Das Bundesministerium für Gesundheit (BMG) sieht keine Verantwortung von Psychotherapeut*innen bei Datenschutzpannen von TI-Konnektoren. In der Antwort auf eine Anfrage der Kassenärztlichen Bundesvereinigung (KBV) betont das Ministerium, dass eine Speicherung von Daten im Sicherheitsprotokoll der Konnektoren kein Datenverarbeitungsvorgang sei, „der nach § 307 Abs. 1 SGB V in die Verantwortung der Leistungserbringer fällt“. Im März waren Sicherheitslücken bei Geräten der Firma „Secunet“ bekannt geworden. In einer KBV-Resolution vom 4. März 2022 hatten unter anderem Vertreter*innen der DPtV das BMG zu einer Klarstellung aufgefordert. „Wir freuen uns über diese Aussage des BMG“, sagt DPtV-Bundesvorsitzender Gebhard Hentschel. „Wir brauchen dringend eine eindeutige und klare Regelung, die nicht mal so und mal so ausgelegt werden kann. Das hat der aktuelle Fall gezeigt.“

Das Ministerium betont die gesetzlich begrenzte Verantwortung der Psychotherapeut*innen und Ärzt*innen. Eine Verantwortung bestehe nur, „wenn die Leistungserbringer über die Mittel der Datenverarbeitung mitentscheiden“. Dies könnten sie im vorliegenden Fall gerade nicht und hätten auch keinen Einfluss. Die Verantwortlichkeit der Praxen beschränke sich „auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten.“ Das BMG schreibt: „Solange keiner dieser Fälle vorliegt, sind die Voraussetzungen für die datenschutzrechtliche Verantwortlichkeit des Leistungserbringers nicht gegeben.“

Laut KBV weise das Ministerium nochmals darauf hin, dass die gematik die Anforderungen an die Konnektoren in Spezifikationen vorgebe. Der Hersteller secunet habe die in Frage stehende Funktion des Konnektors entgegen der vorgegebenen Spezifikation „eigenverantwortlich entwickelt und umgesetzt“.