Sommer, SGB V § 340 Ausgabe von elektronischen Heilberufs- und Berufsausweisen sowie von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen

0 Rechtsentwicklung

Rz. 1

Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. In § 340 wird das bislang geltende Recht aus § 291a Abs. 5f vollständig übernommen. Die Norm enthält weitere Regelungen zur Authentifizierung von Leistungserbringerinstitutionen.

Rz. 1a

Art. 1 Nr. 46 des Gesetzes zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz – DVPMG) v. 3.6.2021 (BGBl. I S. 1309) hat der Vorschrift mit Wirkung zum 9.6.2021 die Abs. 6 bis 8 angefügt. Zugriffsberechtigte Personen erhalten bis zum 1.1.2024 eine digitale Identität, die nicht unmittelbar an eine Chipkarte gebunden ist (Abs. 6 und 7). Die Anforderungen an die Sicherheit und den Datenschutz werden durch die Gesellschaft für Telematik (gematik) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt (Abs. 8).

Rz. 1b

Art. 1 Nr. 20 des Gesetzes zur Pflegepersonalbemessung im Krankenhaus sowie zur Anpassung weiterer Regelungen im Krankenhauswesen und in der Digitalisierung (Krankenhauspflegeentlastungsgesetz – KHPflEG) v. 20.12.2022 (BGBl. I S. 2793) hat mit Wirkung zum 29.12.2022 in Abs. 1 Satz 2 und Abs. 7 Fristen verlängert. Es handelt sich um eine Folgeänderung aufgrund der Terminanpassungen in § 312 Abs. 1 Satz 1 Nr. 8 (Art. 1 Nr. 16c KHPflEG) und § 291 Abs. 8 Satz 1 (Art. 1 Nr. 11d KHPflEG).

1 Allgemeines

Rz. 2

Die Vorschrift regelt die Ausgabe von elektronischen Heilberufs- und Berufsausweisen, von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen sowie der digitalen Identität für das Gesundheitswesen, die grundsätzlich Voraussetzung für den Zugriff von Leistungserbringern und anderen zugriffsberechtigten Personen auf Versichertendaten in der Telematikinfrastruktur sind (§ 339 Abs. 3, 5). Die Vorschrift ist Ausprägung des in § 306 Abs. 3 niedergelegten Grundsatzes, dass dem besonderen Schutzbedarf der personenbezogenen Daten in der Telematikinfrastruktur durch entsprechende technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO Rechnung zu tragen ist (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 340, Rz. 6)

Rz. 2a

Der elektronische Heilberufs- oder Berufsausweis soll den vertrauenswürdigen Zugriff auf Daten der elektronischen Gesundheitskarte und Dienste im Rahmen der Telematikinfrastruktur sicherstellen. Angesichts dessen muss er technisch in der Lage sein nachzuweisen, dass der Inhaber einer der zugriffsberechtigten Berufsgruppen angehört und zur Ausübung des Berufs (bzw. zur Führung der Berufsbezeichnung) berechtigt ist. Vorausgesetzt wird, dass der Heilberufs- oder Berufsausweis nach dem jeweiligen Stand der Technik kryptographische Verfahren unterstützt, die der Authentifizierung, Verschlüsselung und qualifizierten elektronischen Unterschrift dienen. Der elektronische Heilberufs- oder Berufsausweis kann als Sichtausweis gestaltet sein (BT-Drs. 15/4924 S. 8 zu § 291a).

Rz. 3

Der elektronische Heilberufsausweis (eHBA) der Generation 2.0 wird für Ärzte oder Psychotherapeuten ausgestellt und ist für viele Anwendungen der Telematikinfrastruktur Pflicht. Da er der Sicherheit in der Telematikinfrastruktur dient, ist dafür ein besonderes Antragsverfahren über die Landesärzte- oder -psychotherapeutenkammern notwendig. Der elektronische Berufsausweis (eBA) wird für Angehörige der Pflegeberufe, Physiotherapeuten oder Hebammen ausgestellt. Für die nicht approbierten Erbringer ärztlich verordneter Leistungen, die nicht über eigene Körperschaften zur Ausgabe der Ausweise verfügen, übernimmt das länderübergreifende elektronische Gesundheitsberuferegister (eGBR) diese Aufgabe.

2 Rechtspraxis

2.1 Zuständige Stellen (Abs. 1)

Rz. 4

Die Länder bestimmen die Stellen, die für die Ausgabe der eHBA oder eBA zuständig sind (Satz 1 Nr. 1). Die zur Ausgabe der elektronischen Berufsausweise zuständigen Stellen müssen höchsten Sicherheitsanforderungen entsprechen (sog. Trust-Center). Als zur Bestätigung der berufsrechtlichen Befugnisse zuständige Stellen kommen unter anderem die Ärzte- und Apothekerkammern in Betracht. Mit der berufsrechtlichen Bestätigung können die Trust-Center die berufsrechtliche Funktion als Attribut in das zur Signatur gehörende qualifizierte Zertifikat aufnehmen.

Rz. 5

Vor dem Hintergrund, dass Berufserlaubnisse von den Ländern erteilt werden, bestimmen diese entsprechend dem Stand des Aufbaus der Telematikinfrastruktur diejenigen Stellen, die die berufsrechtlichen Befugnisse einer in §§ 352, 356, 357, 359 und 361 genannten Person bestätigen (Satz 1 Nr. 2 Buchst. ...