0 Rechtsentwicklung
Rz. 1
Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. Die Regelung entspricht dem bisher in § 291b Abs. 8 enthaltenen geltenden Recht. Sie wurde dahingehend erweitert, dass die Gesellschaft für Telematik (gematik) den Anbietern von zugelassenen Diensten und bestätigten Anwendungen zur Beseitigung von Sicherheitsmängeln verbindliche Anweisungen erteilen kann.
Rz. 1a
Art. 1 Nr. 40 des Gesetzes zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz – DVPMG) v. 3.6.2021 (BGBl. I S. 1309) hat mit Wirkung zum 9.6.2021 Abs. 4 neu gefasst. Es handelt sich um eine Folgeänderung zu der in § 331 Abs. 6 neu geregelten pauschalen Erstattung.
1 Allgemeines
Rz. 2
Die gematik hat dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Unterlagen und Informationen vorzulegen, um Sicherheitsmängel in der Telematikinfratruktur zu erkennen. Das BSI kann der gematik verbindliche Anweisungen erteilen, festgestellte Sicherheitsmängel zu beseitigen. Die Vorschrift ermöglicht eine effektive Überprüfung der IT-Systeme durch das BSI, indem Befugnisse und Mittel zur Bewertung der IT-Sicherheit und der Beseitigung von Mängeln (vgl. Art. 15 NIS-RL) vorgesehen werden und das Zusammenwirken zwischen BSI und gematik geregelt wird (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 333 Rz. 20).
2 Rechtspraxis
2.1 Unterlagen und Informationen (Abs. 1)
Rz. 3
Die gematik legt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Verlangen folgende Unterlagen und Informationen vor:
- Zulassungen und Bestätigungen nach § 311 Abs. 6, §§ 324, 325 und 327 einschließlich der zugrunde gelegten Dokumentation,
- eine Aufstellung der nach §§ 329 bis 331 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
- sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen
(Satz 1). Die Vorlagepflicht besteht neben weiteren gesetzlichen Informationspflichten der gematik. Bei der Anforderung der Informationen oder Nachweise hat das BSI den Zweck zu nennen und anzugeben, welche Informationen verlangt werden (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 333 Rz. 27 m. w. N.). Die Unterlagen und Informationen sind unverzüglich (ohne schuldhaftes Zögern; § 121 BGB) vorzulegen. Dazu ist eine gesetzliche Frist von 2 Wochen gegeben, innerhalb der dem Verlangen zu entsprechen ist. Die Frist wird im Interesse der effektiven Gewährleistung der Sicherheit in der Informationstechnik vorgegeben. Die Regelung korrespondiert mit Vorschriften, nach denen sich die gematik mit dem BSI abzustimmen und eine von der BSI-Meinung abweichende Entscheidung zu begründen hat. Die Norm betrachtet insbesondere Sicherheitsmängel, die zu einer Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse führen können. Die Frist beginnt, wenn die Willenserklärung des BSI der gematik zugegangen ist. Das Verlangen des BSI ist ein Verwaltungsakt (§ 31 SGB X), gegen den Widerspruch und Klage zulässig sind.
2.2 Mängelbeseitigung durch die gematik (Abs. 2)
Rz. 4
Ergibt die Bewertung der in Abs. 1 genannten Informationen Sicherheitsmängel, kann das BSI der gematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Das BSI kann bei abweichenden Entscheidungen der gematik die Entscheidung prüfen und entsprechend der Vorgaben in Art. 15 Abs. 3 der NIS-Richtlinie (Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit v. 29.6.2017) verbindliche Anweisungen zur Abhilfe der festgestellten Mängel erteilen.
2.3 Mängelbeseitigung durch Anbieter (Abs. 3)
Rz. 5
Die gematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen (§ 311 Abs. 6, §§ 325 und 327) verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die gematik ist in diesem Zusammenhang als juristische Person des privaten Rechts (Beliehene) berechtigt, Verwaltungsakte (§ 31 SGB X) zu erlassen. Wird eine vollziehbare Anordnung (Verwaltungsakt) der gematik nicht befolgt, liegt eine Ordnungswidrigkeit vor (§ 397 Abs. 2a Nr. 3). Vorsätzliche oder fahrlässige Zuwiderhandlungen können mit einer Geldbuße bis zu 300.000,00 EUR geahndet werden.
2.4 Kosten (Abs. 4)
Rz. 6
Die Kosten der Überprüfung durch das BSI trägt
- die gematik, sofern das BSI aufgrund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten (bis 8.6.2021), oder
- der Betreiber von zugelassenen Diensten und bestäti...