Das Magazin für Computertechnik, kurz c’t, hat einen kuriosen Fall von Datenschutz in Arztpraxen aufgedeckt. An diesem Fall kann man gut das Groteske im deutschen Datenschutz sehen. Da Reisen bekanntlich bildet, lassen wir uns auf einen Kurztrip nach Datenschutz-Absurdistan ein. Was war geschehen? Alle Arztpraxen sind zwangsweise an das sogenannte TI-System der Gematik angeschlossen.

TI steht für Telematikinfrastruktur, die Gematik ist die Nationale Agentur für Digitale Medizin und im Eigentum von Bundesministerium für Gesundheit (BMG), Bundesärztekammer (BÄK) und den Versicherungen, wobei sie mit 51 Prozent dem BMG und damit mehrheitlich dem Staat gehört.

Die TI sorgt mit verschiedenen Anwendungen, Komponenten und Netzen für den Datenaustausch zwischen Versicherungskarte, Praxen, Versicherungen und allen weiteren Leistungserbringern (neudeutsch: Stakeholdern) im Medizinsektor. Eine Komponente der TI, der sogenannte Konnektor, hat fehlerhaft funktioniert. Der Konnektor ist nur ein Router, wie ihn viele im eigenen Haushalt besitzen, allerdings eine auf Sicherheit getrimmte und durch die Gematik und das BSI überprüfte Komponente.

Es kommt darauf an, aus Fehlern zu lernen

Ein Konnektortyp eines Herstellers hat in sogenannte Logdateien personenbezogene Daten von Patientinnen und Patienten geschrieben, welche nicht in Logs hätten landen dürfen. Logs sind Textdateien, die alles Mögliche aufschreiben, etwa technische Ereignisse wie Störungen oder Zugriffe durch Personen auf Anwendungen und Systeme, es sind sozusagen Protokolle. Durch Verkettung weiterer Umstände könnten Angreifer aus diesen Logs herauslesen, welcher Patient wann bei welcher Ärztin in Behandlung war. Dinge, die niemand von uns preisgeben will. Fehler passieren, keine Häme von meiner Seite. Es kommt darauf an, aus Fehlern zu lernen und dass alle durch die Regulierung gleichbehandelt werden. Nun zur Groteske.

Wer ist verantwortlich für diese Panne? Doch eigentlich der Systemaufsteller der TI, da Ärztinnen und Ärzte bei Androhung von Honorarkürzungen die TI akzeptieren müssen und gar keine Entscheidungsfreiheit oder Mitbestimmung haben. Das sehen BÄK und BMG genauso, allerdings nicht der BfDI (der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Dieser sieht die Ärzteschaft in der Haftung für die fehlerhaften Konnektoren, da Ärztinnen und Ärzte die Verantwortlichen im Sinne der DSGVO seien.

Im Zweifel wird dieser Fall vor Gericht geklärt werden

Wenn dem so wäre, haftete die Ärzteschaft aus Datenschutzvergehen mit empfindlichen Geldbußen. Das wäre bei der Gematik nicht der Fall, denn staatliche Stakeholder können im Datenschutz nicht mit Geldbußen belegt werden. Wobei zu fragen ist, ob die für die Gematik zuständige Landesdatenschutzaufsicht, in dem Fall die Berliner, überhaupt schon eine Untersuchung zum Fall eingeleitet hat. Zumindest auf der Webseite ist dazu nichts zu lesen.

Nicht auszudenken, was in einem vergleichbaren Fall los wäre, wären ausschließlich privatwirtschaftliche Stakeholder beteiligt. Ich spreche aus tiefer Erfahrung. Sollte der BfDI seine Auffassung nicht ändern, wird dieser Fall im Zweifel vor Gericht geklärt werden – und die Ärzteschaft wird für die Sicherheit einer komplizierten und durch sie nicht bestellten IT-Infrastruktur geradestehen müssen. Das wäre wahrlich grotesk.