In der vergangenen Woche wurde berichtet, dass Ärztinnen und Ärzte, die einen bestimmten Konnektor der Firma secunet nutzen, den Datenschutz verletzen. Grund dafür sei die Protokollierung der Zertifikatsseriennummer elektronischer Gesundheitskarten (eGK) in diesem Konnektor-Typ. Die suggerierte Bedrohlichkeit teilt die gematik nicht.

Die fraglichen Protokolle sind nur den Ärztinnen und Ärzten und ggf. den durch sie beauftragten Dienstleistern zugänglich. Diese hätten aber ohnehin die Möglichkeit, anhand der Primärdaten nachzuvollziehen, welche Patientinnen und Patienten die Praxis besucht haben. Damit hat zunächst keine Datenschutzverletzung stattgefunden. Die Protokolle sollten darüber hinaus nicht Dritten zugänglich gemacht werden. Darüber hinaus wären Dritte nicht in der Lage, von der Zertifikatsseriennummer direkt auf die Identität der Versicherten zu schließen. Hierfür müsste der (korrekte) Trust Service Provider der Krankenkasse mit dieser „Dritten Person“ widerrechtlich kooperieren und die Identität offenlegen – ein Szenario, das aus Sicht der gematik kein reales Risiko darstellt.

Die Speicherung der Zertifikatsseriennummern entspricht dennoch nicht der Intention der Spezifikation. Ein entsprechender Hotfix für den PTV-5 ist bei secunet in Planung. Ärztinnen und Ärzte sollten dieses Update, sobald von secunet bereitgestellt, wie üblich installieren. Diese Empfehlung gilt generell bei Updates und für den bestimmungsgemäßen Einsatz der Geräte in Praxen. Auch bis dahin können die Konnektoren ohne Einschränkung bestimmungsgemäß verwendet werden.

Im Übrigen geht die gematik rechtlich davon aus, dass die Leistungserbringer ihren datenschutzrechtlichen Sorgfaltspflichten nach der DSGVO hinreichend nachkommen, solange die Geräte bestimmungsgemäß verwendet und verfügbare Updates installiert werden.

Hinweis: Die hier veröffentlichte Meldung ersetzt eine frühere Meldung (vom 28.02.2022) zu diesem Thema. Inhaltlich hat sich nichts geändert; wir haben das Thema lediglich redaktionell angepasst.