0 Rechtsentwicklung
Rz. 1
Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. § 309 orientiert sich weitgehend an dem bisher bis zum Inkrafttreten des PDSG in § 291a Abs. 6 Satz 3 bis 5 enthaltenen Recht und regelt die Verpflichtung der datenschutzrechtlich Verantwortlichen zur Protokollierung von Zugriffen und Zugriffsversuchen auf Daten der Versicherten.
Rz. 1a
Art. 1 Nr. 26 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat mit Wirkung zum 26.3.2024 Abs. 4 angefügt. Zugriffe und versuchte Zugriffe auf personenbezogene Daten der Versicherten werden ab 1.1.2030 protokolliert.
1 Allgemeines
Rz. 2
Die Verantwortlichen (§ 307) haben Zugriffe und versuchte Zugriffe auf personenbezogene Daten der Versicherten zu protokollieren. Betroffen sind Anwendungen der Telematikinfrastruktur wie z. B. die elektronische Patientenakte. Die Protokollierung ist damit ein Instrument des Datenschutzes. Sie hält den Verantwortlichen bzw. den Auftragsverarbeiter dazu an, über die Vornahme des protokollierungspflichtigen Datenverarbeitungsvorgangs und damit indirekt auch über die Einhaltung der jeweiligen Voraussetzungen Rechenschaft abzulegen (Disziplinierungseffekt). Andererseits ermöglicht die Protokollierungspflicht die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben auch durch Dritte, insbesondere durch den zuständigen Datenschutzbeauftragten sowie Gerichte (Kontrolleffekt). Die Protokolldaten dienen insofern ausschließlich den Interessen der Versicherten (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 309 Rz. 11; BSG, Urteil v. 20.1.2021, B 1 KR 7/20 R).
2 Rechtspraxis
2.1 Protokollierung (Abs. 1)
Rz. 3
Zugriffe und Zugriffsversuche auf personenbezogene Daten der Versicherten sind von den Verantwortlichen (§ 307) zu protokollieren. Dazu sind geeignete technische Maßnahmen zu ergreifen, die eine Datenschutzkontrolle ermöglichen. Eine Protokollierung ist bei Anwendungen der Telematikinfrastruktur nach den §§ 327 und 334 Abs. 1 (z. B. elektronische Patientenakte) erforderlich. Die Zugriffe und Zugriffsversuche sind für den Zeitraum der regelmäßigen 3-jährigen Verjährungsfrist (§ 195 BGB) verfügbar zu halten. Aufzuzeichnen ist,
- ob und ggf. welche Daten in der jeweiligen Anwendung verarbeitet wurden und
- welche Institution auf die Daten zugegriffen oder einen Zugriff versucht hat.
Ergänzend sieht § 342 Abs. 2 Nr. 1 Buchst. d vor, dass die elektronische Patientenakte den Versicherten diese Daten über ihr geeignetes Endgerät (z. B. ein Smartphone) zur Verfügung stellt.
Rz. 4
Die Protokollierungspflicht gewährleistet, dass der Versicherte seine Rechte im Rahmen der Patientensouveränität auch wahrnehmen und kontrollieren kann (BT-Drs. 19/18793 S. 102). Welche konkrete natürliche Person zugegriffen oder einen Zugriff versucht hat, ist durch die Institution innerorganisatorisch nachprüfbar zu dokumentieren. Dem Versicherten ist auf Anfrage entsprechende Auskunft zu geben.
2.2 Verwendung der Daten (Abs. 2)
Rz. 5
Die Protokolldaten dürfen nur für die in Abs. 1 (Datenschutzkontrolle) genannten Zwecke verarbeitet werden.
2.3 Löschung der Daten (Abs. 3)
Rz. 6
Die Protokolldaten sind nach der regelmäßigen Verjährungsfrist des BGB nach 3 Jahren durch die Verantwortlichen unverzüglich zu löschen. Dies schließt nicht aus, dass die Versicherten diese Daten weiterhin auf eigenen Speichermedien vorhalten. Der Fristbeginn ist nicht ausdrücklich geregelt. Zweckmäßig ist, auf den Zeitpunkt der Verarbeitung der Daten i. S. v. Art. 4 Nr. 2 DSGVO abzustellen (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 309 Rz. 21).
2.4 Personenbezogene Protokollierung (Abs. 4)
Rz. 7
Zugriffe und Zugriffsversuche (Abs. 1) werden vom 1.1.2030 an personenbeziehbar protokolliert. Die datenschutzrechtlich Verantwortlichen (§ 307) haben dazu die organisatorischen und technischen Voraussetzungen zu schaffen. Damit soll es insbesondere den Versicherten ermöglicht werden, sich jederzeit unmittelbar darüber zu informieren, wer ihre Daten verarbeitet (BT-Drs. 20/9048 S. 102).
3 Literatur und Materialien
Rz. 8
Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen, WzS 2021, 263.
Czernik, Protokollierung datenschutzgerecht gestalten, www.dr-datenschutz.de/protokollierung-datenschutzgerecht-gestalten (abgerufen: 10.8.2022).