Sommer, SGB V § 312 Aufträge an die Gesellschaft für Tel ... / 2.6 Auslesen von Daten (Abs. 6)

Rz. 12

Die gematik ist beauftragt, das Auslesen von Protokolldaten (§ 309 Abs. 1), der elektronischen Verordnung, der Erklärung zur Organ- und Gewebespende und Hinweisen auf Erklärungen zur Organ- und Gewebespende sowie von Vorsorgevollmachten und Patientenverfügungen (§ 334 Abs. 1 Satz 2 Nr. 2, 3 und 6) über geeignete Endgeräte zu ermöglichen (Satz 1). Für die Authentifizierung ist ein Verfahren mit einem hohen Sicherheitsstandard zu wählen (Satz 2). Die Versicherten sind darüber umfassend aufzuklären (§ 343). Um einen am Bedarf ausgerichteten Ausbau von Komponenten und Einrichtungen zur Wahrnehmung der Versichertenrechte sicherzustellen, soll die gematik untersuchen, ob es erforderlich ist, flächendeckend technische Einrichtungen in den Geschäftsstellen der Krankenkassen zu schaffen, damit Versicherte ihre Rechte wahrnehmen können. Dabei ist zu berücksichtigen, dass die Versicherten ab dem 1.1.2022 die Möglichkeit erhalten, ihre Rechte bezüglich der Protokolldaten, der elektronischen Verordnung, der Erklärung zur Organ- und Gewebespende und den Hinweisen auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende sowie von Vorsorgevollmachten und Patientenverfügungen mittels der von den Krankenkassen zur Verfügung zu stellenden Komponenten selbst oder über einen befugten Vertreter wahrzunehmen (BT-Drs. 19/20708 S. 170).

Rz. 12a

Abweichend von Satz 2 kann der Versicherte ein anderes Authentifizierungsverfahren nutzen (Satz 3). Er ist zuvor umfassend durch den datenschutzrechtlich Verantwortlichen zu informieren. Die Anforderungen an alternative Authentifizierungsverfahren werden von der gematik festgelegt (Satz 4). Dazu setzt sich die gematik mit dem BSI und dem BfDI ins Benehmen (Satz 5). Die Regelung ist nicht auf den elektronischen Medikationsplan (§ 334 Abs. 1 Satz 2 Nr. 4) anzuwenden, der in Altfällen auf der elektronischen Gesundheitskarte gespeichert ist (Satz 6).

Rz. 12b

Analog zu § 291 Abs. 8 Satz 7 bis 9 ist es dem Versicherten möglich, zum Zweck der Verbesserung der Nutzerfreundlichkeit niedrigschwelligere Authentifizierungsverfahren zu nutzen (BT-Drs. 20/9048 S. 105). Im Rahmen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) ist es möglich, dass bestimmte, regelmäßig vorzuhaltende technische und organisatorische Maßnahmen zur Umsetzung der Datensicherheit nach Art. 32 DSGVO auf den ausdrücklichen Wunsch der betroffenen Person hin ihr gegenüber im Einzelfall in vertretbarem Umfang nicht angewendet werden. Diese Reduzierung der technischen und organisatorischen Maßnahmen muss dabei freiwillig und eigeninitiativ erfolgen, wobei die betroffene Person in verständlicher Art und Weise über den Umstand der Absenkung der Datensicherheit und deren Konsequenzen informiert sein muss. Die Versicherten können sich somit bei der Verwendung eines Authentifizierungsverfahrens bezüglich des Sicherheitsstandards frei entscheiden. Um die Anforderungen an die Sicherheit und Interoperabilität an niedrigschwelligere Authentifizierungsverfahren zu gewährleisten, werden diese von der gematik im Benehmen mit dem BSI und dem BfSI verbindlich festgelegt.