Praxen sind nicht für Fehler von Konnektoren verantwortlich - BMG bestätigt KBV-Auffassung zum Datenschutz

Ärzte und Psychotherapeuten sind datenschutzrechtlich nicht für Fehler der Konnektoren verantwortlich. Das hat das Bundesministerium für Gesundheit klargestellt und damit die Auffassung der KBV bestätigt.

Anlass ist ein im Februar bekanntgewordener mutmaßlicher Datenschutzverstoß, der die Konnektoren von secunet betrifft. Dabei seien Daten von Gesundheitskarten erfasst worden, obwohl nach der Spezifikation der gematik keine personenbezogenen Daten protokolliert werden dürfen. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit sah die Praxen in der Verantwortung.  

Die KBV hat daraufhin eine schnelle und ausdrückliche Klarstellung des Bundesministeriums für Gesundheit (BMG) gefordert. Vertragsärzte und Vertragspsychotherapeuten könnten die Verarbeitung von Daten im Konnektor weder beeinflussen noch bestimmen, da die Abläufe und Prozesse im Konnektor allein durch die gematik spezifiziert und allein durch die Konnektorhersteller umgesetzt würden, stellte KBV-Vorstandsmitglied Dr. Thomas Kriedel klar.

BMG: Praxen sind dafür nicht verantwortlich  

Dies sieht auch das BMG so. In einer Stellungnahme, die der KBV übermittelt wurde, heißt es: „Nach Auffassung des Bundesministeriums für Gesundheit sind die Leistungserbringer für die oben genannte Datenverarbeitung nicht verantwortlich.“ Die Speicherung von Daten im Sicherheitsprotokoll der Konnektoren des Herstellers secunet sei „kein Datenverarbeitungsvorgang, der nach § 307 Abs. 1 SGB V in der Verantwortung der Leistungserbringer fällt“.

Die Verantwortung der Ärzte und Psychotherapeuten sei gesetzlich begrenzt, stellt das BMG weiterhin heraus. Eine Verantwortung bestehe nur, „wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden“. Dies könnten sie im vorliegenden Fall gerade nicht und hätten auch keinen Einfluss.

Die Verantwortlichkeit der Praxen beschränkt sich nach Auskunft des BMG „auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten.“ Dazu heißt es in der Stellungnahme: „Solange keiner dieser Fälle vorliegt, sind die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit des Leistungserbringers nicht gegeben.“

Das Ministerium weist nochmals darauf hin, dass die Anforderungen an die Konnektoren die gematik in Spezifikationen vorgebe. Der Hersteller secunet habe die in Frage stehende Funktion des Konnektors entgegen der vorgegebenen Spezifikation „eigenverantwortlich entwickelt und umgesetzt“.

KBV forderte gesetzliche Klarstellung

Die KBV begrüßt die Klarstellung des BMG. „Die Ärzte und Psychotherapeuten können nicht für etwas haften, auf das sie keinerlei Einfluss haben“, betonte Kriedel. Er forderte das Ministerium zugleich auf, die gesetzliche Regelung zu schärfen. „Der aktuelle Fall habe gezeigt, dass wir dringend eine eindeutige und klare Regelung benötigen, die nicht mal so und mal so ausgelegt werden kann.“ Jegliche Unsicherheit sei schädlich und bremse die Digitalisierung.

Hintergrund ist der Paragraf 307 Absatz 1 SGB V, auf den sich der Bundesbeauftragte für Datenschutz und Informationssicherheit bezogen hatte und zu dem das BMG jetzt die Klarstellung abgegeben hat.