Artikel
Beschluss
Die Vertreterversammlung des KZBV fordert den Gesetzgeber auf, durch eine Ergänzung im Sozialgesetzbuch zur datenschutzrechtlichen Verantwortlichkeit für die dezentrale Zone der Telematik-Infrastruktur (TI) eindeutig klarzustellen, dass die Vertragszahnärzte für die Verarbeitung von Daten insbesondere im Konnektor, den VPN-Zugangsdiensten und den Kartenterminals nicht verantwortlich sind. Auch für die TI 2.0 muss die datenschutzrechtliche Verantwortung von Beginn an so geregelt werden, dass die Praxen nicht für eine Datenverarbeitung, auf die sie keinen Einfluss haben, verantwortlich gemacht werden können.
Begründung
Die KZBV hat in der Vergangenheit immer wieder darauf hingewiesen, dass bei der Digitalisierung des Gesundheitswesens und dem Aufbau der Telematik-Infrastruktur Patientendaten zu jeder Zeit geschützt sein müssen und die Zahnarztpraxen selbst nicht haftbar gemacht werden dürfen, wenn die gesetzliche vorgegebene TI-Sicherheitsarchitektur bei bestimmungsgemäßer Nutzung keinen ausreichenden Schutz bietet. Nachdem es im Frühjahr 2022 bei Konnektoren des Hersteller Secunet zu Datenschutzverstößen gekommen war, wurde in der öffentlichen Diskussion offenbar, dass es bezüglich der Frage der Verantwortlichkeit für die Datenverarbeitung durch die Konnektoren unterschiedliche Ansichten gibt. So hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Praxen in der Verantwortung gesehen.
Die Zahnarztpraxen können die Verarbeitung von Daten im Konnektor aber weder beeinflussen noch bestimmen, da die Abläufe und Prozesse im Konnektor alleine durch die gematik spezifiziert und alleine durch die Konnektorhersteller umgesetzt werden. Die Verarbeitung personenbezogener Daten liegt insoweit ausdrücklich nicht in der Verantwortung der Praxen, da diese nicht über die Mittel der Datenverarbeitung mitentscheiden, sondern nach dem Willen des Gesetzgebers einen zugelassenen Konnektor einsetzen müssen. Dies hatte auch das Bundesministerium für Gesundheit in einer Stellungnahme zu dem genannten Vorfall so erklärt und bestätigt. Ein dahingehender Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), der bereits am 12. September 2019 genau eine solche Klarstellung gefordert hatte ["Die gematik ist verantwortlich für die Verarbeitung, insbesondere soweit sie durch die von ihr vorgegebenen Spezifikationen und Konfigurationen für die Konnektoren, VPN-Zugangsdienste und Kartenterminals bestimmt ist."], wurde jedoch im Gesetzgebungsverfahren bisher nicht ausreichend berücksichtigt. Um für die Zukunft an dieser Stelle weitere Unsicherheiten auszuräumen, ist eine solche ergänzende Klarstellung im Sozialgesetzbuch dringend erforderlich. Eine solche Klarstellung muss jedoch auch bei der Weiterentwicklung der Telematik-Infrastruktur hin zur TI 2.0 von Anfang an berücksichtigt werden. Soweit hier durch Vorgaben des Gesetzgebers oder der gematik die Verarbeitung personenbezogener Daten vorgegeben wird und deren Umsetzung, beispielweise im Rahmen der neuen Schnittstellen zu den Anwendungen und Diensten der Telematik, für die Systeme der Praxen festgelegt werden, dürfen diese nicht in der Verantwortung der Praxen liegen.
