Stellungnahme von secunet – Konnektoren speichern Praxisdaten
Stellungnahme der secunet Security Networks AG zur Bewertung des Auftretens von Zertifikatsseriennummern einer elektronischen Gesundheitskarte in Konnektor-Logs (siehe Berichterstattung in c’t Ausgabe 6/2022)
Stand: 25. Februar 2022
Während des Betriebs des secunet konnektors (im Folgenden „Konnektor“) müssen nach den Spezifikationen der gematik eine Vielzahl von Zertifikaten geprüft werden. Dies umfasst unter anderem die Zertifikate der eGK (elektronische Gesundheitskarte).
Schlägt die Online-Prüfung der Zertifikate fehl, so wird im Konnektor ein Log-Eintrag erzeugt, der auch die Seriennummer des jeweiligen Zertifikats enthält.
Diese Einträge werden auf der Festplatte des Konnektors nach den Vorgaben der gematik dauerhaft gespeichert. Der Konnektor verfügt deshalb über eine Speichergröße für Protokolldateien, so dass Einträge (protokollierte Ereignisse ab der Schwere „Warning“) über einen Zeitraum von bis zu einem Jahr darin vorgehalten werden können. Die Speicherung erfolgt rollierend. Übersteigt die Anzahl der Einträge gewisse Grenzen, so werden ältere Einträge überschrieben.
Auf diese Weise können Leistungserbringer-Institutionen wie Arztpraxen oder Krankenhäuser oder deren Dienstleister fehlgeschlagene Zertifikatsprüfungen über die vielen Zertifikatstypen hinweg nachvollziehen und die Ursachen beheben, um einen reibungslosen Betrieb zu ermöglichen. Nur diese haben dabei Zugriff auf diese Daten über die GUI des Konnektors oder über eine REST-Schnittstelle.
Hinsichtlich der Zertifikate der eGK kann dabei nach Auffassung von secunet nur theoretisch und indirekt – über mehrere Stufen, die nicht miteinander kommunizieren dürfen – von der Seriennummer des eGK-Zertifikats in den Konnektor-Logs auf den Inhaber der eGK geschlossen werden. Die Seriennummer des eGK-Zertifikats kann ausschließlich von den zertifikatsausgebenden Trust Service Providern (TSP) aufgelöst werden. Damit würde sich ein TSP allerdings rechtswidrig verhalten. Der TSP wiederum hat praktisch und rechtlich keine Zugriffsmöglichkeit auf die gegenständlichen Konnektor-Logs. Nur die Leistungserbringer-Institutionen und von ihnen beauftragte Dienstleister können auf Konnektor-Protokolle zugreifen. Da die Seriennummern keine Information darüber enthalten, welcher TSP Zertifikatsherausgeber ist, besteht hier neben der rechtlichen Unzulässigkeit ein weiterer tatsächlicher Schutzmechanismus, um eine Zuordnung durch die Leistungserbringer auszuschließen.
Aus diesen Gründen sind nach Auffassung von secunet die Zertifikats-Seriennummern nicht als personenbezogene Daten zu werten. Daher liegt weder ein Verstoß gegen die Spezifikationen noch gegen geltende Datenschutzbestimmungen vor.
Ungeachtet dieser Auffassung wird secunet dem Wunsch der gematik entsprechen und die Protokollierung der Seriennummer des Zertifikats der eGK derart anpassen, dass die Seriennummern nicht mehr aus den Logs ermittelt werden können. Dies gilt auch für historische Seriennummern.
In den Werkseinstellungen wird nur im Fall, dass eine gesperrte eGK verwendet wird, die Seriennummer des Krypto-Zertifikats im Protokoll gespeichert. Durch Änderung des Loglevels auf FATAL kann auch für diesen Fehlerfall sofort ohne Firmwareupdate die Protokollierung der Seriennummer unterbunden werden.
Des Weiteren weist secunet im Zusammenhang mit den Aussagen der c’t (Ausgabe 6/2022) zur Protokollierung der ICCSN darauf hin, dass diese gemäß TIP1-A_4710 im Fehlerfall durch Fachmodule in Protokolleinträgen ausdrücklich gespeichert werden darf. Diese Protokolleinträge werden im Einklang mit den Spezifikationen der gematik nach 30 Tagen unwiderruflich gelöscht.