Die Datenschutzbeauftragten des Bundes und der Länder sehen die Praxisinhaber in der datenschutzrechtlichen Verantwortung für die Telematikinfrastruktur (TI). Aber auch die gematik sei mitverantwortlich für die Konnektoren, wenn es zu Angriffen und Datenverlusten in Praxen kommt, die an die TI angeschlossen sind. Für MEDI GENO Deutschland ist das ein wichtiger Erfolg.
„Endlich ist nun klar, dass die Praxen nicht allein für solche Hackerangriffe haften, sondern eine Mithaftung der gematik besteht“, kommentiert Dr. Werner Baumgärtner, Vorstandsvorsitzender von MEDI GENO Deutschland, die Entwicklung und ergänzt: „Wir begrüßen diese Rechtsauffassung der Datenschützer außerordentlich. MEDI GENO hatte sich wegen der Haftung der gematik im Sommer in einem Schreiben an die Datenschützer gewandt.
Weg mit dem Konnektor oder weg mit der Haftung
„Unsere Ziele bleiben nach wie vor: entweder weg mit dem unsicheren Konnektor oder weg mit der Haftung aus den Praxen“, macht Baumgärtner klar. Deswegen können Praxen, die künftig gehackt werden oder schon gehackt worden sind, sich an MEDI GENO wenden. „Wir werden sie mit all unseren Möglichkeiten unterstützen“, sagt Baumgärtner zu.
Die Kassenärztliche Bundesvereinigung (KBV) und die gematik haben mittlerweile mehrfach zu seiner Kritik am TI-Konnektor Stellung genommen. Bis heute liegt noch keine Datenschutzfolgenabschätzung der gematik vor, obwohl das gemäß Art. 35 DSGVO verlangt wird. Baumgärtner hält eine solche Datenschutzfolgenabschätzung insbesondere für Praxen mit einer großen Datenverarbeitung für „sinnvoll“. „Vor diesem Hintergrund haben wir eine Musterdatenschutzfolgenabschätzung nur für den Stammdatenabgleich erstellt, der ja über den Konnektor in den Praxen abläuft“, so der MEDI GENO Deutschland-Chef. Sie soll insbesondere den Praxen, die noch nicht installiert haben, aufzeigen, dass es unter dem Gesichtspunkt der Sicherheit der Patientendaten immer noch besser ist, nicht zu installieren.
Baumgärtner erinnert daran, dass nach wie vor nicht alle Komponenten des Konnektors vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert sind – „also wie ein Auto ohne TÜV-Siegel“, vergleicht er. Die gematik begründet das damit, dass eine Verarbeitung vertraulicher Patientendaten über das Versichertenstammdatenmanagement (VSDM) derzeit nicht erfolge. „Das ist offenkundig falsch, weil darüber auch die Teilnahme an DMP-Programmen, wie beispielsweise Brustkrebs, Diabetes, Asthma, übermittelt wird“, erklärt Baumgärtner. „Dass das der gematik entgangen ist, ist eigentlich kaum zu glauben, passt aber zur bisherigen Gesamtstrategie der Zwangsdigitalisierung in den Praxen.“
