Software-Hersteller - Sicherheitslücke

Question

Hallo an das Forum,

hier noch ein Hinweis auf einen aktuellen Bericht der ARD zum Thema Datensicherheit bei Softwareherstellern:

Bericht vom 11.08.2022

Mit bestem Gruß

Axel Tubbesing

tubbeTEC GmbH . Hamburg, Berlin, München

Answer 1

Hier der Link

 

https://www.tagesschau.de/investigativ/ndr-wdr/sicherheitsluecke-arztsoftware-101.html

 

s, auch Kommentar in https://forum.tomedo.de/index.php/54731/abstimmung-hat-tomedo-mangel-die-behoben-werden-sollten-ja-oder-nein

 

Comments

Vertrauen ist der Anfang von allem... so oger ähnlich warb die Deutsche Bank nach der peanuts-Wortwahl von Hilmar Kopper - Friede seiner Asche - um Anleger und Kunden. Die Sentenz verfang nicht im Selbstbereicherungsumfeld der Banker und Wealth-Manager, bezogen auf das nil nocere und die Reste des corpus hippocraticum, die aktuell die Ärzteschaft umtreiben, dann doch so weit, dass der (schwarze) Peter der Vertrauensstiftung, die in den Familien zu kurz kommt und in der Krippe durch Verlässlichkeit der Arbeitsbeendigung der Krippenerzieher ersetzt wird, an den frontkämpfenden Arzt übertragen wird. Ob der sich durch Videosprechstunde oder Telemedizin vor dieser Verantwortung drücken kann, sei dahingestellt. Wer also datenschutzkonformes Handeln einfordert, fordert gleichzeitig unärztliches Verhalten ein, die ärztliche Schweigepflicht stand seit jeher einer Weitergabe der Kunst des Heilens entgegen, die Übertragung europäischer Rechtsauffassungen in deutsches Recht und das auf praktizierende Ärzte dürfte sich als derselbe Rohrkrepierer erweisen, wie der Erfolg der Schadensbegrenzung nach der Kopper/Ackermann-Periode (Chefaufseher Achenbach, oh je) der Deutschen Bank. DSGVO hat nichts in Arztsoftware verloren, die Unterstützung der ärztlichen Schweigepflicht schon. Das kann Tomedo zur Genüge.

Grüße aus dem wilden Harz

---

Politische Forumbeiträge per Verlinkung zu pushen finde ich genauso unverantwortlich, wie sie zu verfassen. Die Themen sind sachlich schon längst aufgearbeitet. Solche Meinungsumfragen sind pure Politik und hat m. E. im Forum nichts zu suchen. Bewerbt euch bei Zollsoft, geht in die Politik oder geht rechtlich gegen die Missstände vor.

---

Hallo Herr Straub

hier geht es nicht um politische Äußerungen. Herr Tubbesing hatte auf einen Umstand hingewiesen, ich habe nur den Link hinzugefügt damit das jeder nachlesen kann.

Wir sind für die Einhaltung der DSGVO verantwortlich. Und genau das wird im anderen Forumsbeitrag berührt. Wenn schon die Softwareentwickler keine Pflicht haben die Software DSGVO konform zu machen, es aber von uns verlangt wird, dann wird von uns  die Quadratur des Kreises verlangt. Man sollte ernsthaft überlegen, manche Entwicklungen einfach nicht mehr mitzumachen. Ich möchte garnicht wissen was die umsetzung der eAU, eRezept und KIM an Ressourcen bei Zollsoft verbraucht (verschwendet) hat. Das bezahlen wir alle mit und deshalb auch die Kostensteigerung.

Wie schon gesagt, ich brauche das alles nicht um meine Patienten zu versorgen, wir werden aber dazu gezwungen.

---

Hallo Herr Klaproth!

Geht nicht um die Äußerung von Herrn Tubbeding oder das Thema an sich. Fachlicher Austausch ist immer gut und bereichert uns alle.

Es geht um den einen Link, den Sie gepostet haben. Der verweist auf einen Forumbeitrag, der primär den Zweck der Einflussnahme auf die Firmenpolitik von Zollsoft verfolgt. Woran mache ich das fest? Gleich im Titel werden schon Mängel suggeriert, um gezielt Skepsis bei tomedo-Kunden auszulösen. Das schadet der Vertrauensbezeihung und fügt damit einen großen Schaden zu. Und der Themenersteller hat in meinen Augen kein Mandat, Umfragen in der Form zu starten.

---

Sehr geehrter Herr Tubbesing, sehr geehrter Herr Klaproth,

danke für Ihre Beiträge. Für mich hochinteressant!

 

Sehr geehrter Herr Straub,

leider ist dieses Thema für mich nicht lediglich „pure Politik“. Vielmehr kann eine Datenschutzpanne, eine Verletzung der DSGVO ganz real zu hohen finanziellen Forderungen, aber vor allem auch zu einer irreparablen Rufschädigung führen. 

Wenn Patientendaten unserer Praxis frei zugänglich im Internet liegen, weil ein IT-Anbieter nicht sauber gearbeitet hat, aber dennoch ich hochoffiziell dafür verantwortlich gemacht werde,… Die Folgen will ich mir gar nicht ausmalen.

Insofern möchte ich Sie bitten, diesen Thread hier nicht einfach abzuwürgen. Ich bin dankbar für die o.g. Hinweise und auch sehr interessiert an den Stellungnahmen anderer Ärzte, von zollsoft und anderer hier mitschreibender IT-Profis!

 

Viele Grüße

---

Moin Herr Straub

Meinen Post habe ich einige Zeit vor Herrn Tubbesing in der von Ihnen als unangebracht kritisierten Umfrage veröffentlicht, um damit zum Ausdruck zu bringen, das der Vezicht auf die Einhaltung der DSGVO kein Mangel beim Softwareanbieter ist, wir aber auf dessen Unterstützung sehr wohl angewiesen sind. Deshalb der Link zum anderen in meinen Augen wichtigen Beitrag, den ich nicht als Kritik an Zollsoft verstehe. Zollsoft muss den Spagat machen, ein konkurrenzfähiges Produkt anzubieten und daneben alle KBV Vorgaben einhalten. Wenn es in ein paar Jahren bessere Programme gibt, die uns neben dem Komfort auch mehr Sicherheit in den angesprochenen Punkten liefern, dann hätte nicht nur Zollsoft, sondern alle Anwender ein Problem, dass ich bei meinem vorherigen Anbieter hatte und deshalb gewechselt habe.

Entgegen Ihrer merkwürdigen Auffassung  sollte man im Forum sehr wohl darüber diskutieren dürfen, ohne von verschiedenen Seiten dabei abgewürgt oder aktuell geblockt zu werden wie mkgpch.

Sie erkennen an den teils emotionalen Äußerungen, wo manchen der Schuh drückt. Viele von uns sehen noch gar keine Probleme, obwohl sie mitten drin stecken und nicht mal wissen dass Sie aus der Verantwortung nicht heraus kommen indem sie sich gutgläubig auf andere verlassen. Da sind solche Beträge wichtig und auch Fragen in die Runde dürfen sein. Bei einer wie auch immer gearteten Zensur zur Meinungsäußerung brauchen wir kein Forum mehr.

---

GEnaus so sehe ich es auch CHristian,

es ist die Aufgabe unserer Ständevertreter der Politik klar zu machen( oder weiß sie es gar?) was von Ärzten leistbar ist und was nicht. Das Forum ist wichtig und sollte weiterhin für alle offen bleiben. Eine Praxissoftware sicher zu machen und zu halten mit gleichzeitigem Zugriff des Staates bzw. der Krankenkassen auf unsere Daten ? Das kann weder Tomedo und wir erst recht nicht leisten ... An unseren ehmemaligen Softwareanbieter gar nicht zu denken. Wer kann oder könnte es ändern. Fast alle , die diese Mail lesen! Haben sich aber wenige drum gekümmert. Also leider selbstgemachtes Leid. Kommt man da raus? Ja. Muss man /frau aber was für bzw. gegen tun und sich engagieren. Das ist bei Ärzten fast unmöglich. Da habe ich wenig Hoffnung außer auf die Rente warten ;-)) Gruß Ralf Kampmann

---

Die Aussage des Datenschützers finde ich unerträglich, ich habe nicht die Kompetenzen zu überprüfen ob die IT-Firmen Ihre Sachen richtig machen, häufig wissen Sie selber erstmal nichts von Ihren Sicherheitslücken. Man muss sich schon mal entscheiden in Deutschland/Europa, wenn man den heiligen Gral der Digitalisierung auf Teufel komm raus will, kann es nicht sein, dass aber dann wenns schief geht, wir haften sollen. Interessiert aber keinen in der Politik, der "Schuldige" bei Pannen steht ja schon fest, wir sind dann in den Negativ-Schlagzeilen, nicht die, die uns den Mist aufgezwungen haben. Komfortable Lösung würde ich sagen. Insofern sehe ich das schon auch so, dass das hier und auf vielen anderen Kanälen kommuniziert werden sollte. Ich habe gar keine andere Wahl als mich darauf zu verlassen, dass mein Anbieter seine Arbeit nach bestem Wissen und Gewissen erledigt, ich kann lediglich Einfluss nehmen bei der Auswahl meines Anbieters, den Rest überblicke ich zumindest dann nicht mehr. Insofern hat Hr. Balogh vielleicht schon zu Recht ein bischen den Finger in die Wunde gelegt, kann inhaltlich da aber nicht mithalten was angebracht ist und was nicht. Sicherlich fand ich die Form der Kommunikation und das ständige Wiederholen und pushen auch nicht angemessen und v.a. nicht zielführendend, da es eher gegenteile Reaktionen ausgelöst hat und damit eine konstruktive Auseinandersetzung kaum noch möglich war. Aber Ich weiss nicht ob blockieren/ zensieren so ganz der richtige Weg ist...

---

ich bleibe dabei, dass das Kernprogramm Tomedo super ist und sich hier der Verstand der Zollmann-GF sich mit dem (Welt-) Wissen der Eltern paart. Das Programm hat per se keine Schnittstelle ins Internet und solange das so ist, hat die DSGVO keine Auswirkung auf die Praxisorganisation mit Tomedo, alles andere ist durch den Praxisinhaber leistbar. Die Anbindung PVS - TI ist hier das heißeste Sicherheitseisen, es muss unbedingt der Datenabfluss aus den Praxen ins Internet vermieden werden, selbst wenn der Gesetzgeber oder die Gesundhitsverwaltung über Anonymisierung wertvollen wissenschaftlichen Input abfordern wollte um zu kaschieren, dass Kassenmedizin zur Staatsmedizin degeneriert.

Ich habe mich bislang immer kryptisch zu dem geäußert, was andere als "feature request" auf der Pfanne haben. Ein PVS ist primär nicht für steuerbeweispflichtige Gesundheitsverkäufer, sondern zur Unterstützung und damit Qualitätsverbesserung des ärztlichen Tuns da. Und ja, dafür gibt's in Zukunft von den Kassen immer weniger Geld. Wenn man also mit IGeL und außerbudgetären Leistungen das kompensieren will, kommt man der Steuer und der Beweispflicht über Geldströme immer näher: Das ist aber dann das persönliche unternehmerische Risiko; das PVS dafür aufzubohren und unhandlicher, ineffizienter, fehlerträchtiger und ( z.B. über Rechteverwaltung) neurotisierender zu machen, ist nicht der Ansatz, wofür ich MacOS privat und in der Praxis gewählt und dann Tomedo als Software auswählt habe.

Viele feurige Grüße aus dem wilden Harz

---

Blockieren und zensieren halte ich auch nicht für den richtigen Weg. Alle Themen gehören auf den Tisch und sollen auch hier diskutiert werden. Aber ich unterscheide wohl zwischen den Posts über Politik und politisch formulierten Posts. Gegen Posts über Politik habe ich nichts und beteilige mich auch gern. Politisch formulierte Posts emfinde ich als kontraproduktiv. Wie Herr Becker es treffend formuliert hat, sind sie für mich auch nicht zielführend, lösen gegenteilige Reaktionen aus und stören bei der konstruktuven Auseinandersetzung mit dem Thema. Warum muss man Menschen zur Abstimmung über die Mängel in tomedo aufrufen? Es reicht doch einfach den Post "DSGVO Verbesserungsvorschläge" zu nennen und sachlich die Argumente auszuführen. Kollegen werden sie kommentieren, ergänzen und mit +1 die Priorität bestimmen. Damit hätte man auch "den Finger in die Wunde gelegt", aber auf eine verantwortungsbewusste Art und Weise.

Letztendlich wollen wir ja alle, dass Zollsoft uns zuhört und unsere Anforderungen umsetzt. Was in welcher Reihenfolge umgesetzt wird, entscheidet nicht nur die GF. Jeder Mitarbeiter entscheidet auch mit, durch das eigene Tun oder Unterlassen. Ich würde den Einfluss diesen Forums auf die Motivation der Zollsoft MA nicht unterschätzen. Sie lesen mit und bilden sich ihre Meinung zu Themen und Personen. Es wäre doch schade, wenn die Umsetzung wichtiger Themen (DSGVO ist sicherlich eins davon) deswegen verzögert wird.

---

Ich finde hier werden zwei Themenbereiche etwas vermischt - zum einen die politische Situation und aktuelle gesetzliche Lage (DSGVO, Haftung usw.) und die Meinungen der Anwender zu tomedo, d.h. wie sollte die Software in Zukunft "aussehen" bzw. welche Funktionen sind notwendig oder nicht. Sicher haben die Themen miteinander zu tun! Und dann kommt noch die Beurteilung der Art der posts hier im Forum zum Ausdruck.

Persönlich, halte ich eine Zensur oder blocken eines "nervigen" Benutzers nicht akzeptabel. Daher die Frage: ist Herr Balogh in diesem Forum tatsächlich geblockt?

Aus meiner Sicht ist es sehr gut, dass hier recht unterschiedliche Meinungen aufeinander treffen. Schließlich wühnscheich mir dieses Forum auch nicht als reines Podium zur Lösung technischer Fragen. Ich lese mit Interesse auch die anderen Einträge.

Answer 2

Meiner Ansicht nach wird hier das Thema "Verantwortlichkeit" durch die Medien ein wenig überspitzt dargestellt. Klar, verkauft sich auch besser zu sagen: "Softwarehersteller baut Mist, Ärzte müssen es allein ausbaden!". Formell ist es ja nicht unwahr, dass die betroffenen Ärzte hier "in der Verantwortung" sind. Wenn ein Arzt Daten über einen Patienten erhebt bzw. der Patient dem Arzt Daten anvertraut, liegen diese ja erst mal "in der Verantwortung" des Arztes. Selbstverständlich ist der Arzt jetzt in einer "Prüfpflicht", wenn er die Daten in irgendeiner Form jemand anderem "anvertrauen" will. Verteilt er sie jetzt per "Facebook Messenger" oder "iCloud", dann hat er mindestens nicht gut "geprüft" bzw. handelt recht eindeutig fahrlässig. Wenn er aber (wie hier) auf einen deutschen Anbieter für Gesundheit-IT setzt, der insbesondere mit der Zuverlässigkeit und Sicherheit der Daten wirbt, dann glaube ich nicht, dass man dabei unbedingt von Fahrlässigkeit oder Verantwortungslosigkeit sprechen kann. Im Zweifel würde das sicherlich ein Gericht klären, aber ich kann mir (nach meinem laienhaften Verständnis) nicht vorstellen, dass hier am Ende zu Lasten des Arztes entschieden würde.

Hieraus jetzt zu dem Schluss zu kommen, dass wir noch mehr Regulierung bzw. "KBV-Zertifizierungen" brauchen halte ich für fatal. Schon allein die regelmäßigen Zertifizierungen für die Videosprechstunde kosten Unmengen an Geld und Zeit und machen in diesem Bereich "Innovationen" bzw. bloße Weiterentwicklungen extrem schwer (Stichwort: Gruppensitzungen für Psychotherapie), ohne (und das ist meine ganz persönliche Meinung) sicherheitstechnisch einen wirklichen Mehrwert zu bringen. Ein weiteres gutes Beispiel dafür, was Regulierungen dem Gesundheitssystem mit Blick auf Geschwindigkeit und Innovationsfreude bringen, sieht man ganz gut am "Erfolgsmodell TI" (das 2017 endlich umgesetzte Konzept stammt übrigens von 2006).

Denn letztendlich stimmt die jetzt gern und häufig wiederholte Aussage, dass der Softwarehersteller hier keinerlei Verantwortung trägt bzw. "fein raus ist" aus meiner Sicht so nicht. Ganz im Gegenteil: Mal abgesehen davon, dass es im konkreten Fall sehr wahrscheinlich auch (Datenschutz-)rechtliche Konsequenzen für den Anbieter hätte, wenn tatsächlich in irgendeiner Form Patientendaten abgeflossen wären, hat DocCirrus bereits jetzt ein riesiges Problem was den "Imageschaden" angeht. Ich möchte ganz bestimmt nicht, dass unsere Firma in eine vergleichbare Situation kommt und kann Ihnen versichern, dass wir höchsten Wert auf das Thema Sicherheit legen. Selbstverständlich nehmen wir auch diesen Fall wieder zum Anlass, um erneut die Sicherheit unserer Systeme zu hinterfragen, so wie wir das auch zuletzt nach den Angriffen auf die CGM und den anderen Anbieter, dessen Namen wir nicht schreiben dürfen getan haben.

Ich weiß, dass hier im Forum gern die Mär genährt wird, dass wir uns für Sicherheit und rechtliche Themen nicht interessieren würden und davon keine Ahnung haben. Dabei werden dann immer gern Schlagwörter wie "DSGVO" und "GoBD" verwendet. Leider reicht es offensichtlich aus, Unwahrheiten nur oft genug zu wiederholen, damit sie hängen bleiben. Ich möchte deshalb erneut (wie auch schon an anderer Stelle) entschieden widersprechen: Das Thema Datensicherheit ist für uns ein sehr wichtiges und wir stecken da auch viele Aufwände rein - spätestens dort, wo Daten die Praxen verlassen ist das auch unerlässlich. So hatten wir z.B. unsere Gesundakte bzw. unsere ImpfPassDE-App und zuletzt die Impfzertifikate durch einen IT-Spezialisten analysieren bzw. "angreifen" lassen, der auch schon zahlreiche andere Patientenakten (und kürzlich die Schweizer Impfplattform) "zu Fall" gebracht hatte. Auch machen wir regelmäßig (externe) Penetration-Tests für andere unserer Anwendungen.

Um hier nur zwei Beispiele herauszugreifen, warum ich von "Unwahrheiten" spreche: Bloß weil wir keine Schnittstelle umsetzen, die regelmäßig alle Patientendaten an ein externes System übergibt (der gewünschte "revisionssichere-Export"), ist unser System doch nicht weniger sicher. Ganz im Gegenteil: So eine Schnittstelle (falsch gemacht) könnte eine extreme Sicherheitslücke auftun und müsste entsprechend sehr genau und sorgfältig gebaut werden, was aktuell im Widerspruch zum Nutzen bzw. der Nachfrage steht. Ähnliches gilt für das, was sich hinter dem Schlagwort "DSGVO-Export" verbirgt: Eine Möglichkeit Karteien und Privatrechnungen auf Knopfdruck so zu exportieren, dass automatisch alles "Patientenbezogene" entfernt wird (was so per se schon mal gar nicht gehen kann, da selbst auf den ersten Blick "nicht-patientenbezogene" Daten in bestimmten Kontext Schlüsse auf den Patienten zulassen). Wenn so eine Funktion *nicht* existiert bzw. umgesetzt wird, macht es unser System nicht weniger sicher bzw. nicht "nicht-DSGVO-konform". Wenn sie existiert, kann sie zu Sicherheitsproblemen (z.B. aufgrund von Programmierfehlern; siehe oben) aber auch zu eklatanten Fehleinschätzungen führen ("Oh, ich sehe hier ja keine Patientennamen, dann kann ich das ja auch auf Instagram stellen!"). Insofern halte ich es auch für richtig, wichtig und schlicht unsere Verantwortung die Kosten und Risiken gegen den eventuellen Nutzen abzuwägen.

Ich finde den Vorschlag von Herrn Straub sehr gut, die konkreten Punkte (z.B. in Bezug auf die DSGVO) die Ihnen fehlen zu benennen und dann (jeweils in einem separaten Beitrag) zu diskutieren und lade dazu herzlich ein. ABER: Dazu gehört eben auch, möglicherweise konträre Ansichten einfach mal auszuhalten und diese nicht immer wieder "wegzudiskutieren" ohne wirkliche neue Argumente zu bringen. Sonst bleibt am Ende wieder nur das stehen, was am plakativsten ist bzw. am häufigsten wiederholt wurde. 

Erlauben Sie mir in dem Zusammenhang noch etwas zum hier angesprochenen Thema "Zensur": Wir sind sehr stark gegen jegliche Form der Zensur, was wir sicherlich auch oft genug bewiesen haben. So sind wir z.B. das wahrscheinlich einzige PVS-Haus, welches ein öffentliches Forum betreibt - also eines, dass auch von jedem Interessenten (und jedem Mitbewerber; herzliches hallo an die Kollegen ) gelesen werden kann. Aber es ist eben auch eine Form der Zensur, wenn man jeden der anderer Meinung ist sofort textuell "angreift" und dessen Beitrag dadurch unterdrückt, dass man immer wieder endlos lange Texte mit den selben Inhalten schreibt, so dass darin alles andere untergeht. Spätestens wenn mir dann von mehreren Ihrer Kollegen gesagt und geschrieben wird, dass diese sich nicht (mehr) im Forum beteiligen, weil sie auf diese "Art der Kommunikation" keine Lust bzw. dafür keine Zeit haben, dann finde ich es schon richtig, hier auch mal jemanden zu sperren (zumal wir im konkreten Fall zahlreiche Vorwarnungen ausgesprochen hatten).

Comments

Ich sehe sehr wohl die Pflicht des Softwareherstellers, patientenbezogene Daten vor unbefugten Zugriff zu schützen, dafür wurde die DSGVO bereits 2016 geschaffen und immer wieder aktualisiert (zuletzt am 04.03.2021). Dazu gibt es ja in rudimentärer Form die Benutzerverwaltung in tomedo. Hier werden innerhalb von tomedo Zugriffe beschränkt, leider nicht vollumfänglich. Beispiel: Ich kann Mitarbeitern oder -gruppen, die beispielsweise in anderen Aufgabenbereichen in der Praxis tätig sind (z.B. Aushilfen für die Reinigung), den Zugriff/die Anzeige von bestimmten Karteieintragstypen innerhalb einer Patientenakte sperren, den grundsätzlichen Zugriff auf tomedo allerdings nicht wenn ich diese Mitarbeiter über Arzeko verwalten möchte. Das Rechtesystem von MacOS greift hier nicht, da tomedo/arzeko im Kontext EINES vorgebenen Benutzers installiert werden muss. Somit müssen sich mehrere Personen ein Benutzerkonto teilen, aus Datschutzsicht ganz sicher ein No-Go.

Patientenbezogene Daten werden im Unterordner "files" auf dem tomedo-Server abgelegt, teilweise sogar mit vollem Patientennamen im Dateinamen. Sämtliche Dateien in diesem Ordner sind unverschlüsselt. Da tomedo eine Internetverbindung mindestens zur Überprüfung der Lizenzinformationen und Updates benötigt, besteht hier eine potentielle Sicherheitslücke. Die Sicherung der Praxis vor unbefugten Zugriff von außen ist nicht Sache von Zollsoft, aber da vielleicht auch noch andere Applikationen auf dem Server laufen (z.B. Labordatentransfer), die einen Zugriff Dritter auf den Server erfordern, sind Patientendaten ungeschützt für Fremde potentiell einsehbar.

Ein Export von Daten aus tomedo ist in der Regel unkritisch, da die Daten meist anderweitig verarbeitet werden (z.B. Archivsysteme) und somit nicht mehr im direkten Zugriff sind oder nach Verarbeitung manuell gelöscht werden können. Hier kommt dann die nächsten Schlagworte neben der DSGVO zum Einsatz, nämlich GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) und GoB (Grundsätze ordnungsmäßiger Buchführung). Ein PVS muss diese Anforderung sicher nicht alle zwingend erfüllen, dann jedoch Schnittstellen und/oder Mechanismen liefern, die den Nutzer dabei unterstützen, die rechtlichen Anforderungen umzusetzen (z.B. anonymisierte Rechnungen, Storno-Rechnungen, Rechnungsexport). Denn verantwortlich für die Erfüllung der gesetzlichen Vorgaben ist und bleibt der Praxisbetreiber.

Die meisten Praxisbetreiber/Ärzte sind keine ausgewiesenen IT-Spezialisten und auf die Unterstützung des Softwareanbieters/-dienstleisters angewiesen. Ich würde mir wünschen, dass die Kommunikation zwischen Zollsoft und Kunden auch diese Notwendigkeiten berücksichtigt und nicht mir Kommentaren wie "Dann schreiben Sie die Rechnung doch gleich richtig!" abgetan oder erst gar nicht aufgegriffen werden. Ein Softwareanbieter muss sich auch mit kritischen Fragen seiner Anwender auseinandersetzen. Das wiederholte Vorbringen gerade unangenehmer Sachverhalte ist oft nur der verzweifelte Versuch, sich selbst Gehör zu verschaffen, um Vorgaben umzusetzen, auf die man selbst keinen Einfluss hat. Das kann auch heißen, dass alternative Lösungswege aufgezeigt werden, die das Problem vielleicht gar nicht erst aufkommen lassen. Die Philosophie, die hinter einer Softwareentwicklung steht, ist für den Anwender manchmal gar nicht oder nur schwer nachzuvollziehen. Das Forum sollte diese alternativen Möglichkeiten und Sichtweisen aufzeigen und nicht in Schelte ausarten oder kritische Stimmen ausschließen, weil man für sich selbst dieses Problem nicht sieht und an einer Lösung nicht oder nur am Rande interessiert ist. Die Software ist für alle Nutzer gemacht, auch wenn möglicherweise einzelne Funktionen oder Funktionsbereiche nur von wenigen genutzt werden. Zollsoft hat sich dazu verpflichtet, Mängel abzustellen und sie nicht kleinzureden oder auszusitzen und sie mit der nowendigen Priorität zu beachten, denn Mängelbeseitung hat Vorrang vor Neuentwicklung.

Beste Grüße aus Augsburg
Christian Schacht

---

Dem letzten Kommentar von Herrn Schacht ist wenig hinzuzufügen.

Aber, eine Datenschutzverletzung ist nicht automatisch gegeben, wenn sich mehrere User ein Konto teilen müssen. Die meisten PVS kennen nur einen User und einen Admin...

Was die Frage der Haftung angeht, gibt es für eine Arztpraxis drei Haftungskreise:

1. Der erste Haftungskreis betrifft den Betrieb des PVS im Zusammenhang mit der Telematik-Infrastruktur. Hier haftet de Gematik umfänglich, wenn die Arztpraxis die Sicherheitsregeln der KBV einhält. Da die Sicherheitsregeln der KBV aber auch einige ToDo´s für die PVS-Hersteller beinhalten, sollte diese stets vorrangig von der Herstellern erfüllt sein. Der Erfüllungsgrad der Sicherheitsrichtlinie ist bei den Praxen unterschiedlich. Haben diese einen externen Datenschutzbeauftragten, haftet dieser, wenn er die Mängel kannte und die Praxis nicht auf Abhilfe gedrängt hat, ansonsten der Inhaber.

2. Der zweite Haftungskreis betrifft das Verhältnis von Praxis und PVS-Hersteller. Im Falle Tomedo gibt es hierzu die üblichen vertraglichen Regelungen im Mietvertrag. Daneben gilt das Produkthaftungsgesetz, das nach herrschender Rechtsmeinung auch für Software gilt, und nach dem Willen der EU-Kommission auch für Dienste. In dem Fall des Berliner Unternehmens wird sicher die vertragliche wie auch gesetzliche Haftung in Betracht kommen, wenn es denn einen Schaden gibt, da hier nicht dolos angegriffen wurde, sondern ein erfolgreicher Pen-Test vorgenommen wurde.

3. Der dritte Haftungskreis betrifft das Verhältnis von Praxis und lokalem IT-Provider. Ich weiß schon jetzt, dass mir da einige aus dem Forum schreiben, sie wären alle zertifiziert und würden ordentlich arbeiten. Ja, diese Provider gibt es.

In meinem lokalen Umfeld hat ein Mitarbeiter eines IT-Dienstleisters mehrfach die Zugangsdaten zu den Praxisservern der Kunden abfotgrafiert und, nachdem er das Unternehmen verlassen hat, sich mit diesen Daten Zugang zu den Praxis-Systemen verschafft, Daten kopiert und mit diesen Praxis und Patienten versucht zu erpressen. Man ist dem Mann relativ schnell auf die Schliche gekommen, aber der Dienstleister musste sich fragen lassen, warum seine Mitarbeiter Handies im Support-Raum benutzen durften. Hallo - wach?

Zu dem Problem des Exports von Rechhnungsdaten nehme ich dann wie gewünscht in einem gesonderten Blog Stellung.

Herzliche Grüße aus Lippstadt vom Arztgatten Rechtsanwalt Jörg Frotscher

---

Hallo Herr Schacht, für die Trennung der Daten auf Ihrem Server "aber da vielleicht auch noch andere Applikationen auf dem Server laufen (z.B. Labordatentransfer), die einen Zugriff Dritter auf den Server erfordern, sind Patientendaten ungeschützt für Fremde potentiell einsehbar" sind Sie schon selbst verantwortlich. Alternativ benötigen Sie explizite Verträge z. B. mit Ihrem Dienstleister (Labor) bzw. dem Dienstleister der beauftragten Laborgemeinschaft. Das unreflektierte Einbringen von Fremddaten ohne den in meinen Augen notwendigen Media-Gap zu beachten, ist eines der Grundübel, das u. a. durch die DSGVO angegangen wird. Entweder Media-Gap oder Vertrag mit geklärten Verantwortlichkeiten und Poenalen, wenn was schief geht.

Viele Grüße aus dem wilden und gelöschten Harz