DigHealthWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
dighealth:ti:akt2022-1

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
dighealth:ti:akt2022-1 [2022/03/02 11:36] fjhdighealth:ti:akt2022-1 [2022/05/10 10:25] (aktuell) fjh
Zeile 3: Zeile 3:
 Bezug: c't-Artikel mit dem Titel "[[https://www.heise.de/select/ct/2022/6/2204618460492956498|DSGVO-Zwickmühle]]" in Ausgabe 6/2022, S. 36.  Bezug: c't-Artikel mit dem Titel "[[https://www.heise.de/select/ct/2022/6/2204618460492956498|DSGVO-Zwickmühle]]" in Ausgabe 6/2022, S. 36. 
  
-  * secunet-Konnektor mit aktueller Firmware 4.10.1 speichert die ICCSN der eGK in Konnektor-Logs. Es wird allerdings nicht klar gesagt in welchem Log: VSDM-Fachmodul-Log, was gemäß Anforderung Nr. TIP1-A_4710 erlaubt wäre, oder Security-Log, was gemäß der Afo nicht erlaubt wäre.+  * secunet-Konnektor mit aktueller Firmware 4.10.1 speichert die ICCSN der eGK in Konnektor-Logs. Es wird allerdings nicht klar gesagt in welchem Log: VSDM-Fachmodul-Log, was gemäß Anforderung Nr. TIP1-A_4710((Der Konnektor DARF medizinische Daten NICHT in die Protokolldateien schreiben.\\ Personenbezogene Daten DÜRFEN NICHT in Protokolleinträgen gespeichert werden.\\ KVNR, ICCSN und CardHolderName MÜSSEN als personenbezogene Daten behandelt 
 +werden.\\ Die ICCSN DARF Im Fehlerfall durch Fachmodule in Protokolleinträgen gespeichert werden. Die ICCSN DARF NICHT im Sicherheitsprotokoll gespeichert werden.)) aus der Konnektorspezifikation(([[https://fachportal.gematik.de/fachportal-import/files/gemSpec_Kon_V4.11.1.pdf|Version 4.11.1]] und [[https://fachportal.gematik.de/fachportal-import/files/gemSpec_Kon_V5.8.0.pdf|Version 5.8.0]])) und  erlaubt wäre, oder Security-Log, was gemäß der Afo nicht erlaubt wäre.
   * Die ICCSN lässt sich (nur) vom TSP (VDA) auflösen. Eine (illegale!) Zusammenführung der TSP-Daten mit den Logs des Konnektors könnte also offenbaren, welcher Patient zu welchem Arzt geht.   * Die ICCSN lässt sich (nur) vom TSP (VDA) auflösen. Eine (illegale!) Zusammenführung der TSP-Daten mit den Logs des Konnektors könnte also offenbaren, welcher Patient zu welchem Arzt geht.
   * c't hat dies Mitte Januar dem BfDI gemeldet, wobei der genaue Wortlaut der Meldung nicht veröffentlicht ist.   * c't hat dies Mitte Januar dem BfDI gemeldet, wobei der genaue Wortlaut der Meldung nicht veröffentlicht ist.
-  * Der BfDI stellte laut c't "eine Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO" fest, wobei auch der genaue Wirtlaut der Antwort des BfDI nicht veröffentlicht ist.+  * Der BfDI stellte laut c't "eine Datenschutzverletzung nach [[https://dsgvo-gesetz.de/art-33-dsgvo/|Art. 33]] Abs. 1 DSGVO" fest, wobei auch der genaue Wortlaut der Antwort des BfDI nicht veröffentlicht ist.
   * Zudem antwortet der BfDI auf die Frage, wer für den konstatierten Datenschutzverstoß verantwortlich sei: "Datenschutzrechtlich verantwortlich für die Konnektoren sind diejenigen, die diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, sowie sie über die Mittel der Datenverarbeitung mitentscheiden." In dieser Allgemeinheit nur eine Paraphrase der Zuweisung der datenschutzrechtlichen Verantwortlichkeiten, wie sie [[https://www.buzer.de/307_SGB_V.htm|§ 307 SGB V]] Abs. 1 S. 1 regelt. Gemeint sind damit (so auch die Antwort des BfDI auf explizite Nachfrage der c't) die Ärzte und Leistungserbringer.   * Zudem antwortet der BfDI auf die Frage, wer für den konstatierten Datenschutzverstoß verantwortlich sei: "Datenschutzrechtlich verantwortlich für die Konnektoren sind diejenigen, die diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, sowie sie über die Mittel der Datenverarbeitung mitentscheiden." In dieser Allgemeinheit nur eine Paraphrase der Zuweisung der datenschutzrechtlichen Verantwortlichkeiten, wie sie [[https://www.buzer.de/307_SGB_V.htm|§ 307 SGB V]] Abs. 1 S. 1 regelt. Gemeint sind damit (so auch die Antwort des BfDI auf explizite Nachfrage der c't) die Ärzte und Leistungserbringer.
  
Zeile 12: Zeile 13:
  
 Auch die gematik ordnet das Thema nochmals in einer [[https://www.gematik.de/newsroom/news-detail/aktuelles-berichterstattung-zur-angeblichen-datenschutzverletzung-bei-konnektor|News]] ein. Dort wird explizit von nicht spezifikationskonformen Verhalten gesprochen. Auch die gematik ordnet das Thema nochmals in einer [[https://www.gematik.de/newsroom/news-detail/aktuelles-berichterstattung-zur-angeblichen-datenschutzverletzung-bei-konnektor|News]] ein. Dort wird explizit von nicht spezifikationskonformen Verhalten gesprochen.
 +
 +Verschiedene Artikel in der Fachpresse greifen das Thema auf.
 +
 +Die KBV wendet sich per Schreiben an die gematik und fordert Aufklärung. Sie sieht die gematik in der Verantwortung, da diese den secunet-Konnektor zugelassen habe, obwohl er gegen Datenschutzanforderungen der gematik-Spezifikationen verstoße.
  
 Weitere Artikel, die das Thema auf Basis des c't-Artkels aufgreifen: Weitere Artikel, die das Thema auf Basis des c't-Artkels aufgreifen:
Zeile 18: Zeile 23:
   * [[https://www.aerzteblatt.de/nachrichten/132090/Datenverstoesse-aufgedeckt-Neuer-Aerger-um-TI-Konnektoren|Datenverstöße aufgedeckt: Neuer Ärger um TI-Konnektoren]], aerzteblatt.de, 25.02.2022   * [[https://www.aerzteblatt.de/nachrichten/132090/Datenverstoesse-aufgedeckt-Neuer-Aerger-um-TI-Konnektoren|Datenverstöße aufgedeckt: Neuer Ärger um TI-Konnektoren]], aerzteblatt.de, 25.02.2022
  
-Reaktionen der KBV;+Reaktion der KBV:
   * [[https://www.kbv.de/html/1150_57096.php|KBV fordert unverzügliche Aufklärung des Sicherheitsvorfalls in der TI – Verantwortung liegt bei der gematik]], Praxisnachrichten 25.2.2022.   * [[https://www.kbv.de/html/1150_57096.php|KBV fordert unverzügliche Aufklärung des Sicherheitsvorfalls in der TI – Verantwortung liegt bei der gematik]], Praxisnachrichten 25.2.2022.
 +
 +Reaktion des BMG
 +  * BMG legt in einem Schreiben dar (Schreiben liegt mir vor), dass Ärzt:innen nicht verantwortlich seien für den Vorfall. Allerdings zitiert das BMG das Gesetz hier falsch.(([[https://www.kbv.de/html/1150_57673.php|Praxen sind nicht für Fehler von Konnektoren verantwortlich - BMG bestätigt KBV-Auffassung zum Datenschutz]], KBV-Praxisnachrichten vom 1.3.2022))
 +
 +Reaktion des BfDI
 +  * Laut KBV hat sich der BfDI gegenüber dem BMG dahingehend geäußert, dass gemäß gesetzlicher Lage, die Ärzt:innen datenschutzrechtlich durchaus verantwortlich seien. Daraufhin fordert die KBV in einem erneuten Schreiben an die KBV grundsätzliche Klärung.(([[https://www.aerzteblatt.de/nachrichten/133649/KBV-beklagt-Unsicherheiten-bei-TI-Datenschutzverantwortung|KBV beklagt Unsicherheiten bei TI-Datenschutz­verantwortung]], aerzteblatt.de, 26.4.2022))
  
  
 Meine Bewertung Meine Bewertung
-  * ICCSN ist ein persönliches Datum, da sie prinzipiell auf persönliche Daten zurückzuführen ist. Gemäß DSGVO gelten solche (prinzipiell auflösbaren) Daten als personenbezogen. Diese Auffassung widerspricht der secunet-Stellungnahme.+  * ICCSN ist ein persönliches Datum, da sie prinzipiell auf persönliche Daten zurückzuführen ist. Gemäß "absoluter" Auslegung der DSGVO diesbez. gelten solche (prinzipiell auflösbaren) Daten als personenbezogen. 100% eindeutig ist das rechtlich aber wohl nicht, da durchaus auch die "relative" Auffassung vertreten wird, dass nur als personenbezogen gilt, was der datenschutzrechtlich Verantwortliche auch selbst zuordnen kann oder im Rahmen bspw. einer Auftragsverarbeitung auflösen lassen könnte. Die absolute Auffassung widerspricht somit der secunet-Stellungnahme. Konsequenterweise fordert auch die relevante Anforderung TIP1-A_4710: "KVNR, ICCSN und CardHolderName MÜSSEN als personenbezogene Daten behandelt werden." Einzige Ausnahme ist das Fachmodulprotokoll.(("Die ICCSN DARF Im Fehlerfall durch Fachmodule in Protokolleinträgen gespeichert werden. Die ICCSN DARF NICHT im Sicherheitsprotokoll gespeichert werden."))
   * Es ist nirgendwo eindeutig gesagt, in welchem Log die ICCSN nun gespeichert wird, aber die gematik meldet  Spezifikationsverstoß, es handelt sich also wohl nicht um das VSDM-Protokoll. Hat die gematik als zulassende Instanz recht, stimmt die Behauptung in der secunet-Stellungnahme nicht.   * Es ist nirgendwo eindeutig gesagt, in welchem Log die ICCSN nun gespeichert wird, aber die gematik meldet  Spezifikationsverstoß, es handelt sich also wohl nicht um das VSDM-Protokoll. Hat die gematik als zulassende Instanz recht, stimmt die Behauptung in der secunet-Stellungnahme nicht.
-  * Wenn die ICCSN - und damit personenbezogene Daten - außerhalb des VSDM-Fachmodul-Log gespeichert werden, wird gegen eine Datenschutzanforderung verstoßen. +  * Wenn die ICCSN - und damit wohl personenbezogene Daten - außerhalb des VSDM-Fachmodul-Log gespeichert werden, wird gegen eine Datenschutzanforderung verstoßen. Die gematik hat somit einen Konnektor zugelassen, der nicht konform ist zu dieser Datenschutzanforderung. Ärzt:innen müssen Konnektoren laut gesetzlicher Vorgabe nutzen
-  * Zudem sieht der BfDI - zumindest laut c't - einen datenschutzrechtlichen Verstoß gegen [[https://dsgvo-gesetz.de/art-33-dsgvo/|Art. 33]] Abs. 1 DSGVO. Als juristischer Laie nicht einfach zu beurteilenallerdings wäre ja das datenschutzrechtliche Vergehen in diesem Falle die fehlende Meldung des Vorgangs bei Bekanntwerden. Wie soll ein Arzt etwas melden, von dem er nichts weiß. Im Prinzip hätten müssten dann nun alle Ärzt:innen - als Reaktion auf einen Artikel in der c't- jetzt Meldung machen. Meldung müsste zudem nur erfolgen, wenn "die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.". Ein Risiko bestünde nur, wenn der Ärzt:innen die Logs - illegalerweise(!) - an einen TSP geben würden. Hier fehlt aus meiner Sicht eine klare Stellungnahme des BfDI zu dem Thema, das immerhin über 100.000 Ärzt:innen und deren Patient:innen betrifft! Mindestens könnte man erwarten, dass die c't den genauen Schriftverkehr mit dem BfDI zur Klärung offenlegt. Ein Zugriff der TSP auf die Logs ist nicht möglich. +  * Der BfDI - zumindest laut c't - sieht einen datenschutzrechtlichen Verstoß gegen [[https://dsgvo-gesetz.de/art-33-dsgvo/|Art. 33]] Abs. 1 DSGVO. In diesem Artikel geht es eigentlich aber um die **Meldung** einer Datenschutzverletzungnicht um die unzulässige Verarbeitung personenbezogener Daten ohne hinreichende Gesetzesgrundlage bzw. entgegen der Spezifikationsvorgabe der gematik. Ein Verstoß gegen Art. 33 wäre die fehlende **Meldung** des Vorgangs bei Bekanntwerden. Wie sollen Ärzt:innen etwas melden, von dem sie (noch gar) nichts wissen? Meldung müsste zudem nur erfolgen, wenn "die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt". Ein Risiko bestünde nur, wenn der Ärzt:innen die Logs - illegalerweise(!) - an einen TSP geben würden.((Diese Argumentation taugt m.E. allerdings nichs gegen den grundsätzlichen Datenschutzverstoß der Verarbeitung personenbezogener Daten ohne gesetzliche Grundlage bzw. wider die Spezifikation, da diese ja trotzdem stattfindet unabhängig vom Risiko.))  Hier fehlt aus meiner Sicht eine klare Stellungnahme des BfDI zu dem Thema, das immerhin über 100.000 Ärzt:innen und deren Patient:innen betrifft! Mindestens könnte man erwarten, dass die c't den genauen Schriftverkehr mit dem BfDI zur Klärung offenlegt. Ein Zugriff der TSP auf die Logs ist ohne Herausgabe der Logs nicht möglich. 
-  * Wenn nun ein datenschutzrechtlicher Verstoß vorläge, wären Ärzt:innen gemäß der eigenartigen Gesetzeslage des § 307 SGB V verantwortlich für etwas, von dem sie in der Regel nicht mal wissen, dass es existiert. Welche Ärzt:innen wissen, dass es eine ICCSN gibt, was das ist und dass sie in einem Log (was ist das?) ihres Konnektors (was war das nochmal genau?) gespeichert wird. Hier liegt das eigentliche Problem, dass bspw. auch [[https://www.researchgate.net/publication/347346570_Das_Patienten-Datenschutz-Gesetz_Teil_1_Die_elektronische_Gesundheitskarte_und_Telematikinfrastruktur|im ersten Teil einer Artikel-Serie zum PDSG]] vom Juristen Carsten Dochow detailliert beleuchtet wird.+  * Wenn nun der datenschutzrechtlicher Verstoß im Sinne unzulässiger Verarbeitung personenbezogener Daten vorläge, wären Ärzt:innen gemäß der eigenartigen Gesetzeslage des § 307 SGB V verantwortlich für etwas, von dem sie in der Regel nicht mal wissen, dass es existiert. Welche Ärzt:innen wissen, dass es eine ICCSN gibt, was das ist und dass sie in einem Log (was ist das?) ihres Konnektors (was war das nochmal genau?) gespeichert wird. Hier liegt das eigentliche Problem und der Aufreger, dass bspw. auch [[https://www.researchgate.net/publication/347346570_Das_Patienten-Datenschutz-Gesetz_Teil_1_Die_elektronische_Gesundheitskarte_und_Telematikinfrastruktur|im ersten Teil einer Artikel-Serie zum PDSG]] vom Juristen Carsten Dochow detailliert beleuchtet wird.
  
dighealth/ti/akt2022-1.1646220984.txt.gz · Zuletzt geändert: von fjh
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki