DATENSCHÜTZER BRINGT ZÜNDSTOFF IN DIE DISKUSSION ZUR TI
Der Anschluss an die Telematikinfrastruktur hält nicht nur die Ärzte in Atem, auch der Bundesbeauftragte für den Datenschutz ist gefragt. Und er tut sich mit den Antworten überraschend schwer.
Und immer wieder die Telematikinfrastruktur (TI). Die Frage, wer eigentlich Verantwortlicher für die TI ist und damit eine Datenschutz-Folgenabschätzung (DSFA) vorzulegen hat, stellte sich im Mai 2018 gleich nach Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO). „Viele Ärzte sind ihrer gesetzlichen Verpflichtung zur Erstellung einer DSFA nachgekommen. Sie haben dabei allerdings nicht an der Schwelle ihrer Praxisräume Halt gemacht, sondern vielmehr auch die TI in ihre Betrachtungen mit einbezogen“, beschreibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber in seinem aktuellen Tätigkeitsbericht (wir berichteten).
Die DSFA der Praxen habe dann teilweise ergeben, dass ein Anschluss an die TI nicht vertretbar sei. „Viele Ärzte haben sich deshalb an mich gewandt“, so Kelber. An der Antwort arbeitet die Behörde Kelbers bis heute. Und das birgt durchaus Zündstoff für die Diskussion über die TI. „Die Frage, wer der datenschutzrechtliche Verantwortliche im Sinne der DSGVO für die TI ist, konnte bis zum Redaktionsschluss noch nicht endgültig geklärt werden“, heißt es lakonisch im Bericht.
"Nur noch eine Frage von Wochen"
Und auf Nachfrage, wie denn der Stand der Dinge sei, sagte am Mittwochnachmittag ein Sprecher, das sei „sehr aktuell und werde kontrovers diskutiert“. Beteiligt an der Diskussion seien unter anderem der BfDI, die Landesbeauftragten und natürlich auch das Bundesgesundheitsministerium. Es sei nur noch „eine Frage von Wochen“, bis darüber eine Entscheidung falle.
Das heißt, der oberste Datenschützer der Republik kann auch ein Jahr nach Inkrafttreten der DSGVO keine Antwort auf eine Frage geben, die im Prinzip gerade alle Ärzte, Zahnärzte und Psychotherapeuten unmittelbar betrifft – weil diese Berufsgruppen verpflichtet sind, sich bis zum 30. Juni dieses Jahres an die Telematikinfrastruktur anzuschließen.
Zehntausende haben das bekanntlich schon getan, im Vertrauen darauf, dass dieser gesetzlich vorgeschriebene Anschluss an die zentrale Infrastruktur für digitale Anwendungen im deutschen Gesundheitswesen sicher genug sei. Und nun diese Antwort, die exemplarisch vorführt, wie lähmend der Umgang mit Datenschutzfragen in Deutschland teilweise sein kann.
Wo liegen die Risiken?
Doch was ist eigentlich eine Datenschutz-Folgenabschätzung nach DSGVO? Es geht letztlich darum, Risiken einer Verarbeitung personenbezogener Daten – bei Ärzten geht es vor allem um Daten ihrer Patienten – zu beschreiben, zu bewerten und einzudämmen.
Dabei sollte sich eine DSFA auf alles erstrecken, was in den eigenen Verantwortungsbereich fällt. Und: Sollten trotz aller Abhilfemaßnahmen erhebliche Restrisiken bestehen, ist die Datenschutzbehörde zu kontaktieren. Was die vom BfDI im Bericht genannten Ärzten dann ja auch getan haben.
Nun kann ein einzelner Arzt die Risiken für Löcher im Sicherheitsnetz der Telematikinfrastruktur mit Hunderttausenden von angeschlossenen Praxen natürlich nicht beurteilen. Experten, auch Berufshacker, haben bislang das Sicherheitskonzept der TI eher gelobt, aber das hilft einem einzelnen Arzt bei der DSFA nur wenig.
Die eigentliche Frage ist daher, ob die Ärzte für Probleme in der TI verantwortlich gemacht werden können, also, ob die TI zu ihrem Verantwortungsbereich gehört oder nicht.
Die Sichtweise der KBV ist klar: „Die datenschutzrechtliche Verantwortung des Arztes endet am Konnektor.“ Und: Durch die Nutzung der TI entstehe „generell kein höheres Risiko für die teilnehmenden Ärzte“, wurde KBV-Vorstand Dr. Thomas Kriedel jüngst bei einer KV-Vertreterversammlung zitiert. Wenn sich die KBV mit ihrer Ansicht durchsetzt, müsste sich die DSFA von Ärzten damit nicht auf die TI beziehen.
Der Streit in vergangenen Wochen, ob die Anschlüsse an die TI immer mit dem nötigen Sachverstand gelegt werden, berührt damit einen neuralgischen Punkt: die Verknüpfung von TI und Praxis-EDV via Konnektor – und die Sicherheit möglicher anderer, parallel gelegter Internetverbindungen. Das wäre laut KBV genau der Punkt, an dem der Verantwortungsbereich der Ärzte beginnt.
Für die eigene Datenschutz-Folgenabschätzung bleibt Ärzten immer noch genug Stoff. Man darf gespannt sein, was der oberste Datenschützer dazu sagt.