Rz. 3
Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur (§ 306 Abs. 2 Nr. 1) liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und zur sicheren Verarbeitung von Daten über die zentrale Infrastruktur nutzen (Satz 1). Zur dezentralen Infrastruktur gehören z. B. die elektronische Gesundheitskarte und die Heilberufs- und Berufsausweise sowie die Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, die die Authentifizierung, Verschlüsselung und elektronische Signatur gewährleisten. Weiter zählen dazu auch die Konnektoren, die die sichere Verbindung zur Telematikinfrastruktur herstellen und sicherheitskritische Funktionalitäten anbieten, sowie die E-Health-Kartenterminals zum Lesen der Karten und Ausweise. Diese Komponenten kommen insbesondere in den Umgebungen der Leistungserbringer zum Einsatz (z. B. in Arztpraxen und Krankenhäusern). Alle Komponenten müssen nach § 325 zugelassen sein.
Rz. 4
Zum Verantwortungsbereich gehören die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten (Satz 2).
Rz. 5
Insbesondere die Leistungserbringer sind für die Verarbeitung der Gesundheitsdaten der Versicherten mittels der in ihrer Umgebung genutzten Komponenten der dezentralen Infrastruktur verantwortlich. Die Verantwortlichkeit erstreckt sich auf die Sicherstellung der bestimmungsgemäßen Nutzung der Komponenten, deren ordnungsgemäßen Anschluss und die Durchführung der erforderlichen fortlaufenden Software-Updates (BT-Drs. 19/18793 S. 100 f.). Die datenschutzrechtliche Verantwortlichkeit für die Leistungserbringerumgebung im Übrigen, also z. B. für die Praxisverwaltungssysteme, bleibt unberührt. Sie richtet sich nach den für die jeweiligen Leistungserbringer geltenden datenschutzrechtlichen Vorschriften.
Rz. 5a
Für die Verarbeitung personenbezogener Daten durch Verantwortliche nach Satz 1 erfolgt in der Anlage 2 zum DVPMG eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 10 der Verordnung (EU) 679/2016 (Satz 3). Leistungserbringer als Verantwortliche in diesem Sinne (z. B. Ärzte oder Zahnärzte) sind damit standardmäßig von ihrer Pflicht zur Durchführung einer eigenen Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 bis 7 DSGVO befreit (BT-Drs. 19/27652 S. 116). Ein Datenschutzbeauftragter ist durch die Verantwortlichen nicht zu benennen (Satz 4). Die Leistungserbringer sollen nicht allein aufgrund der Datenverarbeitung in der dezentralen Infrastruktur verpflichtet sein, einen Datenschutzbeauftragten zu benennen (BT-Drs. 19/27652 S. 116).