100.000 falsch versendete E-Krankschreibungen: Kein Datenmissbrauch feststellbar

Inhaltsverzeichnis

Innerhalb des KIM-Dienstes (Kommunikation im Medizinwesen) kam es zu einer "Fehlleitung von Nachrichten", überwiegend betroffen waren elektronische Arbeitsunfähigkeitsbescheinigungen (eAU). Demnach erhielt eine Praxis seit September 2022 fälschlicherweise 116.466 elektronische Arbeitsunfähigkeitsbescheinigungen, die eigentlich für die AOK Niedersachsen bestimmt waren, dort jedoch nicht ankamen. Sofern das Fehlen einzelner eAUs auffiel, etwa aufgrund notwendiger Krankengeldzahlungen, mussten die eAUs von den Praxen erneut angefordert werden. Ein Großteil sei jedoch erst in den vergangenen zwei Monaten falsch versendet worden. Erst als sich das Systemverhalten änderte, hatte die betroffene Arztpraxis die vielen E-Mails bemerkt.

Derzeit geht die für die Digitalisierung des Gesundheitswesens zuständige Gematik davon aus, dass die Praxis die fehlgeleiteten E-Mails nicht öffnen konnte. Um weitere Fehlleitungen zu verhindern, wurde die KIM-Adresse aus dem Verzeichnisdienst entfernt. Laut der AOK Niedersachsen könne aktuell nicht abschließend gesagt werden, welche Praxisverwaltungssysteme betroffen sind. Der Gematik zufolge handelt es wahrscheinlich um eine "fehlerhafte Implementierung in Praxisverwaltungssystemen von einigen Herstellern".

Einschätzung von Datenschützern

Die Ärztinnen und Ärzte, die die eAUs durch einen Fehler über die Praxisverwaltungssysteme an die betroffene Arztpraxis gesendet haben, sind laut der Landesbeauftragten für den Datenschutz in Niedersachsen, Barbara Thiel, im Sinne von "Art. 4 Nr. 7 DS-GVO" verantwortlich. Demnach sind Ärzte verpflichtet, "den Auftragsverarbeiter sorgfältig auszuwählen und sich von der datenschutzkonformen Arbeitsweise zu überzeugen (Art. 28 Abs. 1 DS-GVO)". Es liegen der LfD Niedersachsen zufolge jedoch keine Hinweise vor, dass die Praxen mit dem Fehler im PVS dieser Verpflichtung nicht sorgfältig nachgekommen seien, wie die LfD heise online mitgeteilt hat.

Nachdem die Praxis erkannt hat und erste E-Mails, dass eAUs fälschlicherweise an sie geschickt wurden, informierte sie die Gematik und die AOK Niedersachsen. Dafür habe "der unbefugte Empfänger (Praxis) [...] in diesem Fall zumindest einige Datensätze einsehen [müssen], um festzustellen, dass die Daten nicht für ihn bestimmt waren", so die LfD. Hätte die betroffene Praxis anders gehandelt und die Daten "zu eigenen Zwecken missbraucht", wäre der Sachverhalt anders zu beurteilen. Dafür liegen jedoch keine Anhaltspunkte vor. Sofern die Praxis den Eingang des E-Mail-Dienstes "Kommunikation im Medizinwesen, KIM" regelmäßig überprüft hätte, wäre es nicht zu einer derart hohen Anzahl an Fehlversendungen gekommen, merkt die LfD Niedersachsen zudem an. Mit der Bitte, die E-Mails zu prüfen, soll sich die niedersächsische Landesärztekammer demnächst an die Ärzte wenden.

Fehlerhafte Implementierung im Praxisverwaltungssystem

Grund für die Fehlleitung ist laut Gematik "wahrscheinlich eine fehlerhafte Implementierung in Praxisverwaltungssystemen von einigen Herstellern". Es habe aufgrund einer "fehlenden technischen Implementierung" einiger Software-Hersteller keine vollständige Prüfung durch die Praxisverwaltungssysteme stattfinden können und somit "keine eindeutige Zuordnung bei der Identifizierung der betroffenen Krankenkasse und der Praxis gewährleistet werden". Betroffene Primärsystemhersteller werden von der Gematik "erneut aufgefordert, die seit 2022 geltende Prüfpflicht umgehend umzusetzen".

KIM-Adresse wurde entfernt

Nach den Angaben von Medatixx seien Domain-IDs im Verzeichnisdienst der KIM-Adressen (LDAP-Verzeichnis) doppelt vergeben worden, wodurch sich die AOK Niedersachsen und eine Arztpraxis dieselbe ID teilten, berichtet Apotheke Adhoc.

Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, wurde von der Gematik bereits informiert. Ein unbefugter Zugriff auf die Telematikinfrastruktur sei nicht erfolgt. Der Vorfall unterliege zudem "besonderen berufsrechtlichen und strafrechtlichen Vorgaben".

(mack)