gemSpec_TI-M_Basis_V1.2.0_CC - A_28337

[mlangguth]

Organisation

Langguth.digital

Fehlerkategorie

FF

Dokument

gemSpec_TI-M_Basis_V1.2.0_CC

Kapitel

5.6.1.2 Medien

AFO

A_28337

Link

https://gemspec.gematik.de/prereleases/Draft_TI-Messenger_25_3/gemSpec_TI-M_Basis_V1.2.0_CC/#A_28337

Zeilennr.

No response

Änderungsvorschlag

Medien in TIM werde nicht anlasslos gespeichert. Die Speicherung erfolgt durch Aktionen der Nutzer - also anlassbezogen.
Da die TIM-Accounts im Auftrag der Nutzer betrieben werden und auch nur dort die Daten gespeichert werden - und die Daten nur verschlüsselt vorliegen, wird keine DSGVO-Vorgabe verletzt. Der Medienspeicher ist der Speicher des Nutzers. Da die Medien verschlüsselt gespeichert werden, kann mit den Medien kein Missbrauch geschehen und

Die Schwäche, dass Clients Medien nicht gezielt löschen können, kann durch eine TIM-FD-spezifische Funktion geschlossen werden. Hier wäre es wünschenswert, wenn die die gematik selbst einen MSC in die Community einbringt und im Rahmen der TIM-Zulassungen die Umsetzung dieses MSC bereits verlangt.
Hingegen ist NICHT akzeptierbar, dass die Server - je nach Betreibereinstellung - Medien der Homeserver automatisch UND OHNE Rückfrage bzw. Rückmeldung an die Nutzer löschen. Die Server können nicht wissend, wie lange med. Dokumente im jeweiligen Kontext benötigt werden. Ein Verweis auf ein Archivsystem wäre auch hier nicht zielführend, da nicht alle TIM-Nutzer ein Archivsystem verwenden. Einige werden die Nachrichten (auch mangels Alternativen) nativ im TIM archivieren.

[Johennes]

Die gematik hat vor kurzem eine Implementierung von MSC3911 beauftragt. Die auf diesem Proposal bereits aufgezeigten noch zu lösenden Probleme erscheinen aber leider zu groß um die Umsetzung des MSCs einfach per TI-M Spec vorzuschreiben. Hier braucht es eine umfassende und funktionale Lösung. Die Beibehaltung der nach TI-M Spec schon heute möglichen automatischen Löschung von Medien ist daher das notwendige Übel auf dem Weg zum Endziel.

[mlangguth]

Die Versicherten werden das nicht als das "notwendige Übel" sehen, sondern als Akzeptanzvernichter.
TIM ist für die Versicherten ihr primärer Speicher für Dokumente und Dateien, die über TIM empfangen wurden. Wir müssen ja sogar warnen, wenn Dateien außerhalb TIM gespeichert werden sollen. Wenn mir als Nutzer in diesem meinem Speicher mir die Dateien dann weggelöscht werden, ohne dass ich das verhindern kann, dann ist klar, welche Meldungen dies auf Twitter, LinkedIn & Co auslösen wird...

[Johennes]

Die Alternative ist wir bleiben beim aktuellen Löschkonzept solange bis eine vollständige technische Lösung zum anlassbezogenen Löschen von Medien gefunden ist. Dann werden die Medien bis dahin aber genauso automatisiert gelöscht wie mit diesem Update denn anders geht es aktuell in Matrix nicht.

[mlangguth]

Das ist in meinen Augen nicht die einzige Alternative.
Was genau so gut geht, ist die Umstellung auf das neue Löschkonzept, nur auf das zeitgesteuerte Löschen von Anhängen wird - vorerst - verzichtet.
Wenn es nach neuer Spec zulässig ist, dass eine Krankenkassen die automatische Löschdauer für Anhänge auf 100 Jahre einstellt - also faktisch nicht löscht - dann muss es auch möglich sein, für eine Übergangszeit (bis ein für das Problem passender MSC da ist) auf das Löschen von verschlüsselten (!) Medien zu verzichten.

Da die Medien verschlüsselt sind, ist es KEIN DSGVO-Problem, sondern ein reines "Volumen-/Ressourcen-Problem", welches aber in der sehr flachen Rampup-Phase noch lange keine wirkliche Rolle spielen wird...

[Johennes]

IANAL aber ich glaube das funktioniert so nicht. Die Schlüssel für die Medien liegen nicht exklusiv beim Versicherten sondern werden mit allen Raumteilnehmern geteilt. Daher hilft uns die Verschlüsselung im Sinne des Datenschutzes hier eigentlich nicht weiter. Selbst wenn das anders wäre, es gibt keine API, mit der ein Nutzer Medien löschen kann. Deswegen kann ein Fachdienst die Grenzen der Zweckbindung aktuell höchsten heuristisch über das letzte Downloaddatum bestimmen. Auch das müsste schlußendlich aber zu einer automatisierten Löschung führen.

Es ist richtig, dass die Spezifikation erlaubt das Löschintervall auf einen quasi unendlichen Wert zu setzen. Das liegt daran, dass ein konkretes Intervall vom Anwendungsfall abhängt und nicht zentral vorgegeben werden kann. Das erscheint mir aber unkritisch denn die TI-M Spezifikation wird nicht im Vakuum sondern zusammen mit anderen Regelungen und Gesetzen angewendet.

Ich stimme vollständig zu, dass sowohl die aktuelle als auch die vorgeschlagene Interimslösung bescheiden sind. Ich sehe ohne Eingriffe am Protokoll aber aktuell leider keinen Weg eine automatisierte Löschung zu verbieten.

[mlangguth]

Ich stimme vollständig zu, dass sowohl die aktuelle als auch die vorgeschlagene Interimslösung bescheiden sind. Ich sehe ohne Eingriffe am Protokoll aber aktuell leider keinen Weg eine automatisierte Löschung zu verbieten.

Na ja, man könnte ja durchaus einmal beleuchten, ob sich tatsächlich DSGVO-Forderungen ergeben. In meiner Einschätzung ist das nicht der Fall, da die Daten aus Sicht des Providers ausschließlich verschlüsselt vorliegen und er niemals in Besitz des Schlüssels kommt. Damit sind es aus DSGVO-Sicht für den Provider keine personenbezogenen Daten und damit greift auch nicht die Vorgabe zur Zweckbestimmung.
Es ist aus meiner Sicht daher valide zu sagen, dass - aus Sicht des TIM-Providers - ein DSGVO-unkritischer Speicher für Medien angeboten wird. Auf Grund von protokollseitigen Einschränkungen kann der Nutzer einmal hochgeladene Medien nicht löschen. Das kann, muss, sollte man dem Nutzer so mitteilen. Es führt aber nicht dazu, dass der Provider daher nach Zeit X die Medien ohne Aufforderung durch den Nutzer und "Dateninhaber" löschen muss.

Welche Gegenargumente werden von Seiten der Datenschützer angegeben, sodass die dargestellt Sicht nicht trägt?

[Johennes]

Ich gebe diese Frage nochmal in unsere Rechtsabteilung und melde mich zurück.

[Johennes]

Laut unserer Rechtsabteilung ist eine dauerhafte Datenspeicherung in diesem Falle aus dateschutzrechtlichen Gründen nicht möglich. Nähere Details möchte man aktuell leider nicht veröffentlichen.

[mlangguth]

Ein fachinhaltlicher Austausch gestaltet sich natürlich schwierig, wenn die Argumente hinter einer Meinung nicht geteilt werden. Es ist in jedem Fall das erste Mal, dass verschlüsselte, für den Betreiber & Dritte nicht entschlüsselbare Daten unter DSGVO-Aspekten bewertet werden und eine Zweckbindung herangezogen wird...
Gerne auch Austausch per DN

[mlangguth]

Ich habe mal ChatGPT im Dialog involviert, um die rechtliche Situation für Medien des Nutzers in SEINEM TIM-Account zu beleuchten. Dieser kam im Dialogverlauf am Ende zu folgender Einschätzung (vielleicht für die Diskussion interessant):
::::::::::: ChatGPT :::::::::::::::::::::

Ich differenziere nach den drei entscheidenden Ebenen: (1) Verantwortlichkeit, (2) Personenbezug und (3) Zweckbindung.

---

1. Verantwortlichkeit nach DSGVO

Nach Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ derjenige, der über die Zwecke und Mittel der Verarbeitung entscheidet.
Das heißt:

• Wenn der Homeserver (z. B. TIM-Server) im Auftrag des Nutzers betrieben wird und keine eigenen Zwecke verfolgt,
  dann ist er Auftragsverarbeiter i. S. v. Art. 4 Nr. 8, Art. 28 DSGVO.

• In diesem Fall treffen ihn keine eigenständigen Löschpflichten, sondern nur die Pflicht, Löschungen auf Weisung des Verantwortlichen durchzuführen (Art. 28 Abs. 3 lit. g DSGVO).

➡ Konsequenz:
Wenn der Betreiber also technisch keinen Zugriff auf Klartext hat und keine Entscheidung über den Zweck trifft, trägt die Löschpflicht ausschließlich der Nutzer (Verantwortliche), nicht der Betreiber.

---

2. Personenbezug verschlüsselter Daten

Nach Erwägungsgrund 26 DSGVO gilt:

„Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder bei denen die Identifizierung […] nicht oder nicht mehr möglich ist, sind keine personenbezogenen Daten.“

Wenn die Dateien durchgängig clientseitig verschlüsselt sind und der Betreiber weder Schlüssel noch Metadaten zur Entschlüsselung besitzt,
dann handelt es sich für ihn nicht um personenbezogene Daten.
Er speichert nur zufällige Bytes ohne Identifizierbarkeit.

➡ Konsequenz:
Ohne Personenbezug findet die DSGVO für den Betreiber keine Anwendung (Art. 2 Abs. 1 DSGVO).
Damit kann keine Speicherbegrenzungspflicht gegenüber ihm bestehen.

---

3. Zweckbindung und „Unkenntnis des Zwecks“

Die gematik-Argumentation dreht sich um den Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO).
Sie setzt jedoch stillschweigend voraus, dass der Homeserver Verantwortlicher ist und personenbezogene Daten verarbeitet.
Beides ist unter Matrix/TIM-Bedingungen gerade nicht der Fall.

Selbst wenn man (konservativ) einen gemeinsamen Verantwortlichen annehmen wollte, gilt:

• Der Zweck der Speicherung (Kommunikationsbereitstellung) besteht so lange fort, wie Nutzer oder deren Clients auf die Datei referenzieren könnten.

• Kann der Betreiber das technisch nicht feststellen, darf er nicht einfach löschen, weil er sonst den Kommunikationszweck zerstört.
  Datenschutzrechtlich wäre das sogar ein Verstoß gegen Art. 5 Abs. 1 lit. d („Richtigkeit“ der Datenverarbeitung) und gegen Art. 25 Abs. 1** („Privacy by Design“ = auch Sicherstellung der Zweckwirksamkeit).

---

4. Schlussfolgerung

Aspekt	Bewertung	Wahrscheinlichkeit
Betreiber ist reiner Auftragsverarbeiter	Dann keine eigenständige Löschpflicht	95 %
Daten sind für Betreiber nicht personenbezogen (Ende-zu-Ende-verschlüsselt)	DSGVO greift hier gar nicht	90 %
Zweckbindung liegt beim Nutzer, nicht beim Betreiber	Löschung nur auf Weisung	95 %
Gematik-Position (Pflicht zur Blindlöschung)	Datenschutzrechtlich nicht begründbar, eher übervorsichtig	85 %

---

5. Fazit

Aus technisch-juristischer Sicht ist die gematik-Forderung nicht sauber mit der DSGVO begründbar, wenn

• die Medien clientseitig verschlüsselt,

• der Serverbetreiber nicht entschlüsselungsfähig,

• und nur Auftragsverarbeiter ist.

Dann besteht keine autonome Speicherbegrenzungspflicht gegenüber dem Betreiber.
Eine automatische, „blinde“ Löschung wäre datenschutzrechtlich nicht geboten, sondern könnte sogar den Zweck der Verarbeitung konterkarieren.

👉 Kurz gesagt:
Wenn der Homeserver nicht weiß, was er speichert, und nicht für sich selbst, sondern für den Nutzer speichert, kann er keine DSGVO-Pflicht zur Zwecklöschung haben.

[mlangguth]

Wer sich an dem ChatGPT-Chat beteiligen oder ihn einsehen möchte, er findet sich hier:
https://chatgpt.com/share/6908ebfc-32b0-8008-89b1-e1ca9c335608