Berufsverband Deutscher Psychologinnen und Psychologen e. V.

Wer haftet für die dezentralen Komponenten der Telematikinfrastruktur?

Hintergründe und Stellungnahme des VPP im BDP e.V.

Aktuell gehören Meldungen über Datenlecks betreffend zentraler (z. B. des Cloudspeicherorts der elektronischen Patientenakte – ePA) oder dezentraler Strukturen (z. B. Konnektoren) der Telematikinfrastruktur (TI) fast schon zum Alltag. Wir haben daher exemplarisch einige Hintergrundinformationen zum Thema zusammengestellt und Aussagen zur Haftungsfrage zusammengefasst.

Zum Hintergrund

Jüngstes Datenleck: Bei einer Überprüfung von Konnektoren der Telematikinfrastruktur (TI) hatte das IT-Magazin c’t in Logfiles der Geräte des Herstellers Secunet Daten gefunden, mit denen persönliche Bezüge zwischen Ärztinnen/Ärzten und Patientinnen/Patienten unter bestimmten Umständen hätten hergestellt werden können. Die Betreibergesellschaft der TI, die gematik, hatte die Geräte zuvor für die Nutzung freigege­ben. Betroffen waren Secunet-Konnektoren, die in Psychotherapiepraxen eingesetzt werden. Nach Meldung an den Bundesbeauftragen für den Datenschutz und die Informationsfreiheit (BfDI) Mitte Januar wurde eine Datenschutzverletzung festgestellt.

Gesetzlich geregelt wurden die Verantwortlichkeiten im Patienten-Datenschutz-Gesetz (PDSG) im § 307, SGB V. Genannt sind als Verantwortlichen diejenigen, die die TI nutzen. Es folgt dann eine Einschränkung auf die ordnungsgemäße Anwendung (Gesetzestext: „Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur (…) liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. (…) Die Verantwortlichkeit nach Satz 1 erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten“.

Wer haftet? Fünf verschiedene Organisationen liefern verschiedene Antworten

Folgende unterschiedliche Antworten auf die Haftungsfragen von zentralen Stellen haben wir für Sie zusammengefasst:

1. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) sieht die Kassenpraxen in der Haftung

Gemäß § 307 SGB V hat der Gesetzgeber festgelegt, dass die Datenverarbeitung in der Verantwortung derjenigen liegt, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. Dabei handelt es sich um die Leistungserbringer, als beispielsweise die Praxen – so der BfDI.

2. gematik: Kassenpraxen haften nicht für genuine „Konnektorprobleme“

Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungs-gemäß verwendet werden und gemäß den mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Leistungserbringer aufgestellt und betrieben werden, scheidet eine Haftung des Leistungserbringers nach der DSGVO in jedem Fall aus.

3. KBV: Die gematik mit dem Mehrheitsanteilseigner des BMG ist in der Verantwortung

In einer darauffolgenden Resolution der Vertreterversammlung der KBV wird festgehalten: Die gematik ist im Rahmen des Zulassungsprozesses dafür verantwortlich zu prüfen, dass Konnektoren die in den Spezifikationen festgelegten datenschützenden Anforderungen einhalten (...) Ärzte, Psychotherapeuten und Patienten müssen sich unbedingt darauf verlassen können, dass die Nutzung der für die TI erforderlichen Komponenten keine Gefährdung ihrer sensiblen Daten bedeutet.

4. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK): gematik und Kassenpraxen haften (2019)

Da es die gesetzliche Aufgabe der gematik ist, den operativen und sicheren Betrieb der TI zu gewährleisten und sie in diesem Rahmen die Mittel für die Datenverarbeitung in der TI wesentlich bestimmt, kam die DSK zu der Auffassung, dass der gematik neben den Betreibern der Arztpraxen eine datenschutzrechtliche Mitverantwortung für die Konnektoren zufällt. Um diese Verantwortungsteilung künftig rechtssicher zu regeln, empfiehlt die DSK dem Gesetzgeber, hier eine normenklare gesetzliche Regelung zu schaffen.

5. Bundesgesundheitsministerium (BMG): Praxen haften nicht

In einer aktuellen Stellungnahme des Bundesministeriums für Gesundheit vom 31.03.2022, die der KBV übermittelt wurde, heißt es: „Nach Auffassung des Bundesministeriums für Gesundheit sind die Leistungserbringer für die oben genannte Datenverarbeitung nicht verantwortlich.“ Die Speicherung von Daten im Sicherheitsprotokoll der Konnektoren des Herstellers Secunet sei „kein Datenverarbeitungsvorgang, der nach § 307 Abs. 1 SGB V in der Verantwortung der Leistungserbringer fällt“.(…) Die Verantwortlichkeit der Praxen beschränke sich „auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten“. 

Wie sind Absicherungen von Praxen durch Versicherungen zu sehen?

Sollte sich die Auffassung durchsetzen, dass die Praxen für TI-Fehler haften – wobei hier bewusst offengelassen wird, wofür genau – stellt sich schnell die Frage, ob und inwieweit dafür eine Versicherung möglich ist und was das kostet. Jede Kassenpraxis muss ohnehin eine Berufshaftpflicht-versicherung haben. Hier ist eine gesonderte „Cyberversicherung“ überflüssig. Aber diese Gedankengänge gehen vorerst einen Schritt zu weit, denn verursachungsgerecht sind sie nicht, immerhin werden die Praxen zum TI-Anschluss gezwungen. Eine Versicherung auf andere Weise steht dabei durchaus im Raum – allerdings unter finanzieller Beteiligung derjenigen Akteure, die die TI-Entwicklung über die Jahre vorangetrieben haben. Der VPP begrüßt den Beschluss der KBV-Vertreterversammlung vom 4. März 2022 und interpretiert ihn auch als Aufforderung, die Versicherungsfrage zugunsten der Kassenpraxen zu klären.

Resümee

Das jüngste Datenleck zeigt erneut die Grenzen des Datenschutzes auf. Die Frage, ob und wer für einen Schaden infolge einer TI-Datenschutzpanne haftet, ist daher leider nicht nur eine theoretische. Der Umstand, dass unterschiedliche Antworten gegeben werden, lässt erahnen, wie komplex in einem echten Schadensfall die Beurteilung werden kann.

Der VPP fordert hier eine verbesserte gesetzliche Vorgabe zur Abgrenzung der Verantwortlichkeit von Leistungserbringenden. Klar ist, dass diese für eine ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten Sorge tragen müssen. Aber es muss eindeutig geklärt werden, dass für Fehlerquellen, welche die Software- oder Hardwarekomponenten der dezentralen Geräte betreffen, nicht die Kassenpraxen Verantwortliche im Sinne der DSGVO sind. Auch sollte eine versicherungsbezogene Regelung (betreffend Haftpflichtrisiken) zugunsten von Kassenpraxen getroffen werden.

01.04.2022

Susanne Berwanger

Kom. Vorsitz VPP im BDP e. V.