0 Rechtsentwicklung
Rz. 1
Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. § 331 entspricht wesentlich dem bisher in § 291b Abs. 7 enthaltenen geltenden Recht. Die Gesellschaft für Telematik (gematik) überwacht den Betrieb von Komponenten und Diensten, die außerhalb der Telematikinfrastruktur betrieben werden.
Rz. 1a
Art. 1 Nr. 39 des Gesetzes zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz – DVPMG) v. 3.6.2021 (BGBl. I S. 1309) hat mit Wirkung zum 9.6.2021 Abs. 5 neu eingefügt. Der bisherige Abs. 5 wird Abs. 6 und neu gefasst. Die gematik erhält einen limitierten Zugriff auf die Identifikations- und Authentifizierungsmittel (Abs. 5). Die Kostenerstattung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird pauschalisiert (Abs. 6).
Rz. 1b
Art. 1 Nr. 34 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat die Vorschrift mit Wirkung zum 26.3.2024 geändert.
Abs. 1 Satz 2 und 3 (neu)
Die neuen Sätze stellen Rechtssicherheit für die gematik her, um umfassende Untersuchungen von Komponenten und Diensten durchzuführen.
Abs. 4 Satz 1
Zu den zu verarbeitenden Daten gehöre auch personenbezogene Daten (Klarstellung).
Abs. 5 Satz 1
Die Datennutzung durch die gematik wird erweitert.
Abs. 5 Satz 2, Abs. 6 Satz 3
"Einvernehmen" wird durch "Benehmen" ersetzt.
1 Allgemeines
Rz. 2
Die gematik überwacht den Betrieb von Komponenten und Diensten, die außerhalb der Telematikinfrastruktur betrieben werden. Die Regelung ist wegen der Öffnung der Telematikinfrastruktur für weitere Anwendungen (§ 325) erforderlich. Art und Umfang der Überwachungsmaßnahmen beziehen sich auf rein betriebstechnische Daten der jeweiligen Anwendung an den technischen Schnittstellen zur Telematikinfrastruktur (z. B. Konformität der Netzwerkprotokolle, Datenpakete, Reaktionszeiten o. ä.; BT-Drs. 18/5293 S. 51). Die Festlegungen hierzu werden von der gematik nach Prüfung der Erforderlichkeit getroffen. Anwendungsbezogene Inhalte sind nicht Gegenstand der betrieblichen Überwachung. Die Regelung setzt die gematik außerdem in die Lage, ihre Meldepflichten zu erfüllen.
Rz. 3
Die gematik hat die Gesamtverantwortung für die Sicherheit des Betriebs der Telematikinfrastruktur. Deshalb muss sie jederzeit in der Lage sein, deren Verfügbarkeit, Stabilität und Sicherheit zu gewährleisten. Um frühzeitig mögliche Störungen erkennen und hierauf reagieren zu können, ist es erforderlich, durch den Einsatz von geeigneten Systemen bereits im Produktivbetrieb geplante Änderungen zu verifizieren, neue Produkte sicher und ohne Wechselwirkung in Betrieb zu nehmen und die zur Ermittlung von Fehlerursachen notwendigen Daten zu erhalten (BT-Drs. 19/20708 S. 171).
Rz. 3a
Als Datensicherheitsmaßnahmen stehen die Pflichten im Zusammenhang mit den datenschutzrechtlichen Pflichten, die sich vor allem aus Art. 32 DSGVO ergeben. Die Regelung dient damit auch dem Schutz personenbezogener Daten und der damit im Zusammenhang stehenden Datensicherheit. § 306 Abs. 3 betont mit Blick auf den Datenschutz dabei, dass wegen des "besonderen Schutzbedarfs" von Gesundheitsdaten gemäß Art. 9 DSGVO ein "hohes Schutzniveau" sicherzustellen ist (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 331 Rz. 19).
2 Rechtspraxis
2.1 Überwachung des Betriebs (Abs. 1)
Rz. 4
Die gematik hat ab dem 1.1.2021 für Komponenten und Dienste erforderliche Maßnahmen zur Überwachung des Betriebs zu treffen (Satz 1). Sie dienen dazu, Störungen zu erkennen. Die Maßnahmen müssen geeignet sein, die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Maßnahmen sind sowohl für Komponenten und Dienste der Telematikinfrastruktur als auch für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden (z. B. Praxis- oder Krankenhausinformationssysteme), zu treffen. Dazu gehören u. a. Maßnahmen, die Cyber-Attacken oder andere Sicherheitsvorfälle wirksam erkennen.
Rz. 4a
Die Maßnahmen werden im Benehmen mit dem BSI getroffen. Dessen Einbeziehung kann sinnvoll sein, um besonderen Sachverstand oder besondere Erfahrung zu nutzen (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 331 Rz. 26).
Rz. 4b
Es liegt im Ermessen der gematik, Komponenten und Dienste (Satz 1) zu untersuchen (Satz 2). Die gematik erhält damit Rechtssicherheit bei der umfassenden Untersuchung von Komponenten und Diensten der Telematikinfrastruktur sowie von Komponenten und Diensten, die die Telematikinfrastruktur nutzen, aber außerhalb der Telemat...