Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- dighealth:ti:akt2022-1 [2022/03/02 13:28] – fjh
+++ dighealth:ti:akt2022-1 [2022/05/10 10:25] (aktuell) – fjh
@@ Zeile 25: / Zeile 25: @@
 Reaktion der KBV:
   * [[https://www.kbv.de/html/1150_57096.php|KBV fordert unverzügliche Aufklärung des Sicherheitsvorfalls in der TI – Verantwortung liegt bei der gematik]], Praxisnachrichten 25.2.2022.
+Reaktion des BMG
+  * BMG legt in einem Schreiben dar (Schreiben liegt mir vor), dass Ärzt:innen nicht verantwortlich seien für den Vorfall. Allerdings zitiert das BMG das Gesetz hier falsch.(([[https://www.kbv.de/html/1150_57673.php|Praxen sind nicht für Fehler von Konnektoren verantwortlich - BMG bestätigt KBV-Auffassung zum Datenschutz]], KBV-Praxisnachrichten vom 1.3.2022))
+Reaktion des BfDI
+  * Laut KBV hat sich der BfDI gegenüber dem BMG dahingehend geäußert, dass gemäß gesetzlicher Lage, die Ärzt:innen datenschutzrechtlich durchaus verantwortlich seien. Daraufhin fordert die KBV in einem erneuten Schreiben an die KBV grundsätzliche Klärung.(([[https://www.aerzteblatt.de/nachrichten/133649/KBV-beklagt-Unsicherheiten-bei-TI-Datenschutzverantwortung|KBV beklagt Unsicherheiten bei TI-Datenschutzverantwortung]], aerzteblatt.de, 26.4.2022))
 Meine Bewertung
-  * ICCSN ist ein persönliches Datum, da sie prinzipiell auf persönliche Daten zurückzuführen ist. Gemäß Auslegung DSGVO gelten solche (prinzipiell auflösbaren) Daten als personenbezogen, auch wenn selbst dass rechtlich nicht 100% eindeutig ist, da durchaus auch die Auffassung vertreten wird, dass nur als personenbezogen gilt, was der datenschutzrechtlich Verantwortliche auch selbst zuordnen kann oder im Rahemn bspw. einer Auftragsverarbeitung auflösen lassen könnte. Die absolute Auffassung widerspricht somit der secunet-Stellungnahme. Konsequenterweise fordert auch die relevante Anforderung TIP1-A_4710: "KVNR, ICCSN und CardHolderName MÜSSEN als personenbezogene Daten behandelt werden." Einzige Ausnahme ist das Fachmodulprotokoll.(("Die ICCSN DARF Im Fehlerfall durch Fachmodule in Protokolleinträgen gespeichert werden. Die ICCSN DARF NICHT im Sicherheitsprotokoll gespeichert werden."))
+  * ICCSN ist ein persönliches Datum, da sie prinzipiell auf persönliche Daten zurückzuführen ist. Gemäß "absoluter" Auslegung der DSGVO diesbez. gelten solche (prinzipiell auflösbaren) Daten als personenbezogen. 100% eindeutig ist das rechtlich aber wohl nicht, da durchaus auch die "relative" Auffassung vertreten wird, dass nur als personenbezogen gilt, was der datenschutzrechtlich Verantwortliche auch selbst zuordnen kann oder im Rahmen bspw. einer Auftragsverarbeitung auflösen lassen könnte. Die absolute Auffassung widerspricht somit der secunet-Stellungnahme. Konsequenterweise fordert auch die relevante Anforderung TIP1-A_4710: "KVNR, ICCSN und CardHolderName MÜSSEN als personenbezogene Daten behandelt werden." Einzige Ausnahme ist das Fachmodulprotokoll.(("Die ICCSN DARF Im Fehlerfall durch Fachmodule in Protokolleinträgen gespeichert werden. Die ICCSN DARF NICHT im Sicherheitsprotokoll gespeichert werden."))
   * Es ist nirgendwo eindeutig gesagt, in welchem Log die ICCSN nun gespeichert wird, aber die gematik meldet  Spezifikationsverstoß, es handelt sich also wohl nicht um das VSDM-Protokoll. Hat die gematik als zulassende Instanz recht, stimmt die Behauptung in der secunet-Stellungnahme nicht.
-  * Wenn die ICCSN - und damit wohl personenbezogene Daten - außerhalb des VSDM-Fachmodul-Log gespeichert werden, wird gegen eine Datenschutzanforderung verstoßen. Die gematik hat somit einen Konnektor zugelassen, der nicht konform ist zu dieser Datenschutzanforderung.
+  * Wenn die ICCSN - und damit wohl personenbezogene Daten - außerhalb des VSDM-Fachmodul-Log gespeichert werden, wird gegen eine Datenschutzanforderung verstoßen. Die gematik hat somit einen Konnektor zugelassen, der nicht konform ist zu dieser Datenschutzanforderung. Ärzt:innen müssen Konnektoren laut gesetzlicher Vorgabe nutzen.
-  * Zudem sieht der BfDI - zumindest laut c't - einen datenschutzrechtlichen Verstoß gegen [[https://dsgvo-gesetz.de/art-33-dsgvo/|Art. 33]] Abs. 1 DSGVO. In diesem Artikel geht es eigentlich aber um die **Meldung** einer Datenschutzverletzung, nicht um das eigentliche Verarbeitung personenbezogener Daten ohne hinreichende Gesetzesgrundlage. Ein Verstoß gegen Art 33 wäre die fehlende **Meldung** des Vorgangs bei Bekanntwerden. Wie soll ein Arzt etwas melden, von dem er (noch gar) nichts weiß. Im Prinzip müssten dann nun alle Ärzt:innen - als Reaktion auf einen Artikel in der c't? - jetzt Meldung machen. Meldung müsste zudem nur erfolgen, wenn "die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt". Ein Risiko bestünde nur, wenn der Ärzt:innen die Logs - illegalerweise(!) - an einen TSP geben würden.((Diese Argumentation taugt m.E. nichts gegen den grundsätzlichen Datenschutzverstoß der Verarbeitung personenbezogener Daten ohne gesetzliche Grundlage, da diese ja trotzdem stattfindet unabhängig vom Risiko ohne gesetzliche Grundlage.))  Hier fehlt aus meiner Sicht eine klare Stellungnahme des BfDI zu dem Thema, das immerhin über 100.000 Ärzt:innen und deren Patient:innen betrifft! Mindestens könnte man erwarten, dass die c't den genauen Schriftverkehr mit dem BfDI zur Klärung offenlegt. Ein Zugriff der TSP auf die Logs ist nicht möglich.
+  * Der BfDI - zumindest laut c't - sieht einen datenschutzrechtlichen Verstoß gegen [[https://dsgvo-gesetz.de/art-33-dsgvo/|Art. 33]] Abs. 1 DSGVO. In diesem Artikel geht es eigentlich aber um die **Meldung** einer Datenschutzverletzung, nicht um die unzulässige Verarbeitung personenbezogener Daten ohne hinreichende Gesetzesgrundlage bzw. entgegen der Spezifikationsvorgabe der gematik. Ein Verstoß gegen Art. 33 wäre die fehlende **Meldung** des Vorgangs bei Bekanntwerden. Wie sollen Ärzt:innen etwas melden, von dem sie (noch gar) nichts wissen? Meldung müsste zudem nur erfolgen, wenn "die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt". Ein Risiko bestünde nur, wenn der Ärzt:innen die Logs - illegalerweise(!) - an einen TSP geben würden.((Diese Argumentation taugt m.E. allerdings nichs gegen den grundsätzlichen Datenschutzverstoß der Verarbeitung personenbezogener Daten ohne gesetzliche Grundlage bzw. wider die Spezifikation, da diese ja trotzdem stattfindet unabhängig vom Risiko.))  Hier fehlt aus meiner Sicht eine klare Stellungnahme des BfDI zu dem Thema, das immerhin über 100.000 Ärzt:innen und deren Patient:innen betrifft! Mindestens könnte man erwarten, dass die c't den genauen Schriftverkehr mit dem BfDI zur Klärung offenlegt. Ein Zugriff der TSP auf die Logs ist ohne Herausgabe der Logs nicht möglich.
-  * Wenn nun ein datenschutzrechtlicher Verstoß vorläge, wären Ärzt:innen gemäß der eigenartigen Gesetzeslage des § 307 SGB V verantwortlich für etwas, von dem sie in der Regel nicht mal wissen, dass es existiert. Bußgelder wären vermutlich aufgrund dieser Lage nicht zu erwarten, und für die betroffenen Patient:innen ergibt sich aus dieser scheinbar klaren Zuordnung der Verantwortlichkeiten auch keine Klarheit an wen sie sich wenden müssen. Welche Ärzt:innen wissen, dass es eine ICCSN gibt, was das ist und dass sie in einem Log (was ist das?) ihres Konnektors (was war das nochmal genau?) gespeichert wird. Hier liegt das eigentliche Problem, dass bspw. auch [[https://www.researchgate.net/publication/347346570_Das_Patienten-Datenschutz-Gesetz_Teil_1_Die_elektronische_Gesundheitskarte_und_Telematikinfrastruktur|im ersten Teil einer Artikel-Serie zum PDSG]] vom Juristen Carsten Dochow detailliert beleuchtet wird.
+  * Wenn nun der datenschutzrechtlicher Verstoß im Sinne unzulässiger Verarbeitung personenbezogener Daten vorläge, wären Ärzt:innen gemäß der eigenartigen Gesetzeslage des § 307 SGB V verantwortlich für etwas, von dem sie in der Regel nicht mal wissen, dass es existiert. Welche Ärzt:innen wissen, dass es eine ICCSN gibt, was das ist und dass sie in einem Log (was ist das?) ihres Konnektors (was war das nochmal genau?) gespeichert wird. Hier liegt das eigentliche Problem und der Aufreger, dass bspw. auch [[https://www.researchgate.net/publication/347346570_Das_Patienten-Datenschutz-Gesetz_Teil_1_Die_elektronische_Gesundheitskarte_und_Telematikinfrastruktur|im ersten Teil einer Artikel-Serie zum PDSG]] vom Juristen Carsten Dochow detailliert beleuchtet wird.