Die datenschutzrechtliche Verantwortlichkeit von Praxen im Zusammenhang mit dem Gesundheitsdatennetzwerk

Geschrieben von Kemal Webersohn, veröffentlicht am 10.10.2022

Anlässlich der Debatte über einen Datenschutzverstoß im Zusammenhang mit der Gesundheitsdatenspeicherung, rückten verschiedene Fragen zur datenschutzrechtlichen Verantwortlichkeit von Praxen, Apotheken und anderen sog. „Diensterbringern“ immer mehr in den Fokus. Im Folgenden sollen einige dieser Fragen beantwortet werden. 

Was war der Auslöser der Debatte? 

Im Februar 2022 deckte das c’t Magazin (ein Magazin für Computertechnik) auf, dass auf einigen sog. Konnektoren der Firma Secunet personenbezogene Daten gespeichert wurden, anhand derer Gesundheitsdetails einiger Patienten abzulesen waren. Aus dieser Aufdeckung entwickelte sich schnell eine Debatte, in der sich der Hersteller, die gematik GmbH als Verantwortliche für die sog. telematische Infrastruktur (TI) also die Plattform für die Speicherung und Verarbeitung von Gesundheitsdaten in Deutschland und die Praxen gegenseitig die datenschutzrechtliche Verantwortlichkeit zuschrieben.  

Auf der Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit heißt es, die Nutzer der Konnektoren, also die Praxen, seien datenschutzrechtlich verantwortlich. Das Bundesgesundheitsministerium sagte dagegen, die Praxen seien nur für die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Konnektoren, also eben nicht für die Funktionsweise der Konnektoren selbst, verantwortlich. 

Wer hat also Recht? Und was für eine Bedeutung ergibt sich daraus für die datenschutzrechtlichen Pflichten der Praxen? Um dies zu erörtern, muss zunächst sowohl der tatsächliche als auch der rechtliche Hintergrund des Sachverhalts beleuchtet werden.  

Was sind Konnektoren? 

Kurz gesagt und stark vereinfacht sind Konnektoren Geräte, zum Versichertenstammdatenmanagement. Dabei geht es vor allem um die Verbindung zwischen Gesundheitskarten-Terminals und der sog. telematischen Infrastruktur (TI), die Einrichtungen im Dienste der Gesundheitsversorgung in einem virtuellen Netzwerk strukturieren soll. 

Rechtlich werden die Konnektoren im Sinne des § 306 Abs. 2 Nr. 1 des fünften Buchs des Sozialgesetzbuchs (SGB V) als Komponenten zur Authentifizierung, zur elektronischen Signatur, zur Verschlüsselung sowie Entschlüsselung und zur sicheren Verarbeitung von Daten in der zentralen Infrastruktur verstanden. Die folgenden Ausführungen sind somit auch auf alle anderen „Komponenten“, die unter diese Definition fallen, anwendbar.   

Warum ist wichtig, wer datenschutzrechtlich verantwortlich ist? 

Die EU-Datenschutz-Grundverordnung (DSGVO), die in der EU und damit auch in Deutschland die zentralen gesetzlichen Regelungen zum Datenschutz enthält, aber auch das Bundesdatenschutzgesetz (BDSG) unterscheiden zwischen Verantwortlichen und anderen, an der Verarbeitung teilnehmenden, Beteiligten. Insbesondere muss der Verantwortliche verschiedene gesetzliche Pflichten erfüllen (z.B. gegenüber von der Datenverarbeitung betroffener Personen), unterliegen der Rechenschaftspflicht gem. Art 5 Abs. 2 DSGVO und im Fall eines Verstoßes wird auch gegebenenfalls gegen ihn ein Bußgeld verhängt.   

Wie ist die Verantwortlichkeit im Zusammenhang mit Konnektoren (und ähnlichen Geräten) im Gesetz geregelt? 

Verantwortlicher ist dem Wortlaut der DSGVO nach gem. Art. 4 DSGVO, jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Jeder, der personenbezogene Daten für sich verarbeitet, also z.B. erhebt, speichert, weitergibt, kann somit Verantwortlicher sein. 

Für die datenschutzrechtliche Verantwortung im Zusammenhang mit Konnektoren ist in § 307 Abs. 1 SGB V aber eine Sonderregelung getroffen worden.  

Der Wortlaut von § 307 Abs. 1 SGB V scheint dabei auf den ersten Blick sehr eindeutig: Grundsätzlich ist jeder, der „Komponenten“, die unter die Definition von § 306 Abs. 2 Nr. 1 SGB V fallen, also auch Konnektoren, verantwortlich für personenbezogene Daten, die über sie verarbeitet werden. In § 307 Abs. 1 S. 2 SGB V wird zudem festgelegt, dass die Verantwortlichkeit nach Satz 1 sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten erstreckt. Dies wird jedoch nicht als abschließende Aufzählung verstanden.  

Es wäre also unzutreffend zu sagen, dass Praxen nur für die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Konnektoren (und anderen Komponenten im Sinne des § 306 Abs. 2 Nr. 1 SGB V) verantwortlich sind. Jedoch ist auch nicht die uneingeschränkte Verantwortung der selben anzunehmen. Vielmehr scheint das Gesetz eine Entscheidung je nach Schwerpunkt der Verarbeitung im Einzelfall zu fordern. Bei dem oben geschilderten Fall, in dem es um einen technischen Vorgang (die unzulässige Speicherung bestimmter Patientendaten durch den Konnektor) geht, den die Diensterbringer nicht beeinflussen können, wäre damit wohl die datenschutzrechtliche Verantwortung nicht bei ihnen sondern den Praxen zu sehen.  

Was ergibt sich daraus für die Diensterbringer (also die Praxen, die Apotheken etc.)? 

Zunächst ist klarzustellen, dass die Tatsache, dass die gematik GmbH die Verantwortung für die Telematikinfrastruktur (TI) trägt und beispielsweise für die Zulassung der Konnektoren zuständig ist, die Diensterbringer nicht automatisch von all ihren datenschutzrechtlichen Pflichten entbindet. So kann beispielsweise die Ergreifung geeigneter und angemessener technischer und organisatorischer Maßnahmen, (z. B. die Sicherung von Geräten gegen unbefugten Zugriff oder die Verwendung geeigneter Verschlüsselungsstandards nach dem Stand der Technik etc.) zusätzlich erforderlich sein. 

Weiter sind die Diensterbringer jedenfalls für die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Konnektoren verantwortlich. Je nach Bewertung des Einzelfalls kann ihre Verantwortlichkeit jedoch auch darüber hinaus gehen.  

Außerdem könnten Diensterbringer auch als nicht Verantwortlicher im Einzelfall (in Abhängigkeit von den Umständen und denkbar auch von abgeschlossenen Verträgen) beispielsweise Informations- oder andere Unterstützungspflichten treffen. Die datenschutzrechtliche Verantwortlichkeit für die übrige Leistungserbringerumgebung, also beispielsweise für andere eingesetzte Datenverarbeitungssysteme, bleibt ebenfalls unberührt. Ein umfassendes Datenschutzkonzept ist somit weiter, vor allem im Zusammenhang mit sensiblen Daten wie Gesundheitsdaten, unerlässlich.  

Fazit 

Zusammenfassend kann man sagen, dass die gesetzlichen Regelungen über die datenschutzrechtliche Verantwortung im Zusammenhang mit der Telematikinfrastruktur (TI) eine Entscheidung je nach Schwerpunkt der Verarbeitung im Einzelfall fordern. Dies kann dabei durchaus zu Unsicherheiten führen, indem in einigen Fällen wohl kein klarer Schwerpunkt ersichtlich ist und die Verantwortlichkeit weiterhin zumindest teilweise von der Argumentation der Beteiligten abhängt.   

Die Kassenärztliche Bundesvereinigung (KBV) forderte daher jüngst auch eine Anpassung des Gesetzes, ob diese jedoch kommt, wird sich erst in Zukunft zeigen.  

Bereits jetzt kann man jedoch davon ausgehen, dass ein umfassendes Datenschutzkonzept und die sorgfältige Umsetzung erforderlicher Maßnahmen, sowohl Datenpannen verhindern als auch bei möglichen Datenpannen Bußgelder abwehren können.