Sommer, SGB V § 308 Vorrang von technischen Schutzmaßnahmen

0 Rechtsentwicklung

Rz. 1

Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Eine Vorgängervorschrift existiert nicht. Die Vorschrift regelt den Vorrang von technischen Schutzmaßnahmen und den Ausschluss der Betroffenenrechte gegenüber den Verantwortlichen bei der Verarbeitung personenbezogener Daten in der Telematikinfrastruktur. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet.

1 Allgemeines

Rz. 2

Die Regelung beschränkt die Rechte der betroffenen Person im Kontext der elektronischen Patientenakte und der Verarbeitung von personenbezogenen Daten in der Telematikinfrastruktur. Die Rechte werden nicht generell beschränkt, sondern nur insoweit, wie die Befriedigung der Ansprüche nicht oder nur unter Umgehung von Schutzmechanismen möglich wäre. Die Regelung flankiert die Beschränkung von Betroffenenrechten im Bundesdatenschutzgesetz (§§ 32 ff. BDSG) und im allgemeinen Sozialdatenschutzrecht (§§ 82 ff. SGB X).

2 Rechtspraxis

2.1 Beschränkung von Rechten (Abs. 1)

Rz. 3

Art. 12 bis 22 der Verordnung (EU) 679/2016 (Datenschutz-Grundverordnung – DSGVO) enthalten die Rechte betroffener Personen gegenüber denjenigen, die für die Verarbeitung personenbezogener Daten verantwortlich sind (§ 307). Dazu gehören u. a. Informationspflichten der Verantwortlichen und Ansprüche des Betroffenen auf Berichtigung oder Löschung von Daten. Die Rechte des Betroffenen sind ausgeschlossen, wenn der Verantwortliche oder dessen Auftragsverarbeiter die Rechte nicht oder nur unter Umgehung von Schutzmechanismen (z. B. Verschlüsselung oder Anonymisierung) gewährleisten kann (Satz 1). Eine entsprechende Regelung enthält Art. 23 DSGVO.

Rz. 4

Der sichere Betrieb der Telematikinfrastruktur stellt ein überragend wichtiges Ziel des allgemeinen öffentlichen Interesses der Bundesrepublik Deutschland dar, das insbesondere wichtige wirtschaftliche und finanzielle Interessen im Bereich der öffentlichen Gesundheit betrifft (BT-Drs. 19/18793 S 101 f.). Denn die Effizienzgewinne durch die Digitalisierung des Gesundheitswesens, und hier insbesondere durch die sichere Vernetzung aller Akteure, sind angesichts zunehmender Herausforderungen wie der demographischen Entwicklung, der Zunahme der Anzahl chronisch Kranker, des Fachkräftemangels sowie der Unterversorgung in strukturschwachen Regionen für die Sicherung des Niveaus der Gesundheitsversorgung unverzichtbar. Die Norm stellt klar, dass die Rechte der betroffenen Person nicht generell beschränkt werden sollen, sondern nur insoweit, als die Befriedigung der Ansprüche nicht oder nur unter Umgehung von Schutzmechanismen möglich wäre. Die Telematikinfrastruktur und ihre Anwendungen sind durch gesetzliche Vorgaben und Spezifikationen der Gesellschaft für Telematik geprägt. Diese Vorgaben können wegen der gesetzlich zugewiesenen Verantwortlichkeiten zu Situationen führen, in denen ein Verantwortlicher gegebenenfalls technisch nicht in der Lage sein wird, einem Betroffenenrecht zu entsprechen. Ist dies der Fall oder wäre eine Anspruchserfüllung im Einzelfall nur mit einem Risiko für die Sicherheit der elektronischen Verarbeitungssysteme verbunden, so entfällt der Anspruch der betroffenen Person. Dies entspricht dem Rechtsgedanken des Art. 11 DSGVO. Eine (Re-)Identifizierung der Person allein zur Gewährleistung der Ausübung von Betroffenenrechten wird auch seitens der Verordnung (EU) 2016/679 nicht gefordert oder gewünscht.

Rz. 5

In diesem Zusammenhang ist der Verantwortliche nicht verpflichtet, zur bloßen Einhaltung datenschutzrechtlicher Betroffenenrechte zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten oder Sicherheitsvorkehrungen aufzuheben (Satz 2). Die Norm greift damit den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DSGVO auf, wonach die Verarbeitung personenbezogener Daten auf das für die Zwecke der jeweiligen Datenverarbeitung notwendige Maß beschränkt bleiben muss (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 308 Rz. 15).

2.2 Rechtswidrige Datenverarbeitung (Abs. 2)

Rz. 6

Die Rechte eines Betroffenen sind nicht nach Abs. 1 eingeschränkt, wenn

• Daten rechtswidrig verarbeitet wurden oder
• berechtigte Zweifel daran bestehen, dass die Betroffenenrechte unmöglich gewährleistet werden können.

Entsprechende Einwände sind vom Betroffenen vorzutragen und ggf. im Rahmen des Rechtsschutzes durchzusetzen.

Rz. 7

Die Feststellung der "berechtigten Zweifel an der behaupteten Unmöglichkeit" dürfte zu erheblichen Unsicherheiten in der Rechtsanwendung führen. Es ist nicht näher beschrieben, in welcher Qualität Anhaltspunkte dafür vorliegen müssen. Im Streitfalle werden aufgrund der zu beurteilenden technischen Fragen nur auf Grundlage eines Sachverständigengutachtens dahingehende Zweifel substantiiert wer...