Sommer, SGB V § 307 Datenschutzrechtliche Verantwortlichkeiten

0 Rechtsentwicklung

Rz. 1

Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Eine Vorgängervorschrift existiert nicht. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. § 307 enthält eine konkrete datenschutzrechtliche Verantwortlichkeitszuweisung und definiert die jeweilige Rolle der Beteiligten in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur.

Rz. 1a

Art. 1 Nr. 30 des Gesetzes zur digitalen Modernisierung von Versorgung und Pflege (Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz – DVPMG) v. 3.6.2021 (BGBl. I S. 1309) hat mit Wirkung zum 9.6.2021 Abs. 1 neu gefasst. Die Neufassung stellt zusammen mit dem neugefassten § 306 Abs. 2 Nr. 1 klar, dass die Komponenten der dezentralen Telematikinfrastruktur nicht nur für die Zwecke der Authentifizierung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur genutzt werden, sondern auch für den Zweck der elektronischen Signatur sowie zur Ver- und Entschlüsselung von Daten.

Rz. 1b

Art. 4 des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien v. 23.6.2021 (BGBl. I S. 1982) hat mit Wirkung zum 1.12.2021 als Folgeänderungen in Abs. 2 Satz 3 und Abs. 3 Satz 4 jeweils die Wörter "§ 88 des Telekommunikationsgesetzes" durch die Wörter "§ 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes" ersetzt.

Rz. 1c

Art. 1 Nr. 5 des Gesetzes zur Förderung der Qualität der stationären Versorgung durch Transparenz (Krankenhaustransparenzgesetz) v. 22.3.2024 (BGBl. I Nr. 105) hat mit Wirkung zum 28.3.2024 in Abs. 1 Satz 3 das Wort "Anlage" durch die Angabe "Anlage 2" ersetzt. Es handelt sich um eine Folgeänderung zur neuen Nummerierung der Anlagen des SGB V.

Rz. 1d

Art. 31 des Gesetzes zur Durchführung der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG sowie zur Durchführung der Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten und zur Änderung weiterer Gesetze v. 6.5.2024 (BGBl. I Nr. 149) hat mit Wirkung zum 14.5.2024 in Abs. 2 Satz 3 und Abs. 3 Satz 4 jeweils die Wörter "§ 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes" durch die Wörter "§ 3 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes" ersetzt. Es handelt sich um eine Folgeänderung, mit der der bisherige Verweis auf das Telekommunikation-Telemedien-Datenschutz-Gesetz angepasst wird.

1 Allgemeines

Rz. 2

Die Norm bestimmt die datenschutzrechtliche Verantwortlichkeit in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen der Telematikinfrastruktur. Art. 4 Nr. 7 HS 2 DSGVO sieht vor, dass das Recht eines Mitgliedstaats den Verantwortlichen bestimmen kann, wenn Zwecke und Mittel einer Verarbeitung durch nationales Recht vorgegeben sind. Dem entsprechen die gesetzlichen Vorgaben zur Telematikinfrastruktur, zu den zweckgebundenen Anwendungen, Diensten und Komponenten sowie die Ermächtigung der Gesellschaft für Telematik (gematik) zur Vorgabe von Spezifikationen für einzig zulässige Dienste und Komponenten. Die Zuweisung der Verantwortlichkeit orientiert sich an den für die jeweilige Stelle überblickbaren und beherrschbaren Strukturen, wie sie sich aus den einzelnen Bausteinen der Telematikinfrastruktur ergibt. Jeder Verantwortliche ist für den Bereich zuständig, in dem er über die konkrete Datenverarbeitung entscheidet. Die Komponenten der dezentralen Telematikinfrastruktur werden für die Zwecke der Authentifizierung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur, für die elektronischen Signatur sowie zur Ver- und Entschlüsselung von Daten genutzt.

Rz. 2a

Die Regelung unterstreicht die herausragende Rolle, die der Gesetzgeber dem Datenschutz und der Datensicherheit bei dem Aufbau und dem Ausbau der Telematikinfrastruktur zumisst (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 307 Rz. 14, Stand: 5.11.2021). Sie weist in den verschiedenen arbeitsteiligen Datenverarbeitungsprozessen die datenschutzrechtlichen Verantwortlichkeiten "konkret und lückenlos" zu (BSG, Urteil v. 20.1.2021, B 1 KR 7/20 R). Die Vorschrift entspricht damit dem primären Ziel der DSGVO, das in der Sicherstellung "einer klaren Zuteilung der Verantwortlichkeiten" (vgl. Erwägungsgrund 79 der DSGVO) liegt.

2 Rechtspraxis

2.1 Dezentrale Infrastruktur (Abs. 1)

Rz. 3

Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur (§ 306 Abs. 2 Nr. 1) liegt in der Verantwortung derjenige...