0 Rechtsentwicklung
Rz. 1
Die Vorschrift wurde durch Art. 1 Nr. 31 des Gesetzes zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 in das SGB V eingefügt. Das PDSG hat mit den neuen Kapiteln 11 und 12 die bisherigen Regelungen zur Telematikinfrastruktur übernommen und umfassend neu strukturiert. Ferner werden sie weiterentwickelt und im Hinblick auf die datenschutzrechtlichen Vorgaben differenziert ausgestaltet. § 332 übernimmt die bisherigen Regelungen des § 291b Abs. 6a. Dienstleister müssen einen Fachkundenachweis erbringen.
Rz. 1a
Art. 1 Nr. 35 des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) v. 22.3.2024 (BGBl. I Nr. 101) hat die Vorschrift mit Wirkung zum 26.3.2024 geändert. Abs. 1 und 2 werden pauschal formuliert und erfassen damit auch Dienstleister, die nicht von Leistungserbringern beauftragt werden.
1 Allgemeines
Rz. 2
Dienstleister, die Komponenten und Dienste der Telematikinfrastruktur installieren oder warten, müssen über die notwendige Fachkunde verfügen und besondere Sorgfalt walten lassen. Auftraggeber können von diesen Dienstleistern einen besonderen Fachkundenachweis verlangen. Durch diese Anforderungen wird die notwendige Qualität beim Anschluss der IT-Systeme der Leistungserbringer an die Telematikinfrastruktur und bei der Installation von Komponenten und Diensten sowie bei der Störungsbeseitigung und Wartung gewährleistet. Dieses Ziel ist einerseits mit Blick auf die Integration der Primärsysteme in die Telematikinfrastruktur und andererseits mit Blick auf die kehrseitige Implementierung von Telematikinfrastruktur-Elementen in die Primärsysteme zu verfolgen (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 332 Rz. 17).
2 Rechtspraxis
2.1 Fachkunde (Abs. 1)
Rz. 3
Dienstleister, die Komponenten und Dienste der Telematikinfrastruktur installieren oder warten, müssen besondere Sorgfalt walten lassen, um die notwendige Qualität der Installationen und Wartung sicherzustellen. Außerdem müssen sie über die notwendige Fachkunde verfügen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme und Komponenten zu gewährleisten. Auch wenn der Wortsinn nicht ausdrücklich wiedergibt, dass sich die Sorgfaltsanforderung auch auf die Wartung der für den Anschluss benötigten Komponenten sowie auf die Anbindung an Dienste der Telematikinfrastruktur beziehen soll, ergibt sich dennoch aus den umschriebenen Aufgaben der Dienstleister sowie aus dem Sinn und Zweck der Regelung, dass sich die Sorgfaltswaltung auch darauf beziehen muss (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 332 Rz. 21).
Rz. 3a
Dienstleister wurden bis zum 26.3.2024 von der Regelung nicht erfasst (z. B. im Zusammenhang mit § 313 Abs. 5 zum Zwecke der Übermittlung von Daten an den elektronischen Verzeichnisdienst der Telematikinfrastruktur). Aus diesem Grund ist eine pauschalere Formulierung des Bezugsrahmens erforderlich (BT-Drs. 20/9048 S. 107).
2.2 Nachweis (Abs. 2)
Rz. 4
Die Fachkunde ist dem beauftragenden Unternehmen nachzuweisen. Ein geeigneter Nachweis ist z. B. eine Zertifizierung nach § 75b Abs. 5 durch eine der Kassenärztlichen Bundesvereinigungen (Personenzertifizierung). Eine Erfüllung der Sorgfaltspflicht kann insbesondere durch Erstellung eines geeigneten Installations- oder Wartungsprotokolls nachgewiesen werden (BT-Drs. 19/14867 S. 95).
2.3 Hinweise (Abs. 3)
Rz. 5
Zur Erfüllung der Anforderungen an die Fachkunde und des Fachkundenachweises können die maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene Hinweise geben (Satz 1). Maßgebliche Spitzenorganisationen der Leistungserbringer in der Telematikinfrastruktur sind in diesem Zusammenhang insbesondere die Kassenärztlichen Bundesvereinigungen, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene. Perspektivisch sind weitere Spitzenorganisationen der Leistungserbringer einzubeziehen, sobald diese an die Telematikinfrastruktur angeschlossen werden. Die jeweilige Spitzenorganisation hat sich dazu mit der Gesellschaft für Telematik (gematik) abzustimmen. Der gematik obliegt dabei die Beachtung der notwendigen sicherheitstechnischen und betrieblichen Voraussetzungen zur Wahrung der Sicherheit und Funktionsfähigkeit der Telematikinfrastruktur (Satz 2).
3 Literatur
Rz. 6
Dittrich/Dochow, Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022, 414.
Dittrich/Dochow/Ippach, Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der "Resilienz-Richtlinie", GesR 2021, 613.
Dochow, Cybersicherheitsrecht im Gesundheitswesen, MedR 2022, 100.
Köhler, Der Schutz kritischer Infrastrukturen im Gesundheitswesen – gesetzliche Anforderungen an die IT-Sicherheit, GesR 2017, 145.