Mit Rundschreiben vom 23.05.2019 („Nach Installation des Konnektors – die Praxen haften“) und vom 11.07.2019 („TI-Konnektor - Rundschreiben der KBV/KVen – Haftung der Praxen / Haftungsbefreiung“) hat der MEDI GENO Deutschland e. V. angeregt, dass sich Leistungserbringer hinsichtlich verschiedener Fragen zu Datensicherheit, Datenschutz und Haftung im Zusammenhang mit der Telematikinfrastruktur (TI) – insbesondere bezogen auf den Konnektor – unter Verwendung der von MEDI GENO erstellten Musterschreiben sowohl an ihre jeweiligen IT-Dienstleister für das Praxisnetz bzw. für die Konnektorinstallation als auch an die gematik wenden sollten.

Die gematik nimmt sämtliche Bedenken im Zusammenhang mit der TI ernst  und möchte im Interesse einer zielgerichteten, effektiven und vor allem transparenten Reaktion hierauf einige ergänzende Informationen zu den typischen Fragen im Zusammenhang mit der Datensicherheit und dem Datenschutz in der TI geben, wobei vorsorglich darauf hingewiesen werden muss, dass jegliche juristischen Einschätzungen und Erläuterungen zwar nach bestem Wissen und Kenntnisstand erfolgen, es sich hierbei jedoch in keinem Fall um eine Rechtsberatung handelt oder eine solche ersetzt.

Grundsätzliche Verantwortung der gematik

Die Fachanwendungen, Komponenten und Dienste der TI werden entsprechend den gesetzlichen Vorgaben – dies umfasst auch die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) – spezifiziert. Die Komponenten und Dienste der TI sowie deren Anbieter werden auf Grundlage der Spezifikationen von der gematik geprüft und zugelassen sowie anschließend der sichere und datenschutzgerechte Betrieb der TI von der gematik überwacht.

Installation und Betrieb des Konnektors

Die Ausstattung bzw. der Anschluss der medizinischen Einrichtungen an die TI liegen außerhalb des Verantwortungsbereiches der gematik und erfolgen durch die jeweiligen IT-Dienstleister der Leistungserbringer. Dies betrifft insbesondere den Konnektor.

Die gematik hat vorsorglich Kontakt zu allen relevanten Anbietern von Zugangsdiensten zur TI aufgenommen, weil nur diese über die Dienstleister-vor-Ort („DVO“)/AIS-Dienstleister auf eine sichere Installation der Konnektoren hinwirken können.

Die gematik unterstützt die DVO/AIS-Dienstleister beispielsweise durch Hinweise und Dokumente in ihrem Fachportal.

Eine sach- und fachgerechte Installation der Anbindung an die TI durch den DVO/AIS-Dienstleister setzt daher grundsätzlich die Einhaltung der Hinweise und Dokumente des Bundesamtes für Sicherheit in der Informationstechnik und der gematik voraus.

Schutzfunktion des Konnektors

Der Konnektor kann die Systeme der Leistungserbringer, die daran angeschlossen sind, vor Angriffen aus dem Internet zusätzlich schützen, sofern die Konfiguration „seriell“ gewählt wird. Sehr wichtig ist aber, dass mit der Installation eines Konnektors keinesfalls die in den medizinischen Einrichtungen bereits umgesetzten Sicherheitsmaßnahmen für den IT-Praxisbetrieb obsolet werden, so dass z. B. Virenschutz oder die Netzabsicherung nach wie vor unerlässlich sind.

Haftung bei Verwendung des Konnektors

Die gematik legt funktionale Vorgaben für den Produkttyp „Konnektor“ fest, ist selbst aber weder Anbieter, Hersteller oder Betreiber des Konnektors. Betreiber des Konnektors im Sinne der Ausübung der tatsächlichen Sachherrschaft und bestimmungsgemäßen Nutzung ist vielmehr die jeweilige Leistungserbringerorganisation, sprich „die Praxis“.

Insofern ist zu jeglichen auf Basis der aktuellen MEDI GENO-Musterschreiben gewünschten Bestätigungen über den Ausschluss einer Haftung und/oder eines Mitverschuldens von Leistungserbringern für aus der bzw. über die TI erfolgende Angriffe und daraus resultierende Folgen zu bemerken, dass die gematik uneingeschränkt zu der grundsätzlichen Einschätzung hinsichtlich des Ausscheidens einer Haftung eines Leistungserbringers im Falle der bestimmungs- und anforderungskonformen Verwendung und Aufstellung zugelassener TI-Komponenten steht (siehe unser Informationsblatt Datenschutz und Haftung in der Telematikinfrastruktur).

Einer über diese generelle Beurteilung hinausgehenden Würdigung der Sach- und Rechtslage im individuellen Einzelfall steht jedoch zum einen entgegen, dass die gematik die individuellen technischen und organisatorischen Gegebenheiten in den einzelnen Leistungserbringerpraxen nicht aus eigener Kenntnis heraus bewerten kann und dass zum anderen diesbezügliche Wertungen der gematik auch keinerlei Bindungswirkung gegenüber dem im einzelnen Streitfall mit einer konkreten Haftungsfrage befassten Gericht entfalten würde.

Datenschutz-Folgenabschätzung

Von der gematik werden im Rahmen der Spezifikation von Anwendungen der elektronischen Gesundheitskarte und der Produkte der TI auch die Risiken für die Rechte und Freiheiten natürlicher Personen in den Datenschutz- und Sicherheitskonzepten betrachtet und hierbei Überprüfungen, die in Art und Umfang im Wesentlichen einer Datenschutz-Folgenabschätzung mit den gesetzlich geforderten Inhalten entsprechen, durchgeführt und dokumentiert.

Es erscheint also legitim, dass sich Leistungserbringer bei ihrer eigenen Datenschutz-Folgenabschätzung für die Verarbeitungsprozesse im Konnektor auf die Analyse der gematik stützen. Zu diesem Zweck bereitet die gematik eine Mustervorlage für die Erstellung einer Datenschutz-Folgenabschätzung zur Verwendung durch die Leistungserbringer vor, in welcher die relevanten technischen Informationen und Beurteilungen enthalten sind.

Zu berücksichtigen ist auch, dass gemäß Erwägungsgrund 91 der DSGVO eine Datenschutz-Folgenabschätzung zwar insbesondere bei umfangreichen Verarbeitungsvorgängen erstellt werden sollte, nach Satz 4 des Erwägungsgrundes die Verarbeitung personenbezogener Daten jedoch dann nicht als umfangreich gilt, wenn sie Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen solle eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein. Diese Erwägung dürfte aus Sicht der gematik trotz oder gerade wegen der Verwendung des Konnektors einschlägig bleiben, da, wie vorstehend dargelegt, seitens der gematik sowohl bei der Spezifikation und Zulassung des Produkttyps „Konnektor“ als auch bei der Überwachung des sicheren und datenschutzgerechten Betriebs höchste Standards und intensive Abstimmungen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Tragen kommen.