Die Datenschutzbeauftragten des Bundes und der Länder sehen die Praxisinhaber in der datenschutzrechtlichen Verantwortung für die Telematikinfrastruktur (TI). Aber auch die gematik sei mitverantwortlich für die Konnektoren, wenn es zu Angriffen und Datenverlusten in Praxen kommt, die an die TI angeschlossen sind. Für MEDI GENO Deutschland ist das ein wichtiger Erfolg.
„Endlich ist nun klar, dass die Praxen nicht allein für solche Hackerangriffe haften, sondern eine Mithaftung der gematik besteht“, kommentiert Dr. Werner Baumgärtner, Vorstandsvorsitzender von MEDI GENO Deutschland, die Entwicklung und ergänzt: „Wir begrüßen diese Rechtsauffassung der Datenschützer außerordentlich. MEDI GENO hatte sich wegen der Haftung der gematik im Sommer in einem Schreiben an die Datenschützer gewandt.
Weg mit dem Konnektor oder weg mit der Haftung
„Unsere Ziele bleiben nach wie vor: entweder weg mit dem unsicheren Konnektor oder weg mit der Haftung aus den Praxen“, macht Baumgärtner klar. Deswegen können Praxen, die künftig gehackt werden oder schon gehackt worden sind, sich an MEDI GENO wenden. „Wir werden sie mit all unseren Möglichkeiten unterstützen“, sagt Baumgärtner zu.
Die Kassenärztliche Bundesvereinigung (KBV) und die gematik haben mittlerweile mehrfach zu seiner Kritik am TI-Konnektor Stellung genommen. Bis heute liegt noch keine Datenschutzfolgenabschätzung der gematik vor, obwohl das gemäß Art. 35 DSGVO verlangt wird. Baumgärtner hält eine solche Datenschutzfolgenabschätzung insbesondere für Praxen mit einer großen Datenverarbeitung für „sinnvoll“. „Vor diesem Hintergrund haben wir eine Musterdatenschutzfolgenabschätzung nur für den Stammdatenabgleich erstellt, der ja über den Konnektor in den Praxen abläuft“, so der MEDI GENO Deutschland-Chef. Sie soll insbesondere den Praxen, die noch nicht installiert haben, aufzeigen, dass es unter dem Gesichtspunkt der Sicherheit der Patientendaten immer noch besser ist, nicht zu installieren.
Baumgärtner erinnert daran, dass nach wie vor nicht alle Komponenten des Konnektors vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert sind – „also wie ein Auto ohne TÜV-Siegel“, vergleicht er. Die gematik begründet das damit, dass eine Verarbeitung vertraulicher Patientendaten über das Versichertenstammdatenmanagement (VSDM) derzeit nicht erfolge. „Das ist offenkundig falsch, weil darüber auch die Teilnahme an DMP-Programmen, wie beispielsweise Brustkrebs, Diabetes, Asthma, übermittelt wird“, erklärt Baumgärtner. „Dass das der gematik entgangen ist, ist eigentlich kaum zu glauben, passt aber zur bisherigen Gesamtstrategie der Zwangsdigitalisierung in den Praxen.“
Sehr geehrter Kollege Baumgärtner,
ich bin wirklich dankbar für Ihre Ausführungen zur TI und Gematik und natürlich habe ich die empfohlene DSFA erstellt.
Andererseits frage ich mich, ob ich wirklich IT Experte sein muss, um meine Praxis zu betreiben. Das wäre beinahe so, als müsste ich ein versierter KFZ-Mechatroniker mit mindestens Meisterstatus sein, um mein Auto von A nach B zu befördern.
Auch erhalten wir ständig teilweise widersprüchliche Empfehlungen:
der Gesetzgeber verpflichtet uns die Telematik zu installieren
Medi sagt, wartet ab
Hausarztverband meint, dann installiert halt
usw. usw.
Und ich als Feld- Wald- und Wiesendoktor soll nun bewerten, was denn nun richtig sein könnte.
Nutze ich IT? Natürlich.
Will ich die Daten meiner Patienten schützen? Natürlich.
Ist mein IT -Anbieter hilfreich? Nur bedingt. Alle Anfragen mit Bezug auf Datensicherheit werden mit dem Hinweis auf politisches Gerangel abgewehrt.
Gematik habe ich wie empfohlen informiert. Antwort: nada!
Ist es da verwunderlich, dass man den ganzen Papierkram in einem Aktenordner “IT-Wirrwarr”
verschwinden lässt und froh ist, wenn man sich wieder seinen Patienten zuwenden kann.
Mit den besten Grüßen
Ihr
Peter Franz
Lieber Herr Kollege Franz,
bitte verzeihen Sie, dass ich mich erst jetzt melde. Dafür bekommen Sie jetzt eine sehr ausführliche Antwort.
An sich wäre es Aufgabe der gematik gewesen, den Praxen eine technisch ausgereifte und sichere Digitalisierung zu ermöglichen und diese Umstellung in den Praxen zu bezahlen. Die KBV und die KVen waren ja Gesellschafter und haben an dieser Stelle total versagt. Es wäre auch deren Aufgabe und nicht unsere bei MEDI gewesen, die Zwangsdigitalisierung durch Herrn Spahn zu prüfen und zu handeln, aber nachdem uns immer mehr Praxen um Hilfe gebeten hatten und wir die veralteten Konnektoren technisch haben prüfen lassen, konnten wir nicht mehr zurück.
Es ist nach wie vor so, dass mit der TI eine unsichere Tür in jedes Praxis-AIS implementiert wird. Die Praxen sind der Politik, den KVen, Kassen und ihren AIS-Anbietern ausgeliefert. Die Inhaber haften, dürfen aber die Installation nicht prüfen, bei der weder eine Datenschutzfolgenabschätzung vorliegt, noch die üblichen Tests (PEN-Test etc.) veröffentlicht sind – vermutlich gibt es keine oder die Ergebnisse sind miserabel.
Inzwischen wurde ja aufgrund unserer Aktivitäten wenigstens vom Bundesdatenschützer eine Mithaftung der gematik veröffentlicht. Unsere Musterklagen wegen der Kosten sind eingereicht. Die Widersprüche bei der KVBW wegen des 1%-Abzugs sind eingereicht, die Begründungen haben wir soweit fertig. Sie werden bald veröffentlicht.
Ich musste kürzlich grinsen, weil ein Vorstandsmitglied des Hausärzteverbands mir mitteilte, er habe installiert und seitdem dauernde technische Probleme. Ich habe es mir verkniffen das Thema Haftung noch zu ergänzen, aber das wird das nächste Thema.
Zum Abschluss noch meine Lieblingsgeschichte zum Konnektor: Jedes Gerät im Einsatz mit persönlichen und sensiblen Daten bekommt eine Sicherheitsstufe vorgegeben. In der Regel wohl von den verantwortlichen Behörden. Der Begriff dafür lautet “Prüftiefe”. Die geht von 1 bis 7, also Handys von wichtigen Politikern haben z.B.7 usw.
Es gibt ein intelligentes Stromablesegerät für Haushalte, das die Prüftiefe 4+ hat. Jetzt raten Sie bitte, welche Prüftiefe der Konnektor hat, der ja laut KBV und gematik und Ministerium die höchste Sicherheitsstufe besitzt!
Ich spanne Sie nicht auf die Folter: er hat vorgegeben die Prüftiefe 3!!!! Also weniger sicher als der Stromableser im Keller!! Schriftlich vorgegeben in den Schutzprofilen, quasi der Bauanleitung, für jedermann dort zu lesen. Nur hat dort noch kein Verantwortlicher nachgelesen. Noch Fragen?
Mich würde interessieren, wer diesen mickrigen Sicherheitsstandard vorgegeben hat und wer alles davon wusste. Wir kennen noch nicht alle “Mitwisser”, aber wir bleiben dran.
Also bitte abwarten mit der TI, das kann nur besser werden.
HG Ihr W. Baumgärtner