Das müssen Ärzte bei der TI beachten

Neu-Isenburg. Vertragsarzt und gematik sind beide datenschutzrechtlich „mitverantwortlich“ für den dezentralen Bereich der Telematikinfrastruktur (TI): Der Beschluss der Datenschutzbeauftragten von Bund und Ländern Mitte September zieht Kreise. Nun hat der fachübergreifende Ärzteverband Medi Geno eine Musterdatenschutzfolgeabschätzung (DSFA) für den Stammdatenabgleich über die TI ins Netz gestellt, die Ärzte verwenden können, wenn sie sich an die TI anschließen.

Grundsätzlich begrüßt Medi-Geno-Chef Dr. Werner Baumgärtner die Entscheidung der Datenschützer. Es sei „ein wichtiger Erfolg“, dass nun klargestellt ist, dass die gematik mitverantwortlich sei, auch für den Bereich der TI-Anschlüsse über den Konnektor. „Endlich ist klar, dass die Praxen nicht allein für Angriffe und Datenverluste in Praxen haften, sondern eine Mithaftung der gematik besteht“, so Baumgärtner laut Mitteilung von Medi Geno.

Noch keine DSFA der gematik

Bis heute, so Baumgärtner, liege noch keine Datenschutzfolgeabschätzung der gematik vor, obwohl das gemäß Artikel 35 der EU-Datenschutzgrundverordnung eigentlich verlangt werde. Vor allem für Arztpraxen „mit einer großen Datenverarbeitung“ sei eine solche DSFA durchaus „sinnvoll“, so Baumgärtner weiter. Aus diesem Grund habe Medi Geno jetzt eine Muster-DSFA für den Stammdatenabgleich ins Netz gestellt, der über den Konnektor laufe.

Das Dokument ist zwölf Seiten lang und enthält alle erforderlichen Angaben für eine DSFA, also die Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte natürlicher Personen – hier Patienten – bei der Verarbeitung personenbezogener Daten. Baumgärtner, erklärter Gegner der TI, will damit gerade den Praxen, die noch nicht an die TI angeschlossen sind, zeigen, „dass es unter dem Gesichtspunkt der Sicherheit der Patientendaten immer noch besser ist, nicht zu installieren“.

In den Ausfüllhinweisen für die DSFA, die aufgrund des standardisierten Anschlusses in den meisten Praxen übernommen werden können sollte, wird darauf hingewiesen, dass diese nur den TI-Konnektor und den Versichertenstammdatenabgleich als Teilaspekt der Praxis-IT abdeckt. Ob Praxen „für den gesamten bestehenden IT-Betrieb eine DSFA erstellen müssen, wird derzeit noch uneinheitlich beantwortet“. Die entscheidende Frage sei, ab welcher Anzahl Patienten die Verarbeitung in der Praxis als umfangreich gelte.

Begrenzte Haftung?

Derweil geht die Diskussion darüber weiter, inwieweit Ärzte dafür haften, wenn sie nach der Installation der TI in der Praxis einem Hackerangriff zum Opfer fallen. Mit der geteilten datenschutzrechtlichen Verantwortung geht es für Ärzte vor allem darum, dass der Anschluss des Konnektors gemäß den Vorgaben der gematik umgesetzt wird.

In den vergangenen Monaten ist immer wieder in Zweifel gezogen worden, ob die Dienstleister den Anschluss technisch im Griff haben. Sicherheitsexperten empfehlen, dass Ärzte sich beim TI-Anschluss vom Techniker vor Ort auf jeden Fall schriftlich geben lassen, dass der Anschluss korrekt und unter Einhaltung nötiger Sicherheitsvorkehrungen ausgeführt worden ist. Diese Erklärung sollte auch unterschrieben sein.

Das Kleingedruckte klein halten

Um mit der Cyberversicherung auf der sicheren Seite zu sein, empfehlen Versicherungsexperten, eine Police abzuschließen, die Ärzten möglichst wenige Verpflichtungen auferlegt, die für einen Versicherungsschutz entscheidend sind. Allgemeine Verpflichtungen wie die Existenz einer Firewall bei Abschluss seien kein Problem, heißt es.

Doch sobald es ins Detail geht, könne Ärzten leicht „grobe Fahrlässigkeit“ vorgeworfen werden – und das könne zu Kürzungen bei der Leistungspflicht der Versicherung führen. Hier lohnt auf jeden Fall ein Blick ins Kleingedruckte.