Sommer, SGB V § 309 Protokollierung / 2 Rechtspraxis

2.1 Protokollierung (Abs. 1)

Rz. 3

Zugriffe und Zugriffsversuche auf personenbezogene Daten der Versicherten sind von den Verantwortlichen (§ 307) zu protokollieren. Dazu sind geeignete technische Maßnahmen zu ergreifen, die eine Datenschutzkontrolle ermöglichen. Eine Protokollierung ist bei Anwendungen der Telematikinfrastruktur nach den §§ 327 und 334 Abs. 1 (z. B. elektronische Patientenakte) erforderlich. Die Zugriffe und Zugriffsversuche sind für den Zeitraum der regelmäßigen 3-jährigen Verjährungsfrist (§ 195 BGB) verfügbar zu halten. Aufzuzeichnen ist,

• ob und ggf. welche Daten in der jeweiligen Anwendung verarbeitet wurden und
• welche Institution auf die Daten zugegriffen oder einen Zugriff versucht hat.

Ergänzend sieht § 342 Abs. 2 Nr. 1 Buchst. d vor, dass die elektronische Patientenakte den Versicherten diese Daten über ihr geeignetes Endgerät (z. B. ein Smartphone) zur Verfügung stellt.

Rz. 4

Die Protokollierungspflicht gewährleistet, dass der Versicherte seine Rechte im Rahmen der Patientensouveränität auch wahrnehmen und kontrollieren kann (BT-Drs. 19/18793 S. 102). Welche konkrete natürliche Person zugegriffen oder einen Zugriff versucht hat, ist durch die Institution innerorganisatorisch nachprüfbar zu dokumentieren. Dem Versicherten ist auf Anfrage entsprechende Auskunft zu geben.

2.2 Verwendung der Daten (Abs. 2)

Rz. 5

Die Protokolldaten dürfen nur für die in Abs. 1 (Datenschutzkontrolle) genannten Zwecke verarbeitet werden.

2.3 Löschung der Daten (Abs. 3)

Rz. 6

Die Protokolldaten sind nach der regelmäßigen Verjährungsfrist des BGB nach 3 Jahren durch die Verantwortlichen unverzüglich zu löschen. Dies schließt nicht aus, dass die Versicherten diese Daten weiterhin auf eigenen Speichermedien vorhalten. Der Fristbeginn ist nicht ausdrücklich geregelt. Zweckmäßig ist, auf den Zeitpunkt der Verarbeitung der Daten i. S. v. Art. 4 Nr. 2 DSGVO abzustellen (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 309 Rz. 21).

2.4 Personenbezogene Protokollierung (Abs. 4)

Rz. 7

Zugriffe und Zugriffsversuche (Abs. 1) werden vom 1.1.2030 an personenbeziehbar protokolliert. Die datenschutzrechtlich Verantwortlichen (§ 307) haben dazu die organisatorischen und technischen Voraussetzungen zu schaffen. Damit soll es insbesondere den Versicherten ermöglicht werden, sich jederzeit unmittelbar darüber zu informieren, wer ihre Daten verarbeitet (BT-Drs. 20/9048 S. 102).