0 Rechtsentwicklung
Rz. 1
Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. § 330 entspricht § 8a Abs. 1 und 3 des BSI-Gesetzes und enthält die Pflichten der Gesellschaft für Telematik (gematik) und der nach § 307 datenschutzrechtlich Verantwortlichen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse der Telematikinfrastruktur.
1 Allgemeines
Rz. 2
Die Vorschrift enthält die Pflichten der gematik und der datenschutzrechtlich Verantwortlichen (§ 307) zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse der Telematikinfrastruktur. Die Vorschrift ist als lex specialis vorrangig vor § 8a BSI-Gesetz zu beachten. Die Vorschrift trägt der besonderen Bedeutung der Telematikinfrastruktur als digitale Basisinfrastruktur des Gesundheitswesens bzw. als kritische Infrastruktur zur Vernetzung aller Akteure des Gesundheitswesens im Bereich der gesetzlichen Krankenversicherung Rechnung (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 330 Rz. 16 m. w. N.).
2 Rechtspraxis
2.1 Vermeidung von Störungen (Abs. 1)
Rz. 3
Gematik und datenschutzrechtlich Verantwortliche (§ 307) sind aufgerufen, angemessene organisatorische und technische Vorkehrungen zu treffen und fortlaufend zu aktualisieren, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu vermeiden (Satz 1). Diese Pflicht umfasst auch Systeme zur Angriffserkennung. Der jeweilige Stand der Technik bei den ausgewählten Vorkehrungen ist zu berücksichtigen (Satz 2), die ggf. anzupassen sind. Anders als bei § 329 handelt es sich um präventive Maßnahmen, um Gefahren oder Störungen zu vermeiden.
Rz. 4
Der erforderliche Aufwand soll im Verhältnis zu den Folgen eines Ausfalls stehen (Satz 3). Die Risikoabwägung darf nicht allein nach betriebswirtschaftlichen Gesichtspunkten entschieden werden, sondern muss auch die Versorgung der Bevölkerung mit der kritischen Dienstleistung berücksichtigen.
2.2 Nachweis (Abs. 2)
Rz. 5
Die gematik hat mindestens im Abstand von 2 Jahren nachzuweisen, dass die Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur erfüllt sind (Satz 1). Der Nachweis ist gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu erbringen. Der Nachweis kann jeweils durch Audits, Prüfungen oder Zertifizierungen geführt werden (Satz 2). Dazu sind geeignete und unabhängige Dritte zu beauftragen. Andere als die aufgeführten Nachweise sind möglich.
2.3 Information (Abs. 3)
Rz. 6
Die gematik informiert das Bundesministerium für Gesundheit und das BSI in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Abs. 2 (Satz 1). Die gematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur (§ 311 Abs. 6, § 325) oder Inhabern einer Bestätigung (§ 327) geeignete Nachweise darüber verlangen, welche Maßnahmen ergriffen wurden, um Störungen zu vermeiden (Satz 2).
2.4 Meldepflichten (Abs. 4)
Rz. 7
Neben der Informationspflicht (Abs. 3) obliegt der gematik auch eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 der Verordnung (EU) 679/2016). Dritte, die Daten im Auftrag der gematik verarbeiten, melden eine Verletzung des Datenschutzes an den Verantwortlichen (§ 307).
3 Literatur und Materialien
Rz. 8
Deusch/Eggendorfer, Update IT-Sicherheitsrecht, K&R 2021 S. 689.
Dittrich/Dochow, Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022 S. 414.
Dittrich/Dochow/Ippach, Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der "Resilienz-Richtlinie", GesR 2021 S. 613.
Dochow, Cybersicherheitsrecht im Gesundheitswesen, MedR 2022 S. 100.
Piltz, Referentenentwurf zum 2. IT-Sicherheitsgesetz – Datenverarbeitung in Systemen der Angriffserkennung, www.delegedata.de (abgerufen: 11.1.2021).