SG Stuttgart: Pflicht von Vertragsärzten zum Anschluss an Telematikinfrastruktur verstößt nicht gegen Vorgaben der DSGVO
SG Stuttgart
Urteil vom 27.01.2022
S 24 KA 166/20
Das SG Stuttgart hat entschieden, dass die Pflicht von Vertragsärzten zum Anschluss an die Telematikinfrastruktur nicht gegen die Vorgaben der DSGVO verstößt.
Aus den Entscheidungsgründen:
"Der Kläger argumentiert zunächst mit Verstößen gegen die DSGVO. Insofern kann mit der Rechtsprechung des Bundessozialgerichts dahin gestellt bleiben, ob diese unmittelbar oder über § 35 Abs. 2 Satz 2 Erstes Buch Sozialgesetzbuch (SGB I) entsprechend Anwendung findet (vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 25 f.), denn § 291 Abs. 2b Satz 3, Satz 14 SGB V aF stehen mit den Vorgaben der DSGVO auch bei deren unmittelbarer Anwendung als höherrangigem Recht in Einklang.
Konkret geht es im vorliegenden Verfahren für das Quartal 1/2019 um die Durchführung des Online-VSD-Abgleichs, also einer Abfrage der von den Krankenkassen gemäß § 284 Abs. 1 Satz 1 Nr. 2 SGB V auf der elektronischen Gesundheitskarte gespeicherten Daten (§ 291 Abs. 2 SGB V aF) sowie gegebenenfalls deren Aktualisierung. Dazu werden die Informationen auf der elektronischen Gesundheitskarte beim erstmaligen Arztbesuch des Versicherten im Quartal online unter Nutzung der TI mit den Informationen abgeglichen, die bei der Krankenkasse hinterlegt sind. Stimmen die Angaben nicht überein, werden veraltete Daten auf der elektronischen Gesundheitskarte überschrieben. Hierbei handelt es sich um einen überschaubaren Datenverarbeitungsprozess der Daten, die zuvor bereits von den Krankenkassen erhoben worden sind und die auf die elektronische Gesundheitskarte übertragen werden. Es geht nicht um Daten, die durch den Vertragsarzt erhoben werden (Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 32).
Die Verarbeitung dieser personenbezogenen Daten bei Einlesen und Abgleich der elektronischen Gesundheitskarte durch den Kläger ist nach Art. 6 Abs. 1 DSGVO zulässig. Art. 6 Abs. 1 Satz 1 DSGVO erlaubt die Verarbeitung personenbezogener Daten u. a. dann, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Buchst c und e).Für die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer wie den Kläger sind die Überprüfung der Leistungspflicht der Krankenkasse unter Nutzung der elektronischen Gesundheitskarte und der von der Krankenkasse zur Verfügung gestellten Dienste einschließlich der Online-Abgleich und ggf. die Online-Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten in § 291 Abs. 2b Satz 3, Satz 4 SGB V aF verpflichtend angeordnet (Art. 6 Abs. 1 Satz 1 c DSGVO). Die Verarbeitung der auf Daten erfolgt gemäß Art 6 Abs. 1 e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (vgl. zum Vorstehenden BSG, Urteil vom 20.01.2021, Az. B 1 KR7/20 R, juris, Rdnr. 30 f.).
Einschlägig für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der elektronischen Gesundheitskarte sind die nationalen Vorschriften der § 35 Abs. 2 Satz 1 SGB I, § 67a Abs. 1 und § 67b Abs. 1 SGB X, § 15 Abs. 2 und §§ 284, 291, 291a, 291b SGB V aF. Aus ihnen ergibt sich auch der von Art. 6 Abs. 3 Satz 2 DSGVO geforderte Zweck der Datenverarbeitung. Die elektronische Gesundheitskarte dient mit den in § 291 Abs. 2 SGB V aF genannten Angaben dem Nachweis der Berechtigung zur Inanspruchnahme von Leistungen im Rahmen der vertragsärztlichen Versorgung (Versicherungsnachweis). Sie erschwert dadurch den Leistungsmissbrauch und dient der Abrechnung mit den Leistungserbringern, was der finanziellen Stabilität der gesetzlichen Krankenversicherung zugutekommt (BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 30 - 45). Der von dem Kläger durchzuführende VSD-Abgleich ermöglicht es, die Aktualität und Zuordnung der elektronischen Gesundheitskarte zum jeweiligen Karteninhaber zu überprüfen, und damit ungültige sowie als verloren oder gestohlen gemeldete Karten zu identifizieren, um so Missbrauch zu verhindern (BT-Drs. 17/2170, S. 38). Weiter dient die Aktualisierung bzw. Berichtigung von auf der Karte gespeicherten Daten auch dem Wirtschaftlichkeitsgebot (BSG, Urteil vom 18.11.2014, Az. B 1 KR 35/13 R, juris, Rdnr. 27). Ein im öffentlichen Interesse liegendes Ziel liegt damit vor.
Die mit dem VSD-Abgleich verbundene Datenverarbeitung wahrt auch den Grundsatz der Verhältnismäßigkeit nach Art. 6 Abs. 3 Satz 4 DSGVO (vgl. dazu BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 47 f.).
Die Verarbeitung der Daten beim VSD-Abgleich ist auch mit Art. 9 DSGVO vereinbar. Soweit dabei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO grundsätzlich nicht verarbeitet werden dürfen, liegt hier eine Ausnahmevorschrift nach Art. 9 Abs. 2 h DSGVO vor, denn die Verarbeitung ist für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage der §§ 67a Abs. 1 Satz 2, 67b Abs. 1 Satz 2 SGB X, 291 f. SGB V aF erforderlich (s. dazu, auch zur Erforderlichkeit, BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 66 f.).
Der Kläger hat hier insbesondere Verstöße gegen die seiner Ansicht nach unzureichende Sicherheit der Datenverarbeitung und damit gegen Art. 5 Abs. 1 f, Art. 32 DSGVO, die angeblich ungeklärte Verantwortlichkeit der Datenverarbeitung und fragliche Mitverantwortung der G. nach Art. 26 DSGVO (Verstoß gegen Art. 5 Abs. 1, 2 und Art. 24 Abs. 1 DSGVO) sowie die fehlende Datenschutzfolgenabwägung nach Art. 35 DSGVO geltend gemacht.
a) Ein Verstoß gegen den Grundsatz der angemessenen Sicherheit der Datenverarbeitung nach Art. 5 Abs. 1 f DSGVO ist nicht ersichtlich. Es muss eine angemessene Sicherheit personenbezogener Daten gewährleistet werden, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dazu gehört auch, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Wie das Bundessozialgericht erneut ausdrücklich festgestellt hat, kann es eine absolute Datensicherheit jedoch nicht geben. Insofern werden die zu ergreifenden Sicherheitsmaßnahmen durch den in Art. 24 DSGVO zum Ausdruck kommenden Verhältnismäßigkeitsgrundsatz beschränkt (BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 76 m. w. N.). Dabei verfolgt die DSGVO einen risikobasierten Ansatz. Abhängig vom spezifischen Risiko der Datenverarbeitung und dessen Eintrittswahrscheinlichkeit hat der jeweils Verantwortliche die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Näher konkretisiert werden diese allgemeinen Vorgaben in Art. 25, 32 und 35 DSGVO.
Nach Art. 32 Abs. 1 DSGVO sind der Verantwortliche und der Auftragsverarbeiter verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mögliche Maßnahmen sind dabei u. a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Diese Anforderungen werden hier erfüllt. Denn auch vor Inkrafttreten des PDSG enthielt § 291b SGB V aF Vorschriften zur TI, durch die die beispielhaft aufgezählten Sicherheitsvorgaben der DSGVO im Einzelnen hinreichend umgesetzt und konkretisiert werden. Zentrale und koordinierende Aufgaben wies der Gesetzgeber hierbei der Gesellschaft für T., der G., zu (§ 291a Abs. 7 Satz 1, Satz 2 SGB V aF - in der Fassung vom 20.11.2019). Zum Zeitpunkt der Widerspruchsentscheidung am 11.12.2019 bildeten die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene eine Gesellschaft für T. nach Maßgabe des § 291b SGB V aF, die die Regelungen zur Telematikinfrastruktur trifft sowie deren Aufbau und Betrieb übernimmt (§ 291a Abs. 7 Satz 1, Satz 2 SGB V aF).Die Bundesrepublik Deutschland nimmt in der G. die Stellung einer Mehrheitsgesellschafterin mit 51 Prozent der Gesellschaftsanteile ein. Die Gesellschaft fasst ihre Beschlüsse grundsätzlich mit einfacher Mehrheit (§ 291b Abs. 4 Satz 1 Nr. 1, Nr. 2 SGB V aF). Insofern hat die Bundesrepublik, vertreten durch das Bundesministerium für Gesundheit, wesentlichen Einfluss auf den Entscheidungsprozess."
Im Rahmen der Aufgaben hat die G. nach § 291b Abs. 1 Satz 1 SGB V aF
1. die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,
2. Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,
3. Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,
4. die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und
5. Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung
a) der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und
b) der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3.
Die G. ist damit gesetzlich verpflichtet, Vorgaben für die Datensicherheit beim Betrieb der TI zu erstellen und deren Umsetzung zu überwachen. Dass die G. ihren Aufgaben ordnungsgemäß nachkommt, wird auch dadurch gewährleistet, dass sie in deutlichem Umfang der Kontrolle durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterliegt und auch der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu beteiligen ist: So muss die G. nach § 291b Abs. 1 Satz 3 SGB V aF, soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt werden, diese im Einvernehmen mit dem BSI treffen. Die Gesellschaft für T. hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen (§ 291b Abs. 1 Satz 4 SGB V aF). Bei der Zulassung von Komponenten und Diensten der TI durch die G. ist der Nachweis der Sicherheit nach den Vorgaben des BSI durch eine Sicherheitszertifizierung zu erbringen. Das BSI entwickelt und veröffentlich dazu geeignete Prüfvorschriften. Näheres zum Zulassungsverfahren und zu den Prüfkriterien wird von der G. in Abstimmung mit dem BSI beschlossen (§ 291b Abs. 1a Satz 5 - 7 SGB V aF). Vor Beschlussfassung der G. zu den Regelungen, dem Aufbau und dem Betrieb der TI ist dem BfDI und dem BSI Gelegenheit zur Stellungnahme zu geben, wenn Belange des Datenschutzes oder der Datensicherheit berührt sind (§ 291b Abs. 4 Satz 2 SGB V aF; vgl. auch den Hinweis darauf bei SG München, Beschluss vom 22.03.2019, Az. S 38 KA 52/19 ER, juris, Rdnr. 24). Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der TI ausgeht, ist die G. in Abstimmung mit dem BSI befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die G. zu melden. Die G. hat die ihr gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der TI führen können oder bereits geführt haben, unverzüglich an das BSI zu melden, und kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur TI sperren oder den weiteren Zugang zur TI nur unter der Bedingung gestatten, dass die von der G. angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden (§ 291b Abs. 6 SGB V aF). Nach § 291b Abs. 7 SGB V aF kann die G. für Komponenten und Dienste, die die TI nutzen, aber außerhalb der TI betrieben werden, in Abstimmung mit dem BSI solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der TI zu gewährleisten. Die G. legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Nach § 291b Abs. 8 Satz 1 SGB V aF legt die G. dem BSI auf Verlangen die folgenden Unterlagen und Informationen vor:
1. die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,
2. eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3. sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.
Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das BSI der G. verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen; die G. wiederum ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen (§ 291b Abs. 8 Satz 2, Satz 3 SGB V aF).
Im Ergebnis wird so eine kontinuierliche Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben durch die G. und die Anbieter von Diensten und Anwendungen im Rahmen der TI hinreichend gewährleistet (vgl. Art 32 Abs. 1 Buchst d DSGVO). Die enge Einbindung des BSI in den gesamten Verfahrensablauf beim Ausbau und Betrieb der TI sichert zudem die durch Art. 32 Abs. 1 DSGVO angeordnete Berücksichtigung des Stands der Technik (vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 87).
Der Gesetzgeber hat damit nach den Vorgaben der DSGVO hinreichend Vorkehrungen zur Gewährleistung der Datensicherheit im Zusammenhang mit der elektronischen Gesundheitskarte und der TI getroffen; dass nunmehr mit dem PDSG weitere Spezifizierungen und Verschärfungen in punkto Datenschutz und Datensicherheit erfolgt sind, beweist entgegen der Ansicht des Klägers nicht, dass die §§ 291 f. SGB V aF im hier streitigen Quartal gegen Art. 5 Abs. 1 f, Art. 32 DSGVO verstießen, sondern dass der Gesetzgeber seiner Beobachtungs- und Nachbesserungspflicht nachgekommen ist, auf sich in der Praxis zeigende Sicherheitslücken zu reagieren (BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 101; Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 33). Wie bereits ausgeführt, ist eine absolute Datensicherheit weder möglich, noch im Sinne der DSGVO erforderlich.
b) Weiter liegt entgegen der Ansicht des Klägers kein Verstoß gegen Art. 5 Abs.1, Abs. 2, 24, 26 Abs. 1 Satz 2 DSGVO wegen der ungeklärten Verantwortlichkeit in der dezentralen Zone der TI im Quartal 1/2019 vor, sodass auch sein Vortrag zu etwaigen Haftungsproblematiken nicht relevant ist. Dem Kläger ist zwar zuzugeben, dass eine ausdrückliche gesetzliche Regelung (auf mitgliedstaatlicher Ebene) mit § 307 SGB V nF erst mit Geltung ab dem 20.10.2020 und damit nach dem hier streitigen Quartal mit dem PDSG geschaffen wurde (Gesetzesentwurf der Bundesregierung, BT-Drs. 19/18793, S. 100: „Zur Klarstellung der Rollen der Beteiligten…“) und die Rechtslage hinsichtlich der Frage des Verantwortlichen im Quartal 1/2019 strittig war (vgl. dazu Beschluss der DSK vom 12.09.2019; Tätigkeitsbericht des BfDI 2017-2018, S. 59; Tätigkeitsbericht des BfDI 2019, S. 26; Stellungnahme des Bundesrates, 20.05.2020, BT-Drs. 19/19365, S. 4 f).
Es ist nicht ersichtlich, dass die maßgeblichen Regelungen in §§ 291 Abs. 2b Satz 3, Satz 14 SGB V aF rechtwidrig wären, weil dort keine explizite Festlegung der Verantwortlichkeiten erfolgt. Eine solche Benennung der Verantwortlichkeit im Recht der Mitgliedstaaten ist nach Art. 4 Nr. 7 DSGVO zwar unter bestimmten Voraussetzungen möglich, aber nicht erforderlich.
Im Übrigen ist auch kein Verstoß gegen den Bestimmtheitsgrundsatz wegen fehlender Bestimmbarkeit des Verantwortlichen ersichtlich. Denn anhand der Regelungen der DSGVO ist der Verantwortliche festgelegt und bestimmbar. In Art. 4 Nr. 7 DSGVO wird festgelegt, dass Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Die Pflichten des Verantwortlichen ergeben sich u. a. aus Art. 24 DSGVO.
Legen nach Art. 26 Abs. 1 Satz 1 DSGVO zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche für eine Verarbeitung. Mittel der Datenverarbeitung sind die organisatorischen und technischen Mittel, mit denen die Datenverarbeitung durchgeführt wird. Darunter fallen die für die Datenverarbeitung genutzte Hard- und Software und der Einsatz von Personal. Das wesentliche Merkmal ist jedoch die Entscheidungsbefugnis über den Zweck, d. h. über das Ob, Wofür und Wieweit einer Datenverarbeitung (Kühling/Buchner/Hartung, 2. Aufl. 2018, DS-GVO Art. 4 Nr. 7, Rdnr. 13). Eine gemeinsame Verantwortlichkeit ist danach nicht gegeben, wenn zwei Verantwortliche gemeinsam etwa nur die Mittel festlegen (Gola DS-GVO/Gola, 2. Aufl. 2018, DS-GVO Art. 4, Rdnr. 51).
Für gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO werden konkrete technische Einflussnahmen oder eine eigene unmittelbare Nutzung der Ergebnisse der Datenverarbeitung nicht verlangt. Ausreichend sind eine gewisse Kausalität, die Einflussnahme auf die Tätigkeit und insbesondere übereinstimmende Interessen an der Datenverarbeitung (Kühling/Buchner/Hartung, 3. Aufl. 2020, DS-GVO Art. 26, Rdnr. 37, unter Hinweis auf EuGH, Urteil vom 10.7.2018, Az. C-25/17, ZD 2018, 469 – Z.J.) bzw. eine gewisse Mitwirkung an der Entscheidung über Zweck oder Mittel der Datenverarbeitung und dass bei der Datenverarbeitung übereinstimmende Eigeninteressen verfolgt werden (EuGH, Urteil vom 29.7.2019, Az. C-40/17, ZD 2019, 455 – F. ID).
Eine entsprechende Entscheidungsgewalt der G. ist allenfalls bei den Mitteln der Datenverarbeitung ersichtlich, da sie die von den Herstellern entwickelten TI-Komponenten spezifiziert und zulässt sowie den Betrieb koordiniert. Entscheidungen über den Zweck, über das Ob, Wofür und Wieweit einer Datenverarbeitung, trifft die G. jedoch nicht. Eine bloß organisatorische und koordinierende Hoheit kann eine Verantwortlichkeit nur insoweit indizieren, als die operative handelnde Person im Eigeninteresse tätig wird. Die G. hat jedoch kein Eigeninteresse an der Verarbeitung der Versichertenstammdaten in der dezentralen Zone, sondern erfüllt nur ihre gesetzlichen Aufgaben (so auch Gutachterliche Stellungnahme des Prof. Dr. Heckmann für den Ausschuss für Gesundheit des Deutschen Bundestags, Ausschuss-Drs. 19(14)164(25)).
c) Ein Verstoß gegen Art. 35 Abs. 1 Satz 1 DSGVO mit der etwaigen Folge einer Haftungsproblematik des Klägers ist ebenfalls nicht ersichtlich. § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verhält sich zur Frage einer Datenschutz-Folgenabschätzung nicht.
Art. 35 Abs. 1 Satz 1 DSGVO verpflichtet den Verantwortlichen für den Fall, dass eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgenabschätzung).
Dass die Verarbeitung der Daten anhand einer Risikoprognose – hinsichtlich der genannten vier Attribute - im Rahmen des VSD-Abgleichs in der Praxis des Klägers voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist für die Kammer nicht ersichtlich. Zudem ist der in Erwägungsgrund 91 der DSGVO genannte Sonderfall einschlägig, wonach u. a. der Berufsstand des Arztes privilegiert wird: Sofern die Verarbeitung personenbezogene Daten von Patienten betrifft sowie durch einen einzelnen Verantwortlichen erfolgt, soll sie nicht als umfangreich und damit riskant gelten (vgl. Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO, Art. 35, Rdnr. 10). Eine umfangreiche Verarbeitung von Gesundheitsdaten ist zu verneinen (wie auch in den meisten anderen Arztpraxen; vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 84).
3. § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verstößt auch nicht gegen Verfassungsrecht. In Betracht kommt allein ein Verstoß gegen die Berufsausübungsfreiheit des Klägers aus Art. 12 Abs. 1 GG. Durch Art. 12 Abs. 1 GG ist dem Einzelnen das Recht gewährt, jede Tätigkeit, für die er sich geeignet glaubt, als Beruf zu ergreifen und zur Grundlage seiner Lebensführung zu machen. Die Vorschrift konkretisiert das Grundrecht auf freie Entfaltung der Persönlichkeit im Bereich der individuellen Leistung und Existenzerhaltung und zielt auf eine möglichst unreglementierte berufliche Betätigung ab. Sie formuliert ein einheitliches Grundrecht der Berufsfreiheit, dessen verschiedene Gewährleistungen allerdings insofern Bedeutung haben, als an die Einschränkungen der Berufswahl höhere Anforderungen gestellt werden als an die Einschränkung der Berufsausübung (BVerfG, Beschluss vom 20.03.2001, Az. 1 BvR 491/96, juris, Rdnr. 36 f.). Hier kommt, da es nicht zum Zugang zum Beruf geht, allein die Berufsausübungsfreiheit in Betracht.
Eine Einschränkung der Berufsausübungsfreiheit des Klägers kann hier nur darin liegen, dass er in § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verpflichtet wird, den Abgleich der VSD über die TI durchzuführen und andernfalls ein einprozentiger Honorarabzug im Quartal durchgeführt wird. Derartige Berufsausübungsregelungen sind zulässig, wenn sie auf einer gesetzlichen Grundlage beruhen (Art. 12 Abs. 1 Satz 2 GG), wenn sie durch vernünftige Gründe des Gemeinwohls gerechtfertigt sind, die gewählten Mittel zur Erreichung des verfolgten Zwecks geeignet und erforderlich sind und die durch sie bewirkte Grundrechtsbeschränkung dem Betroffenen zumutbar ist (BVerfG, Nichtannahmebeschluss vom 10.04.2000, Az. 1 BvR 422/00, juris, Rdnr. 21, m. w. N.).
Diese Voraussetzungen liegen hier zur Überzeugung der Kammer vor (so im Ergebnis auch Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 33 f.)
Eine gesetzliche Grundlage der Verpflichtung des Klägers liegt vor. Der vom Gesetzgeber verfolgte Zweck - die Verhinderung von Missbrauch der elektronischen Gesundheitskarten durch Dienste, mit denen die Leistungserbringer die Gültigkeit und Aktualität der Daten nach den bei den Krankenkassen online überprüfen und auf der elektronischen Gesundheitskarte aktualisieren können, und damit letztlich der Erhalt der finanziellen Stabilität der gesetzlichen Krankenversicherung (BSG, Urteil vom 20.01.2020, Az. B 1 KR 7/20 R, juris, Rdnr. 98) - ist als legitim anzusehen; die Durchführung des VSD-Abgleichs ist dafür auch geeignet und erforderlich. Ob die vom Kläger vorgeschlagene Möglichkeit eines Abgleichs mit Barcode-Scanner-Technologie als milderes Mittel anzusehen ist, kann hier dahinstehen; die Kammer geht unter Berücksichtigung der Einschätzungsprärogative des Gesetzgebers davon aus, dass dies jedenfalls nicht gleich wirksam ist, zumal die (teils noch in Planung befindlichen) weiteren Aufgaben der TI so nicht verwirklicht werden könnten.
Der Eingriff ist auch verhältnismäßig im engeren Sinne. Die Sicherung der finanziellen Stabilität und damit der Funktionsfähigkeit der gesetzlichen Krankenversicherung ist ein Gemeinwohlbelang von hohem Rang (vgl. BVerfGE 68, 193, 218). Zur Verwirklichung dieses Ziels darf der Gesetzgeber gerade auch die Leistungserbringer innerhalb der vertragsärztlichen Versorgung in die Pflicht nehmen, denen andererseits besondere Vorteile durch die Einbeziehung in das öffentlich-rechtliche System des Vertragsarztrechts erwachsen. Im Rahmen ihrer Einbeziehung unterliegen sie in erhöhtem Maße der Einwirkung sozialstaatlicher Gesetzgebung, durch die zur Sicherung der finanziellen Stabilität in das System regulierend eingegriffen wird (vgl. BVerfGE 68, 193, 221).
Entgegen des Vortrags des Klägers wird er nicht „in einen datenschutzrechtlich rechtswidrigen Zustand, verbunden mit der Mithaftung und dem Bußgeldrisiko“ gezwungen, sondern die angegriffenen Regelungen stehen grundsätzlich im Einklang mit der DSGVO (s. o.). Auch wenn die vom Kläger geltend gemachten Sicherheitsrisiken für die Verarbeitung von Patienten- bzw. Gesundheitsdaten im Einzelfall z. B. aufgrund eines Hacker-Angriffs nicht jederzeit ausgeschlossen werden können, liegt auch der Rechtsprechung des BVerfG zugrunde, dass es keine absolute Datensicherheit gibt und dass allein dieser Umstand die automatisierte Verarbeitung personenbezogener Daten nicht verbietet, solange ein Standard gewährleistet wird, der der Sensibilität der betroffenen Daten und dem jeweiligen Gefährdungsrisiko Rechnung trägt, und sich an dem Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt (BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 102 m. w. N.). Insofern überwiegt hier das öffentliche Interesse an der Verhinderung von Missbrauch der Gesundheitskarte und letztlich an der Funktionsfähigkeit der gesetzlichen Krankenversicherung; den Gesetzgeber trifft eine Beobachtungspflicht und gegebenenfalls die Pflicht zur Nachbesserung bei in der Praxis zu Tage tretenden Sicherheitslücken hinsichtlich des Datenschutzes.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 27.01.2022
S 24 KA 166/20
Das SG Stuttgart hat entschieden, dass die Pflicht von Vertragsärzten zum Anschluss an die Telematikinfrastruktur nicht gegen die Vorgaben der DSGVO verstößt.
Aus den Entscheidungsgründen:
"Der Kläger argumentiert zunächst mit Verstößen gegen die DSGVO. Insofern kann mit der Rechtsprechung des Bundessozialgerichts dahin gestellt bleiben, ob diese unmittelbar oder über § 35 Abs. 2 Satz 2 Erstes Buch Sozialgesetzbuch (SGB I) entsprechend Anwendung findet (vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 25 f.), denn § 291 Abs. 2b Satz 3, Satz 14 SGB V aF stehen mit den Vorgaben der DSGVO auch bei deren unmittelbarer Anwendung als höherrangigem Recht in Einklang.
Konkret geht es im vorliegenden Verfahren für das Quartal 1/2019 um die Durchführung des Online-VSD-Abgleichs, also einer Abfrage der von den Krankenkassen gemäß § 284 Abs. 1 Satz 1 Nr. 2 SGB V auf der elektronischen Gesundheitskarte gespeicherten Daten (§ 291 Abs. 2 SGB V aF) sowie gegebenenfalls deren Aktualisierung. Dazu werden die Informationen auf der elektronischen Gesundheitskarte beim erstmaligen Arztbesuch des Versicherten im Quartal online unter Nutzung der TI mit den Informationen abgeglichen, die bei der Krankenkasse hinterlegt sind. Stimmen die Angaben nicht überein, werden veraltete Daten auf der elektronischen Gesundheitskarte überschrieben. Hierbei handelt es sich um einen überschaubaren Datenverarbeitungsprozess der Daten, die zuvor bereits von den Krankenkassen erhoben worden sind und die auf die elektronische Gesundheitskarte übertragen werden. Es geht nicht um Daten, die durch den Vertragsarzt erhoben werden (Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 32).
Die Verarbeitung dieser personenbezogenen Daten bei Einlesen und Abgleich der elektronischen Gesundheitskarte durch den Kläger ist nach Art. 6 Abs. 1 DSGVO zulässig. Art. 6 Abs. 1 Satz 1 DSGVO erlaubt die Verarbeitung personenbezogener Daten u. a. dann, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Buchst c und e).Für die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer wie den Kläger sind die Überprüfung der Leistungspflicht der Krankenkasse unter Nutzung der elektronischen Gesundheitskarte und der von der Krankenkasse zur Verfügung gestellten Dienste einschließlich der Online-Abgleich und ggf. die Online-Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten in § 291 Abs. 2b Satz 3, Satz 4 SGB V aF verpflichtend angeordnet (Art. 6 Abs. 1 Satz 1 c DSGVO). Die Verarbeitung der auf Daten erfolgt gemäß Art 6 Abs. 1 e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (vgl. zum Vorstehenden BSG, Urteil vom 20.01.2021, Az. B 1 KR7/20 R, juris, Rdnr. 30 f.).
Einschlägig für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der elektronischen Gesundheitskarte sind die nationalen Vorschriften der § 35 Abs. 2 Satz 1 SGB I, § 67a Abs. 1 und § 67b Abs. 1 SGB X, § 15 Abs. 2 und §§ 284, 291, 291a, 291b SGB V aF. Aus ihnen ergibt sich auch der von Art. 6 Abs. 3 Satz 2 DSGVO geforderte Zweck der Datenverarbeitung. Die elektronische Gesundheitskarte dient mit den in § 291 Abs. 2 SGB V aF genannten Angaben dem Nachweis der Berechtigung zur Inanspruchnahme von Leistungen im Rahmen der vertragsärztlichen Versorgung (Versicherungsnachweis). Sie erschwert dadurch den Leistungsmissbrauch und dient der Abrechnung mit den Leistungserbringern, was der finanziellen Stabilität der gesetzlichen Krankenversicherung zugutekommt (BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 30 - 45). Der von dem Kläger durchzuführende VSD-Abgleich ermöglicht es, die Aktualität und Zuordnung der elektronischen Gesundheitskarte zum jeweiligen Karteninhaber zu überprüfen, und damit ungültige sowie als verloren oder gestohlen gemeldete Karten zu identifizieren, um so Missbrauch zu verhindern (BT-Drs. 17/2170, S. 38). Weiter dient die Aktualisierung bzw. Berichtigung von auf der Karte gespeicherten Daten auch dem Wirtschaftlichkeitsgebot (BSG, Urteil vom 18.11.2014, Az. B 1 KR 35/13 R, juris, Rdnr. 27). Ein im öffentlichen Interesse liegendes Ziel liegt damit vor.
Die mit dem VSD-Abgleich verbundene Datenverarbeitung wahrt auch den Grundsatz der Verhältnismäßigkeit nach Art. 6 Abs. 3 Satz 4 DSGVO (vgl. dazu BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 47 f.).
Die Verarbeitung der Daten beim VSD-Abgleich ist auch mit Art. 9 DSGVO vereinbar. Soweit dabei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO grundsätzlich nicht verarbeitet werden dürfen, liegt hier eine Ausnahmevorschrift nach Art. 9 Abs. 2 h DSGVO vor, denn die Verarbeitung ist für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage der §§ 67a Abs. 1 Satz 2, 67b Abs. 1 Satz 2 SGB X, 291 f. SGB V aF erforderlich (s. dazu, auch zur Erforderlichkeit, BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 66 f.).
Der Kläger hat hier insbesondere Verstöße gegen die seiner Ansicht nach unzureichende Sicherheit der Datenverarbeitung und damit gegen Art. 5 Abs. 1 f, Art. 32 DSGVO, die angeblich ungeklärte Verantwortlichkeit der Datenverarbeitung und fragliche Mitverantwortung der G. nach Art. 26 DSGVO (Verstoß gegen Art. 5 Abs. 1, 2 und Art. 24 Abs. 1 DSGVO) sowie die fehlende Datenschutzfolgenabwägung nach Art. 35 DSGVO geltend gemacht.
a) Ein Verstoß gegen den Grundsatz der angemessenen Sicherheit der Datenverarbeitung nach Art. 5 Abs. 1 f DSGVO ist nicht ersichtlich. Es muss eine angemessene Sicherheit personenbezogener Daten gewährleistet werden, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dazu gehört auch, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Wie das Bundessozialgericht erneut ausdrücklich festgestellt hat, kann es eine absolute Datensicherheit jedoch nicht geben. Insofern werden die zu ergreifenden Sicherheitsmaßnahmen durch den in Art. 24 DSGVO zum Ausdruck kommenden Verhältnismäßigkeitsgrundsatz beschränkt (BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 76 m. w. N.). Dabei verfolgt die DSGVO einen risikobasierten Ansatz. Abhängig vom spezifischen Risiko der Datenverarbeitung und dessen Eintrittswahrscheinlichkeit hat der jeweils Verantwortliche die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Näher konkretisiert werden diese allgemeinen Vorgaben in Art. 25, 32 und 35 DSGVO.
Nach Art. 32 Abs. 1 DSGVO sind der Verantwortliche und der Auftragsverarbeiter verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mögliche Maßnahmen sind dabei u. a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Diese Anforderungen werden hier erfüllt. Denn auch vor Inkrafttreten des PDSG enthielt § 291b SGB V aF Vorschriften zur TI, durch die die beispielhaft aufgezählten Sicherheitsvorgaben der DSGVO im Einzelnen hinreichend umgesetzt und konkretisiert werden. Zentrale und koordinierende Aufgaben wies der Gesetzgeber hierbei der Gesellschaft für T., der G., zu (§ 291a Abs. 7 Satz 1, Satz 2 SGB V aF - in der Fassung vom 20.11.2019). Zum Zeitpunkt der Widerspruchsentscheidung am 11.12.2019 bildeten die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene eine Gesellschaft für T. nach Maßgabe des § 291b SGB V aF, die die Regelungen zur Telematikinfrastruktur trifft sowie deren Aufbau und Betrieb übernimmt (§ 291a Abs. 7 Satz 1, Satz 2 SGB V aF).Die Bundesrepublik Deutschland nimmt in der G. die Stellung einer Mehrheitsgesellschafterin mit 51 Prozent der Gesellschaftsanteile ein. Die Gesellschaft fasst ihre Beschlüsse grundsätzlich mit einfacher Mehrheit (§ 291b Abs. 4 Satz 1 Nr. 1, Nr. 2 SGB V aF). Insofern hat die Bundesrepublik, vertreten durch das Bundesministerium für Gesundheit, wesentlichen Einfluss auf den Entscheidungsprozess."
Im Rahmen der Aufgaben hat die G. nach § 291b Abs. 1 Satz 1 SGB V aF
1. die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,
2. Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,
3. Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,
4. die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und
5. Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung
a) der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und
b) der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3.
Die G. ist damit gesetzlich verpflichtet, Vorgaben für die Datensicherheit beim Betrieb der TI zu erstellen und deren Umsetzung zu überwachen. Dass die G. ihren Aufgaben ordnungsgemäß nachkommt, wird auch dadurch gewährleistet, dass sie in deutlichem Umfang der Kontrolle durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterliegt und auch der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu beteiligen ist: So muss die G. nach § 291b Abs. 1 Satz 3 SGB V aF, soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt werden, diese im Einvernehmen mit dem BSI treffen. Die Gesellschaft für T. hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen (§ 291b Abs. 1 Satz 4 SGB V aF). Bei der Zulassung von Komponenten und Diensten der TI durch die G. ist der Nachweis der Sicherheit nach den Vorgaben des BSI durch eine Sicherheitszertifizierung zu erbringen. Das BSI entwickelt und veröffentlich dazu geeignete Prüfvorschriften. Näheres zum Zulassungsverfahren und zu den Prüfkriterien wird von der G. in Abstimmung mit dem BSI beschlossen (§ 291b Abs. 1a Satz 5 - 7 SGB V aF). Vor Beschlussfassung der G. zu den Regelungen, dem Aufbau und dem Betrieb der TI ist dem BfDI und dem BSI Gelegenheit zur Stellungnahme zu geben, wenn Belange des Datenschutzes oder der Datensicherheit berührt sind (§ 291b Abs. 4 Satz 2 SGB V aF; vgl. auch den Hinweis darauf bei SG München, Beschluss vom 22.03.2019, Az. S 38 KA 52/19 ER, juris, Rdnr. 24). Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der TI ausgeht, ist die G. in Abstimmung mit dem BSI befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die G. zu melden. Die G. hat die ihr gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der TI führen können oder bereits geführt haben, unverzüglich an das BSI zu melden, und kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur TI sperren oder den weiteren Zugang zur TI nur unter der Bedingung gestatten, dass die von der G. angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden (§ 291b Abs. 6 SGB V aF). Nach § 291b Abs. 7 SGB V aF kann die G. für Komponenten und Dienste, die die TI nutzen, aber außerhalb der TI betrieben werden, in Abstimmung mit dem BSI solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der TI zu gewährleisten. Die G. legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Nach § 291b Abs. 8 Satz 1 SGB V aF legt die G. dem BSI auf Verlangen die folgenden Unterlagen und Informationen vor:
1. die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,
2. eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3. sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.
Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das BSI der G. verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen; die G. wiederum ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen (§ 291b Abs. 8 Satz 2, Satz 3 SGB V aF).
Im Ergebnis wird so eine kontinuierliche Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben durch die G. und die Anbieter von Diensten und Anwendungen im Rahmen der TI hinreichend gewährleistet (vgl. Art 32 Abs. 1 Buchst d DSGVO). Die enge Einbindung des BSI in den gesamten Verfahrensablauf beim Ausbau und Betrieb der TI sichert zudem die durch Art. 32 Abs. 1 DSGVO angeordnete Berücksichtigung des Stands der Technik (vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 87).
Der Gesetzgeber hat damit nach den Vorgaben der DSGVO hinreichend Vorkehrungen zur Gewährleistung der Datensicherheit im Zusammenhang mit der elektronischen Gesundheitskarte und der TI getroffen; dass nunmehr mit dem PDSG weitere Spezifizierungen und Verschärfungen in punkto Datenschutz und Datensicherheit erfolgt sind, beweist entgegen der Ansicht des Klägers nicht, dass die §§ 291 f. SGB V aF im hier streitigen Quartal gegen Art. 5 Abs. 1 f, Art. 32 DSGVO verstießen, sondern dass der Gesetzgeber seiner Beobachtungs- und Nachbesserungspflicht nachgekommen ist, auf sich in der Praxis zeigende Sicherheitslücken zu reagieren (BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 101; Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 33). Wie bereits ausgeführt, ist eine absolute Datensicherheit weder möglich, noch im Sinne der DSGVO erforderlich.
b) Weiter liegt entgegen der Ansicht des Klägers kein Verstoß gegen Art. 5 Abs.1, Abs. 2, 24, 26 Abs. 1 Satz 2 DSGVO wegen der ungeklärten Verantwortlichkeit in der dezentralen Zone der TI im Quartal 1/2019 vor, sodass auch sein Vortrag zu etwaigen Haftungsproblematiken nicht relevant ist. Dem Kläger ist zwar zuzugeben, dass eine ausdrückliche gesetzliche Regelung (auf mitgliedstaatlicher Ebene) mit § 307 SGB V nF erst mit Geltung ab dem 20.10.2020 und damit nach dem hier streitigen Quartal mit dem PDSG geschaffen wurde (Gesetzesentwurf der Bundesregierung, BT-Drs. 19/18793, S. 100: „Zur Klarstellung der Rollen der Beteiligten…“) und die Rechtslage hinsichtlich der Frage des Verantwortlichen im Quartal 1/2019 strittig war (vgl. dazu Beschluss der DSK vom 12.09.2019; Tätigkeitsbericht des BfDI 2017-2018, S. 59; Tätigkeitsbericht des BfDI 2019, S. 26; Stellungnahme des Bundesrates, 20.05.2020, BT-Drs. 19/19365, S. 4 f).
Es ist nicht ersichtlich, dass die maßgeblichen Regelungen in §§ 291 Abs. 2b Satz 3, Satz 14 SGB V aF rechtwidrig wären, weil dort keine explizite Festlegung der Verantwortlichkeiten erfolgt. Eine solche Benennung der Verantwortlichkeit im Recht der Mitgliedstaaten ist nach Art. 4 Nr. 7 DSGVO zwar unter bestimmten Voraussetzungen möglich, aber nicht erforderlich.
Im Übrigen ist auch kein Verstoß gegen den Bestimmtheitsgrundsatz wegen fehlender Bestimmbarkeit des Verantwortlichen ersichtlich. Denn anhand der Regelungen der DSGVO ist der Verantwortliche festgelegt und bestimmbar. In Art. 4 Nr. 7 DSGVO wird festgelegt, dass Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Die Pflichten des Verantwortlichen ergeben sich u. a. aus Art. 24 DSGVO.
Legen nach Art. 26 Abs. 1 Satz 1 DSGVO zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche für eine Verarbeitung. Mittel der Datenverarbeitung sind die organisatorischen und technischen Mittel, mit denen die Datenverarbeitung durchgeführt wird. Darunter fallen die für die Datenverarbeitung genutzte Hard- und Software und der Einsatz von Personal. Das wesentliche Merkmal ist jedoch die Entscheidungsbefugnis über den Zweck, d. h. über das Ob, Wofür und Wieweit einer Datenverarbeitung (Kühling/Buchner/Hartung, 2. Aufl. 2018, DS-GVO Art. 4 Nr. 7, Rdnr. 13). Eine gemeinsame Verantwortlichkeit ist danach nicht gegeben, wenn zwei Verantwortliche gemeinsam etwa nur die Mittel festlegen (Gola DS-GVO/Gola, 2. Aufl. 2018, DS-GVO Art. 4, Rdnr. 51).
Für gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO werden konkrete technische Einflussnahmen oder eine eigene unmittelbare Nutzung der Ergebnisse der Datenverarbeitung nicht verlangt. Ausreichend sind eine gewisse Kausalität, die Einflussnahme auf die Tätigkeit und insbesondere übereinstimmende Interessen an der Datenverarbeitung (Kühling/Buchner/Hartung, 3. Aufl. 2020, DS-GVO Art. 26, Rdnr. 37, unter Hinweis auf EuGH, Urteil vom 10.7.2018, Az. C-25/17, ZD 2018, 469 – Z.J.) bzw. eine gewisse Mitwirkung an der Entscheidung über Zweck oder Mittel der Datenverarbeitung und dass bei der Datenverarbeitung übereinstimmende Eigeninteressen verfolgt werden (EuGH, Urteil vom 29.7.2019, Az. C-40/17, ZD 2019, 455 – F. ID).
Eine entsprechende Entscheidungsgewalt der G. ist allenfalls bei den Mitteln der Datenverarbeitung ersichtlich, da sie die von den Herstellern entwickelten TI-Komponenten spezifiziert und zulässt sowie den Betrieb koordiniert. Entscheidungen über den Zweck, über das Ob, Wofür und Wieweit einer Datenverarbeitung, trifft die G. jedoch nicht. Eine bloß organisatorische und koordinierende Hoheit kann eine Verantwortlichkeit nur insoweit indizieren, als die operative handelnde Person im Eigeninteresse tätig wird. Die G. hat jedoch kein Eigeninteresse an der Verarbeitung der Versichertenstammdaten in der dezentralen Zone, sondern erfüllt nur ihre gesetzlichen Aufgaben (so auch Gutachterliche Stellungnahme des Prof. Dr. Heckmann für den Ausschuss für Gesundheit des Deutschen Bundestags, Ausschuss-Drs. 19(14)164(25)).
c) Ein Verstoß gegen Art. 35 Abs. 1 Satz 1 DSGVO mit der etwaigen Folge einer Haftungsproblematik des Klägers ist ebenfalls nicht ersichtlich. § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verhält sich zur Frage einer Datenschutz-Folgenabschätzung nicht.
Art. 35 Abs. 1 Satz 1 DSGVO verpflichtet den Verantwortlichen für den Fall, dass eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgenabschätzung).
Dass die Verarbeitung der Daten anhand einer Risikoprognose – hinsichtlich der genannten vier Attribute - im Rahmen des VSD-Abgleichs in der Praxis des Klägers voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist für die Kammer nicht ersichtlich. Zudem ist der in Erwägungsgrund 91 der DSGVO genannte Sonderfall einschlägig, wonach u. a. der Berufsstand des Arztes privilegiert wird: Sofern die Verarbeitung personenbezogene Daten von Patienten betrifft sowie durch einen einzelnen Verantwortlichen erfolgt, soll sie nicht als umfangreich und damit riskant gelten (vgl. Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO, Art. 35, Rdnr. 10). Eine umfangreiche Verarbeitung von Gesundheitsdaten ist zu verneinen (wie auch in den meisten anderen Arztpraxen; vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 84).
3. § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verstößt auch nicht gegen Verfassungsrecht. In Betracht kommt allein ein Verstoß gegen die Berufsausübungsfreiheit des Klägers aus Art. 12 Abs. 1 GG. Durch Art. 12 Abs. 1 GG ist dem Einzelnen das Recht gewährt, jede Tätigkeit, für die er sich geeignet glaubt, als Beruf zu ergreifen und zur Grundlage seiner Lebensführung zu machen. Die Vorschrift konkretisiert das Grundrecht auf freie Entfaltung der Persönlichkeit im Bereich der individuellen Leistung und Existenzerhaltung und zielt auf eine möglichst unreglementierte berufliche Betätigung ab. Sie formuliert ein einheitliches Grundrecht der Berufsfreiheit, dessen verschiedene Gewährleistungen allerdings insofern Bedeutung haben, als an die Einschränkungen der Berufswahl höhere Anforderungen gestellt werden als an die Einschränkung der Berufsausübung (BVerfG, Beschluss vom 20.03.2001, Az. 1 BvR 491/96, juris, Rdnr. 36 f.). Hier kommt, da es nicht zum Zugang zum Beruf geht, allein die Berufsausübungsfreiheit in Betracht.
Eine Einschränkung der Berufsausübungsfreiheit des Klägers kann hier nur darin liegen, dass er in § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verpflichtet wird, den Abgleich der VSD über die TI durchzuführen und andernfalls ein einprozentiger Honorarabzug im Quartal durchgeführt wird. Derartige Berufsausübungsregelungen sind zulässig, wenn sie auf einer gesetzlichen Grundlage beruhen (Art. 12 Abs. 1 Satz 2 GG), wenn sie durch vernünftige Gründe des Gemeinwohls gerechtfertigt sind, die gewählten Mittel zur Erreichung des verfolgten Zwecks geeignet und erforderlich sind und die durch sie bewirkte Grundrechtsbeschränkung dem Betroffenen zumutbar ist (BVerfG, Nichtannahmebeschluss vom 10.04.2000, Az. 1 BvR 422/00, juris, Rdnr. 21, m. w. N.).
Diese Voraussetzungen liegen hier zur Überzeugung der Kammer vor (so im Ergebnis auch Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 33 f.)
Eine gesetzliche Grundlage der Verpflichtung des Klägers liegt vor. Der vom Gesetzgeber verfolgte Zweck - die Verhinderung von Missbrauch der elektronischen Gesundheitskarten durch Dienste, mit denen die Leistungserbringer die Gültigkeit und Aktualität der Daten nach den bei den Krankenkassen online überprüfen und auf der elektronischen Gesundheitskarte aktualisieren können, und damit letztlich der Erhalt der finanziellen Stabilität der gesetzlichen Krankenversicherung (BSG, Urteil vom 20.01.2020, Az. B 1 KR 7/20 R, juris, Rdnr. 98) - ist als legitim anzusehen; die Durchführung des VSD-Abgleichs ist dafür auch geeignet und erforderlich. Ob die vom Kläger vorgeschlagene Möglichkeit eines Abgleichs mit Barcode-Scanner-Technologie als milderes Mittel anzusehen ist, kann hier dahinstehen; die Kammer geht unter Berücksichtigung der Einschätzungsprärogative des Gesetzgebers davon aus, dass dies jedenfalls nicht gleich wirksam ist, zumal die (teils noch in Planung befindlichen) weiteren Aufgaben der TI so nicht verwirklicht werden könnten.
Der Eingriff ist auch verhältnismäßig im engeren Sinne. Die Sicherung der finanziellen Stabilität und damit der Funktionsfähigkeit der gesetzlichen Krankenversicherung ist ein Gemeinwohlbelang von hohem Rang (vgl. BVerfGE 68, 193, 218). Zur Verwirklichung dieses Ziels darf der Gesetzgeber gerade auch die Leistungserbringer innerhalb der vertragsärztlichen Versorgung in die Pflicht nehmen, denen andererseits besondere Vorteile durch die Einbeziehung in das öffentlich-rechtliche System des Vertragsarztrechts erwachsen. Im Rahmen ihrer Einbeziehung unterliegen sie in erhöhtem Maße der Einwirkung sozialstaatlicher Gesetzgebung, durch die zur Sicherung der finanziellen Stabilität in das System regulierend eingegriffen wird (vgl. BVerfGE 68, 193, 221).
Entgegen des Vortrags des Klägers wird er nicht „in einen datenschutzrechtlich rechtswidrigen Zustand, verbunden mit der Mithaftung und dem Bußgeldrisiko“ gezwungen, sondern die angegriffenen Regelungen stehen grundsätzlich im Einklang mit der DSGVO (s. o.). Auch wenn die vom Kläger geltend gemachten Sicherheitsrisiken für die Verarbeitung von Patienten- bzw. Gesundheitsdaten im Einzelfall z. B. aufgrund eines Hacker-Angriffs nicht jederzeit ausgeschlossen werden können, liegt auch der Rechtsprechung des BVerfG zugrunde, dass es keine absolute Datensicherheit gibt und dass allein dieser Umstand die automatisierte Verarbeitung personenbezogener Daten nicht verbietet, solange ein Standard gewährleistet wird, der der Sensibilität der betroffenen Daten und dem jeweiligen Gefährdungsrisiko Rechnung trägt, und sich an dem Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt (BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 102 m. w. N.). Insofern überwiegt hier das öffentliche Interesse an der Verhinderung von Missbrauch der Gesundheitskarte und letztlich an der Funktionsfähigkeit der gesetzlichen Krankenversicherung; den Gesetzgeber trifft eine Beobachtungspflicht und gegebenenfalls die Pflicht zur Nachbesserung bei in der Praxis zu Tage tretenden Sicherheitslücken hinsichtlich des Datenschutzes.
Den Volltext der Entscheidung finden Sie hier: