Gesellschaft für Telematikanwendungen und BSI sorgen für Sicherheit der TI
In § 291a SGB V wird dazu u.a. geregelt, dass geeignete Maßnahmen zum Datenschutz und zur Datensicherheit getroffen werden müssen. Die Umsetzung dieser Maßnahmen übernehmen die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei ist die gematik für die Zulassung und Prüfung aller technischer Komponenten und Dienste innerhalb der TI zuständig. Das BSI kontrolliert stetig die Verschlüsselungsverfahren, die zum Speichern und zum Austausch der Patientendaten verwendet werden. Ziel ist es, die Verfahren immer auf dem neusten Stand der Technik zu halten und die TI so dauerhaft zu schützen.
Sichere Daten dank technischer Komponenten der Telematikinfrastruktur
Damit eine Praxis an die TI angebunden werden kann, ist zunächst eine Verbindung zum Internet erforderlich. Denn die TI ist ein sicheres Online-Netzwerk. Daneben benötigen Praxen ein aktuelles Praxisverwaltungs- und Apotheken ein Apothekenverwaltungssystem. Zugang zur TI verschafft ein Praxisausweis bzw. eine Institutionskarte (SMC-B) und ggf. ein elektronischer Heilberufsausweis G2.1 (HBA). Daneben gewährleisten ein E-Health-Kartenterminal und ein Konnektor mit VPN-Zugangsdienst die sichere Kommunikation und den reibungslosen Datenaustausch mit allen Beteiligten der TI. Alle genannten Komponenten müssen aus Sicherheitsgründen von der gematik für die TI zugelassen sein.
Patientendaten werden verschlüsselt und sicher übermittelt
Verschlüsselungsverfahren, auch kryptographische Verfahren genannt, sind in der TI insbesondere zum Schutz der medizinischen Patientendaten erforderlich. Einerseits dienen sie dazu, die gespeicherten Daten zu verschlüsseln. Auf der anderen Seite muss der Informationsaustausch, z.B. zwischen Praxen, verschlüsselt erfolgen. Dazu prüft das BSI stetig die verwendeten Verfahren und deren Sicherheitsniveaus. Nach den Bestimmungen des BSI müssen darüber hinaus die folgenden übergeordneten Sicherheitsziele eingehalten werden:
Die Sicherung der Daten muss auch langfristig gewährleistet sein
Durch eine qualifizierte elektronische Signatur (QES) soll beispielsweise gewährleistet sein, dass ein eArztbrief, der eine Diagnose zu bestimmten Patient*innen enthält, die versendenden Ärzt*innen und die betreffenden Patient*innen eindeutig identifiziert und auch nur bei den dafür vorgesehenen Ärzt*innen ankommt
Um diese Ziele zu erreichen, dürfen ausschließlich praxistaugliche, gut untersuchte Verfahren in der TI zum Einsatz kommen. Für einen Zeitraum von sieben Jahren muss deren Sicherheit vor Cyberangriffen gewährleistet sein. Damit Datenschutz und Datensicherheit auch nach Ablauf dieses Zeitraums sichergestellt sind, muss die Voraussetzung für den Übergang zu noch sichereren Verschlüsselungsverfahren gegeben sein.
Deshalb ist es auch notwendig, bestimmte technische Komponenten regelmäßig zu erneuern. Beispielsweise wird die noch im Einsatz befindliche eGK der ersten Generation allmählich durch Karten der Generation 2.1 ersetzt werden. In Zukunft werden auch diese Karten wieder durch Karten der darauffolgenden Generation ausgetauscht.
Datenschutz: Keine Haftung mit den richtigen Komponenten
Damit für Sie bei der Kommunikation und beim Datenaustausch in der TI in jedem Fall eine Haftung nach DSGVO entfällt, müssen Sie einige Punkte beachten. Zu verwenden sind ausschließlich die von der gematik zugelassenen und vom BSI zertifizierten technischen Komponenten. Diese dürfen ausschließlich bestimmungsgemäß verwendet werden und müssen gemäß Betriebshandbuch der jeweiligen Komponente aufgestellt werden. Halten Sie also immer die Vorschriften ein, so trifft Sie keinerlei datenschutzrechtliche, aber auch keine zivil- oder strafrechtliche Haftung.
