verpflichtet, das Versichertenstammdatenmanagement
(VSDM) als erste Anwendung der TI durchzuführen (vgl.
§ 291 Abs. 2b SGB V). Hierfür müssen sie einen für die
TI zertifizierten Konnektor erwerben und ihr Praxisverwaltungssystem mit diesem Gerät an die TI anschließen.
Seit dem 1. Juli 2019 drohen Leistungserbringern Honorarabzüge, sofern sie sich nicht an die TI anschließen.
Daher wurde die Klärung der Frage dringend notwendig,
wer für die TI im Sinne der DSGVO datenschutzrechtlich verantwortlich ist. Diese Frage habe ich intensiv
mit meinen Kolleginnen und Kollegen in den Ländern
erörtert. Die DSK hat daraufhin am 12. September 2019
befunden, dass die gematik GmbH eine datenschutzrechtliche Mitverantwortung für die TI trägt, weil sie mit
ihren Vorgaben und Festlegungen Mittel und Zweck für
die Datenverarbeitung in der TI bestimmt. Insbesondere
für den Betrieb der Konnektoren sind aber auch die Leistungserbringer mitverantwortlich, insofern sie gewisse
Sorgfaltspflichten zu erfüllen haben und auf Dauer diese
Konnektoren auch für die sichere Übermittlung von Patientendaten nutzen werden. Den konkreten Beschluss
können Sie im unten stehenden Kasten nachlesen.
Mich haben eine Reihe von Leistungserbringern angeschrieben, die eine standardisierte „Datenschutz-Folgenabschätzung“ hinsichtlich der Aufstellung des erforderlichen Konnektors vorgenommen haben. Im Rahmen
dieser „Datenschutz-Folgenabschätzungen“ kommen
sie zu dem Ergebnis, dass der Anschluss ihrer Praxen
an die TI nicht zu verantworten sei. Aus der Verantwortlichkeit der gematik GmbH für einen sehr wesentlichen
Teil der TI ergibt sich allerdings die Unzuständigkeit der
Leistungserbringer für diesen Teil der TI und damit auch
die Unzulässigkeit der Durchführung einer „DatenschutzFolgenabschätzung“ in dem Bereich, in dem die gematik
GmbH die Verantwortung trägt.
Eine der wichtigsten Anwendungen wird nach den
jetzigen Planungen des BMG die geplante Einführung
der elektronischen Patientenakte zum 1. Januar 2021
werden. Hier ist aus meiner Sicht unter der Prämisse,
dass die Versicherten freiwillig diese Akte nutzen und
souverän über die Nutzung ihrer dort gespeicherten
Daten bestimmen können, darauf zu achten, dass ein
differenziertes Rollen- und Rechtemanagement implementiert wird. Dies bedeutet, dass die Versicherten in
die Lage versetzt werden, dokumentengenau die Zugriffe
an einzelne Leistungserbringer erteilen zu können. Im
Berichtszeitraum habe ich mich verstärkt gegenüber
dem BMG für die Implementierung dieses differenzierten Rollen- und Rechtemanagements eingesetzt und
werde dies auch weiterhin tun.
Außerdem muss der Zugang zur elektronischen Patientenakte nach dem Stand der Technik auf höchstem Niveau gesichert sein. Mit der elektronischen Gesundheitskarte ist dies möglich, weil nur jemand im Besitz dieser
Karte plus der zugehörigen PIN Zugang erlangen kann.
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 12.09.2019
Die Datenschutzkonferenz vertritt zur Frage der datenschutz
rechtlichen Verantwortlichkeit innerhalb der TelematikInfra
struktur nach § 291a Abs. 7 SGB V folgende Auffassung:
Die Gesellschaft für Telematikanwendungen der Gesund
heitskarte mbH (gematik) ist
a) datenschutzrechtlich alleinverantwortlich für die zentrale
Zone der TI („TIPlattform Zone zentral“) sowie
„b) im Sinne des Artikel 26 DSGVO datenschutzrechtlich mit
verantwortlich für die dezentrale Zone der TI („TIPlattform
Zone dezentral“). Der Umfang der Verantwortung der gematik
für die dezentrale Zone der TelematikInfrastruktur bedarf
einer gesetzlichen Regelung. Die gematik ist verantwortlich
für die Verarbeitung, insbesondere soweit sie durch die von
ihr vorgegebenen Spezifikationen und Konfigurationen für
die Konnektoren, VPNZugangsdienste und Kartenterminals
bestimmt ist.“
Tätigkeitsbericht zum Datenschutz für 2019
27