Sommer, SGB V § 291 Elektronische Gesundheitskarte / 2.9 Digitale Identität (Abs. 8)

Rz. 34

Spätestens ab dem 1.1.2024 stellen die Krankenkassen den Versicherten neben der elektronischen Gesundheitskarte eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung (Satz 1). Die digitale Identität ist nicht an eine Chipkarte gebunden und durch den Versicherten zu beantragen. Die digitale Identität muss den Vorgaben nach Abs. 2 Nr. 1 und 2 entsprechen und ermöglichen, die Versichertendaten nach § 291a Abs. 2 und 3 bereitzustellen. Damit die sichere digitale Identität möglichst schon zum 1.1.2023 genutzt werden kann, stellen die Krankenkassen berechtigten Dritten ab dem 1.7.2022 geeignete Testumgebungen für die Identifizierung und Authentisierung der Versicherten zur Verfügung (BT-Drs. 19/29384 S. 197). Ab dem 1.1.2026 dient die digitale Identität in gleicher Weise wie die elektronische Gesundheitskarte zur Authentisierung des Versicherten im Gesundheitswesen und als Versicherungsnachweis nach § 291a Abs. 1 (Satz 2).

Rz. 35

Die gematik definiert die Anforderungen an die Sicherheit und Interoperabilität der digitalen Identitäten (Satz 3) im Einvernehmen mit dem BfSI (Satz 4 bis 6). Damit können die digitalen Identitäten grundsätzlich auch in Anwendungen des Gesundheitswesens außerhalb der Telematikinfrastruktur sicher genutzt werden. Der sichere Einsatz liegt in der Verantwortung der Betreiber der jeweiligen Anwendungen und wird nicht gesondert geregelt.

Rz. 36

Alternativ kann der Versicherte nach umfassender Information durch die Krankenkasse über die Besonderheiten des Verfahrens in die Nutzung einer digitalen Identität einwilligen, die einem anderen angemessenen Sicherheitsniveau entspricht (Satz 7). Die Anforderungen an die Sicherheit und Interoperabilität dieses Nutzungsweges der digitalen Identität werden von der Gesellschaft für Telematik (gematik) festgelegt (Satz 8). Dazu ist hinsichtlich der Anforderungen an die Sicherheit und den Datenschutz Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem BfDI herzustellen (Satz 9).

Rz. 37

Die Regelung ermöglicht dem Versicherten, niedrigschwellige Authentifizierungsverfahren zu nutzen und verbessert die Nutzerfreundlichkeit (BT-Drs. 20/4708 S. 107). Im Rahmen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.42016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) ist es möglich, dass bestimmte, regelmäßig vorzuhaltende technische und organisatorische Maßnahmen zur Umsetzung der Datensicherheit nach Art. 32 DSGVO auf den ausdrücklichen Wunsch der betroffenen Person hin ihr gegenüber im Einzelfall in vertretbarem Umfang nicht angewendet werden. Diese Reduzierung der technischen und organisatorischen Maßnahmen muss dabei freiwillig und eigeninitiativ erfolgen, wobei die betroffene Person in verständlicher Art und Weise über den Umstand der Absenkung der Datensicherheit und deren Konsequenzen informiert sein muss. Die Versicherten können sich somit bei der Verwendung eines Authentifizierungsverfahrens bezüglich des Sicherheitsstandards frei entscheiden. Um die Anforderungen an die Sicherheit und Interoperabilität an niedrigschwellige Authentifizierungsverfahren zu gewährleisten, werden diese von der gematik im Einvernehmen mit dem BSI in der Informationstechnik und BfDI verbindlich festgelegt.

Rz. 38

Damit die sichere digitale Identität möglichst schon zum 1.1.2023 genutzt werden kann, stellen die Krankenkassen berechtigten Dritten ab dem 1.7.2023 geeignete Testumgebungen für die Identifizierung und Authentisierung der Versicherten zur Verfügung (BT-Drs. 19/29384 S. 197; Satz 10). Die Frist wird als Folgeänderung zu § 312 Abs. 1 Satz 1 Nr. 8 verlängert. Durch die spätere Bereitstellung der technischen Spezifikationen für die digitalen Identitäten verschieben sich auch die darauf aufbauenden Umsetzungsfristen (BT-Drs. 20/3876 S. 54).