Norbert Finkenbusch

2.1 Vermeidung von Störungen (Abs. 1)

 

Rz. 3

Gematik und datenschutzrechtlich Verantwortliche (§ 307) sind aufgerufen, angemessene organisatorische und technische Vorkehrungen zu treffen und fortlaufend zu aktualisieren, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu vermeiden (Satz 1). Diese Pflicht umfasst auch Systeme zur Angriffserkennung. Der jeweilige Stand der Technik bei den ausgewählten Vorkehrungen ist zu berücksichtigen (Satz 2), die ggf. anzupassen sind. Anders als bei § 329 handelt es sich um präventive Maßnahmen, um Gefahren oder Störungen zu vermeiden.

 

Rz. 4

Der erforderliche Aufwand soll im Verhältnis zu den Folgen eines Ausfalls stehen (Satz 3). Die Risikoabwägung darf nicht allein nach betriebswirtschaftlichen Gesichtspunkten entschieden werden, sondern muss auch die Versorgung der Bevölkerung mit der kritischen Dienstleistung berücksichtigen.

2.2 Nachweis (Abs. 2)

 

Rz. 5

Die gematik hat mindestens im Abstand von 2 Jahren nachzuweisen, dass die Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur erfüllt sind (Satz 1). Der Nachweis ist gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu erbringen. Der Nachweis kann jeweils durch Audits, Prüfungen oder Zertifizierungen geführt werden (Satz 2). Dazu sind geeignete und unabhängige Dritte zu beauftragen. Andere als die aufgeführten Nachweise sind möglich.

2.3 Information (Abs. 3)

 

Rz. 6

Die gematik informiert das Bundesministerium für Gesundheit und das BSI in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Abs. 2 (Satz 1). Die gematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur (§ 311 Abs. 6, § 325) oder Inhabern einer Bestätigung (§ 327) geeignete Nachweise darüber verlangen, welche Maßnahmen ergriffen wurden, um Störungen zu vermeiden (Satz 2).

2.4 Meldepflichten (Abs. 4)

 

Rz. 7

Neben der Informationspflicht (Abs. 3) obliegt der gematik auch eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 der Verordnung (EU) 679/2016). Dritte, die Daten im Auftrag der gematik verarbeiten, melden eine Verletzung des Datenschutzes an den Verantwortlichen (§ 307).

Dieser Inhalt ist unter anderem im SGB Office Professional enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge