Rz. 34
Spätestens ab dem 1.1.2024 stellen die Krankenkassen den Versicherten neben der elektronischen Gesundheitskarte eine sichere digitale Identität für das Gesundheitswesen barrierefrei zur Verfügung (Satz 1). Die digitale Identität ist nicht an eine Chipkarte gebunden und durch den Versicherten zu beantragen. Die digitale Identität muss den Vorgaben nach Abs. 2 Nr. 1 und 2 entsprechen und ermöglichen, die Versichertendaten nach § 291a Abs. 2 und 3 bereitzustellen. Damit die sichere digitale Identität möglichst schon zum 1.1.2023 genutzt werden kann, stellen die Krankenkassen berechtigten Dritten ab dem 1.7.2022 geeignete Testumgebungen für die Identifizierung und Authentisierung der Versicherten zur Verfügung (BT-Drs. 19/29384 S. 197). Ab dem 1.1.2026 dient die digitale Identität in gleicher Weise wie die elektronische Gesundheitskarte zur Authentisierung des Versicherten im Gesundheitswesen und als Versicherungsnachweis nach § 291a Abs. 1 (Satz 2).
Rz. 35
Die gematik definiert die Anforderungen an die Sicherheit und Interoperabilität der digitalen Identitäten (Satz 3) im Benehmen mit dem BfSI und dem BfDI (Satz 4 bis 6). Damit können die digitalen Identitäten grundsätzlich auch in Anwendungen des Gesundheitswesens außerhalb der Telematikinfrastruktur sicher genutzt werden. Der sichere Einsatz liegt in der Verantwortung der Betreiber der jeweiligen Anwendungen und wird nicht gesondert geregelt.
Rz. 35a
Mit der Regelung wird die Verpflichtung der gematik zur Herstellung des Einvernehmens mit dem BfSI und dem BfDI bei ihren Festlegungen zugunsten der Herstellung des Benehmens gestrichen (BT-Drs. 20/9048 S. 101). Die Verpflichtung sorgt für die notwendige Transparenz bei den Beteiligten hinsichtlich der Konzeption der Komponenten und Dienste der Telematikinfrastruktur. Sie ermöglicht die Unterrichtung des BfSI und des BfDI über die konzeptionelle Ausgestaltung der Telematikinfrastruktur. Zudem schafft sie die Voraussetzungen für eine Unterstützung der gematik durch deren Stellungnahmen, ohne zu einer Überfrachtung des Beteiligungsprozesses zu führen. Eine Verpflichtung zur Herstellung eines Einvernehmens ist aufgrund der im Übrigen bestehenden gesetzlichen Befugnisse der datenschutzrechtlichen Aufsichtsbehörden nach der Datenschutzgrundverordnung nicht erforderlich. Das BfSI hat zusätzlich die Möglichkeit, die Sicherheit der Komponenten und Dienste der Telematikinfrastruktur über die Sicherheitszertifizierung zu überprüfen.
Rz. 36
Alternativ kann der Versicherte nach umfassender Information durch die Krankenkasse über die Besonderheiten des Verfahrens in die Nutzung einer digitalen Identität einwilligen, die einem anderen angemessenen Sicherheitsniveau entspricht (Satz 7). Die Anforderungen an die Sicherheit und Interoperabilität dieses Nutzungsweges der digitalen Identität werden von der gematik festgelegt (Satz 8). Diese setzt sich hinsichtlich der Anforderungen an die Sicherheit und den Datenschutz mit dem BSI und dem BfDI ins Benehmen (Satz 9).
Rz. 37
Die Regelung ermöglicht dem Versicherten, niedrigschwellige Authentifizierungsverfahren zu nutzen und verbessert die Nutzerfreundlichkeit (BT-Drs. 20/4708 S. 107). Im Rahmen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.42016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) ist es möglich, dass bestimmte, regelmäßig vorzuhaltende technische und organisatorische Maßnahmen zur Umsetzung der Datensicherheit nach Art. 32 DSGVO auf den ausdrücklichen Wunsch der betroffenen Person hin ihr gegenüber im Einzelfall in vertretbarem Umfang nicht angewendet werden. Diese Reduzierung der technischen und organisatorischen Maßnahmen muss dabei freiwillig und eigeninitiativ erfolgen, wobei die betroffene Person in verständlicher Art und Weise über den Umstand der Absenkung der Datensicherheit und deren Konsequenzen informiert sein muss. Die Versicherten können sich somit bei der Verwendung eines Authentifizierungsverfahrens bezüglich des Sicherheitsstandards frei entscheiden. Um die Anforderungen an die Sicherheit und Interoperabilität an niedrigschwellige Authentifizierungsverfahren zu gewährleisten, werden diese von der gematik im Einvernehmen mit dem BSI in der Informationstechnik und BfDI verbindlich festgelegt.
Rz. 38
Krankenkassen sind spätestens vom 1.10.2024 an verpflichtet, berechtigten Dritten die Nutzung der digitalen Identitäten nach Satz 1 zum Zwecke der Authentifizierung von Versicherten zu ermöglichen (Satz 10). Berechtigte Dritte sind Anbieter von Anwendungen nach § 306 Abs. 4 (z. B. Anbieter von Software) oder Anbieter, für die aufgrund eines Gesetzes oder einer Rechtsverordnung die Nutzung der digitalen Identität vorgeschrieben ist (Satz 11). Der Versicherte soll mit der Einführung der digitalen Identität durch die Krankenkassen die Möglichkeit erhalten, sich im Gesundheitswesen für digitale Anwendungen sicher zu authentifizie...