Lade...
Lade...
Sie können sich Anlage 2 SGB V auch vollständig in seiner damaligen Fassung ansehen.
(zu § 307 Absatz 1 Satz 3 SGB V) Datenschutz-Folgenabschätzung | |||||
---|---|---|---|---|---|
t | t | 1 | (zu § 307 Absatz 1 Satz 3 SGB V) Datenschutz-Folgenabschätzung |
(zu § 307 Absatz 1 Satz 3 SGB V) Datenschutz-Folgenabschätzung | |||||
---|---|---|---|---|---|
t | t | 1 | (Fundstelle: BGBl. I 2021, 1350 – 1361) | ||
2 | 1| Zusammenfassung | ||||
3 | ---|--- | ||||
4 | 2| Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V) | ||||
5 | 2.1| Systematische Beschreibung der Verarbeitungsvorgänge (Artikel 35 Absatz 7 | ||||
6 | Buchstabe a DSGVO) | ||||
7 | 2.1.1| Kategorien von Verarbeitungsvorgängen | ||||
8 | 2.1.2| Systematische Beschreibung | ||||
9 | 2.2| Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstabe b | ||||
10 | DSGVO) | ||||
11 | 2.3| Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel | ||||
12 | 35 Absatz 7 Buchstabe c DSGVO) | ||||
13 | 2.4| Abhilfemaßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO) | ||||
14 | 2.5| Einbeziehung betroffener Personen | ||||
15 | **1** | ||||
16 | **Zusammenfassung** | ||||
17 | Diese Anlage enthält die Datenschutz-Folgenabschätzung nach Artikel 35 Absatz | ||||
18 | 10 der Verordnung (EU) 2016/679 (DSGVO) gemäß § 307 Absatz 1 Satz 3 des | ||||
19 | Fünften Buches Sozialgesetzbuch (SGB V). | ||||
20 | Die Datenschutz-Folgenabschätzung dieser Anlage betrachtet ausschließlich die | ||||
21 | von der Gesellschaft für Telematik zugelassenen Komponenten der dezentralen | ||||
22 | Telematikinfrastruktur (TI) nach § 306 Absatz 2 Nummer 1 SGB V. Da diese | ||||
23 | dezentralen Komponenten jedoch nur einen Teilbereich der gesamten IT- | ||||
24 | Unterstützung beim Leistungserbringer darstellen und der Leistungserbringer | ||||
25 | regelmäßig weitere Betriebsmittel nutzen wird, hat der Leistungserbringer zu | ||||
26 | prüfen, ob nach Artikel 35 DSGVO für diese weiteren Betriebsmittel eine | ||||
27 | ergänzende Datenschutz-Folgenabschätzung durchzuführen ist. | ||||
28 | **Ergebnis der Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V):** | ||||
29 | Die korrekte Nutzung einer von der Gesellschaft für Telematik gemäß § 325 SGB | ||||
30 | V zugelassenen Komponente der dezentralen Infrastruktur der TI nach § 306 | ||||
31 | Absatz 2 Nummer 1 SGB V ist geeignet, ein Schutzniveau zu gewährleisten, das | ||||
32 | dem hohen Risiko entspricht, welches aus der Datenverarbeitung für die Rechte | ||||
33 | und Freiheiten der Betroffenen folgt, sofern die Komponenten vom | ||||
34 | Leistungserbringer gemäß Betriebshandbuch betrieben werden und der | ||||
35 | Leistungserbringer für seine Ablauforganisation sowie die weiteren genutzten | ||||
36 | dezentralen Betriebsmittel (z. B. IT-gestützter Arbeitsplatz, aktive | ||||
37 | Netzwerkkomponenten) die Vorschriften zum Schutz personenbezogener Daten | ||||
38 | einhält. | ||||
39 | Die technischen Maßnahmen der Komponenten der dezentralen Infrastruktur der TI | ||||
40 | zur Gewährleistung der Datensicherheit werden gemäß § 311 Absatz 2 SGB V im | ||||
41 | Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und | ||||
42 | der oder dem Bundesbeauftragten für den Datenschutz und die | ||||
43 | Informationsfreiheit (BfDI) festgelegt und wirken den Risiken für die Rechte | ||||
44 | und Freiheiten der Betroffenen angemessen entgegen. Die korrekte | ||||
45 | Implementierung dieser Maßnahmen in den Komponenten der dezentralen | ||||
46 | Infrastruktur der Hersteller wird der Gesellschaft für Telematik im Rahmen des | ||||
47 | Zulassungsprozesses gemäß § 325 SGB V nachgewiesen. | ||||
48 | Die in dieser Anlage betrachteten Verarbeitungsvorgänge der dezentralen | ||||
49 | Komponenten der TI entsprechen den konkreten Verarbeitungsvorgängen in den | ||||
50 | Komponenten der dezentralen TI eines Leistungserbringers. Die Komponenten der | ||||
51 | dezentralen TI stellen technisch sicher, dass Leistungserbringer mit diesen | ||||
52 | Komponenten ausschließlich die in dieser Anlage betrachteten | ||||
53 | Verarbeitungsvorgänge durchführen können. Es ist mit diesen Komponenten nicht | ||||
54 | möglich, darüber hinausgehende oder abweichende Verarbeitungsvorgänge | ||||
55 | durchzuführen. Zur Verhinderung einer negativen Beeinflussung der | ||||
56 | Verarbeitungen in den Komponenten besitzen die Komponenten geprüfte | ||||
57 | Schutzmaßnahmen. Die konkrete Einsatzumgebung der Komponenten der dezentralen | ||||
58 | TI ist spezifisch für den jeweiligen Leistungserbringer; für diese hat der | ||||
59 | Leistungserbringer daher erforderlichenfalls eine eigene ergänzende | ||||
60 | Datenschutz-Folgenabschätzung durchzuführen. | ||||
61 | **2** | ||||
62 | **Datenschutz-Folgenabschätzung** (§ 307 Absatz 1 Satz 3 SGB V) | ||||
63 | Die Datenschutz-Folgenabschätzung für die Komponenten der dezentralen | ||||
64 | Infrastruktur der TI gemäß § 306 Absatz 2 Nummer 1 SGB V basiert auf den | ||||
65 | Kriterien der „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und | ||||
66 | Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 | ||||
67 | ,wahrscheinlich ein hohes Risiko mit sich bringt‘ (Artikel 29 WP 248 Rev. 1)“ | ||||
68 | der Datenschutzgruppe nach Artikel 29 (nun Europäischer Datenschutzausschuss; | ||||
69 | der Europäische Datenschutzausschuss hat die mit der Datenschutz- | ||||
70 | Grundverordnung zusammenhängenden Leitlinien der Artikel-29-Datenschutzgruppe | ||||
71 | – darunter die soeben genannte – bei seiner ersten Plenarsitzung bestätigt, so | ||||
72 | dass diese fortgelten). | ||||
73 | 2.1 | ||||
74 | Systematische Beschreibung der Verarbeitungsvorgänge (Artikel 35 Absatz 7 | ||||
75 | Buchstabe a DSGVO) | ||||
76 | Mittels der Komponenten der dezentralen TI nutzen Leistungserbringer | ||||
77 | Anwendungen der TI, Dienste der zentralen TI oder der Anwendungsinfrastruktur | ||||
78 | der TI sowie über die TI erreichbare Anwendungen bzw. Dienste. Die Komponenten | ||||
79 | bieten den Leistungserbringern zudem Funktionen zur Ver- bzw. Entschlüsselung | ||||
80 | und Signatur von Daten. | ||||
81 | Die Gesellschaft für Telematik und die Krankenkassen stellen | ||||
82 | Informationsmaterial öffentlich zur Verfügung, in dem die Funktionsweise der | ||||
83 | Anwendungen der TI erklärt wird. Zudem veröffentlicht die Gesellschaft für | ||||
84 | Telematik auf ihrer Internetseite die Spezifikationen, auf deren Basis die | ||||
85 | Komponenten und Dienste der TI entwickelt und zugelassen werden müssen. | ||||
86 | 2.1.1 | ||||
87 | Kategorien von Verarbeitungsvorgängen | ||||
88 | Die Verarbeitungsvorgänge in der dezentralen Infrastruktur lassen sich in drei | ||||
89 | Kategorien unterteilen:Kategorie 1: (ausschließlich) Transport von Daten ohne | ||||
90 | weitere VerarbeitungKategorie 2: Weitere Verarbeitung (betrifft ausschließlich | ||||
91 | Verschlüsselung, Signatur, Authentifizierung)Kategorie 3: Verarbeitungen, die | ||||
92 | über jene in den Kategorien 1 und 2 hinausgehen. | ||||
93 | Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung | ||||
94 | Diese Kategorie umfasst alle Verarbeitungsvorgänge, in denen einer Komponente | ||||
95 | der dezentralen Infrastruktur personenbezogene Daten übergeben werden (z. B. | ||||
96 | vom Primärsystem) und in denen die Komponente der dezentralen Infrastruktur | ||||
97 | die übergebenen Daten unverändert an die vorgesehene Empfängerkomponente | ||||
98 | weiterleitet. | ||||
99 | Empfängerkomponenten können Teil der zentralen TI, der Anwendungsinfrastruktur | ||||
100 | der TI oder eines an die TI angeschlossenen Netzes sein. Empfängerkomponenten | ||||
101 | können selbst Teil der dezentralen Infrastruktur sein (z. B. Kartenterminals). | ||||
102 | Die Komponente der dezentralen Infrastruktur übernimmt für diese | ||||
103 | Verarbeitungsvorgänge lediglich eine Weiterleitungsfunktion. Eine weitere | ||||
104 | Verarbeitung der transportierten Daten erfolgt nicht. | ||||
105 | Zu dieser Kategorie gehören insbesondere Verarbeitungsvorgängeder weiteren | ||||
106 | Anwendungen nach § 327 SGB V,der sicheren Übermittlungsverfahren nach § 311 | ||||
107 | Absatz 1 Nummer 5 SGB V sowieder Anwendungen nach § 334 Absatz 1 Satz 2 Nummer | ||||
108 | 2, 6 und 7 SGB V. | ||||
109 | Kategorie 2: Weitere Verarbeitung (Verschlüsselung, Signatur, | ||||
110 | Authentifizierung) | ||||
111 | Zu dieser Kategorie gehören die Ver- und Entschlüsselungen sowie die | ||||
112 | Signaturoperationen, die mittels der Verschlüsselungs- und Signaturfunktionen | ||||
113 | der dezentralen Infrastruktur durchgeführt werden. Hier werden die zu | ||||
114 | verschlüsselnden bzw. zu entschlüsselnden Daten sowie die zu signierenden | ||||
115 | Daten übergeben. Es erfolgt keine über die Ver- bzw. Entschlüsselung bzw. | ||||
116 | Signatur hinausgehende Verarbeitung in den Komponenten der dezentralen | ||||
117 | Infrastruktur. | ||||
118 | Die Funktionen zur Ver- und Entschlüsselung sowie der Signatur können durch | ||||
119 | Anwendungen der Kategorie 1 und 3 genutzt werden. | ||||
120 | Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 | ||||
121 | hinausgehen | ||||
122 | In diesen Verarbeitungsvorgängen werden die einer Komponente der dezentralen | ||||
123 | Infrastruktur übergebenen Daten in der dezentralen Infrastruktur | ||||
124 | anwendungsspezifisch verarbeitet, d. h. die Verarbeitung ist im Gegensatz zu | ||||
125 | den bisherigen Kategorien nicht auf den Transport, die Ver- und | ||||
126 | Entschlüsselung oder die Signatur beschränkt. | ||||
127 | Zu dieser Kategorie gehören die Verarbeitungsvorgängedes | ||||
128 | Versichertenstammdatenmanagements nach § 291b SGB V sowieder Anwendungen nach | ||||
129 | § 334 Absatz 1 Satz 2 Nummer 1 und 3 bis 5 SGB V. | ||||
130 | 2.1.2 | ||||
131 | Systematische Beschreibung | ||||
132 | Die systematische Beschreibung hat nach Erwägungsgrund (ErwG) 90 sowie Artikel | ||||
133 | 35 Absatz 7 Buchstabe a und Absatz 8 DSGVO sowie nach den „Leitlinien zur | ||||
134 | Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine | ||||
135 | Verarbeitung im Sinne der Verordnung 2016/679 ,wahrscheinlich ein hohes Risiko | ||||
136 | mit sich bringt‘“ der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten: | ||||
137 | KriteriumBeschreibung **Art der Verarbeitung: | ||||
138 | (ErwG 90 DSGVO)**siehe Abschnitt 2.1.1 **Umfang der Verarbeitung: | ||||
139 | (ErwG 90 DSGVO)**Die Komponenten der dezentralen Infrastruktur der TI | ||||
140 | verarbeiten insbesondere besondere Kategorien personenbezogener Daten gemäß | ||||
141 | Artikel 9 Absatz 1 DSGVO, nämlich Gesundheitsdaten natürlicher Personen | ||||
142 | (Versicherter) i.S.v. Artikel 4 Nummer 15 DSGVO. | ||||
143 | Dies sind beispielsweise elektronische Arztbriefe, medizinische Befunde und | ||||
144 | Diagnosen, der elektronische Medikationsplan nach § 31a SGB V, die | ||||
145 | elektronischen Notfalldaten, elektronische Impfdokumentation oder | ||||
146 | elektronische Verordnungen. | ||||
147 | Es werden zudem insbesondere Daten gemäß § 291a Absatz 2 und 3 SGB V | ||||
148 | (Versichertenstammdaten) verarbeitet. | ||||
149 | Zum ordnungsgemäßen Betrieb der Komponenten der dezentralen Infrastruktur der | ||||
150 | TI erfolgt eine Protokollierung innerhalb der Komponenten. Diese Protokolle | ||||
151 | enthalten keine personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO. Sie | ||||
152 | können personenbezogene Daten des Leistungserbringers enthalten, bei denen es | ||||
153 | sich regelmäßig nicht um besondere Kategorien personenbezogener Daten handelt. | ||||
154 | In den Komponenten werden die Benutzernamen der berechtigten Administratoren | ||||
155 | hinterlegt. Die Benutzernamen werden vom Leistungserbringer oder vom | ||||
156 | beauftragten Dienstleister frei gewählt. Die Benutzernamen der Administratoren | ||||
157 | können auch Pseudonyme sein, sofern die Administratoren eindeutig | ||||
158 | unterschieden werden können. | ||||
159 | Personenbezogene Daten von Versicherten können in Protokollen nur im Falle | ||||
160 | eines Fehlers zum Zwecke der Behebung des Fehlers temporär gespeichert werden. | ||||
161 | Zum Zwecke der netztechnischen Adressierung besitzen Komponenten der | ||||
162 | dezentralen Infrastruktur IP-Adressen. | ||||
163 | Von der Verarbeitung betroffene Personen sind: | ||||
164 | – | ||||
165 | Versicherte, | ||||
166 | – | ||||
167 | Leistungserbringer sowie | ||||
168 | – | ||||
169 | ggf. Administratoren der Komponenten. | ||||
170 | **Umstände bzw. Kontext der Verarbeitung: | ||||
171 | (Artikel-29-Datenschutzgruppe, WP 248, 21)**Kategorie 1: | ||||
172 | Die Verarbeitung erfolgt im Kontext einer Anwendung bzw. der Nutzung eines | ||||
173 | Dienstes durch den Leistungserbringer, die bzw. der über die dezentrale | ||||
174 | Infrastruktur der TI technisch erreichbar ist (z. B. Nutzung einer weiteren | ||||
175 | Anwendung nach § 327 SGB V). | ||||
176 | Kategorie 2: | ||||
177 | Die Verarbeitung erfolgt im Rahmen einer vom Leistungserbringer gewünschten | ||||
178 | Ver- bzw. Entschlüsselung oder Signatur von Daten, die der Leistungserbringer | ||||
179 | auswählt. | ||||
180 | Kategorie 3: | ||||
181 | Die Verarbeitung der personenbezogenen Daten in den dezentralen Komponenten | ||||
182 | der TI erfolgt im Rahmen der Versorgung von Versicherten gemäß den im SGB V | ||||
183 | festgelegten Zwecken. **Zweck der Verarbeitung: | ||||
184 | (Artikel 35 Absatz 7 Buchstabe a DSGVO)**Kategorie 1: | ||||
185 | Der Zweck beschränkt sich auf die Weiterleitung der Daten an den korrekten | ||||
186 | Empfänger. Es erfolgt keine darüber hinausgehende Verarbeitung der Daten in | ||||
187 | den Komponenten der dezentralen Infrastruktur der TI. | ||||
188 | Kategorie 2: | ||||
189 | Zweck ist die Ver- bzw. Entschlüsselung bzw. Signatur der übergebenen Daten. | ||||
190 | Kategorie 3: | ||||
191 | Die Zwecke der Verarbeitungen sind gesetzlich im SGB V festgelegt. | ||||
192 | – | ||||
193 | Den Zweck des Versichertenstammdatenmanagements legt § 291b Absatz 1 und 2 | ||||
194 | SGB V fest. | ||||
195 | – | ||||
196 | Die Anwendungen nach § 334 Absatz 1 Satz 2 SGB V dienen gemäß § 334 Absatz 1 | ||||
197 | Satz 1 SGB V der Verbesserung der Wirtschaftlichkeit, der Qualität und der | ||||
198 | Transparenz der Versorgung. Der Zweck der einzelnen Anwendungen ist in § 334 | ||||
199 | Absatz 1 Satz 2 SGB V festgelegt und wird für einzelne Anwendungen in weiteren | ||||
200 | Paragraphen des SGB V konkretisiert (z. B. für die elektronische Patientenakte | ||||
201 | in § 341 SGB V). | ||||
202 | **Empfängerinnen und Empfänger: | ||||
203 | (Artikel-29-Datenschutzgruppe, WP 248, 21)**Kategorie 1: | ||||
204 | Die der dezentralen Komponente übergebenen Daten werden an die gewählte | ||||
205 | Empfängerkomponente weitergeleitet. Die Empfänger der Daten in den | ||||
206 | Empfängerkomponenten sind abhängig von der Anwendung bzw. dem Dienst, zu der | ||||
207 | bzw. zu dem die Empfängerkomponente gehört. | ||||
208 | Kategorie 2: | ||||
209 | Empfänger der ver- bzw. entschlüsselten bzw. signierten Daten ist der | ||||
210 | Leistungserbringer, der die Daten der Komponenten zur Ver- bzw. | ||||
211 | Entschlüsselung bzw. Signatur übergeben hat. | ||||
212 | Kategorie 3: | ||||
213 | Die in der dezentralen Komponente verarbeiteten Daten einer Anwendung können | ||||
214 | an die berechtigten Empfänger dieser Anwendung weitergeleitet werden. Die für | ||||
215 | die Anwendungen dieser Kategorie berechtigten Empfänger sind im SGB V | ||||
216 | gesetzlich festgelegt; ihnen wird durch Gesetz eine Berechtigung zum Zugriff | ||||
217 | auf die Daten der Anwendungen erteilt. **Speicherdauer: | ||||
218 | (Artikel-29-Datenschutzgruppe, WP 248, 21)**In den Komponenten der dezentralen | ||||
219 | Infrastruktur der TI werden keine personenbezogenen Daten gemäß Artikel 9 | ||||
220 | Absatz 1 DSGVO persistent gespeichert. Sie werden nur temporär für den | ||||
221 | erforderlichen Zweck verarbeitet und danach sofort gelöscht. | ||||
222 | Eine persistente Speicherung von personenbezogenen Daten kann in den | ||||
223 | Protokollen der Komponenten erfolgen. Die Protokolle mit Personenbezug werden | ||||
224 | dabei nach einem festgelegten Turnus durch die Komponente automatisch gelöscht | ||||
225 | bzw. können aktiv vom Administrator der Komponente gelöscht werden. | ||||
226 | Die nach außen sichtbaren IP-Adressen der Komponenten werden regelmäßig | ||||
227 | gewechselt. **Funktionelle Beschreibung der Verarbeitung: | ||||
228 | (Artikel 35 Absatz 7 Buchstabe a DSGVO)**Kategorie 1: | ||||
229 | Hier erfolgt nur eine Weiterleitung übergebener Daten. Es erfolgt keine | ||||
230 | weitere Verarbeitung der Daten. | ||||
231 | Kategorie 2: | ||||
232 | Es handelt sich ausschließlich um Funktionen zur Ver- und Entschlüsselung | ||||
233 | sowie Signatur. | ||||
234 | Kategorie 3: | ||||
235 | Die Funktionalität dieser Anwendungen ist gesetzlich festgelegt. Die | ||||
236 | Konkretisierung dieser Funktionen in den Komponenten erfolgt in den | ||||
237 | Spezifikationen der Gesellschaft für Telematik, die auf deren Internetseite | ||||
238 | veröffentlicht werden. **Beschreibung der Anlagen (Hard- und Software bzw. | ||||
239 | sonstige Infrastruktur): | ||||
240 | (Artikel-29-Datenschutzgruppe, WP 248, 21)**Die Komponenten der dezentralen | ||||
241 | Infrastruktur werden von der Gesellschaft für Telematik spezifiziert. Die | ||||
242 | Spezifikationen sind von der Gesellschaft für Telematik auf ihrer | ||||
243 | Internetseite veröffentlicht. Bei der Spezifikation werden die technischen und | ||||
244 | organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen | ||||
245 | Daten gemäß Artikel 25 und 32 DSGVO berücksichtigt. **Eingehaltene, gemäß | ||||
246 | Artikel 40 DSGVO genehmigte Verhaltensregeln: | ||||
247 | (Artikel-29-Datenschutzgruppe, WP 248, 21)**Es wurden keine Verhaltensregeln | ||||
248 | gemäß Artikel 40 DSGVO berücksichtigt. | ||||
249 | 2.2 | ||||
250 | Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstabe b | ||||
251 | DSGVO) | ||||
252 | Im Rahmen der Bewertung der Notwendigkeit und Verhältnismäßigkeit der | ||||
253 | Verarbeitungsvorgänge müssen nach den ErwGen 90 und 96, nach Artikel 35 Absatz | ||||
254 | 7 Buchstabe b und d DSGVO sowie nach den „Leitlinien zur Datenschutz- | ||||
255 | Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im | ||||
256 | Sinne der Verordnung 2016/679 ,wahrscheinlich ein hohes Risiko mit sich | ||||
257 | bringt‘“ der Artikel-29-Datenschutzgruppe (WP 248) Maßnahmen zur Einhaltung | ||||
258 | der Verordnung bestimmt werden, wobei Folgendes berücksichtigt werden muss: | ||||
259 | Maßnahmen im Sinne der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung | ||||
260 | (Artikel 5 und 6 DSGVO) sowieMaßnahmen im Sinne der Rechte der Betroffenen | ||||
261 | (Artikel 12 bis 21, 28, 36 und Kapitel V DSGVO). | ||||
262 | KriteriumBeschreibung **Festgelegter Zweck: | ||||
263 | (Artikel 5 Absatz 1 Buchstabe b DSGVO)**Kategorie 1: | ||||
264 | Der Zweck ist die Weiterleitung der Daten ohne sonstige Verarbeitung der | ||||
265 | Daten. | ||||
266 | Kategorie 2: | ||||
267 | Der Zweck ist durch die Funktionen Ver- bzw. Entschlüsselung und Signatur | ||||
268 | festgelegt. | ||||
269 | Kategorie 3: | ||||
270 | Die Zwecke der Anwendungen dieser Kategorie sind gesetzlich im SGB V | ||||
271 | festgelegt. **Eindeutiger Zweck: | ||||
272 | (Artikel 5 Absatz 1 Buchstabe b DSGVO)**Die Zwecke sind eindeutig. | ||||
273 | Für die Anwendungen nach den §§ 291b, 334 und 311 SGB V sind die Zwecke im SGB | ||||
274 | V eindeutig festgelegt; eine zweckfremde Verarbeitung unterliegt den Straf- | ||||
275 | und Bußgeldvorschriften der §§ 397 und 399 SGB V. **Legitimer Zweck: | ||||
276 | (Artikel 5 Absatz 1 Buchstabe b DSGVO)**Kategorie 1: | ||||
277 | Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen | ||||
278 | einer Anwendung, die der Leistungserbringer über die dezentrale Infrastruktur | ||||
279 | technisch erreicht. Im Rahmen der Nutzung dieser Anwendung (die selbst einem | ||||
280 | legitimen Zweck unterliegen muss) ist die Weiterleitung der Daten durch die | ||||
281 | dezentrale Infrastruktur nur ein technisches Hilfsmittel zur Nutzung der vom | ||||
282 | Leistungserbringer gewählten Anwendung und für die Nutzung der Anwendung | ||||
283 | erforderlich. | ||||
284 | Kategorie 2: | ||||
285 | Der Leistungserbringer verarbeitet die Daten für seine eigenen Zwecke. Er | ||||
286 | bestimmt den Zeitpunkt der Ver- bzw. Entschlüsselung bzw. Signatur und die | ||||
287 | Daten, die ver- bzw. entschlüsselt bzw. signiert werden sollen. | ||||
288 | Kategorie 3: | ||||
289 | Die Zwecke der Verarbeitung der Daten in den Anwendungen dieser Kategorie sind | ||||
290 | legitim, da sie der Verbesserung der Wirtschaftlichkeit, der Qualität und der | ||||
291 | Transparenz der Versorgung im deutschen Gesundheitswesen dienen. | ||||
292 | **Rechtmäßigkeit der Verarbeitung: | ||||
293 | (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 6 DSGVO**Kategorie 1: | ||||
294 | Die Rechtmäßigkeit basiert auf der Rechtmäßigkeit der Verarbeitung der Daten | ||||
295 | in der Anwendung, die der Leistungserbringer nutzt und an die die dezentrale | ||||
296 | Infrastruktur der TI die Daten technisch weiterleitet. | ||||
297 | Kategorie 2: | ||||
298 | Der Leistungserbringer verarbeitet die Daten für seine eigenen Zwecke, wobei | ||||
299 | es sich regelmäßig um Behandlungszwecke handelt, deren gesetzliche | ||||
300 | Verarbeitungsgrundlagen sich in § 22 Absatz 1 BDSG bzw. – im Falle der | ||||
301 | Verarbeitung durch Krankenhäuser oder Landeseinrichtungen – in speziellen | ||||
302 | Rechtsgrundlagen finden. Der Leistungserbringer bestimmt den Zeitpunkt der | ||||
303 | Ver- bzw. Entschlüsselung bzw. Signatur und die Daten, die ver- bzw. | ||||
304 | entschlüsselt bzw. signiert werden sollen. | ||||
305 | Kategorie 3: | ||||
306 | Die Rechtmäßigkeit ergibt sich aus | ||||
307 | – | ||||
308 | Artikel 6 Absatz 1 Buchstabe c DSGVO i.V.m. § 291b SGB V beim | ||||
309 | Versichertenstammdatenmanagement bzw. | ||||
310 | – | ||||
311 | der gesetzlichen Befugnis zur Verarbeitung nach § 339 Absatz 1 für Zwecke | ||||
312 | der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der | ||||
313 | Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die | ||||
314 | Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die | ||||
315 | Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich als | ||||
316 | Verarbeitungsgrundlage im Recht eines Mitgliedstaats im Sinne von Artikel 9 | ||||
317 | Absatz 2 Buchstabe h in Verbindung mit Artikel 9 Absatz 3 DSGVO bei Anwendungen | ||||
318 | nach § 334 SGB V vorbehaltlich eines Widerspruchs des Versicherten nach § 339 | ||||
319 | Absatz 1, nach § 353 Absatz 1 und 2 bzw. | ||||
320 | – | ||||
321 | einer Einwilligung des Versicherten nach Artikel 9 Absatz 2 Buchstabe a | ||||
322 | DSGVO und nach § 339 Absatz 1a, § 353 Absatz 3 bis 6 SGB V bei Anwendungen nach | ||||
323 | § 334 SGB V. | ||||
324 | **Angemessenheit und Erheblichkeit der Verarbeitung, Beschränktheit der | ||||
325 | Verarbeitung auf das notwendige Maß: | ||||
326 | (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 5 Absatz 1 Buchstabe | ||||
327 | c DSGVO)**Kategorie 1: | ||||
328 | Die Verarbeitung ist auf die Weiterleitung von Daten an die vom | ||||
329 | Leistungserbringer gewünschte Empfängerkomponente beschränkt. Eine weitere | ||||
330 | Verarbeitung der Daten erfolgt nicht. Die Weiterleitung der Daten ist | ||||
331 | notwendig, damit der Leistungserbringer die zur Empfängerkomponente gehörende | ||||
332 | Anwendung nutzen kann. Da neben der Weiterleitung keine weitere Verarbeitung | ||||
333 | der Daten in den Komponenten der dezentralen Infrastruktur erfolgt, ist die | ||||
334 | Verarbeitung mit Blick auf ihren Zweck minimal.Kategorie 2: | ||||
335 | Um Daten ver- bzw. entschlüsseln bzw. signieren zu können, müssen diese Daten | ||||
336 | verarbeitet werden. Eine darüber hinausgehende Verarbeitung der Daten erfolgt | ||||
337 | nicht, so dass die Datenverarbeitung mit Blick auf ihren Zweck minimal ist. | ||||
338 | Kategorie 3: | ||||
339 | Die Verarbeitung setzt die gesetzlichen Vorgaben des SGB V um. Es erfolgen | ||||
340 | keine Verarbeitungen, die über den gesetzlichen Zweck hinausgehen. | ||||
341 | – | ||||
342 | Der Umfang der Versichertenstammdaten ist in § 291a SGB V festgelegt. | ||||
343 | – | ||||
344 | Die in den Anwendungen nach § 334 SGB V verarbeiteten medizinischen Daten | ||||
345 | sind im SGB V abstrakt gesetzlich festgelegt. Die Konkretisierung dieser Daten | ||||
346 | erfolgt in den Spezifikationen der Gesellschaft für Telematik, die diese auf | ||||
347 | ihrer Internetseite veröffentlicht. Die Festlegungen in den Spezifikationen | ||||
348 | werden nach § 311 Absatz 2 SGB V im Benehmen mit dem BSI und dem BfDI getroffen. | ||||
349 | Die Protokolldaten in den Komponenten der dezentralen Infrastruktur dienen der | ||||
350 | Analyse von Fehlern und Sicherheitsvorfällen sowie der Analyse der Performanz. | ||||
351 | Die Protokolle sind für einen sicheren und ordnungsgemäßen Betrieb des | ||||
352 | Konnektors notwendig. In den Protokollen werden keine personenbezogenen Daten | ||||
353 | gemäß Artikel 9 Absatz 1 DSGVO gespeichert. | ||||
354 | Die IP-Adresse des Konnektors ist für die Kommunikation mit der zentralen TI | ||||
355 | technisch notwendig. Es wird bei jedem Neuaufbau einer Verbindung zur | ||||
356 | zentralen TI zufällig eine IP-Adresse zugewiesen. **Speicherbegrenzung: | ||||
357 | (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 5 Absatz 1 Buchstabe | ||||
358 | e DSGVO)**siehe Speicherdauer in Abschnitt 2.1.2 **Informationspflicht | ||||
359 | gegenüber Betroffenem: | ||||
360 | (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 12, 13 und 14 | ||||
361 | DSGVO)**Kategorie 1: | ||||
362 | Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen | ||||
363 | einer Anwendung, die der Leistungserbringer über die dezentrale Infrastruktur | ||||
364 | technisch erreicht. Der Verantwortliche für die Anwendung hat die | ||||
365 | Informationspflichten gemäß DSGVO zu erfüllen. | ||||
366 | Kategorie 2: | ||||
367 | Der Leistungserbringer verarbeitet seine eigenen Daten zu eigenen Zwecken. | ||||
368 | Eine Information von betroffenen Personen ist nicht erforderlich. | ||||
369 | Kategorie 3: | ||||
370 | Der Leistungserbringer ist gemäß § 307 Absatz 1 Satz 1 SGB V Verantwortlicher | ||||
371 | für die Verarbeitung personenbezogener Daten mittels der Komponenten der | ||||
372 | dezentralen Infrastruktur und hat somit die Informationspflichten gegenüber | ||||
373 | den Betroffenen zu erfüllen. | ||||
374 | Begleitend werden Versicherten generelle Informationen zur TI zur Verfügung | ||||
375 | gestellt. Diesbezügliche gesetzliche Informationspflichten ergeben sich | ||||
376 | insbesondere aus den folgenden Normen: | ||||
377 | – | ||||
378 | § 314 SGB V verpflichtet die Gesellschaft für Telematik, auf ihrer | ||||
379 | Internetseite Informationen für die Versicherten in präziser, transparenter, | ||||
380 | verständlicher, leicht zugänglicher und barrierefreier Form zur Verfügung zu | ||||
381 | stellen. | ||||
382 | – | ||||
383 | Die §§ 291, 342, 343 und 358 SGB V verpflichten die Krankenkassen zur | ||||
384 | Information von Versicherten:Gemäß § 291 Absatz 5 SGB V informiert die | ||||
385 | Krankenkasse den Versicherten spätestens bei der Versendung der elektronischen | ||||
386 | Gesundheitskarte an diesen umfassend und in allgemein verständlicher, | ||||
387 | barrierefreier Form über die Funktionsweise der elektronischen Gesundheitskarte | ||||
388 | und über die Art der personenbezogenen Daten, die nach § 291a SGB V mittels der | ||||
389 | elektronischen Gesundheitskarte zu verarbeiten sind. | ||||
390 | Gemäß § 343 SGB V haben Krankenkassen umfassendes, geeignetes | ||||
391 | Informationsmaterial über die elektronische Patientenakte in präziser, | ||||
392 | transparenter, verständlicher und leicht zugänglicher Form in einer klaren und | ||||
393 | einfachen Sprache und barrierefrei zur Verfügung zu stellen. Zur Unterstützung | ||||
394 | der Informationspflichten der Krankenkassen nach § 343 SGB V hat der | ||||
395 | Spitzenverband Bund der Krankenkassen im Benehmen mit dem BfDI geeignetes | ||||
396 | Informationsmaterial, auch in elektronischer Form, zu erstellen und den | ||||
397 | Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.Jede | ||||
398 | Krankenkasse richtet zudem nach § 342a Absatz 1 SGB V eine Ombudsstelle ein, an | ||||
399 | die sich Versicherte mit ihren Anliegen im Zusammenhang mit der elektronischen | ||||
400 | Patientenakte wenden können. Die Ombudsstellen nehmen insbesondere Widersprüche | ||||
401 | von Versicherten nach § 342a Absatz 2 bis 4 entgegen und stellen den | ||||
402 | Versicherten nach § 342a Absatz 5 auf Antrag die in § 309 Absatz 1 genannten | ||||
403 | Protokolldaten der elektronischen Patientenakte nach § 342 Absatz 1 Satz 2 zur | ||||
404 | Verfügung.Mit der Einführung der elektronischen Notfalldaten, der elektronischen | ||||
405 | Patientenkurzakte und des elektronischen Medikationsplans haben die | ||||
406 | Krankenkassen den Versicherten auch hierzu nach § 358 Absatz 9 SGB V geeignetes | ||||
407 | Informationsmaterial in präziser, transparenter, verständlicher und leicht | ||||
408 | zugänglicher Form in einer klaren und einfachen Sprache barrierefrei zur | ||||
409 | Verfügung zu stellen. Auch dieses Informationsmaterial ist gemäß § 358 Absatz 10 | ||||
410 | SGB V im Benehmen mit dem BfDI zu erstellen. | ||||
411 | **Auskunftsrecht der betroffenen Personen: | ||||
412 | (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 15 DSGVO)**Diese | ||||
413 | Anlage i.V.m. den Informationen gemäß den §§ 314 und 343 SGB V gibt den | ||||
414 | Versicherten Auskunft über die in Artikel 15 DSGVO geforderten Informationen. | ||||
415 | Die Informationen nach § 314 Satz 1 Nummer 7 und 8 SGB V enthalten | ||||
416 | insbesondere die Benennung der Verantwortlichen für die Daten im Hinblick auf | ||||
417 | die verschiedenen Datenverarbeitungsvorgänge und die Pflichten der | ||||
418 | datenschutzrechtlich Verantwortlichen sowie die Rechte des Versicherten | ||||
419 | gegenüber den datenschutzrechtlich Verantwortlichen nach der DSGVO. | ||||
420 | In den Komponenten der dezentralen Infrastruktur werden zudem keine Daten von | ||||
421 | Versicherten persistent gespeichert. **Recht auf Berichtigung | ||||
422 | und Löschung: | ||||
423 | (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. | ||||
424 | Artikel 16, 17 und 19)**In den Komponenten der dezentralen Infrastruktur | ||||
425 | werden Daten von Versicherten nur temporär verarbeitet und dann sofort | ||||
426 | gelöscht. Es erfolgt keine persistente Speicherung von Daten der Versicherten. | ||||
427 | **Recht auf | ||||
428 | Datenübertragbarkeit: | ||||
429 | (Artikel 20 DSGVO)**Es werden in den Komponenten der dezentralen Infrastruktur | ||||
430 | keine Daten von Versicherten persistent gespeichert, so dass keine Daten | ||||
431 | übertragen werden könnten. **Auftragsverarbeiterinnen | ||||
432 | und Auftragsverarbeiter: | ||||
433 | (Artikel 28 DSGVO)**Der Leistungserbringer ist nach § 307 Absatz 1 Satz 1 SGB | ||||
434 | V Verantwortlicher für die Verarbeitung personenbezogener Daten mittels der | ||||
435 | Komponenten der dezentralen Infrastruktur. Falls der Leistungserbringer einen | ||||
436 | Auftragsverarbeiter mit dem Betrieb der dezentralen Komponenten der TI | ||||
437 | beauftragt, hat der Leistungserbringer die Einhaltung der Vorgaben gemäß | ||||
438 | Artikel 28 DSGVO zu gewährleisten. **Schutzmaßnahmen | ||||
439 | bei der Übermittlung | ||||
440 | in Drittländer: | ||||
441 | (Kapitel V DSGVO)**Kategorie 1: | ||||
442 | Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen | ||||
443 | einer Anwendung, die der Leistungserbringer über die dezentrale Infrastruktur | ||||
444 | technisch erreicht. Der Verantwortliche für die Anwendung hat bei der | ||||
445 | Übermittlung in Drittländer die Schutzmaßnahmen gemäß DSGVO zu | ||||
446 | berücksichtigen. | ||||
447 | Kategorie 2: | ||||
448 | Es erfolgt keine Übermittlung an Drittländer. | ||||
449 | Kategorie 3: | ||||
450 | Es erfolgt keine Übermittlung an Drittländer, da die Dienste innerhalb der EU | ||||
451 | bzw. des EWR betrieben werden müssen. **Vorherige Konsultation: | ||||
452 | (Artikel 36 und | ||||
453 | ErwG 96 DSGVO)**Gemäß § 311 Absatz 2 SGB V hat die Gesellschaft für Telematik | ||||
454 | die Festlegungen und Maßnahmen für die TI nach § 311 Absatz 1 Nummer 1 SGB V | ||||
455 | im Benehmen mit dem BSI und dem BfDI zu treffen. Dies umfasst insbesondere | ||||
456 | auch die Erstellung der funktionalen und technischen Vorgaben der Komponenten | ||||
457 | der dezentralen Infrastruktur der TI. | ||||
458 | 2.3 | ||||
459 | Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 | ||||
460 | Absatz 7 Buchstabe c DSGVO) | ||||
461 | Die Risiken für die Rechte und Freiheiten der betroffenen Personen sind nach | ||||
462 | ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu | ||||
463 | bewerten (ErwGe 76, 77, 84 und 90 DSGVO). Nach den ErwGen 75 und 85 DSGVO sind | ||||
464 | unter anderem die potentiellen Risiken dieses Abschnitts genannt. | ||||
465 | Risikoquellen sind | ||||
466 | beim Leistungserbringer tätige Personen inklusive des Leistungserbringers als | ||||
467 | Verantwortlicher, die unbeabsichtigt und unbewusst den zulässigen Rahmen der | ||||
468 | Verarbeitung überschreiten könnten, | ||||
469 | Angreifer, die bewusst aus der Umgebung des Leistungserbringers in die | ||||
470 | Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen, | ||||
471 | Angreifer, die bewusst von außerhalb der Leistungserbringerumgebung in die | ||||
472 | Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen, | ||||
473 | Hersteller der Komponenten der dezentralen TI sowie | ||||
474 | technische Fehlfunktionen der Komponenten der dezentralen TI. | ||||
475 | Da in den Komponenten der dezentralen TI besondere Kategorien | ||||
476 | personenbezogener Daten verarbeitet werden, besteht ein hohes Ausgangsrisiko | ||||
477 | für die Rechte und Freiheiten natürlicher Personen. Das hohe Ausgangsrisiko | ||||
478 | wird durch die Abhilfemaßnahmen in Abschnitt 2.4 auf ein angemessenes Risiko | ||||
479 | gesenkt, falls die dezentralen Komponenten vom Leistungserbringer gemäß | ||||
480 | Betriebshandbuch betrieben werden. Durch die Anwendung der in § 75b SGB V | ||||
481 | geforderten Richtlinie zur IT-Sicherheit, die IT-Sicherheitsanforderungen an | ||||
482 | Krankenhäuser nach § 391 SGB V und die Anforderungen an die Wartung von | ||||
483 | Diensten gemäß § 332 SGB V werden Risiken im Betrieb der dezentralen | ||||
484 | Komponenten der TI wesentlich gesenkt. | ||||
485 | Da die Maßnahmen der Komponenten der dezentralen TI zur Gewährleistung der | ||||
486 | Datensicherheit in gleicher Weise auf alle in den Komponenten verarbeiteten | ||||
487 | personenbezogenen Daten wirken und nicht spezifisch für einzelne | ||||
488 | Verarbeitungsvorgänge sind, erfolgt die Bewertung der Angemessenheit der | ||||
489 | Abhilfemaßnahmen der Komponenten hinsichtlich der Daten, deren Verarbeitung | ||||
490 | die höchsten Risiken für die Betroffenen bedeutet, nach dem Maximum-Prinzip. | ||||
491 | Es handelt sich hierbei um die personenbezogenen Daten nach Artikel 9 Absatz 1 | ||||
492 | DSGVO der Versicherten. Nach diesen Daten bestimmen sich die in den | ||||
493 | Komponenten zu treffenden Abhilfemaßnahmen. Die Abhilfemaßnahmen sind dann | ||||
494 | ebenfalls angemessen für die Verarbeitung der weniger sensiblen Daten. | ||||
495 | Die Risikobewertung orientiert sich am Standard-Datenschutzmodell (SDM) der | ||||
496 | Aufsichtsbehörden für den Datenschutz und den dort definierten | ||||
497 | Gewährleistungszielen. Die Schadens- und Eintrittswahrscheinlichkeitsstufen | ||||
498 | sowie die Risikomatrix orientieren sich am DSK-Kurzpapier Nummer 18 „Risiko | ||||
499 | für die Rechte und Freiheiten natürlicher Personen“ i.V.m. der ISO/IEC | ||||
500 | 29134:2017 zum Privacy Impact Assessment. In der folgenden Tabelle werden die | ||||
501 | einzelnen Risiken identifiziert, inklusive Schadenshöhe, Schadensereignissen, | ||||
502 | betroffenen Gewährleistungszielen des Standard-Datenschutzmodells und | ||||
503 | Eintrittswahrscheinlichkeit. Die Bewertung der Eintrittswahrscheinlichkeit | ||||
504 | erfolgt unter Berücksichtigung der referenzierten Abhilfemaßnahmen, die | ||||
505 | detailliert in Abschnitt 2.4 beschrieben sind. | ||||
506 | SchadenBeschreibung der SchadensereignisseEintrittswahrscheinlichkeit (EWS) | ||||
507 | mit Abhilfemaßnahmen | ||||
508 | (Abschnitt 2.4) **Physische, materielle oder | ||||
509 | immaterielle Schäden, | ||||
510 | finanzielle Verluste, | ||||
511 | erhebliche wirtschaftliche | ||||
512 | Nachteile: | ||||
513 | (ErwG 90 i.V.m | ||||
514 | 85 DSGVO) | ||||
515 | Schadenshöhe: groß**Durch die unbefugte, unrechtmäßige oder zweckfremde | ||||
516 | Verarbeitung sowie eine unbefugte Offenlegung oder Änderung der in den | ||||
517 | Komponenten der dezentralen TI verarbeiteten Gesundheitsdaten der Versicherten | ||||
518 | können Versicherte große immaterielle Schäden erleiden. | ||||
519 | Bei einer unbefugten Offenlegung der Gesundheitsdaten ihrer Patienten können | ||||
520 | Leistungserbringer materielle, immaterielle, finanzielle bzw. wirtschaftliche | ||||
521 | Schäden erleiden, da Leistungserbringer dem Berufsgeheimnis mit zugehörigen | ||||
522 | Straf- und Bußgeldvorschriften, insbesondere dem Straftatbestand des § 203 | ||||
523 | StGB, unterliegen. Zusätzlich können Geldbußen gemäß Artikel 83 DSGVO verhängt | ||||
524 | werden. Die Nutzung der Komponenten der dezentralen Infrastruktur der TI und | ||||
525 | die Anbindung an die TI dürfen nicht dazu führen, dass Leistungserbringer | ||||
526 | gegen das Berufsgeheimnis oder die Vorgaben der DSGVO verstoßen.EWS: | ||||
527 | geringfügig | ||||
528 | – | ||||
529 | Minimierung der Ver- | ||||
530 | arbeitung personen- | ||||
531 | bezogener Daten | ||||
532 | – | ||||
533 | Schnellstmögliche | ||||
534 | Pseudonymisierung | ||||
535 | – | ||||
536 | Datensicherheits- | ||||
537 | maßnahmen | ||||
538 | Betroffene Gewährleistungsziele (SDM): | ||||
539 | Datenminimierung, Nichtverkettung, Vertraulichkeit, Integrität **Verlust der | ||||
540 | Kontrolle über | ||||
541 | personenbezogene Daten: | ||||
542 | (ErwG 90 i.V.m. | ||||
543 | 85 DSGVO) | ||||
544 | Schadenshöhe: groß**Ein Angreifer (insbesondere auch der Hersteller) könnte | ||||
545 | die Komponenten der dezentralen TI manipulieren, was zu einer für den | ||||
546 | Versicherten oder den Leistungserbringer intransparenten Datenverarbeitung | ||||
547 | führen würde. Es könnte das Risiko bestehen, dass eine Verarbeitung von | ||||
548 | personenbezogenen Daten in den Komponenten der dezentralen Infrastruktur für | ||||
549 | die Versicherten im Nachhinein nicht erkannt werden kann und dass er nicht in | ||||
550 | diese Datenverarbeitung intervenieren (z. B. ihr widersprechen) kann. | ||||
551 | Betroffene Gewährleistungsziele (SDM): | ||||
552 | Transparenz, IntervenierbarkeitEWS: geringfügig | ||||
553 | – | ||||
554 | Transparenz in Bezug | ||||
555 | auf die Funktionen | ||||
556 | und die Verarbeitung | ||||
557 | personenbezogener Daten | ||||
558 | – | ||||
559 | Überwachung der | ||||
560 | Verarbeitung | ||||
561 | personenbezogener Daten durch die | ||||
562 | betroffenen Personen | ||||
563 | – | ||||
564 | Datensicherheits- | ||||
565 | maßnahmen | ||||
566 | **Diskriminierung, Rufschädigung, erhebliche gesellschaftliche Nachteile: | ||||
567 | (ErwG 90 i.V.m. | ||||
568 | 85 DSGVO) | ||||
569 | Schadenshöhe: groß**Die Verarbeitung von Daten besonderer Kategorien | ||||
570 | personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO birgt Risiken einer | ||||
571 | Diskriminierung oder Rufschädigung für Versicherte, falls Gesundheitsdaten | ||||
572 | über den Versicherten offengelegt, unbefugt oder unrechtmäßig verarbeitet | ||||
573 | werden. Dies kann zu erheblichen gesellschaftlichen Nachteilen für den | ||||
574 | Versicherten führen. | ||||
575 | Falls Gesundheitsdaten, die ein Leistungserbringer verarbeitet, unberechtigt | ||||
576 | offengelegt werden und der Leistungserbringer somit sein Berufsgeheimnis | ||||
577 | verletzt, kann dies zu einer Rufschädigung des Leistungserbringers führen. | ||||
578 | Betroffene Gewährleistungsziele (SDM): | ||||
579 | Datenminimierung, Nichtverkettung, Vertraulichkeit, IntegritätEWS: geringfügig | ||||
580 | – | ||||
581 | Minimierung der Ver- | ||||
582 | arbeitung personen- | ||||
583 | bezogener Daten | ||||
584 | – | ||||
585 | Schnellstmögliche | ||||
586 | Pseudonymisierung | ||||
587 | – | ||||
588 | Datensicherheits- | ||||
589 | maßnahmen | ||||
590 | – | ||||
591 | Überwachung der | ||||
592 | Verarbeitung | ||||
593 | personenbezogener Daten durch die | ||||
594 | betroffenen Personen | ||||
595 | **Identitätsdiebstahl | ||||
596 | oder -betrug: | ||||
597 | (ErwG 90 i.V.m. | ||||
598 | 85 DSGVO) | ||||
599 | Schadenshöhe: groß**In den Komponenten der dezentralen Infrastruktur der TI | ||||
600 | werden kryptographische Identitäten von Versicherten und Leistungserbringern | ||||
601 | verarbeitet. Ein Missbrauch dieser Identitäten durch eine unbefugte oder | ||||
602 | unrechtmäßige Nutzung muss verhindert werden, um Schäden für den Versicherten | ||||
603 | oder Leistungserbringer abzuwehren. Hierdurch könnte z. B. unter der Identität | ||||
604 | des Versicherten oder Leistungserbringers gehandelt werden, um medizinische | ||||
605 | Daten zu lesen, zu ändern oder weiterzugeben. | ||||
606 | Betroffene Gewährleistungsziele (SDM): | ||||
607 | Datenminimierung, Nichtverkettung, Vertraulichkeit, IntegritätEWS: geringfügig | ||||
608 | – | ||||
609 | Minimierung der Ver- | ||||
610 | arbeitung personen- | ||||
611 | bezogener Daten | ||||
612 | – | ||||
613 | Datensicherheits- | ||||
614 | maßnahmen | ||||
615 | **Verlust der Vertraulichkeit | ||||
616 | bei Berufsgeheimnissen: | ||||
617 | (ErwG 90 i.V.m. | ||||
618 | 85 DSGVO) | ||||
619 | Schadenshöhe: groß**In den Komponenten der dezentralen Infrastruktur der TI | ||||
620 | werden Daten verarbeitet, die unter das Berufsgeheimnis fallen. Der Verlust | ||||
621 | der Vertraulichkeit dieser Daten durch eine unbefugte Offenlegung muss | ||||
622 | verhindert werden, damit Leistungserbringer ihren Geheimhaltungspflichten | ||||
623 | nachkommen können. Neben einer Rufschädigung können den Leistungserbringer | ||||
624 | Straf- und Bußgeldvorschriften (insbesondere § 203 StGB) treffen. | ||||
625 | Betroffene Gewährleistungsziele (SDM): | ||||
626 | Datenminimierung, Vertraulichkeit, IntegritätEWS: geringfügig | ||||
627 | – | ||||
628 | Minimierung der Ver- | ||||
629 | arbeitung personen- | ||||
630 | bezogener Daten | ||||
631 | – | ||||
632 | Schnellstmögliche | ||||
633 | Pseudonymisierung | ||||
634 | – | ||||
635 | Datensicherheits- | ||||
636 | maßnahmen | ||||
637 | **Beeinträchtigung/Verlust | ||||
638 | der Verfügbarkeit | ||||
639 | Schadenshöhe: geringfügig**Eine Beeinträchtigung bzw. der Verlust der | ||||
640 | Verfügbarkeit der Komponenten der dezentralen TI durch technische | ||||
641 | Fehlfunktionen könnte dazu führen, dass | ||||
642 | a) | ||||
643 | Dienste in der zentralen TI, der Anwendungsinfrastruktur der TI oder eines | ||||
644 | an die TI angeschlossenen Netzes oder | ||||
645 | b) | ||||
646 | lokale Funktionen (insbesondere Verschlüsselung, Signatur, | ||||
647 | Authentifizierung) | ||||
648 | EWS: überschaubar | ||||
649 | Ein Ausfall einer | ||||
650 | Komponente kann nicht ausgeschlossen werden. | ||||
651 | Zusätzliche | ||||
652 | Abhilfemaßnahmen zur | ||||
653 | Verfügbarkeit der | ||||
654 | Komponenten der | ||||
655 | dezentralen TI sind | ||||
656 | aufgrund des geringen Risikos nicht erforderlich.vom Leistungserbringer nicht | ||||
657 | mehr genutzt werden können. | ||||
658 | Durch eine beeinträchtige Verfügbarkeit der Komponenten der dezentralen TI | ||||
659 | ergeben sich nur geringfügige Schäden für Versicherte oder Leistungserbringer, | ||||
660 | da die Verarbeitungen nicht zeitkritisch sind bzw. es Ersatzverfahren gibt. Es | ||||
661 | ist zudem nur eine Leistungserbringerumgebung betroffen. | ||||
662 | Betroffene Gewährleistungsziele (SDM): | ||||
663 | Verfügbarkeit | ||||
664 | 2.4 | ||||
665 | Abhilfemaßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO) | ||||
666 | Gemäß Artikel 35 Absatz 7 Buchstabe d DSGVO sind zur Bewältigung der Risiken | ||||
667 | Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und | ||||
668 | Verfahren, umzusetzen, durch die die Risiken für die Rechte der Betroffenen | ||||
669 | eingedämmt werden und der Schutz personenbezogener Daten sichergestellt wird. | ||||
670 | Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden | ||||
671 | insbesondere in den ErwGen 28, 78 und 83 DSGVO genannt: | ||||
672 | KriteriumBeschreibung **Minimierung der | ||||
673 | Verarbeitung personenbezogener Daten: | ||||
674 | (ErwG 78 DSGVO)**Kategorie 1: | ||||
675 | Die Verarbeitung ist mit Blick auf den Zweck der Weiterleitung von Daten | ||||
676 | minimal. Eine über den Transport hinausgehende Verarbeitung erfolgt nicht. Der | ||||
677 | Umfang der transportierten Daten ist abhängig von der über die dezentrale | ||||
678 | Infrastruktur genutzten Anwendung. Der Verantwortliche dieser Anwendung hat | ||||
679 | entsprechende Maßnahmen zur Minimierung zu ergreifen. Dies liegt jedoch nicht | ||||
680 | in der Verantwortung des Leistungserbringers als Nutzer der Anwendung. | ||||
681 | Kategorie 2: | ||||
682 | Die Verarbeitung ist minimal, da sie nur die zum Zwecke der Ver- bzw. | ||||
683 | Entschlüsselung bzw. Signatur benötigten Daten verarbeitet. | ||||
684 | Kategorie 3: | ||||
685 | Die Verarbeitung ist minimal, da in den Anwendungen dieser Kategorie | ||||
686 | ausschließlich die Daten verarbeitet werden, die zur Erfüllung des gesetzlich | ||||
687 | vorgegebenen Zweckes erforderlich sind. Zudem werden Anwendungsdaten in den | ||||
688 | Komponenten der dezentralen Infrastruktur nach der Verarbeitung sofort | ||||
689 | gelöscht und nicht persistent gespeichert. Die Spezifikationen zu diesen | ||||
690 | Anwendungen sowie Art und Umfang der verarbeiteten Daten werden im Benehmen | ||||
691 | mit dem BfDI erstellt und sind öffentlich für eine Prüfung verfügbar. | ||||
692 | **Schnellstmögliche | ||||
693 | Pseudonymisierung | ||||
694 | personenbezogener | ||||
695 | Daten | ||||
696 | (ErwG 28 und | ||||
697 | 78 DSGVO)**Kategorie 1: | ||||
698 | Die Daten werden unverändert weitergeleitet. Es erfolgt keine weitere | ||||
699 | Verarbeitung in den Komponenten der dezentralen Infrastruktur, d. h. auch | ||||
700 | keine Pseudonymisierung. Der Verantwortliche der Anwendung, zu der die | ||||
701 | transportierten Daten gehören, hat entsprechende Maßnahmen zur | ||||
702 | Pseudonymisierung zu ergreifen. Dies liegt jedoch nicht in der Verantwortung | ||||
703 | des Leistungserbringers als Nutzer der Anwendung. Kategorie 2: | ||||
704 | Zweck ist die Ver- bzw. Entschlüsselung bzw. Signatur der übergebenen Daten. | ||||
705 | Eine Pseudonymisierung und damit Veränderung der Daten ist nicht gewünscht. | ||||
706 | Kategorie 3: | ||||
707 | Eine Pseudonymisierung der personenbezogenen Daten in den Anwendungen dieser | ||||
708 | Kategorie erfolgt, sofern es für den gesetzlich vorgegebenen Zweck möglich | ||||
709 | ist. Bei der Gestaltung der Anwendungen werden die Artikel 25 und 32 DSGVO | ||||
710 | berücksichtigt. Die Spezifikationen zu diesen Anwendungen sowie Art und Umfang | ||||
711 | der verarbeiteten Daten werden im Benehmen mit dem BfDI erstellt und sind | ||||
712 | öffentlich für eine Prüfung verfügbar. **Transparenz in Bezug | ||||
713 | auf die Funktionen und | ||||
714 | die Verarbeitung | ||||
715 | personenbezogener Daten | ||||
716 | (ErwG 78 DSGVO):**Durch die Veröffentlichung der Spezifikationen der | ||||
717 | Komponenten der dezentralen Infrastruktur auf der Internetseite der | ||||
718 | Gesellschaft für Telematik können die Funktionen und die generelle | ||||
719 | Verarbeitung personenbezogener Daten in den Komponenten der dezentralen | ||||
720 | Infrastruktur der TI von der Öffentlichkeit kostenlos nachvollzogen werden. | ||||
721 | Experten für Datenschutz und Sicherheit können die Spezifikationen auf die | ||||
722 | Einhaltung der Vorschriften des Datenschutzes prüfen. | ||||
723 | Die Gesellschaft für Telematik und die Krankenkassen sind gemäß den §§ 314 und | ||||
724 | 343 SGB V verpflichtet, für die Versicherten in präziser, transparenter, | ||||
725 | verständlicher, leicht zugänglicher und barrierefreier Form Informationen zur | ||||
726 | TI zur Verfügung zu stellen. Die Informationen müssen über alle relevanten | ||||
727 | Umstände der Datenverarbeitung für die Einrichtung der elektronischen | ||||
728 | Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte | ||||
729 | und die Verarbeitung von Daten in der elektronischen Patientenakte durch | ||||
730 | Leistungserbringer einschließlich der damit verbundenen | ||||
731 | Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der | ||||
732 | Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich | ||||
733 | Verantwortlichen informieren. Zur Unterstützung der Informationspflichten der | ||||
734 | Krankenkassen nach § 343 SGB V hat der Spitzenverband Bund der Krankenkassen | ||||
735 | im Benehmen mit dem BfDI geeignetes Informationsmaterial, auch in | ||||
736 | elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen | ||||
737 | Nutzung zur Verfügung zu stellen. **Überwachung der | ||||
738 | Verarbeitung personenbezogener Daten | ||||
739 | durch die betroffenen | ||||
740 | Personen | ||||
741 | (ErwG 78 DSGVO)**Kategorie 1: | ||||
742 | Von den Verantwortlichen der Anwendungen, die über die Komponenten der | ||||
743 | dezentralen Infrastruktur für den Leistungserbringer erreichbar sind, sind | ||||
744 | Maßnahmen nach ErwG 78 DSGVO zu treffen. | ||||
745 | Kategorie 2: | ||||
746 | In den Komponenten der dezentralen Infrastruktur erfolgt eine Protokollierung | ||||
747 | der Nutzung der Funktionen, die eine Überwachung der Verarbeitung ermöglicht. | ||||
748 | Kategorie 3: | ||||
749 | Für die Anwendungen dieser Kategorie bestehen gesetzliche | ||||
750 | Protokollierungspflichten gemäß § 309 SGB V zum Zwecke der | ||||
751 | Datenschutzkontrolle für den Versicherten. Die Protokollierungspflichten | ||||
752 | richten sich dabei an den Verantwortlichen der Anwendung und nicht an den | ||||
753 | Leistungserbringer. | ||||
754 | Der Versicherte kann sich nach Einsicht der Protokolldaten nach § 309 SGB V, | ||||
755 | die gemäß § 342a Absatz 5 SGB V auch bei den Ombudsstellen der Krankenkassen | ||||
756 | nach § 342a Absatz 1 SGB V beantragt werden kann, im Rahmen von Artikel 15 | ||||
757 | DSGVO an den Leistungserbringer wenden, um nähere Auskünfte über die den | ||||
758 | Leistungserbringer betreffenden Protokolleinträge nach § 309 SGB V zu | ||||
759 | erhalten. Für die Auskunft kann der Leistungserbringer auch die in den | ||||
760 | Komponenten der dezentralen Infrastruktur erfolgte Protokollierung nutzen. | ||||
761 | **Datensicherheitsmaßnahmen: | ||||
762 | (ErwG 78 und 83 DSGVO)**Die an der vertragsärztlichen und | ||||
763 | vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer sind | ||||
764 | verpflichtet, die Vorgaben der Richtlinie zur IT-Sicherheit gemäß § 75b SGB V | ||||
765 | zu beachten; Krankenhäuser haben die IT-Sicherheitsanforderungen nach § 391 | ||||
766 | SGB V einzuhalten. Diese Richtlinie umfasst auch Anforderungen an die sichere | ||||
767 | Installation und Wartung von Komponenten und Diensten der TI, die in der | ||||
768 | vertragsärztlichen und vertragszahnärztlichen Versorgung genutzt werden, d. h. | ||||
769 | insbesondere auch die Komponenten der dezentralen Infrastruktur der TI sowie | ||||
770 | Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur | ||||
771 | Informationssicherheit (Steigerung der Security-Awareness). Die Anforderungen | ||||
772 | in der Richtlinie werden u. a. im Benehmen mit dem BSI sowie im Benehmen mit | ||||
773 | dem BfDI festgelegt. | ||||
774 | Wenn ein Leistungserbringer einen Dienstleister mit der Herstellung und der | ||||
775 | Wartung des Anschlusses von informationstechnischen Systemen der | ||||
776 | Leistungserbringer an die TI einschließlich der Wartung hierfür benötigter | ||||
777 | Komponenten sowie der Anbindung an Dienste der TI beauftragt, muss dieser | ||||
778 | Dienstleister gemäß § 332 SGB V besondere Sorgfalt walten lassenund über die | ||||
779 | notwendige Fachkunde verfügen. Die technischen Maßnahmen der Komponenten der | ||||
780 | dezentralen Infrastruktur der TI zur Gewährleistung der Datensicherheit hat | ||||
781 | die Gesellschaft für Telematik gemäß § 311 Absatz 2 SGB V im Benehmen mit dem | ||||
782 | BSI und dem BfDI zu treffen, so dass Fragen der Sicherheit und des | ||||
783 | Datenschutzes bei der Gestaltung der Komponenten berücksichtigt werden, | ||||
784 | insbesondere auch die Vorgaben der Artikel 25 und 32 DSGVO. | ||||
785 | Darüber hinaus erfolgt der Nachweis der vollständigen Umsetzung der | ||||
786 | technischen Maßnahmen zur Gewährleistung der Datensicherheit in einer | ||||
787 | Komponente der dezentralen Infrastruktur eines Herstellers gemäß § 325 Absatz | ||||
788 | 3 SGB V im Rahmen der Zulassung der Komponente bei der Gesellschaft für | ||||
789 | Telematik durch eine Sicherheitszertifizierung nach den Vorgaben des BSI bzw. | ||||
790 | durch eine im Benehmen mit dem BSI festgelegte abweichende Form des Nachweises | ||||
791 | der Sicherheit. Auch die Hersteller von Komponenten der dezentralen | ||||
792 | Infrastruktur können gemäß § 325 Absatz 5 SGB V von der Gesellschaft für | ||||
793 | Telematik zugelassen werden, um insbesondere eine ausreichende Qualität der | ||||
794 | Herstellerprozesse bei der Entwicklung, dem Betrieb, der Wartung und der | ||||
795 | Pflege der Komponenten zu gewährleisten. | ||||
796 | Um die Wirksamkeit der technischen Maßnahmen der Komponenten der dezentralen | ||||
797 | Infrastruktur der TI zur Gewährleistung der Datensicherheit kontinuierlich | ||||
798 | aufrechtzuerhalten, werden diese Maßnahmen kontinuierlich von der Gesellschaft | ||||
799 | für Telematik und dem BSI bewertet. Insbesondere ist die Gesellschaft für | ||||
800 | Telematik gemäß § 333 SGB V dazu verpflichtet, dem BSI auf Verlangen | ||||
801 | Unterlagen und Informationen u. a. zu den Zulassungen von Komponenten der | ||||
802 | dezentralen Infrastruktur einschließlich der zugrundeliegenden Dokumentation | ||||
803 | sowie festgestellten Sicherheitsmängeln vorzulegen. Die Gesellschaft für | ||||
804 | Telematik kann zudem für die Komponenten der dezentralen Infrastruktur gemäß § | ||||
805 | 331 Absatz 1 SGB V im Benehmen mit dem BSI solche Maßnahmen zur Überwachung | ||||
806 | des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit | ||||
807 | und Nutzbarkeit der TI zu gewährleisten. Soweit von den Komponenten der | ||||
808 | dezentralen Infrastruktur der TI eine Gefahr für die Funktionsfähigkeit oder | ||||
809 | Sicherheit der TI ausgeht, kann die Gesellschaft für Telematik gemäß § 329 SGB | ||||
810 | V unverzüglich die erforderlichen technischen und organisatorischen Maßnahmen | ||||
811 | treffen. Das BSI ist hierüber von der Gesellschaft für Telematik zu | ||||
812 | informieren. | ||||
813 | Die Abhilfemaßnahmen sind für alle Risikoquellen anwendbar. Technischen | ||||
814 | Fehlfunktionen der Komponenten der dezentralen TI wird im Rahmen der Zulassung | ||||
815 | durch funktionale Tests und Sicherheitsüberprüfungen entgegengewirkt. | ||||
816 | 2.5 | ||||
817 | Einbeziehung betroffener Personen | ||||
818 | Gemäß § 311 Absatz 2 SGB V hat die Gesellschaft für Telematik die Festlegungen | ||||
819 | und Maßnahmen nach § 311 Absatz 1 Nummer 1 SGB V im Benehmen mit dem BSI und | ||||
820 | dem BfDI zu treffen. Die Aufgaben der Gesellschaft für Telematik nach § 311 | ||||
821 | Absatz 1 Nummer 1 SGB V umfassen hierbei insbesondere auch die Erstellung der | ||||
822 | funktionalen und technischen Vorgaben und die Zulassung der Komponenten der | ||||
823 | dezentralen Infrastruktur der TI. | ||||
824 | Vertreter der Leistungserbringer sind als Gesellschafter der Gesellschaft für | ||||
825 | Telematik ebenfalls in die Erstellung der Vorgaben der dezentralen | ||||
826 | Infrastruktur der TI einbezogen. | ||||
827 | Die Spezifikationen der Komponenten der dezentralen Infrastruktur der TI | ||||
828 | werden auf der Internetseite der Gesellschaft für Telematik veröffentlicht. | ||||
829 | Dadurch wird auch die Öffentlichkeit (u. a. Experten für Sicherheit und | ||||
830 | Datenschutz sowie Landesdatenschutzbehörden) einbezogen, so dass jederzeit die | ||||
831 | Möglichkeit der Prüfung der festgelegten Maßnahmen besteht. |
Schnellsuche
Suchen Sie z.B.: "13 BGB" oder "I ZR 228/19". Die Suche ist auf schnelles Navigieren optimiert. Erstes Ergebnis mit Enter aufrufen.
Für die Volltextsuche in Urteilen klicken Sie bitte hier.