Sommer, SGB V § 329 Maßnahmen zur Abwehr von Gefahren für die Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur

0 Rechtsentwicklung

Rz. 1

Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. Die Abs. 1, 2, 4 und 5 entsprechen dem bisher in § 291b Abs. 6 enthaltenen geltenden Recht. § 329 befugt die Gesellschaft für Telematik (gematik), die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr einer Gefahr zu treffen, die von Komponenten und Diensten für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht.

1 Allgemeines

Rz. 2

Die Telematikinfrastruktur soll als zentrale Sicherheitsinfrastruktur des Gesundheitswesens eine sichere Umgebung für die Digitalisierung und Vernetzung des gesamten Gesundheitswesens bieten (BT-Drs. 19/18793 S. 107). Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die gematik in Abstimmung mit dem BSI befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Die gematik kann dazu insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang von Bedingungen abhängig machen. Störungen sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das Bundesministerium für Gesundheit (BMG) ist darüber zu informieren.

Rz. 2a

Die Maßnahmen und Pflichten aus der Vorschrift hängen mit Art. 32 DSGVO zusammen, soweit es um die Verarbeitung personenbezogener Daten geht. Die Regelung steht ebenso im Kontext der IT-technischen Sicherheit (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 329 Rz. 8 m. w. N.).

2 Rechtspraxis

2.1 Gefahrenabwehr (Abs. 1)

Rz. 3

Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die gematik verpflichtet, unverzüglich die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr entsprechend dem Stand der Technik zu treffen (Satz 1). Die Vorschrift stellt im Tatbestandsbereich allein auf die Quelle der Gefahr ab, nicht auf die Person des in Anspruch zu nehmenden Störers. Daraus folgt, dass die Maßnahmen unabhängig von der Frage zulässig sind, ob den Anbieter eine Verantwortung für die Gefahr trifft. Die Auswahl der Maßnahme liegt nach allgemeinen Grundsätzen im Ermessen der gematik und unterliegt dem Verhältnismäßigkeitsprinzip (Freudenberg, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 291b Rz. 75).

Rz. 4

Das BSI ist unverzüglich (ohne schuldhaftes Zögern, § 121 Abs. 1 Satz 1 BGB) über die Gefahr und die getroffenen Maßnahmen zu informieren (Satz 2).

2.2 Störungsmeldung (Abs. 2)

Rz. 5

Anbieter von zugelassenen Komponenten oder Diensten (§ 311 Abs. 6, § 325) und Anbieter von Anwendungen für bestätigte Anwendungen (§ 327) haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Komponenten oder Dienste unverzüglich (ohne schuldhaftes Zögern, § 121 Abs. 1 Satz 1 BGB) an die gematik zu melden (Satz 1). Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit dieser Komponenten oder Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur oder wesentlicher Teile führen können oder bereits geführt haben (Satz 2). Dazu gehören insbesondere Sicherheitslücken oder außergewöhnliche und unerwartete technische Defekte mit IT-Bezug.

Rz. 5a

Die Meldepflicht für Anbieter von IT-Produkten (Komponenten, Dienste oder weiteren Anwendungen) ist bußgeldbewehrt (§ 397 Abs. 2a Nr. 2). Wird eine Meldung vorsätzlich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig abgegeben, kann dies als Ordnungswidrigkeit mit einer Geldbuße bis zu 300.000,00 EUR geahndet werden (§ 397 Abs. 3).

2.3 Maßnahmen der Gefahrenabwehr (Abs. 3)

Rz. 6

Zur Gefahrenabwehr kann die gematik im Einzelfall insbesondere

• Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder
• den weiteren Zugang zur Telematikinfrastruktur unter Bedingungen gestatten

(Satz 1). Die Aufzählung ist nicht abschließend. Weitere Maßnahmen sind möglich. Der weitere Zugang kann unter der Bedingung gestattet werden, dass die von der gematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden. Wegen der besonderen Bedeutung der Telematikinfrastruktur als digitale Basisinfrastruktur des Gesundheitswesens wird für die gematik die Möglichkeit geschaffen, Anbieter an der Behebung der Ursachen zu beteiligen (BT-Drs. 19/18793 S. 107). Nicht zuletzt wegen der hohen Eingriffsintensität gegenüber dem Anbieter ist der Grundsatz der Verhältnismäßigkeit zu wahren und bei gravierenden Sicherheitsmängeln zu prüfen, ob verbindl...