c’t deckt auf: Datenschutzverstöße bei TI-Konnektoren im Gesundheitswesen

Konnektoren verbinden Gesundheitskarten-Terminals mit der telematischen Infrastruktur. Sie dürfen keine persönlichen Daten aufzeichnen – einige tun das jedoch.

In Pocket speichern vorlesen Druckansicht 41 Kommentare lesen
Datenschutz

(Bild: THICHA SATAPITANON/Shutterstock.com)

Update
Lesezeit: 8 Min.
Von
  • Thomas Maus
Inhaltsverzeichnis

Kassenpatienten stecken beim Arztbesuch ihre elektronische Gesundheitskarte (eGK) in ein Kartenterminal. Das Terminal ist über einen Konnektor mit der Telematischen Infrastruktur (TI) verbunden und tauscht darüber unter anderem mit den gesetzlichen Krankenkassen Stammdaten der Versicherten (VSDM) aus.

Patientendaten gehen nur den Arzt und die Versicherung etwas an. Deshalb haben diese Daten in Logs des Konnektors nichts zu suchen. Die Spezifikationen der für die TI verantwortlichen Gematik (gemSpec_Kon_V4.11.1.doc und gemSpec_Kon_V5.8.0.docx) verlangen daher gleichlautend: "Personenbezogene Daten DÜRFEN NICHT in Protokolleinträgen gespeichert werden."

In den Protokollen des Konnektors von Secunet fand c’t personenbezogene Daten von Patienten.

(Bild: Secunet)

Deshalb staunten wir nicht schlecht, als wir bei unseren Untersuchungen zu Ausfällen der TI in den Log-Dateien von Konnektoren auf personenbezogene Daten stießen. Wir fanden sie im Zeitraum von Oktober 2018 bis Dezember 2020 in den Protokollen des Konnektors von T-Systems. Dieser wurde 2020 bundesweit gegen den Einboxkonnektor von Secunet ausgetauscht. Bei Secunet fanden wir personenbezogene Daten von Mai 2020 bis zum Ende unseres Testzeitraums im Juli 2021.

Die System- und Sicherheits-Logs speicherten bei jedem VSDM-Fehler die Seriennummer des Krypto-Zertifikats der eGK. In den VSDM-Logs der Konnektoren kam noch die ICCSN (Integrated Circuit Card Serial Number) der eGK hinzu. Über diese Nummern lassen sich Versicherte zumindest indirekt zuordnen. Sie zählen deshalb laut der genannten Spezifikationen zu den personenbezogenen Daten: "Die ICCSN darf nicht mit (dem) Sicherheitsprotokoll gespeichert werden", heißt es dort unter Punkt TIP1-A_4710. Die Protokolle identifizieren zudem die Praxis eindeutig. Zugriff auf die Logs sollen laut Gematik nur "Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister" haben, nicht jedoch die Trust Service Provider (TSP), die die Krypto-Zertifikate der eGKs ausstellen.

Wenn man die Log-Daten illegalerweise mit denen der Kartenhersteller oder TSP zusammenführt, ließe sich nämlich feststellen, welcher Patient wann welchen Arzt aufgesucht hat. Man bekäme heraus, wann Herr Meier beim Psychiater war und in welchem Zeitraum Frau Müller in einer Suchtklinik behandelt wurde.

Wir meldeten dies Mitte Januar dem Bundesbeauftragen für Datenschutz und Informationsfreiheit (BfDI). Dieser stellte am 14. Februar "eine Datenschutzverletzung nach Art. 33 Abs. 1 DSGVO" fest. Laut Christof Stein, Sprecher des BfDI, habe die Gematik den Hersteller Secunet informiert. Demnach protokolliere der Secunet-Konnektor selbst mit der aktuellen Firmware 4.10.1 noch immer personenbezogene Daten und verstoße damit gegen die DSGVO. Secunet wolle dies in einem kommenden Update des Konnektors beheben. Anfragen von c’t wollte Secunet nicht beantworten.

heise Investigativ

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Auf die Frage, wer für den DSGVO-Verstoß verantwortlich sei, antwortete der BfDI: "Datenschutzrechtlich verantwortlich für die Konnektoren sind diejenigen, die diese für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden."

Auf Nachfrage erklärte der BfDI, dies seien "Ärzte und Leistungserbringer" – und nicht etwa die für den Betrieb der TI verantwortliche Gematik, die die fehlerhaften Konnektoren zugelassen hat. Warum sie die Spezifikationsverletzung bei den Zulassungstests nicht entdeckt hatte, erklärte die Gematik nicht. Dies ist umso unverständlicher, weil der gleiche Fehler bereits 2018 bei den KoCoBox-Konnektoren auftrat und behoben werden musste.

Ärzte und Leistungserbringer wurden jedoch unter der Androhung von Honorarkürzungen gesetzlich verpflichtet, sich über einen von der Gematik zugelassenen Konnektor mit der TI zu verbinden. Sie haben keinerlei Möglichkeiten, die Protokollierung der personenbezogenen Daten abzustellen – außer sie schalten den Konnektor aus.

Bei Redaktionsschluss tauschte sich der BfDI noch mit der Gematik aus, ob Ärzte etwa die gegen die DSGVO verstoßenden Secunet-Konnektoren abschalten müssen und wie betroffene Patienten informiert werden sollen. Ebenso ungeklärt blieben Fragen von c’t zu eventuellen Bußgeldern und Schadenersatzforderungen. Der verzwickte Fall dürfte Juristen noch lange beschäftigen.

Update, 25.2. 14:15 Uhr: Nachdem der Hersteller Secunet zunächst nicht auf unsere Fragen antworten wollte und an die Gematik verwies, hat sich der Hersteller nun nach der Veröffentlichung am heutigen Freitag mit einem ausführlichen Statement gemeldet. Darin widerspricht er der Auslegung des BfDI, dass ein Datenschutzverstoß vorliegen würde und gibt Ärzten einen Hinweis, wie sie die Protokollierung in den Secunet-Konnektoren abschalten können sollen. Durch eine Zurückstufung des Log-Levels auf "FATAL" wird allerdings auch die Analyse bei technischen Fehlern erschwert. Obwohl aus Sicht von Secunet kein Verstoß und kein Fehler vorliegt, will der Hersteller ihn in einem kommenden Firmware-Update beheben. Im Folgenden lesen Sie das komplette Statement des Herstellers:

"Während des Betriebs des secunet konnektors (im Folgenden „Konnektor“) müssen nach den Spezifikationen der gematik eine Vielzahl von Zertifikaten geprüft werden. Dies umfasst unter anderem die Zertifikate der eGK (elektronische Gesundheitskarte).

Schlägt die Online-Prüfung der Zertifikate fehl, so wird im Konnektor ein Log-Eintrag erzeugt, der auch die Seriennummer des jeweiligen Zertifikats enthält.

Diese Einträge werden auf der Festplatte des Konnektors nach den Vorgaben der gematik dauerhaft gespeichert. Der Konnektor verfügt deshalb über eine Speichergröße für Protokolldateien, so dass Einträge (protokollierte Ereignisse ab der Schwere „Warning“) über einen Zeitraum von bis zu einem Jahr darin vorgehalten werden können. Die Speicherung erfolgt rollierend. Übersteigt die Anzahl der Einträge gewisse Grenzen, so werden ältere Einträge überschrieben.

Auf diese Weise können Leistungserbringer-Institutionen wie Arztpraxen oder Krankenhäuser oder deren Dienstleister fehlgeschlagene Zertifikatsprüfungen über die vielen Zertifikatstypen hinweg nachvollziehen und die Ursachen beheben, um einen reibungslosen Betrieb zu ermöglichen. Nur diese haben dabei Zugriff auf diese Daten über die GUI des Konnektors oder über eine REST-Schnittstelle.

Hinsichtlich der Zertifikate der eGK kann dabei nach Auffassung von secunet nur theoretisch und indirekt – über mehrere Stufen, die nicht miteinander kommunizieren dürfen – von der Seriennummer des eGK-Zertifikats in den Konnektor-Logs auf den Inhaber der eGK geschlossen werden. Die Seriennummer des eGK-Zertifikats kann ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. Damit würde sich ein TSP allerdings rechtswidrig verhalten. Der TSP wiederum hat praktisch und rechtlich keine Zugriffsmöglichkeit auf die gegenständlichen Konnektor-Logs. Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister können auf Konnektor-Protokolle zugreifen. Da die Seriennummern keine Information darüber enthalten, welcher TSP Zertifikatsherausgeber ist, besteht hier neben der rechtlichen Unzulässigkeit ein weiterer tatsächlicher Schutzmechanismus, um eine Zuordnung durch die Leistungserbringer auszuschließen.

Aus diesen Gründen sind nach Auffassung von secunet die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.

Ungeachtet dieser Auffassung wird secunet dem Wunsch der gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können. Dies gilt auch für historische Seriennummern.

In den Werkseinstellungen wird nur im Fall, dass eine gesperrte eGK verwendet wird, die Seriennummer des Krypto-Zertifikats im Protokoll gespeichert. Durch Änderung des Loglevels auf FATAL kann auch für diesen Fehlerfall sofort ohne Firmwareupdate die Protokollierung der Seriennummer unterbunden werden.

Des Weiteren weist secunet im Zusammenhang mit den Aussagen der c’t (Ausgabe 6/2022) zur Protokollierung der ICCSN darauf hin, dass diese gemäß TIP1-A_4710 im Fehlerfall durch Fachmodule in Protokolleinträgen ausdrücklich gespeichert werden darf. Diese Protokolleinträge werden im Einklang mit den Spezifikationen der gematik nach 30 Tagen unwiderruflich gelöscht."

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(hag)