Rz. 4
Der Zugriff auf die Patientenakte (§ 334 Abs. 1 Satz 2 Nr. 1) und die elektronischen Verordnungen (§ 334 Abs. 1 Satz 2 Nr. 6) muss dem Versicherten auch ohne elektronische Gesundheitskarte mittels eines geeigneten sicheren technischen Verfahrens möglich sein (Satz 1). Der Versicherte ist von seiner Krankenkasse umfassend über die Besonderheiten eines Zugriffs ohne den Einsatz der elektronischen Gesundheitskarte zu informieren (Satz 1 Nr. 1). Er hat anschließend schriftlich oder elektronisch zu erklären, die Daten nutzen zu wollen. Der Versicherte muss sich für die Datennutzung durch ein geeignetes technisches Verfahren mit hohem Sicherheitsstandard authentifizieren (Satz 1 Nr. 2). Bei der Festlegung geeigneter technischer Authentifizierungsverfahren ist der hohe Schutzbedarf der Daten zu berücksichtigen. Dazu ist z. B. eine Zwei-Faktor-Authentifizierung geeignet (BT-Drs. 19/18793 S. 109). Aus der Möglichkeit zur Nutzung handelsüblicher mobiler Endgeräte folgt, dass dabei Geräte und Dienste eingesetzt werden, die nicht über eine Sicherheitszertifizierung nach den Vorgaben des BSI verfügen. Die gematik ist verpflichtet, für diese Geräte und Dienste im Benehmen mit dem BSI ein neues Zulassungsverfahren mit geeigneten Kriterien festzulegen.
Rz. 4a
Der Zugriff auf den Medikationsplan ist ausgeschlossen, soweit die Daten auf der elektronischen Gesundheitskarte gespeichert sind (Satz 2 a. F.). Mit der Überführung des elektronischen Medikationsplans in eine eigenständige Anwendung der Telematikinfrastruktur zum 1.7.2023 (Rz. 3a), die nicht auf der elektronischen Gesundheitskarte gespeichert wird, werden Versicherten und Leistungserbringern Zugriffsmöglichkeiten auf die in dieser Anwendung gespeicherten Daten eröffnet, die bei einer Speicherung des elektronischen Medikationsplans auf der elektronischen Gesundheitskarte aus technischen Gründen nicht möglich sind. Die zusätzlichen Zugriffsmöglichkeiten gelten erst für den elektronischen Medikationsplan, der als eigenständige Anwendung der Telematikinfrastruktur künftig nicht mehr auf der elektronischen Gesundheitskarte gespeichert wird. Dabei kann auch bei Überführung des elektronischen Medikationsplans in eine eigene Anwendung eine Kopie etwa in Form eines Medizinischen Informationsobjektes in die elektronische Patientenakte eingestellt werden (BT-Drs. 19/29384 S. 199).
Rz. 4b
Der Versicherte kann sich alternativ zum Verfahren nach Satz für ein anderes Authentifizierungsverfahren entscheiden (Satz 2). Der Versicherte ist zuvor umfassend über das Verfahren durch den jeweils datenschutzrechtlich Verantwortlichen zu informieren. Um Versicherten weitere, niedrigschwellige Möglichkeiten für eine Identifizierung zu ermöglichen, werden nun auch die Vertragsärzte und die Vertragszahnärzte in den Berechtigtenkreis aufgenommen. Eine Verpflichtung der Vertragsärzte oder Vertragszahnärzte, ein Identifizierungsverfahren anzubieten, ist damit nicht verbunden (BT-Drs. 20/9048 S. 108 f.) Die Neuregelung ermöglicht den Versicherten niedrigschwellige und benutzerfreundliche Authentifizierungsverfahren. Damit können sie ihr informationelles Selbstbestimmungsrecht umfassend ausüben. Der Verzicht auf Schutzmaßnahmen muss freiwillig i. S. d. Art. 7 DSGVO sein und eigeninitiativ erfolgen. Die Versicherten können sich somit zwischen der Verwendung der elektronischen Gesundheitskarte als Authentifizierungsmittel und dem Verfahren zur Authentifizierung ohne Verwendung der elektronischen Gesundheitskarte entweder mit hohem oder mit einem angemessenen niedrigeren Sicherheitsstandard frei entscheiden.
Rz. 4c
Die Anforderungen an die Sicherheit und Interoperabilität alternativer Authentifizierungsverfahren werden von der gematik festgelegt (Satz 3). Dazu setzt sich die gematik mit dem BSI und dem BfDI ins Benehmen (Satz 4). Die erstmalige Identifikation mit hohem Sicherheitsstandard bleibt davon unberührt (Abs. 5 Satz 1).
Rz. 4d
Die für ein geeignetes sicheres technisches Verfahren nach Satz 1 erforderliche Identifizierung der Versicherten kann auch in einer Apotheke durchgeführt werden (Satz 5).