Sommer, SGB V § 307 Datenschutzrechtliche Verantwortlichkeiten

0 Rechtsentwicklung

Rz. 1

Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Eine Vorgängervorschrift existiert nicht. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. § 307 enthält eine konkrete datenschutzrechtliche Verantwortlichkeitszuweisung und definiert die jeweilige Rolle der Beteiligten in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur.

Rz. 1a

Art. 1 Nr. 30 des Gesetzes zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz – DVPMG) v. 3.6.2021 (BGBl. I S. 1309) hat mit Wirkung zum 9.6.2021 Abs. 1 neu gefasst. Die Neufassung stellt zusammen mit dem neugefassten § 306 Abs. 2 Nr. 1 klar, dass die Komponenten der dezentralen Telematikinfrastruktur nicht nur für die Zwecke der Authentifizierung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur genutzt werden, sondern auch für den Zweck der elektronischen Signatur sowie zur Ver- und Entschlüsselung von Daten.

Rz. 1b

Art. 4 des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien v. 23.6.2021 (BGBl. I S. 1982) hat mit Wirkung zum 1.12.2021 als Folgeänderungen in Abs. 2 Satz 3 und Abs. 3 Satz 4 jeweils die Wörter "§ 88 des Telekommunikationsgesetzes" durch die Wörter "§ 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes" ersetzt.

1 Allgemeines

Rz. 2

Die Norm bestimmt die datenschutzrechtliche Verantwortlichkeit in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur. Art. 4 Nr. 7 HS 2 DSGVO sieht vor, dass das Recht eines Mitgliedstaats den Verantwortlichen bestimmen kann, wenn Zwecke und Mittel einer Verarbeitung durch nationales Recht vorgegeben sind. Dem entsprechen die gesetzlichen Vorgaben zur Telematikinfrastruktur, zu den zweckgebundenen Anwendungen, Diensten und Komponenten sowie die Ermächtigung der Gesellschaft für Telematik (gematik) zur Vorgabe von Spezifikationen für einzig zulässige Dienste und Komponenten. Die Zuweisung der Verantwortlichkeit orientiert sich an den für die jeweilige Stelle überblickbaren und beherrschbaren Strukturen, wie sie sich aus den einzelnen Bausteinen der Telematikinfrastruktur ergibt. Jeder Verantwortliche ist für den Bereich zuständig, in dem er über die konkrete Datenverarbeitung entscheidet. Die Komponenten der dezentralen Telematikinfrastruktur werden für die Zwecke der Authentifizierung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur, für die elektronischen Signatur sowie zur Ver- und Entschlüsselung von Daten genutzt.

Rz. 2a

Die Regelung unterstreicht die herausragende Rolle, die der Gesetzgeber dem Datenschutz und der Datensicherheit bei dem Aufbau und dem Ausbau der Telematikinfrastruktur zumisst (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 307 Rz. 14, Stand: 5.11.2021). Sie weist in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen die datenschutzrechtlichen Verantwortlichkeiten "konkret und lückenlos" zu (BSG, Urteil v. 20.1.2021, B 1 KR 7/20 R). Die Vorschrift entspricht damit dem primären Ziel der DSGVO, das in der Sicherstellung "einer klaren Zuteilung der Verantwortlichkeiten" (vgl. Erwägungsgrund 79 der DSGVO) liegt.

2 Rechtspraxis

2.1 Dezentrale Infrastruktur (Abs. 1)

Rz. 3

Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur (§ 306 Abs. 2 Nr. 1) liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und zur sicheren Verarbeitung von Daten über die zentrale Infrastruktur nutzen (Satz 1). Zur dezentralen Infrastruktur gehören z. B. die elektronische Gesundheitskarte und die Heilberufs- und Berufsausweise sowie die Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, die die Authentifizierung, Verschlüsselung und elektronische Signatur gewährleisten. Weiter zählen dazu auch die Konnektoren, die die sichere Verbindung zur Telematikinfrastruktur herstellen und sicherheitskritische Funktionalitäten anbieten, sowie die E-Health-Kartenterminals zum Lesen der Karten und Ausweise. Diese Komponenten kommen insbesondere in den Umgebungen der Leistungserbringer zum Einsatz (z. B. in Arztpraxen und Krankenhäusern). Alle Komponenten müssen nach § 325 zugelassen sein.

Rz. 4

Zum Verantwortungsbereich gehören die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten (Satz 2).

Rz. 5

Insbesondere die Leistungserbringer sind für die Verarbeitung der Gesundheitsdaten der Versicherten mittels der in ihrer Umgebung genutzten Komponenten der dezentralen Infrastruktur verantwortlich. Die Verantwortlichkeit erstreckt sich auf die Sicherstel...