konnektoren des Herstellers secunet sei „kein Datenverarbeitungsvorgang, der nach § 307 Abs. 1 SGB V in die Verantwortung der Leistungserbringer fällt“. Eine Verantwortung bestehe nur, „wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden“. Dies könnten sie im vorliegenden Fall gerade nicht und hätten auch keinen Einfluss.
Wie das Ministerium weiter erklärte, sei die Verantwortung der Ärzte und Psychotherapeuten gesetzlich begrenzt. Sie beschränkt sich nach Auskunft des BMG „auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten.“ Dazu heißt es in der Stellungnahme: „Solange keiner dieser Fälle vorliegt, sind die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit des Leistungserbringers nicht gegeben.“
KBV forderte gesetzliche Klarstellung
Die KBV begrüßt die Klarstellung des BMG. „Die Ärzte und Psychotherapeuten können nicht für etwas haften, auf das sie keinerlei Einfluss haben“, betonte Kriedel. Er forderte das Ministerium zugleich auf, die gesetzliche Regelung zu schärfen. „Der aktuelle Fall habe gezeigt, dass wir dringend eine eindeutige und klare Regelung benötigen, die nicht mal so und mal so ausgelegt werden kann.“ Jegliche Unsicherheit sei schädlich und bremse die Digitalisierung.