(Fundstelle: BGBl. I 2021, 1350 – 1361)
- 1
- Zusammenfassung
Diese Anlage enthält die Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 der Verordnung (EU) 2016/679 (DSGVO) gemäß § 307 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch (SGB V).
Die Datenschutz-Folgenabschätzung dieser Anlage betrachtet ausschließlich die von der Gesellschaft für Telematik zugelassenen Komponenten der dezentralen Telematikinfrastruktur (TI) nach § 306 Absatz 2 Nummer 1 SGB V. Da diese dezentralen Komponenten jedoch nur einen Teilbereich der gesamten IT-Unterstützung beim Leistungserbringer darstellen und der Leistungserbringer regelmäßig weitere Betriebsmittel nutzen wird, hat der Leistungserbringer zu prüfen, ob nach Artikel 35 DSGVO für diese weiteren Betriebsmittel eine ergänzende Datenschutz-Folgenabschätzung durchzuführen ist.
Ergebnis der Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V):
Die korrekte Nutzung einer von der Gesellschaft für Telematik gemäß § 325 SGB V zugelassenen Komponente der dezentralen Infrastruktur der TI nach § 306 Absatz 2 Nummer 1 SGB V ist geeignet, ein Schutzniveau zu gewährleisten, das dem hohen Risiko entspricht, welches aus der Datenverarbeitung für die Rechte und Freiheiten der Betroffenen folgt, sofern die Komponenten vom Leistungserbringer gemäß Betriebshandbuch betrieben werden und der Leistungserbringer für seine Ablauforganisation sowie die weiteren genutzten dezentralen Betriebsmittel (z. B. IT-gestützter Arbeitsplatz, aktive Netzwerkkomponenten) die Vorschriften zum Schutz personenbezogener Daten einhält.
Die technischen Maßnahmen der Komponenten der dezentralen Infrastruktur der TI zur Gewährleistung der Datensicherheit werden gemäß § 311 Absatz 2 SGB V im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt und wirken den Risiken für die Rechte und Freiheiten der Betroffenen angemessen entgegen. Die korrekte Implementierung dieser Maßnahmen in den Komponenten der dezentralen Infrastruktur der Hersteller wird der Gesellschaft für Telematik im Rahmen des Zulassungsprozesses gemäß § 325 SGB V nachgewiesen.
Die in dieser Anlage betrachteten Verarbeitungsvorgänge der dezentralen Komponenten der TI entsprechen den konkreten Verarbeitungsvorgängen in den Komponenten der dezentralen TI eines Leistungserbringers. Die Komponenten der dezentralen TI stellen technisch sicher, dass Leistungserbringer mit diesen Komponenten ausschließlich die in dieser Anlage betrachteten Verarbeitungsvorgänge durchführen können. Es ist mit diesen Komponenten nicht möglich, darüber hinausgehende oder abweichende Verarbeitungsvorgänge durchzuführen. Zur Verhinderung einer negativen Beeinflussung der Verarbeitungen in den Komponenten besitzen die Komponenten geprüfte Schutzmaßnahmen. Die konkrete Einsatzumgebung der Komponenten der dezentralen TI ist spezifisch für den jeweiligen Leistungserbringer; für diese hat der Leistungserbringer daher erforderlichenfalls eine eigene ergänzende Datenschutz-Folgenabschätzung durchzuführen. - 2
- Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V)
Die Datenschutz-Folgenabschätzung für die Komponenten der dezentralen Infrastruktur der TI gemäß § 306 Absatz 2 Nummer 1 SGB V basiert auf den Kriterien der „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 ,wahrscheinlich ein hohes Risiko mit sich bringt‘ (Artikel 29 WP 248 Rev. 1)“ der Datenschutzgruppe nach Artikel 29 (nun Europäischer Datenschutzausschuss; der Europäische Datenschutzausschuss hat die mit der Datenschutz-Grundverordnung zusammenhängenden Leitlinien der Artikel-29-Datenschutzgruppe – darunter die soeben genannte – bei seiner ersten Plenarsitzung bestätigt, so dass diese fortgelten). - 2.1
- Systematische Beschreibung der Verarbeitungsvorgänge (Artikel 35 Absatz 7 Buchstabe a DSGVO)
Mittels der Komponenten der dezentralen TI nutzen Leistungserbringer Anwendungen der TI, Dienste der zentralen TI oder der Anwendungsinfrastruktur der TI sowie über die TI erreichbare Anwendungen bzw. Dienste. Die Komponenten bieten den Leistungserbringern zudem Funktionen zur Ver- bzw. Entschlüsselung und Signatur von Daten.
Die Gesellschaft für Telematik und die Krankenkassen stellen Informationsmaterial öffentlich zur Verfügung, in dem die Funktionsweise der Anwendungen der TI erklärt wird. Zudem veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite die Spezifikationen, auf deren Basis die Komponenten und Dienste der TI entwickelt und zugelassen werden müssen. - 2.1.1
- Kategorien von Verarbeitungsvorgängen
Die Verarbeitungsvorgänge in der dezentralen Infrastruktur lassen sich in drei Kategorien unterteilen:Kategorie 1: (ausschließlich) Transport von Daten ohne weitere VerarbeitungKategorie 2: Weitere Verarbeitung (betrifft ausschließlich Verschlüsselung, Signatur, Authentifizierung)Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen.
Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung
Diese Kategorie umfasst alle Verarbeitungsvorgänge, in denen einer Komponente der dezentralen Infrastruktur personenbezogene Daten übergeben werden (z. B. vom Primärsystem) und in denen die Komponente der dezentralen Infrastruktur die übergebenen Daten unverändert an die vorgesehene Empfängerkomponente weiterleitet.
Empfängerkomponenten können Teil der zentralen TI, der Anwendungsinfrastruktur der TI oder eines an die TI angeschlossenen Netzes sein. Empfängerkomponenten können selbst Teil der dezentralen Infrastruktur sein (z. B. Kartenterminals).
Die Komponente der dezentralen Infrastruktur übernimmt für diese Verarbeitungsvorgänge lediglich eine Weiterleitungsfunktion. Eine weitere Verarbeitung der transportierten Daten erfolgt nicht.
Zu dieser Kategorie gehören insbesondere Verarbeitungsvorgängeder weiteren Anwendungen nach § 327 SGB V,der sicheren Übermittlungsverfahren nach § 311 Absatz 1 Nummer 5 SGB V sowieder Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 2, 6 und 7 SGB V.
Kategorie 2: Weitere Verarbeitung (Verschlüsselung, Signatur, Authentifizierung)
Zu dieser Kategorie gehören die Ver- und Entschlüsselungen sowie die Signaturoperationen, die mittels der Verschlüsselungs- und Signaturfunktionen der dezentralen Infrastruktur durchgeführt werden. Hier werden die zu verschlüsselnden bzw. zu entschlüsselnden Daten sowie die zu signierenden Daten übergeben. Es erfolgt keine über die Ver- bzw. Entschlüsselung bzw. Signatur hinausgehende Verarbeitung in den Komponenten der dezentralen Infrastruktur.
Die Funktionen zur Ver- und Entschlüsselung sowie der Signatur können durch Anwendungen der Kategorie 1 und 3 genutzt werden.
Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen
In diesen Verarbeitungsvorgängen werden die einer Komponente der dezentralen Infrastruktur übergebenen Daten in der dezentralen Infrastruktur anwendungsspezifisch verarbeitet, d. h. die Verarbeitung ist im Gegensatz zu den bisherigen Kategorien nicht auf den Transport, die Ver- und Entschlüsselung oder die Signatur beschränkt.
Zu dieser Kategorie gehören die Verarbeitungsvorgängedes Versichertenstammdatenmanagements nach § 291b SGB V sowieder Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 3 bis 5 SGB V. - 2.1.2
- Systematische Beschreibung
Die systematische Beschreibung hat nach Erwägungsgrund (ErwG) 90 sowie Artikel 35 Absatz 7 Buchstabe a und Absatz 8 DSGVO sowie nach den „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 ,wahrscheinlich ein hohes Risiko mit sich bringt‘“ der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten: - 2.2
- Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstabe b DSGVO)
Im Rahmen der Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge müssen nach den ErwGen 90 und 96, nach Artikel 35 Absatz 7 Buchstabe b und d DSGVO sowie nach den „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 ,wahrscheinlich ein hohes Risiko mit sich bringt‘“ der Artikel-29-Datenschutzgruppe (WP 248) Maßnahmen zur Einhaltung der Verordnung bestimmt werden, wobei Folgendes berücksichtigt werden muss:
Maßnahmen im Sinne der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung (Artikel 5 und 6 DSGVO) sowieMaßnahmen im Sinne der Rechte der Betroffenen (Artikel 12 bis 21, 28, 36 und Kapitel V DSGVO). - 2.3
- Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstabe c DSGVO)
Die Risiken für die Rechte und Freiheiten der betroffenen Personen sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (ErwGe 76, 77, 84 und 90 DSGVO). Nach den ErwGen 75 und 85 DSGVO sind unter anderem die potentiellen Risiken dieses Abschnitts genannt.
Risikoquellen sind
beim Leistungserbringer tätige Personen inklusive des Leistungserbringers als Verantwortlicher, die unbeabsichtigt und unbewusst den zulässigen Rahmen der Verarbeitung überschreiten könnten,
Angreifer, die bewusst aus der Umgebung des Leistungserbringers in die Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen,
Angreifer, die bewusst von außerhalb der Leistungserbringerumgebung in die Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen,
Hersteller der Komponenten der dezentralen TI sowie
technische Fehlfunktionen der Komponenten der dezentralen TI.
Da in den Komponenten der dezentralen TI besondere Kategorien personenbezogener Daten verarbeitet werden, besteht ein hohes Ausgangsrisiko für die Rechte und Freiheiten natürlicher Personen. Das hohe Ausgangsrisiko wird durch die Abhilfemaßnahmen in Abschnitt 2.4 auf ein angemessenes Risiko gesenkt, falls die dezentralen Komponenten vom Leistungserbringer gemäß Betriebshandbuch betrieben werden. Durch die Anwendung der in § 75b SGB V geforderten Richtlinie zur IT-Sicherheit, die IT-Sicherheitsanforderungen an Krankenhäuser nach § 391 SGB V und die Anforderungen an die Wartung von Diensten gemäß § 332 SGB V werden Risiken im Betrieb der dezentralen Komponenten der TI wesentlich gesenkt.
Da die Maßnahmen der Komponenten der dezentralen TI zur Gewährleistung der Datensicherheit in gleicher Weise auf alle in den Komponenten verarbeiteten personenbezogenen Daten wirken und nicht spezifisch für einzelne Verarbeitungsvorgänge sind, erfolgt die Bewertung der Angemessenheit der Abhilfemaßnahmen der Komponenten hinsichtlich der Daten, deren Verarbeitung die höchsten Risiken für die Betroffenen bedeutet, nach dem Maximum-Prinzip. Es handelt sich hierbei um die personenbezogenen Daten nach Artikel 9 Absatz 1 DSGVO der Versicherten. Nach diesen Daten bestimmen sich die in den Komponenten zu treffenden Abhilfemaßnahmen. Die Abhilfemaßnahmen sind dann ebenfalls angemessen für die Verarbeitung der weniger sensiblen Daten.
Die Risikobewertung orientiert sich am Standard-Datenschutzmodell (SDM) der Aufsichtsbehörden für den Datenschutz und den dort definierten Gewährleistungszielen. Die Schadens- und Eintrittswahrscheinlichkeitsstufen sowie die Risikomatrix orientieren sich am DSK-Kurzpapier Nummer 18 „Risiko für die Rechte und Freiheiten natürlicher Personen“ i.V.m. der ISO/IEC 29134:2017 zum Privacy Impact Assessment. In der folgenden Tabelle werden die einzelnen Risiken identifiziert, inklusive Schadenshöhe, Schadensereignissen, betroffenen Gewährleistungszielen des Standard-Datenschutzmodells und Eintrittswahrscheinlichkeit. Die Bewertung der Eintrittswahrscheinlichkeit erfolgt unter Berücksichtigung der referenzierten Abhilfemaßnahmen, die detailliert in Abschnitt 2.4 beschrieben sind. - 2.4
- Abhilfemaßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO)
Gemäß Artikel 35 Absatz 7 Buchstabe d DSGVO sind zur Bewältigung der Risiken Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, umzusetzen, durch die die Risiken für die Rechte der Betroffenen eingedämmt werden und der Schutz personenbezogener Daten sichergestellt wird.
Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den ErwGen 28, 78 und 83 DSGVO genannt:
Die Abhilfemaßnahmen sind für alle Risikoquellen anwendbar. Technischen Fehlfunktionen der Komponenten der dezentralen TI wird im Rahmen der Zulassung durch funktionale Tests und Sicherheitsüberprüfungen entgegengewirkt. - 2.5
- Einbeziehung betroffener Personen
Gemäß § 311 Absatz 2 SGB V hat die Gesellschaft für Telematik die Festlegungen und Maßnahmen nach § 311 Absatz 1 Nummer 1 SGB V im Benehmen mit dem BSI und dem BfDI zu treffen. Die Aufgaben der Gesellschaft für Telematik nach § 311 Absatz 1 Nummer 1 SGB V umfassen hierbei insbesondere auch die Erstellung der funktionalen und technischen Vorgaben und die Zulassung der Komponenten der dezentralen Infrastruktur der TI.
Vertreter der Leistungserbringer sind als Gesellschafter der Gesellschaft für Telematik ebenfalls in die Erstellung der Vorgaben der dezentralen Infrastruktur der TI einbezogen.
Die Spezifikationen der Komponenten der dezentralen Infrastruktur der TI werden auf der Internetseite der Gesellschaft für Telematik veröffentlicht. Dadurch wird auch die Öffentlichkeit (u. a. Experten für Sicherheit und Datenschutz sowie Landesdatenschutzbehörden) einbezogen, so dass jederzeit die Möglichkeit der Prüfung der festgelegten Maßnahmen besteht.