Fachbeiträge & Kommentare zu Datenschutz

Rz. 159 Gemäß Tz. 9.1 BAIT müssen auch Cloud-Dienstleistungen die Anforderungen nach AT 9 erfüllen. "Cloud-Dienstleistungen" sind demnach Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dyn...mehr

Rz. 4 Beim Scoringverfahren wird die Bewertung mittels einer Kennzahl auf einer Punkte-Skala (Score) dargestellt, die auf einer rein mathematisch-statistischen Basis beruht. Bewertet werden homogene Merkmale mit eindeutigen Merkmalsausprägungen. In der Praxis haben sich für bestimmte Geschäftssegmente unterschiedliche Typen von Scoringverfahren mit zum Teil voneinander abwei...mehr

Rz. 11 Bei der Umsetzung dieser Anforderungen sind zumindest bis zum 17. Januar 2025 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Mithilfe der BAIT wird den Instituten die Erwartungshaltung der deutschen Aufsicht zur sicheren Ausgestaltung der IT-Systeme und zugehör...mehr

Rz. 2 Gegenstand von Revisionshandlungen sind auf der Basis eines risikoorientierten Prüfungsansatzes grundsätzlich alle Aktivitäten und Prozesse des Institutes. Damit wird in "Kurzform" zunächst ein Teil des allgemeinen Grundsatzes wiederholt, wonach die Interne Revision risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allge...mehr

Rz. 152 Auch die EBA gestattet eine verhältnismäßige Anwendung ihrer detaillierten Vorgaben aus Abschnitt 5 der Leitlinien für die Kreditvergabe und Überwachung, indem die Institute bei der Umsetzung den Umfang, die Art und die Komplexität der jeweiligen Kreditfazilität – unbeschadet der Art. 18 und 20 der Wohnimmobilienkreditrichtlinie ("Mortgage Credit Directive", MCD)[1] ...mehr

Rz. 76 Zu den externen Informationsquellen zählen z. B. die Einschätzungen externer Ratingagenturen, die Millionenkreditmeldungen nach § 14 KWG oder auch entsprechende Medienberichte und Wirtschaftsdienste. Einzelne kreditwirtschaftliche Verbände veröffentlichen in unregelmäßigen Abständen Analysen und Zukunftseinschätzungen über bestimmte Branchen oder Regionen bzw. über re...mehr

Rz. 1 Operationelle Risiken werden im Gegensatz zu Adressenausfallrisiken oder Marktpreisrisiken vom Institut zwar grundsätzlich nicht bewusst eingegangen, um daraus Erträge zu generieren. Allerdings müssen sich die Institute z. B. bei der Einführung neuer (komplexer) Produkte oder bei Änderungen betrieblicher Prozesse und Strukturen der damit verbundenen prozessualen, recht...mehr

[…] ich freue mich, Ihnen nunmehr die finale Fassung der MaRisk vorlegen zu können, wie sie sich nach Abschluss des im Oktober 2020 angestoßenen Konsultationsverfahrens darstellt. Im Ergebnis der Auswertung der Stellungnahmen sowie der Diskussionen in den drei Sitzungen des Fachgremiums MaRisk am 12. und 19.02. sowie am 04.03.2021 sind noch für eine Reihe von strittigen Punkt...mehr

mehr

Rz. 83 Die Auslagerung von zeitkritischen Aktivitäten und Prozessen darf nicht dazu führen, dass die Vorsorge für Notfälle vernachlässigt oder sogar komplett ausgeblendet wird. Das wäre insbesondere vor dem Hintergrund der großen Bedeutung der IT-Auslagerungen für die Institute ein fataler Trugschluss.[1] Rz. 84 Allerdings ist es schon unter Praktikabilitätsgesichtspunkten ka...mehr

Rz. 34 Unter "ESG-Faktoren" werden Aspekte aus den Bereichen Umwelt, Soziales und Unternehmensführung ("Environmental, Social and Governance", ESG) verstanden, die sich positiv oder negativ auf die finanzielle Leistung oder Solvenz eines Unternehmens, Staates oder einer Person auswirken können. Insofern können ESG-Faktoren auch bei der Bewertung von Chancen und Risiken für f...mehr

Eine bedeutende Neuerung stellen die Anforderungen an die Vergütungssysteme dar. Aggressive Vergütungssysteme haben – neben anderen Faktoren – mit zur Finanzmarktkrise beigetragen. Fehlanreize in den Vergütungssystemen führten teilweise zu extremen Ausweitungen von Risikopositionen. Vor diesem Hintergrund ist es nicht überraschend, dass sich auch die maßgeblichen internation...mehr

Rz. 169 Die MaRisk enthalten im Hinblick auf die Risikoanalyse keine konkreten Vorgaben. Es gilt der Grundsatz der Proportionalität. Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse ab. Die MaRisk verlangen lediglich, dass die maßgeblichen Organisationseinheiten bei der Erstellung der Risikoanalyse einz...mehr

Zusätzlich sollte sich eine Führungskraft Unterstützung bei verschiedenen unternehmensinternen und externen Anlaufstellen holen. Innerbetrieblich sind an erster Stelle der Betriebsarzt und die sozialen Beratungsstellen (sofern vorhanden) zu nennen. Die Personalabteilung und die Interessenvertretungen (Personal-, Betriebsrat, Schwerbehindertenbeauftragte) sind ebenfalls Anspre...mehr

mehr

Rz. 1411 Der Versicherungsnehmer hat das Zustandekommen und Bestehen eines Versicherungsvertrages entsprechend §§ 133 ff. BGB nachzuweisen. Das gilt auch hinsichtlich des Inhaltes (wie mitversicherter Personenkreis, räumlicher und zeitlicher Deckungsbereich, Versicherungssumme). Dieser Nachweis ist nicht geführt, wenn sich nicht feststellen lässt, dass der Versicherer einen ...mehr

Durch den neu eingeführten § 79a im BGB-Vereinsrecht werden die datenschutzrechtlichen Regelungen von Betroffenen nach der EU-DSGVO eingeschränkt. Dies betrifft insbesondere: Art. 15 DSGVO: Auskunftsrecht Art. 16 DSGVO: Recht auf Berichtigung Art. 21 DSGVO: kein Widerspruchsrecht So bleiben z. B. die Daten ausgeschiedener Vorstandsmitglieder im chronologischen Verlauf des Regist...mehr

Rz. 14 Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zur öffentlichen Anhörung im Ausschuss für Gesundheit am 27. Mai 2020 zum Entwurf eines Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patienten-Datenschutz-Gesetz; www.bfdi.bund.de). Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendung...mehr

Rz. 1 Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Eine Vorgängervorschrift existiert nicht. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telemat...mehr

Rz. 16 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen, WzS 2021, 263. Dochow, Das Patienten-Datenschutz-Gesetz (Teil 1) – Die elektronische Gesundheitskarte und Telematikinfrastruktur, MedR 2020, 979. ders., Das Patienten-Datenschutz-Gesetz (Teil 2) – Die elektronische Patientenakte und erweiterte Datenverarbeitungsbefugnisse der Krankenkassen, MedR 2021...mehr

Rz. 3 Die Telematikinfrastruktur muss für die Nutzung weiterer Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 327 geeignet sein (§ 306 Abs. 1 Satz 2 Nr. 2 Buchst. a). Diese Anwendungen können die Telematikinfrastruktur für das Gesundheitswesen sowie für die Gesundheitsforschung nutzen, wenn die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz ...mehr

Rz. 2 "Geborene" Mitglieder des Digitalbeirats sind das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Weitere Mitglieder können berufen werden. Der Digitalbeirat berät dauerhaft die Gesellschaft für Telematik (gematik) zu Belangen des Datenschutzes und der Datensicherheit. Datensch...mehr

Rz. 9 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen – Patienten-Datenschutz-Gesetz (PDSG) und die Neuerungen insbesondere für die elektronische Patientenakte, WzS 2021, 263. BfArM (Herausg.), Das Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V, www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/diga_leitfaden.pdf?__b...mehr

Rz. 4 Die KBV und der GKV-Spitzenverband vereinbaren bis zum 31.3.2022 die Anforderungen an technische Verfahren zum datengestützten zeitnahen Management von Krankheiten über eine räumliche Distanz (telemedizinisches Monitoring; Satz 1). Die Vereinbarung wird im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesamt für die...mehr

Rz. 2 Die Gesellschaft für Telematik (gematik) hat sich hinsichtlich ihrer Festlegungen zu Datenschutz, Datensicherheit und Nutzerfreundlichkeit den Anwendungen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ins Benehmen zu setzen und durch den Digitalbeirat (§ 318a) ber...mehr

Rz. 2 Die Telematikinfrastruktur kann für weitere elektronische Anwendungen des Gesundheitswesens sowie für die Gesundheitsforschung verwendet werden, wenn die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden, im Fall der Verarbeitung personenbezogen...mehr

Rz. 20 BfArM (Herausg.), Meldestelle für Auffälligkeiten und Fehlerkonstellationen bei der Nutzung der Anwendungen der Telematikinfrastruktur, www.bfarm.de/DE/Forschung/Telematikanwendungen/_node.html (abgerufen: 21.1.2021). Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen, WzS 2021, 263. Dochow, Grundlagen und normativer Rahmen der Telematik im Gesundheit...mehr

Rz. 7 Die gematik ist befugt und verpflichtet, geeignete Systeme zur Erkennung von Störungen und Angriffen (§ 2 Abs. 9b BSIG) einzusetzen (Satz 1). Die Systeme werden im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem BSI eingesetzt (Satz 2).mehr

Rz. 3 Die gematik setzt sich hinsichtlich ihrer Festlegungen zu Datenschutz, Datensicherheit und Nutzerfreundlichkeit der Anwendungen mit dem BSI und mit dem BfDI ins Benehmen und wird dazu durch den Digitalbeirat (§ 318a) beraten. Die Effektivität der Unterstützung wird durch das BMG bis zum 30.6.2025 evaluiert.mehr

Rz. 3 Die Verordnungsermächtigung erfasst die Anforderungen an die im Rahmen von strukturierten Behandlungsprogrammen mit digitalisierten Versorgungsprozessen erforderliche technische Ausstattung und an die Anwendungen der Leistungserbringer und Versicherten, den Nachweis, dass die erforderliche technische Ausstattung und die Anwendungen der Leistungserbringer und Versicherten...mehr

Rz. 9 Die gematik ist verpflichtet, die erforderlichen Maßnahmen spätestens bis zum 1.1.2025 durchzuführen, damit die elektronische Rechnung unter Nutzung der Telematikinfrastruktur zur Verfügung steht. Dazu setzt sie sich mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ins Benehmen.mehr

Rz. 3 Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur (§ 306 Abs. 2 Nr. 1) liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und zur sicheren Verarbeitung von Daten über die zentrale Infrastruktur nutzen (Satz 1). Zur dezentralen Infrastruktur gehören z. B. die elektronische Gesund...mehr

Rz. 8 Dochow, Das Patienten-Datenschutz-Gesetz (Teil 2): Die elektronische Patientenakte und erweiterte Datenverarbeitungsbefugnisse der Krankenkassen, MedR 2021, 13. Eichenhofer, Die elektronische Patientenakte – aus sozial-, datenschutz- und verfassungsrechtlicher Sicht, NVwZ 2021, 1090. Haserück, Elektronischer Heilberufsausweis: Eintrittskarte zur Datenautobahn, Ärzte-Zeit...mehr

Rz. 2 Die Norm bestimmt die datenschutzrechtliche Verantwortlichkeit in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur. Art. 4 Nr. 7 HS 2 DSGVO sieht vor, dass das Recht eines Mitgliedstaats den Verantwortlichen bestimmen kann, wenn Zwecke und Mittel einer Verarbeitung durch nationales Recht vorgegeben sind. Dem entsprechen die geset...mehr

Rz. 2 Die Vorschrift stellt die Ziele, die innerhalb der Telematikinfrastruktur zur Verfügung stehenden Anwendungen, deren Verknüpfung mit anderen Komponenten der Telematikinfrastruktur und ihre Entwicklungsoffenheit fest. Es handelt sich um die zentrale Vorschrift für die Schaffung der Anwendungsinfrastruktur (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 334...mehr

Rz. 2 Die gematik überwacht den Betrieb von Komponenten und Diensten, die außerhalb der Telematikinfrastruktur betrieben werden. Die Regelung ist wegen der Öffnung der Telematikinfrastruktur für weitere Anwendungen (§ 325) erforderlich. Art und Umfang der Überwachungsmaßnahmen beziehen sich auf rein betriebstechnische Daten der jeweiligen Anwendung an den technischen Schnitt...mehr

Rz. 6 Die Anwendungen bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die gematik (Satz 1). Die erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur werden durch die gematik im Benehmen mit dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt und durch die gematik auf ihrer Internetse...mehr

Rz. 12 Der Spitzenverband Bund der Krankenkassen (GKV-Spitzenverband) unterstützt die Krankenkassen dabei, ihre Informationspflichten (Abs. 9) zu erfüllen. Der GKV-Spitzenverband stellt das Informationsmaterial so rechtzeitig bereit, dass dieses den Versicherten durch die Krankenkassen zur Einführung der Anwendungen zur Verfügung gestellt werden kann. Über die Inhalte setzt ...mehr

Rz. 7 Der Spitzenverband Bund der Krankenkassen (GKV-Spitzenverband) unterstützt die Krankenkassen dabei, ihre Informationspflichten (Abs. 1) zu erfüllen. Der GKV-Spitzenverband stellt das Informationsmaterial spätestens bis zum 30.11.2020 bereit. Über die Inhalte stellt der GKV-Spitzenverband Einvernehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfr...mehr

Rz. 6 Die zentrale Infrastruktur enthält die zentralen Dienste, welche die Anwendungen der Telematikinfrastruktur mit grundlegenden, anwendungsunabhängigen Funktionalitäten unterstützen. Hierzu gehören die sicheren VPN-Zugangsdienste (Virtuelles privates Netzwerk), die dazu dienen, die Nutzer an das geschlossene gesicherte Netz der Telematikinfrastruktur anzubinden (§ 306 Ab...mehr

Rz. 4 Für Informationen über die elektronische Patientenakte hat die gematik das hierzu durch den Spitzenverband Bund der Krankenkassen (GKV-Spitzenverband) im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nach § 343 erstellte Informationsmaterial zu nutzen. Ebenso wie die gematik haben die Krankenkassen ihre Versicherten über di...mehr

Rz. 12 Dörr, Direktabrechnung? Ein Irrglaube! – Welche Bedeutung Rechenzentren im E-Rezept-Zeitalter haben werden, DAZ 2021, Nr. 28, 24. GKV-Spitzenverband (Herausg.), Informationen zum elektronischen Abrechnungsverfahren mit den gesetzlichen Krankenkassen beim Datenaustausch im Abrechnungsverfahren nach § 302 SGB V v. 17.5.2022; abgerufen: 28.6.2022. Holzbrecher-Morys/Adloff,...mehr

Rz. 1 Die Vorschrift ist mit dem Erlass des Asylbewerberleistungsgesetzes bereits 1993 in Kraft getreten (dazu BT-Drs. 12/5008 S. 17). Durch das Erste Gesetz zur Änderung des Asylbewerberleistungsgesetz v. 26.5.1997 (BGBl. I S. 1130) wurde Abs. 1 Nr. 1 um den Buchst. d erweitert, der vorübergehend die Erhebung von Zuschüssen in die Statistik einbezog. Durch das Gesetz zur Ei...mehr

Rz. 2 Die Vereinbarungen nach §§ 364 bis 368 werden dem BMG zur Prüfung vorgelegt. Vorher haben der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Deutschen Gesetzlichen Unfallversicherung e. V. (DGUV) Gelegenheit, zu den Vereinbarungen Stellung zu nehmen. Für eine Beanstandung ...mehr

Rz. 6 Für eine sichere gegenseitige Identifikation zwischen den technischen Systemen (Backend) des Herstellers der digitalen Gesundheitsanwendung und des Herstellers des Hilfsmittels oder Implantats wird ein international anerkanntes und einsetzbares Zertifikat genutzt (BT-Drs. 19/27652 S. 136). Damit wird eine wechselseitig authentifizierte, verschlüsselte Verbindung aufgeb...mehr

Rz. 10 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen – Patienten-Datenschutz-Gesetz (PDSG) und die Neuerungen insbesondere für die elektronische Patientenakte, WzS 2021, 263. gematik (Herausg.), Interoperabilität dank ISiK, fachportal.gematik.de/informationen-fuer/isik; abgerufen: 2.4.2021. Krüger-Brand, IT-Systeme: Offene Schnittstellen werden Pflicht,...mehr

Rz. 2 Versicherte haben einen Anspruch, auf ihre in Anwendungen der Telematikinfrastruktur verarbeiteten Daten zuzugreifen. Überwiegend liegt die Verantwortung beim Versicherten, dazu ein geeignetes Endgerät zu nutzen. Nur der Medikationsplan und die Notfalldaten können in der Praxis eines Leistungserbringers eingesehen werden. Außerdem bestimmt die Norm die technischen Vork...mehr

Rz. 3 Von Versicherten darf der Zugriff auf Daten in einer Anwendung (§ 334 Abs. 1 Satz 2) nicht verlangt werden (Abs. 1). Auch entsprechende Vereinbarungen sind verboten (Abs. 2). Es handelt sich hierbei um ein gesetzliches Verbot i. S. d. § 134 BGB, sodass entgegen diesem Verbot geschlossene Vereinbarungen nichtig sind. Ordnungswidrig handelt gemäß § 395 Abs. 1, wer entgeg...mehr

Rz. 7 Zur zentralen Infrastruktur gehört das geschlossene gesicherte Netz der Telematikinfrastruktur (§ 306 Abs. 2 Nr. 2 Buchst. b). Dieses Netz, einschließlich der für seinen Betrieb notwendigen Dienste, bildet den weiteren Teil der zentralen Infrastruktur. Zu diesen notwendigen Diensten gehören z. B. Verzeichnis- und Identifikationsdienste. Die gematik erteilt einen Auftra...mehr

Rz. 5 Weyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen – Patientendaten-Schutz-Gesetz (PDSG) und die Neuerungen insbesondere für die elektronische Patientenakte, WzS 2021, 263. gematik (Herausg.), Anwendungen, www.gematik.de/anwendungen (abgerufen: 11.7.2022). gematik (Herausg.), Informationspflichten gemäß § 314, www.gematik.de/media/gematik/Medien/Rechtl...mehr