Gesetzliche Grundlagen zu Datenschutz und Datensicherheit
Durch die Telematikinfrastruktur (TI) sind Heilberufler*Innen und Apotheken sicher und digital miteinander vernetzt. Über dieses Netzwerk werden patient*innenbezogenen Daten ausgetauscht. Diese sensiblen Daten unterliegen der Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Zusammen mit dem Zehnten Buch des Sozialgesetzbuchs (SGB X) ergänzt die DSGVO die Bestimmungen des Fünften Buchs des Sozialgesetzbuchs (SGB V) für die TI, ihre Fachanwendungen, Dienste und technischen Komponenten.
Aufgaben der Gesellschaft für Telematikanwendungen und des Bundesamts für Sicherheit in der Informationstechnik
In § 291a SGB V wird dazu u.a. geregelt, dass geeignete Maßnahmen zum Datenschutz und zur Datensicherheit getroffen werden müssen. Die Umsetzung dieser Maßnahmen übernehmen die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei ist die gematik für die Zulassung und Prüfung aller technischer Komponenten und Dienste innerhalb der TI zuständig. Das BSI kontrolliert stetig die Verschlüsselungsverfahren, die zum Speichern und zum Austausch der Patient*innendaten verwendet werden. Ziel ist es, die Verfahren immer auf dem neusten Stand der Technik zu halten und die TI so dauerhaft zu schützen.
Technische Komponente der Telematikinfrastruktur
Damit eine Praxis an die TI angebunden werden kann, ist zunächst eine Verbindung zum Internet erforderlich. Denn die TI ist ein sicheres Online-Netzwerk. Daneben benötigen Praxen ein aktuelles Praxisverwaltungs- und Apotheken ein Apothekenverwaltungssystem. Zugang zur TI verschafft ein Praxisausweis bzw. eine Institutionskarte (SMC-B) und ggf. ein elektronischer Heilberufsausweis (HBA). Daneben gewährleisten ein E-Health-Kartenterminal und ein Konnektor mit VPN-Zugangsdienst die sichere Kommunikation und den reibungslosen Datenaustausch mit allen Beteiligten der TI. Alle genannten Komponenten müssen aus Sicherheitsgründen von der gematik für die TI zugelassen sein.
Kryptographische Verfahren der TI
Verschlüsselungsverfahren, auch kryptographische Verfahren genannt, sind in der TI insbesondere zum Schutz der medizinischen Patient*innenndaten erforderlich. Einerseits dienen sie dazu, die gespeicherten Daten zu verschlüsseln. Auf der anderen Seite muss der Informationsaustausch, z.B. zwischen Praxen, verschlüsselt erfolgen. Dazu prüft das BSI stetig die verwendeten Verfahren und deren Sicherheitsniveaus. Nach den Bestimmungen des BSI müssen darüber hinaus die folgenden übergeordneten Sicherheitsziele eingehalten werden:
Die Sicherung der Daten muss auch langfristig gewährleistet sein
Durch eine qualifizierte elektronische Signatur (QES) soll beispielsweise gewährleistet sein, dass ein eArztbrief, der eine Diagnose zu bestimmten Patient*innen enthält, die versendenden Ärzt*innen und die betreffenden Patient*innen eindeutig identifiziert und auch nur bei den dafür vorgesehenen Ärzt*innen ankommt
Um diese Ziele zu erreichen, dürfen ausschließlich praxistaugliche, gut untersuchte Verfahren in der TI zum Einsatz kommen. Für einen Zeitraum von 7 Jahren, muss deren Sicherheit vor Cyberangriffen gewährleistet sein. Damit Datenschutz und Datensicherheit auch nach Ablauf dieses Zeitraums sichergestellt sind, muss die Voraussetzung für den Übergang zu noch sichereren Verschlüsselungsverfahren gegeben sein. Deshalb ist es auch notwendig, bestimmte technische Komponenten regelmäßig zu erneuern. Beispielsweise wird die momentan noch im Einsatz befindliche eGK der ersten Generation allmählich durch Karten der Generation 2.1 ersetzt werden. In Zukunft werden auch diese Karten wieder durch Karten der darauffolgenden Generation ausgetauscht.
Datenschutz und Haftung
Damit für Sie bei der Kommunikation und beim Datenaustausch in der TI in jedem Fall eine Haftung nach DSGVO entfällt, müssen Sie ein paar entscheidende Punkte beachten. Zu verwenden sind ausschließlich die von der gematik zugelassenen und vom BSI zertifizierten technischen Komponenten. Diese dürfen ausschließlich bestimmungsgemäß verwendet werden und müssen gemäß Betriebshandbuch der jeweiligen Komponente aufgestellt werden. Halten Sie also immer die Vorschriften ein, so trifft Sie keinerlei datenschutzrechtliche, aber auch keine zivil- oder strafrechtliche Haftung.
