Austausch der Ingenico Terminals? - Diese entsprechen wohl nicht den Vorgaben

Question

Hi,

ich bin gerade über diesen Artikel hier gestolpert: https://www.heise.de/news/Sicherheitsmaengel-in-Kartenterminals-und-Krankenkassen-Apps-4992086.html

Im Prinzip entsprechen die Terminals ja nicht den Vorgaben - und wir Ärzte haften persönlich wenn einer das Terminal hackt (ich weiss um die hohe Hürde...aber trotzdem). Da ich keine Lust habe mich auch nur annähernd mit den Dimensionen die das Terminal jetzt für die Datenschutzfolgeabschätzung bedeutet zu befassen schlage ich vor, dass Zollsoft als Distributur den Austausch der Terminals organisiert da ansonsten juristisch geklärt werden sollte wer im Falle eines Datenlecks die Haftung übernimmt.

Ich bitte um ein offizielles Statement der Geschäftsleitung!

VG

JM

Comments

Hallo Herr Müller,

wenn jemand Daten in einer Arztpraxis klauen möchte, müsste er den bei Heise beschriebenen hohen Aufwand leisten. Da  ist es einfacher, mit einer USV unterm Arm den Server zu stehlen..., wenn man eh´schon in der Praxis ist.

Aber noch einfacher ist es, direkt auf die Server zuzugreifen. Aktuell sind über shodan.io über 500 Server sichtbar, deren Benutzername Praxis/ praxis lautet. Zu vielen Praxen kommen Sie direkt auf den Anmeldbildschirm des Servers.
Eine Klärung zur wirklichen Verantwortung für das ganze Telematik-Geraffel, die ich nicht bei der Praxis sehe, wird es erst nach einem Musterprozess kommen. Und der ist noch nicht in Sicht.

Dass man Terminals und TI-Konnektoren bei ebay kaufen kann, habe ich der Gematik schon vor einem Jahr mitgeteilt und bis heute keine Antwort bekommen, ebensowenig wie vom Bayerischen Landesamt für Datenschutz und diese Truppe ist federführend für das Gesundheitswesen in der Datenschutz-Konferenz.
Einen Austausch der Konnektoren sehe ich hier nicht zwingend, es gibt einfachere Wege. Das mag Sie jetzt entäuschen, aber die meisten Praxen in Deutschland interessieren sich wenig für Datenschutz, leider
Herzliche Grüße aus Lippstadt vom Arztgatten (Rechtsanwalt & ext. Datenschutzbeauftragter)

---

Wenn das Terminal nicht den Vorgaben entspricht und man bei heise - und nicht im Darknet - eine Anleitung zum hacken findet, ist das meiner Meinung nach schon relevant...

Dass viele Praxen zu wenig für den Datenschutz tun sehe ich schon genau so. Das wird aber jetzt ohnehin geändert. Im letzten interview mit Herrn Spahn ist ganz klar herausgekommen, dass jede Praxis im Falle eines Hacks selbst voll haften muss.

Daher erwarte ich dann schon, dass Zollsoft (immerhin wurden ja bestimmt 1000 Terminals von denen verteilt) da beim Hersteller anklopft und sich von Ingenico ein Papier zur Haftungsabtretung unterschreiben lässt...