Kassenärztliche Vereinigung Sachsen-Anhalt

Navigation und Suche

Arzt- und Psychotherapeutensuche

Datenpanne bei Konnektoren des Anbieters secunet

Klarstellung durch das Bundesgesundheitsministerium (BMG) zugunsten von Vertragsärzten und Psychotherapeuten betreffend die datenschutzrechtliche Verantwortlichkeit  in der TI

hier: Datenpanne bei Konnektoren des Anbieters secunet

Ansprechpartner

IT-Service der KV Sachsen-Anhalt
Doctor-Eisenbart-Ring 2
39120 Magdeburg
Tel: 0391 627-7000
Fax: 0391 627-87-7000

 

Das BMG hat gegenüber der KBV mit Bezug auf die die Vertragsärzteschaft allseits empörende und medial präsente Bewertung einer datenschutzrechtlichen Verantwortlichkeit für die o.a. Datenpanne durch den Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) mit Schreiben vom 25.März 2022 klargestellt, dass Ärzte und Psychotherapeuten datenschutzrechtlich nicht für die Speicherung von Daten in einem Sicherheitsprotokoll der Konnektoren verantwortlich sind.

Es wird durch das BMG eindeutig festgehalten, dass vertragsärztliche Leistungserbringer nur verantwortlich sein können, wenn sie „über die Mittel der Datenverarbeitung im Sinne von § 307 Absatz 1 SGBV mitentscheiden bzw. einen Einfluss auf technische Spezifikationen haben“.

Unter „Mittel der Datenverarbeitung“ in diesem Kontext sind z.B. Dienste, Anwendungen, Komponenten und sonstige technische Infrastrukturbestandteile für den Einsatz in der TI zu verstehen. Die Verantwortung diesbezüglich obliegt der gematik, die insofern die maßgeblichen Spezifikationen vorgibt und nach entsprechender Prüfung die Zulassung für die Dienste, Anwendungen und Komponenten erteilt.

Im vorliegenden Fall ist der Hersteller secunet, bei seinem Konnetor von diesen Spezifikationen abgewichen, so dass auch die gematik im konkreten Fall keine Verantwortung trifft.

Das BMG stellt des Weiteren fest, dass eine datenschutzrechtliche Verantwortlichkeit der Vertragsärzte und Psychotherapeuten nur bezogen auf eine „ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten“ gilt. Die rechtliche Zuweisung einer datenschutzrechtlichen Verantwortlichkeit orientiere sich damit an den für die jeweilige Stelle überblickbaren und beherrschbaren Strukturen. Im vorliegenden Fall sind die in Rede stehenden secunet Konnektoren von den vertragsärztlichen Leistungserbringern in den Praxen, wie vorgegeben verwendet worden. Auch waren die o.a. Abweichungen des Herstellers von den Spezifikationen der gematik für die Praxen nicht zu erkennen.

Mittlerweile liegt eine Fehlerbehebung und Auslieferung eines Updates des Herstellers secunet vor, der nach § 307 Absatz 3 Satz 2 SGB V letztendlich für die festgestellte Datenpanne als der Verantwortliche feststeht.

Es wird rechtlich davon ausgegangen, dass die Leistungserbringer ihren datenschutzrechtlichen Sorgfaltspflichten nach der DSGVO hinreichend nachkommen, solange die Geräte bestimmungsgemäß verwendet und verfügbare Updates installiert werden.