2.1 Dezentrale Infrastruktur (Abs. 1)
Rz. 3
Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur (§ 306 Abs. 2 Nr. 1) liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und zur sicheren Verarbeitung von Daten über die zentrale Infrastruktur nutzen (Satz 1). Zur dezentralen Infrastruktur gehören z. B. die elektronische Gesundheitskarte und die Heilberufs- und Berufsausweise sowie die Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, die die Authentifizierung, Verschlüsselung und elektronische Signatur gewährleisten. Weiter zählen dazu auch die Konnektoren, die die sichere Verbindung zur Telematikinfrastruktur herstellen und sicherheitskritische Funktionalitäten anbieten, sowie die E-Health-Kartenterminals zum Lesen der Karten und Ausweise. Diese Komponenten kommen insbesondere in den Umgebungen der Leistungserbringer zum Einsatz (z. B. in Arztpraxen und Krankenhäusern). Alle Komponenten müssen nach § 325 zugelassen sein.
Rz. 4
Zum Verantwortungsbereich gehören die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten (Satz 2).
Rz. 5
Insbesondere die Leistungserbringer sind für die Verarbeitung der Gesundheitsdaten der Versicherten mittels der in ihrer Umgebung genutzten Komponenten der dezentralen Infrastruktur verantwortlich. Die Verantwortlichkeit erstreckt sich auf die Sicherstellung der bestimmungsgemäßen Nutzung der Komponenten, deren ordnungsgemäßen Anschluss und die Durchführung der erforderlichen fortlaufenden Software-Updates (BT-Drs. 19/18793 S. 100 f.). Die datenschutzrechtliche Verantwortlichkeit für die Leistungserbringerumgebung im Übrigen, also z. B. für die Praxisverwaltungssysteme, bleibt unberührt. Sie richtet sich nach den für die jeweiligen Leistungserbringer geltenden datenschutzrechtlichen Vorschriften.
Rz. 5a
Für die Verarbeitung personenbezogener Daten durch Verantwortliche nach Satz 1 erfolgt in der Anlage 2 zum DVPMG eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 10 der Verordnung (EU) 679/2016 (Satz 3). Leistungserbringer als Verantwortliche in diesem Sinne (z. B. Ärzte oder Zahnärzte) sind damit standardmäßig von ihrer Pflicht zur Durchführung einer eigenen Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 bis 7 DSGVO befreit (BT-Drs. 19/27652 S. 116). Ein Datenschutzbeauftragter ist durch die Verantwortlichen nicht zu benennen (Satz 4). Die Leistungserbringer sollen nicht allein aufgrund der Datenverarbeitung in der dezentralen Infrastruktur verpflichtet sein, einen Datenschutzbeauftragten zu benennen (BT-Drs. 19/27652 S. 116).
2.2 Zugangsdienste der zentralen Infrastruktur (Abs. 2)
Rz. 6
Die zentrale Infrastruktur enthält die zentralen Dienste, welche die Anwendungen der Telematikinfrastruktur mit grundlegenden, anwendungsunabhängigen Funktionalitäten unterstützen. Hierzu gehören die sicheren VPN-Zugangsdienste (Virtuelles privates Netzwerk), die dazu dienen, die Nutzer an das geschlossene gesicherte Netz der Telematikinfrastruktur anzubinden (§ 306 Abs. 2 Nr. 2 Buchst. a). Den Betrieb der durch die gematik spezifizierten und zugelassenen Zugangsdienste verantwortet der jeweilige Anbieter des Zugangsdienstes (Satz 1). Der Anbieter eines Zugangsdienstes darf personenbezogene Daten der Versicherten ausschließlich für Zwecke des Aufbaus und des Betriebs seines Zugangsdienstes verarbeiten (Satz 2). Dem besonderen Schutzbedarf der Inhaltsdaten beim Transport wird durch eine entsprechende Anwendung des Fernmeldegeheimnisses (§ 3 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes) Rechnung getragen (Satz 3; BT-Drs. 19/18793 S. 101).
2.3 Netzbetrieb (Abs. 3)
Rz. 7
Zur zentralen Infrastruktur gehört das geschlossene gesicherte Netz der Telematikinfrastruktur (§ 306 Abs. 2 Nr. 2 Buchst. b). Dieses Netz, einschließlich der für seinen Betrieb notwendigen Dienste, bildet den weiteren Teil der zentralen Infrastruktur. Zu diesen notwendigen Diensten gehören z. B. Verzeichnis- und Identifikationsdienste. Die gematik erteilt einen Auftrag (§ 323 Abs. 2 Satz 1) zum alleinverantwortlichen Betrieb des gesicherten Netzes (Satz 1).
Rz. 8
Der Netzbetreiber ist datenschutzrechtlich für den Betrieb verantwortlich (Satz 2). Daraus ergibt sich, dass die gematik nicht als Netzbetreiber tätig wird und die Sozialdaten durch den Netzbetreiber nicht auftragsweise verarbeitet werden. Die gematik entscheidet weder über konkrete Zwecke der Verarbeitung von Gesundheitsdaten noch über die im konkreten Verarbeitungsvorgang eingesetzten Mittel. Vielmehr ist sie entsprechend ihrer gesetzlichen Aufgaben nach § 311 für die verbindlichen Rahmenbedingungen der Telematikinfrastruktur zuständig. Wegen der herausragenden Bedeutung der Telematikinfrastruktur für die Sicherheit der sensiblen Gesundheitsdaten sind die wesentlichen Vorgaben bereits im Gesetz selbst geregelt, sodass der gematik innerhalb dieses im Vierten Abschnitt differenziert geregelten Rahmens Raum für die Festlegung von konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr verbleibt (BT-Drs. 19/18...