TI-Konnektoren mit Datenschutzlücke? Hersteller nimmt Stellung
02.03.2022
TI-Konnektoren der Firma secunet Security Networks AG sollen Medienberichten zufolge personenbezogene Daten protokollieren und somit gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Da Konnektoren dieses Herstellers im DGN Ausstattungspaket für die Telematikinfrastruktur (TI) enthalten sind, veröffentlichen wir im Folgenden die Stellungnahme von secunet zur angeblichen Datenschutzverletzung.
Zum Hintergrund
Das Computermagazin c’t war nach eigenen Angaben in Logfiles von secunet-Konnektoren auf personenbezogene Daten gestoßen. Bei jedem Fehler des Abgleichs der Versichertenstammdaten (VSDM) würde die Zertifikatsseriennummer elektronischer Gesundheitskarten (eGK) protokolliert. In den VSDM-Logs der Konnektoren käme noch die ICCSN (Integrated Circuit Card Serial Number) der eGK hinzu. "Über diese Nummern lassen sich Versicherte zumindest indirekt zuordnen", heißt es in dem Magazin. "Wenn man die Log-Daten illegalerweise mit denen der Kartenhersteller oder TSP* zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat."
Dies stelle einen Verstoß gegen die DSGVO dar, für den nach Einschätzung des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) die Nutzer*innen der Infrastruktur, also die Ärztinnen und Ärzten, selbst die Verantwortung trügen.
*TSP steht für Trust Service Provider bzw. Vertrauensdiensteanbieter (VDA).
gematik: Keine Datenschutzverletzung
Sowohl die gematik als auch secunet widersprechen den Kritikpunkten: "Die fraglichen Protokolle sind nur den Ärztinnen und Ärzten und ggf. den durch sie beauftragten Dienstleistern zugänglich", argumentiert die gematik. "Diese hätten aber ohnehin die Möglichkeit, anhand der Primärdaten nachzuvollziehen, welche Patientinnen und Patienten die Praxis besucht haben. Damit hat zunächst keine Datenschutzverletzung stattgefunden. Die Protokolle sollten darüber hinaus nicht Dritten zugänglich gemacht werden. Darüber hinaus wären Dritte nicht in der Lage, von der Zertifikatsseriennummer direkt auf die Identität der Versicherten zu schließen. Hierfür müsste der (korrekte) Trust Service Provider der Krankenkasse mit dieser 'Dritten Person' widerrechtlich kooperieren und die Identität offenlegen – ein Szenario, das aus Sicht der gematik kein reales Risiko darstellt."
Konnektoren weiterhin einsetzbar
Da die Speicherung der Zertifikatsseriennummern dennoch nicht der Intention der gematik-Spezifikation entspreche, sei ein entsprechender Hotfix für das Konnektor-Update PTV5 bei secunet in Planung. "Ärztinnen und Ärzte sollten dieses Update, sobald von secunet bereitgestellt, wie üblich installieren", empfiehlt die gematik. "Diese Empfehlung gilt generell bei Updates und für den bestimmungsgemäßen Einsatz der Geräte in Praxen. Auch bis dahin können die Konnektoren ohne Einschränkung bestimmungsgemäß verwendet werden."
Stellungnahme der secunet Security Networks AG
zur Bewertung des Auftretens von Zertifikatsseriennummern einer elektronischen Gesundheitskarte in Konnektor-Logs (siehe Berichterstattung in c’t Ausgabe 6/2022)
Stellungnahme vom 25.02.22 im Wortlaut:
Während des Betriebs des secunet konnektors (im Folgenden „Konnektor“) müssen nach den Spezifikationen der gematik eine Vielzahl von Zertifikaten geprüft werden. Dies umfasst unter anderem die Zertifikate der eGK (elektronische Gesundheitskarte).
Schlägt die Online-Prüfung der Zertifikate fehl, so wird im Konnektor ein Log-Eintrag erzeugt, der auch die Seriennummer des jeweiligen Zertifikats enthält.
Diese Einträge werden auf der Festplatte des Konnektors nach den Vorgaben der gematik dauerhaft gespeichert. Der Konnektor verfügt deshalb über eine Speichergröße für Protokolldateien, so dass Einträge (protokollierte Ereignisse ab der Schwere „Warning“) über einen Zeitraum von bis zu einem Jahr darin vorgehalten werden können. Die Speicherung erfolgt rollierend. Übersteigt die Anzahl der Einträge gewisse Grenzen, so werden ältere Einträge überschrieben.
Auf diese Weise können Leistungserbringer-Institutionen wie Arztpraxen oder Krankenhäuser oder deren Dienstleister fehlgeschlagene Zertifikatsprüfungen über die vielen Zertifikatstypen hinweg nachvollziehen und die Ursachen beheben, um einen reibungslosen Betrieb zu ermöglichen. Nur diese haben dabei Zugriff auf diese Daten über die GUI des Konnektors oder über eine REST-Schnittstelle.
Hinsichtlich der Zertifikate der eGK kann dabei nach Auffassung von secunet nur theoretisch und indirekt – über mehrere Stufen, die nicht miteinander kommunizieren dürfen – von der Seriennummer des eGK-Zertifikats in den Konnektor-Logs auf den Inhaber der eGK geschlossen werden. Die Seriennummer des eGK-Zertifikats kann ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. Damit würde sich ein TSP allerdings rechtswidrig verhalten. Der TSP wiederum hat praktisch und rechtlich keine Zugriffsmöglichkeit auf die gegenständlichen Konnektor-Logs. Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister können auf Konnektor-Protokolle zugreifen. Da die Seriennummern keine Information darüber enthalten, welcher TSP Zertifikatsherausgeber ist, besteht hier neben der rechtlichen Unzulässigkeit ein weiterer tatsächlicher Schutzmechanismus, um eine Zuordnung durch die Leistungserbringer auszuschließen.
Aus diesen Gründen sind nach Auffassung von secunet die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.
Ungeachtet dieser Auffassung wird secunet dem Wunsch der gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können. Dies gilt auch für historische Seriennummern.
In den Werkseinstellungen wird nur im Fall, dass eine gesperrte eGK verwendet wird, die Seriennummer des Krypto-Zertifikats im Protokoll gespeichert. Durch Änderung des Loglevels auf FATAL kann auch für diesen Fehlerfall sofort ohne Firmwareupdate die Protokollierung der Seriennummer unterbunden werden.
Des Weiteren weist secunet im Zusammenhang mit den Aussagen der c’t (Ausgabe 6/2022) zur Protokollierung der ICCSN darauf hin, dass diese gemäß TIP1-A_4710 im Fehlerfall durch Fachmodule in Protokolleinträgen ausdrücklich gespeichert werden darf. Diese Protokolleinträge werden im Einklang mit den Spezifikationen der gematik nach 30 Tagen unwiderruflich gelöscht.
Quellen & weitere Informationen
- c't-Magazin für Computertechnik: "c’t deckt auf: Datenschutzverstöße bei TI-Konnektoren im Gesundheitswesen"
- secunet.com: "Stellungnahme der secunet Security Networks AG"
- gematik.de: "Berichterstattung zur angeblichen Datenschutzverletzung bei Konnektor"
- Deutsches Ärzteblatt: "Datenverstöße aufgedeckt: Neuer Ärger um TI-Konnektoren"
- mednic.de: "Datenschutzverstöße bei TI-Konnektoren"
- DGN TI Paket
Presse-Ansprechpartnerin:
Katja ChalupkaRedaktion & Öffentlichkeitsarbeit
Hüngert 15
41564 Kaarst Pressekontakt