Rz. 10d
Der GKV-Spitzenverband legt bis zum 31.1.2018 in einer Richtlinie Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme fest (Satz 1; www.gkv-spitzenverband.de/krankenversicherung/digitalisierung_und_innovation/sozialdatenschutz/schutz_der_sozialdaten.jsp; abgerufen: 10.11.2020). Diese Richtlinie ist für die Krankenkassen verbindlich und bei Kontakten mit ihren Versicherten anzuwenden. Bestehende Regelungen gewährleisten bereits den Schutz von Sozialdaten vor unbefugtem Zugriff (z. B. § 78a SGB X). Diese benennen jedoch keine konkreten Maßnahmen und sind technikneutral gefasst (BT-Drs. 18/10186 S. 40).
Außerdem existieren auch unverbindliche Empfehlungen zu Maßnahmen (z. B. die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik). Vor diesem Hintergrund bestehen derzeit bei den Krankenkassen viele unterschiedliche Sicherheitskonzepte und -maßnahmen bei Kontakten mit ihren Versicherten. Unter Kontakt der Krankenkassen mit ihren Versicherten sind dabei alle Möglichkeiten zu verstehen, bei denen Krankenkassen Informationen austauschen (persönlich, telefonisch, postalisch oder elektronisch).
Rz. 10e
Der GKV-Spitzenverband hat dazu die Richtlinie zu Maßnahmen zum Schutz von Sozialdaten der Versicherten vor unbefugter Kenntnisnahme nach § 217f Absatz 4b SGB V (GKV-SV Richtlinie Kontakt mit Versicherten) v. 14.12.2018 veröffentlicht (RS 2019/063). Die Richtlinie ist nach den erforderlichen Abstimmungen und der Genehmigung am 6.2.2019 in Kraft getreten und für alle Krankenkassen verbindlich. Für Verfahren, die vor dem Inkrafttreten der Richtlinie eingeführt waren, ist eine 12-monatige Übergangsfrist vorgesehen, die am 5.2.2020 abgelaufen ist. Danach sind bei der Kommunikation der Krankenkassen mit ihren Versicherten die Vorgaben der Richtlinie einzuhalten. Verfahren, bei denen die in der Richtlinie festgelegten Anforderungen an die Schutzmaßnahmen nicht vollumfänglich umgesetzt sind, dürfen ab dem 6.2.2020 nicht mehr genutzt werden. Eine besondere Bedeutung kommt dabei den Verfahren zu, mit denen eine Änderung der bei der Krankenkasse hinterlegten Adresse des Versicherten herbeigeführt werden kann, da diese auch für die Bereitstellung sensibler Daten genutzt wird. In verschiedenen Berichten – zuletzt im Rahmen des 36. Chaos Communication Congresses Ende des Jahres 2019 – wurde öffentlichkeitswirksam gezeigt, wie nicht sichere Verfahren ausgenutzt werden können. Dabei konnte ein Nichtberechtigter auch an eine Gesundheitskarte eines anderen Versicherten gelangen. Dies zeigt, wie wichtig die zweifelsfreie Zuordnung der Adresse zu einem berechtigten Empfänger ist, da diese ein wesentlicher Aspekt der aktuell vorgesehenen Herausgabeprozesse der elektronischen Gesundheitskarte ist. Entsprechend wird unter Punkt A 2.3 des Leitfadens zur Richtlinie ausgeführt, dass bei Änderungen der Adresse des Versicherten von „hohen“ Schutzanforderungen auszugehen ist. Vor dem Hintergrund der mit einer missbräuchlichen Ausnutzung verbundenen Risiken für die Datensicherheit sowie der negativen Außenwirkung sind Verfahren zur Adressänderung sofort entsprechend den Vorgaben der Richtlinie sicher auszugestalten (RS 2020/037).
Rz. 10f
Die Richtlinie hat Maßnahmen vorzusehen, bei denen abgestufte, risikoadjustierte Verfahren bezogen auf das jeweilige konkrete Gefährdungspotential angewendet werden (Satz 2). Das Gefährdungspotential bei der telefonischen Anforderung von allgemeinen Informationsunterlagen wie Broschüren oder Versichertenmagazinen ist eher gering. Ein hohes Gefährdungspotential besteht hingegen bei der Änderung von Stammdaten, die für eine sichere Zustellung relevant sind (z. B. Adressdaten für die Übersendung von neu ausgestellten oder geänderten elektronischen Gesundheitskarten), bei der Übermittlung von Gesundheitsdaten (Diagnosen und abgerechnete Leistungen) im Rahmen der Information über die in Anspruch genommenen Leistungen (§ 305 Abs. 1) oder bei der Bekanntgabe von Leistungsentscheidungen.
Rz. 10g
Die Richtlinie hat für die elektronische Übermittlung von Sozialdaten Maßnahmen zur sicheren Identifizierung und zur sicheren Datenübertragung vorzusehen (Satz 3). Vorhandene Verfahren für einen sicheren elektronischen Identitätsnachweis (§ 36a Abs. 2a Nr. 1 Buchst. a und b SGB I) sind zu berücksichtigen. Hierzu gehören die Versendung einer De-Mail-Nachricht nach § 5 Abs. 5 des De-Mail-Gesetzes (§ 36a Abs. 2a Nr. 3 Buchst. b SGB I) sowie der sichere Identitätsnachweis nach § 18 des Personalausweisgesetzes oder nach § 78 Abs. 5 des Aufenthaltsgesetzes (§ 36a Abs. 2a Nr. 1 Buchst. a SGB I) sowie die elektronische Gesundheitskarte (§ 291). Dies gibt dem GKV-Spitzenverband bereits existierende sichere Verfahren als Regelbeispiele vor, die die Sicherheitsanforderungen an eine elektronische Identifizierung erfüllen (BT-Drs. 18/10186 S. 41).
Darüber hinaus kann bei der Erarbeitung der Richtlinie auch auf Vorarbeiten zurückgegriffen werden (z. B. Leitfaden der Prüfdienste de...