Datenschutz
Nach Datenleck in Praxissoftware: BFAV-Chef Petzold fordert Freiwilligkeit für TI-Anschluss
Weil Praxen offenbar auch bei unverschuldeten Sicherheitslücken für Datenschutzverletzungen verantwortlich sind, dürfen sie laut Bayerischem Facharztverband nicht zum Anschluss an die TI gezwungen werden.
Veröffentlicht:
Sind die Patientendaten gefährdet? Praxen sind verpflichtet, zu prüfen, ob eine Software datenschutzkonform ist. Hier können aber vertragliche Regelungen helfen, allein auf ein Zertifikat sollten sich Praxen nicht verlassen.
© Song_about_summer / stock.adobe.com
Kulmbach / München. „Wenn der Arzt das Sicherheitsrisiko für die Patientendaten in seiner Praxis letztendlich allein trägt, muss er auch allein entscheiden können, ob er sich an die TI anbinden lässt oder nicht.“ – Zu diesem Resümee kommt Dr. Gernot Petzold, Vorstand des Bayerischen Facharztverbandes (BFAV). Hintergrund seiner Stellungnahme: Am 11. August war eine Sicherheitslücke im Praxisverwaltungssystem inSuite von Doc Cirrus bekannt geworden.
Laut NDR und WDR waren Daten von rund 270 Arztpraxen und mehr als 60.000 Patienten – persönliche Daten, Rechnungen und Befunde – für Fremde weitgehend ungesichert einsehbar. Eigentlich sollte das Konzept des „Datensafes“ der Firma Doc Cirrus Sicherheitslecks vorbeugen: Das Unternehmen wirbt damit, dass die Daten zu 100 Prozent lokal gespeichert würden, „auf Ihrem Doc Cirrus Datensafe“.
Datenaktivisten der Gruppe „Zerforschung“ fanden über das zentrale Zugangsportal von Doc Cirrus die internen Zugriffsdaten der Arztpraxen, sodass es möglich war, auf die E-Mail-Konten der in der Software registrierten Arztpraxen zuzugreifen. Darüber sei es möglich gewesen, die E-Mail-Kommunikation zwischen den Ärzten und Patienten einzusehen. Das Unternehmen bestätigte einen Programmierfehler. Dieser sei mittlerweile behoben, die betroffenen Dienste seien größtenteils wieder aktiv. Die betroffenen Kunden seien informiert worden.
„Verantwortlich ist die Arztpraxis“
Für BFAV-Vorstand Petzold, selbst niedergelassener Augenarzt in Kulmbach, stellte sich hier die Frage, wer verantwortlich für die Datenschutzverletzung sei – die Antwort lieferte der Pressesprecher des Bundesdatenschutzbeauftragten, Christof Stein: Tatsächlich habe ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten, so Stein. Das gelte auch für Software, die sensible Daten verarbeite. Verantwortlich sei die Arztpraxis; sie müsse überprüfen, ob eine Software datenschutzkonform sei – und dürfe sich nicht auf Zertifikate oder Gütesiegel verlassen.
Allerdings gibt es durchaus Möglichkeiten, einen sogenannten Auftragsverarbeitungsvertrag aufzusetzen. Bundesärztekammer und KBV verweisen etwa auf den Mustervertrag der Gesellschaft für Datenschutz und Datensicherheit e.V., GDD (www.gdd.de.)
Petzold kommt dennoch zu dem Schluss, „dass jede Verbindung des Praxisservers mit dem Internet zu einem Sicherheitsrisiko für eine Arztpraxis werden kann, für das der Praxisinhaber allein verantwortlich ist“. Insofern sei es nur folgerichtig, dass der BFAV Klage beim Sozialgericht München gegen den Honorarabzug bei Nichtanschluss an die Telematikinfrastruktur (TI) eingelegt habe. (mic)
