Einführung der Gesundheitskarte

Transkript

1 Einführung der Gesundheitskarte Übergreifendes Datenschutzkonzept der Gesundheitstelematik Version: Revision main/rel_main/4 Stand: Status: freigegeben gematik_ds_datenschutzkonzept.doc Seite 1 von 156

2 Dokumentinformationen Änderungen zur Vorversion Es handelt sich um eine Erstveröffentlichung. Das übergreifende Datenschutzkonzept der Gesundheitstelematik fokussiert sich in der vorliegenden Version auf die Datenschutzanforderungen. Große Teile dieser Anforderungen wurden bereits im übergreifenden Sicherheitskonzept [gemsiko] in der Version veröffentlicht. Die hier übernommenen Datenschutzanforderungen werden nach Veröffentlichung des Datenschutzkonzeptes aus dem Sicherheitskonzept entfernt. Geänderte bzw. hinzugekommene Datenschutzanforderungen, die noch nicht im Sicherheitskonzept standen, sind im Anhang B farblich markiert. Eine Überarbeitung der aus dem Sicherheitskonzept übernommenen Anforderungen erfolgte bewusst nicht in dieser Version des Datenschutzkonzeptes, um einen konsistenten Übergang zwischen dem Sicherheitskonzept und den Datenschutzkonzept zu erreichen. Insbesondere sollen die in anderen Dokumenten genutzten Verweise und Anforderungsnummern auf die Datenschutzanforderungen des Sicherheitskonzepts unbeeinflusst bleiben. In der nächsten Version des Datenschutzkonzeptes soll jedoch eine Überarbeitung der Anforderungen erfolgen, insbesondere eine Präzisierung der Eckpunkte, um sie gegenseitig besser voneinander abgrenzen zu können und eine eindeutige Zuordnung der Ausgangsanforderungen zu den Eckpunkten zu gewährleisten, eine Präzisierung und feinere Aufteilung der Anforderungen, um u.a. Redundanzen zu vermeiden, die Anforderungen auf das wesentliche zu reduzieren und Ausgangsanforderungen eindeutig einem Konzept zuordnen zu können. Teile dieses Dokumentes (insbesondere Kapitel 6, 7, 8) geben den derzeitigen konsolidierten Diskussionsstand wieder. Im Laufe der weiteren Bearbeitung sind hier noch Änderungen und Konkretisierungen zu erwarten und sind daher als offene Punkte gekennzeichnet. Referenzierung Die Referenzierung in weiteren Dokumenten der gematik erfolgt unter: [gemdako] gematik: Einführung der Gesundheitskarte - Übergreifendes Datenschutzkonzept der Gesundheitstelematik gematik_ds_datenschutzkonzept.doc Seite 2 von 156

3 Dokumentenhistorie Version Stand Kap./ Seite Grund der Änderung, besondere Hinweise 04/2008 Initiale Erstellung Zusammenfassung der Datenschutzanforderungen (Kapitel 3,4,5). Hinweis: Teile dieses Dokumentes (insbesondere Kapitel 6, 7, 8) geben den derzeitigen konsolidierten Diskussionsstand wieder. Im Laufe der weiteren Bearbeitung, sind hier noch Änderungen, Erweiterungen und Konkretisierungen zu erwarten und sind daher als offene Punkte gekennzeichnet Bearbeitung ITS/SI Einarbeitung Kommentare nach iqs ITS/SI freigegeben gematik gematik_ds_datenschutzkonzept.doc Seite 3 von 156

4 Inhaltsverzeichnis Dokumentinformationen...2 Inhaltsverzeichnis Zusammenfassung Einführung Zielsetzung und Einordnung des Dokumentes Zielgruppe Geltungsbereich Arbeitsgrundlagen Abgrenzung des Dokumentes Methodik Verwendung von Schlüsselworten Rechtliche Grundlagen und geschäftspolitische Eingangsanforderungen Verarbeitung von personenbezogenen Daten besonderer Art Rechtsraum der Daten der TI und dessen Abgrenzung Eckpunkte des Datenschutzes in der TI Übergeordneter Eckpunkt: Vorrang des Datenschutzes Eckpunkt: Stärkung der Patientenrechte, -souveränität und des Selbstdatenschutzes Eckpunkt: Datenschutzregeln Eckpunkt: IT-Sicherheit Eckpunkt: Datenschutzfördernde Techniken Gewährleistung des Datenschutzes in der Telematikinfrastruktur Personenbezogene Daten besonderer Art in der Telematikinfrastruktur Konsequenzen der Eckpunkte für die Telematikinfrastruktur Konsequenzen aus Eckpunkt: Vorrang des Datenschutzes Konsequenzen aus Eckpunkt: Stärkung der Patientenrechte, -souveränität und des Selbstdatenschutzes Konsequenzen aus Eckpunkt: Datenschutzregeln Konsequenzen aus Eckpunkt: IT-Sicherheit Konsequenzen aus Eckpunkt: Datenschutzfördernde Techniken Verantwortliche Stellen...57 gematik_ds_datenschutzkonzept.doc Seite 4 von 156

5 4.4 Überblick über die datenschutzfördernden Techniken für die aktive Wahrnehmung der Versichertenrechte Treuhänder Datenschutzorganisation Mehrwertanwendungen Einführungsstrategie und Erprobung Grundanforderungen des Datenschutzes Rechtmäßigkeit Rechtsnormen Einwilligung Zweckbindung Gewährleistung von Betroffenenrechten und Transparenz Auskunft Berichtigung, Löschung oder Sperrung Transparenz schaffende Maßnahmen und Funktionen Technische und organisatorische Maßnahmen zur Datensicherheit nach Anlage zu 9 BDSG Kontrolle Datenschutzfördernde Techniken der Telematikinfrastruktur Grundlegende technische Sicherheitsmaßnahmen Datensparsamkeit und Datentrennung in Komponenten und Diensten Selbstdatenschutz Versichertenzentrierte Auditierung Umgebungen und Verfahren für die aktive Wahrnehmung der Versichertenrechte Rechteverwaltung und benutzerbestimmbare Informationsflusskontrolle Patientenfachdatenmanagement Anonymisierung und Pseudonymisierung Pseudonymisierung bei Pflichtanwendungen Freiwillige Anwendungen mit Personenbezug (KVNR) Anonymisierung des Leistungserbringerbezugs Zusammenwirken der datenschutzfördernden Techniken Überblick über die Telematikinfrastruktur Eckpunkt: Stärkung der Patientensouveränität, der Patientenrechte und Ausweitung der Eigenverantwortung und Beteiligungsrechte der Versicherten Eckpunkt: Datenschutzregeln Eckpunkt: IT-Sicherheit Eckpunkt: Datenschutzfördernde Techniken...96 gematik_ds_datenschutzkonzept.doc Seite 5 von 156

6 8 Verfahren und Prozesse Datenschutzprüfungen und Kontrollen (Audits) Automatisierte technische Verfahren zur Prüfung der CSFs, SLOs und Prozessqualitäten Funktionen und Verfahren für die Beteiligten...98 Anhang B Ausgangsanforderungen...99 B1 - Normative Anforderungen des Datenschutzes...99 B1.1 - Grundsätzliche Anforderungen und Eckpunkte des Datenschutzes B1.2 - Fachliche Datenschutzanforderungen und rechtliche Rahmenbedingungen105 B1.3 - Anforderungen an die Architektur B2 - Grundlegende Sicherheitsanforderungen B2.1 - Sicherheitsziele(-anforderungen) B2.1 Zusammenfassung der Ausgangsanforderungen Anhang Z Z1 - Abkürzungen Z2 - Glossar Z3 - Abbildungsverzeichnis Z4 - Tabellenverzeichnis Z5 - Referenzierte Dokumente gematik_ds_datenschutzkonzept.doc Seite 6 von 156

7 1 Zusammenfassung Die gematik hat für die Telematikinfrastruktur im Gesundheitswesen nach 291b Abs.1 Satz 2 SGB V die Interessen von Patientinnen und Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sicherzustellen. Zur Umsetzung dieser gesetzlichen Aufgabe stellt das vorliegende übergreifende Datenschutzkonzept die Grundsätze und die Datenschutzstrategie der gematik dar und beschreibt die einzusetzenden datenschutzfördernden Techniken für alle Fachanwendungen und Fachdienste in der Telematikinfrastruktur sowie den Zusammenhang zwischen einzelnen Verfahren und Architekturdomänen. Der Versicherte hat die Datenhoheit für alle seine 291a-Anwendungen und die darin enthaltenen Gesundheitsdaten in der Telematikinfrastruktur. Ohne die Einwilligung und Freigabe des Zugriffs durch den Versicherten können die freiwilligen medizinischen Anwendungen nicht genutzt werden. Der Grundsatz der Freiwilligkeit der Speicherung von Gesundheitsdaten muss bewahrt werden d. h. die Versicherten müssen darüber entscheiden können, welche ihrer Gesundheitsdaten aufgenommen werden und welche der aufgenommenen Daten gelöscht werden sollen bzw. welche Daten sie welchem Leistungserbringer zugänglich machen, die Versicherten haben das Informations- und Leserecht, über ihre in der Telematikinfrastruktur gespeicherten Daten und alle diese Daten betreffenden Vorgänge. Spätestens mit der Bereitstellung der freiwilligen Anwendungen ab Testabschnitt 4 (siehe Anlage zu 5 Abs. 6 [RVO 2006], Migrationsplan) sind organisatorische und technische Lösungen zur Wahrnehmung der Patientenrechte bereitzustellen und zu testen. Diese sind insbesondere die Einwilligungserklärung; die Vergabe von differenzierten Zugriffsberechtigungen; die Einsichtnahme durch den Patienten selbst; die Möglichkeit, Daten zu löschen; die Protokollierung der Zugriffe und deren Einsichtnahme gematik_ds_datenschutzkonzept.doc Seite 7 von 156

8 sowie in einem weiteren Schritt die Nutzung des Patientenfachs. Unter Berücksichtigung technikoffener Lösungen werden Anforderungen an entsprechende technische Geräte zur Wahrnehmung der Patientenrechte von der gematik erarbeitet und in diesem Datenschutzkonzept konkretisiert. Zu den in der Telematikinfrastruktur eingesetzten Datenschutzfördernden Verfahren und Techniken zählen u.a. Umgebung zur Wahrnehmung der Rechte des Versicherten Wahrnehmung der Auskunftsrechte Anonymisierung und Pseudonymisierung Patientenfach Treuhänder gematik_ds_datenschutzkonzept.doc Seite 8 von 156

9 2 Einführung 2.1 Zielsetzung und Einordnung des Dokumentes Das vorliegende übergreifende Datenschutzkonzept der Telematikinfrastruktur im Rahmen der Einführung der elektronischen Gesundheitskarte gibt einheitliche einzuhaltende Rahmenbedingungen, Anforderungen und Mindeststandards des Datenschutzes für die Telematikinfrastruktur vor, insbesondere: Datenschutz: Die identifizierten Anforderungen des Datenschutzes an die Konzepte und Spezifikationen der gematik sind gesammelt dargestellt und auf die einzelnen Bereiche aufgeteilt. Datenschutzaspekte der Fachkonzepte und Facharchitekturen: für übergreifende Anforderungen zur Wahrnehmung der Patientenrechte Funktionen, Dienste für eine datenschutzfördernde Gestaltung: technikoffene Lösungen für technische Geräte zur Wahrnehmung der Patientenrechte Der Aufbau des übergreifenden Datenschutzkonzeptes der gematik ist in der nachfolgenden Abbildung dargestellt. gematik_ds_datenschutzkonzept.doc Seite 9 von 156

10 Rechtliche und Geschäftspolitische Rahmenbedingungen SigG BDSG SGB V Gesellschafter -beschlüsse Rechtliche Grundlagen Eingangsanfos. Gewährleistung in TI Datenschutzkonzept Datenschutzfördernde Techniken Verfahren & Prozesse Sicherheitskonzept Sicherheitsanforderungen Sicherheitsstrategie Fachliche Sicherheit Berechtigungsmodell Sicherheitsarchitektur Zonenkonzept Berechtigungsverwaltung Protokollierung Zeit- & Zeitstempeldienste Kryptographie Op. Sicherheitsmanagement Prozesse (ISO 2700x) Asset Management Restrisiken PIN/PUK Policy Kryptokonzept Anhang B Sicherheitsanf. C Schutzbedarf D Fachliche Zugriffspol. E F G Si.Anf. Betrieb VSDM VSDM Fachkonzepte Facharchitekturen übergreifende Architekturbausteine, Dienste. Spezifikationen von Schnittstellen, Komponenten CC Schutzprofil VODM NFDM AMDD AdV,VfA CMS VODM NFDM AMTS AdV,VfA CAMS spezifisches Sicherheitskonzept CC Schutzprofil CC Schutzprofil Sicherheitskonzept Sicherheitsprofil Sicherheitsprofil Gesamtarchitektur Abbildung 1 Einordnung und Abgrenzung des Datenschutzkonzepts 2.2 Zielgruppe Das übergreifende Datenschutzkonzept ist für die Spezifikation, Implementierung und den Betrieb aller Komponenten und Fachdienste in der Telematikinfrastruktur relevant. gematik_ds_datenschutzkonzept.doc Seite 10 von 156

11 2.3 Geltungsbereich Das übergreifende Datenschutzkonzept ist für die Spezifikation, Implementierung und den Betrieb aller Komponenten und Fachdienste in der Telematikinfrastruktur sowie der Mehrwertanwendungen, die Teile der Telematikinfrastruktur nutzen, verbindlich. 2.4 Arbeitsgrundlagen Rechtsgrundlage dieses Datenschutzkonzepts der gematik ist die Anlage zu 5 Abs. 6 [RVO 2006], Kap Unter Berücksichtigung technikoffener Lösungen werden Anforderungen für entsprechende technische Geräte [zur Wahrnehmung der Patientenrechte] von der Gesellschaft für Telematik erarbeitet. Diese Anforderungen sind im Datenschutzkonzept zu konkretisieren, welches in Abstimmung mit den Datenschutzbeauftragten der Länder und des Bundes zu konzipieren ist. Die gematik hat nach 291b Abs.1 Satz 2 SGB V die Interessen von Patientinnen und Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sicherzustellen. 2.5 Abgrenzung des Dokumentes Dieses Datenschutzkonzept beschreibt Die Grundanforderungen aus dem Bundesdatenschutzgesetz zur Behandlung personenbezogener und besonders schützenswerter medizinischer Daten ( 3 Abs. 9 BDSG) wie: Beherrschbarkeit, Zurechenbarkeit, Verantwortlichkeit Nutzungsfestlegung, Nachweisbarkeit, Revisionsfähigkeit, Unabstreitbarkeit, Beweissicherheit, Informationsqualität sowie die Alltagstauglichkeit für alle Beteiligten. Die zusätzlichen spezifischen Anforderungen für Datenschutzfördernde Technikgestaltung für die Gesundheitstelematik aus 291a SGB V, EU-Richtlinie epa sowie aus den aktuellen Entwicklungen des Datenschutzrechtes wie Datenschutz-Audit Selbstdatenschutz, Beteiligungsrechte, Freiwilligkeit, Transparenz sowie Datenvermeidung und -sparsamkeit gematik_ds_datenschutzkonzept.doc Seite 11 von 156

12 Dieses Dokument gibt Anforderungen an, beschreibt jedoch nicht die Sicherheit der Telematikinfrastruktur zur Umsetzung der Abschottungs- und Kontrollfunktionen des Datenschutzrechtes. Im übergreifenden Sicherheitskonzept (siehe [gemsiko]) werden die Anforderungen an die Verlässlichkeit der Telematikinfrastruktur und damit die Vertraulichkeit, Integrität und Verfügbarkeit der Informationsobjekte und die Anforderungen zum Schutz der Integrität der Telematikinfrastruktur in einem gestuften Zonenkonzept festgelegt. die Umsetzung der fachlichen und technischen UseCases für die Wahrnehmung der Versichertenrechte (siehe u.a. [gemfk_adv]) sowie die dafür vorhandenen Dienste (siehe [gemgesarch]). 2.6 Methodik Verwendung von Schlüsselworten Für die genauere Unterscheidung zwischen normativen und informativen Inhalten werden die dem RFC 2119 [RFC2119] entsprechenden in Großbuchstaben geschriebenen, deutschen Schlüsselworte verwendet: MUSS bedeutet, dass es sich um eine absolutgültige und normative Festlegung bzw. Anforderung handelt. DARF NICHT bezeichnet den absolutgültigen und normativen Ausschluss einer Eigenschaft. SOLL beschreibt eine Empfehlung. Abweichungen zu diesen Festlegungen sind in begründeten Fällen möglich. SOLL NICHT kennzeichnet die Empfehlung, eine Eigenschaft auszuschließen. Abweichungen sind in begründeten Fällen möglich. KANN bedeutet, dass die Eigenschaften fakultativ oder optional sind. Diese Festlegungen haben keinen Normierungs- und keinen allgemeingültigen Empfehlungscharakter. gematik_ds_datenschutzkonzept.doc Seite 12 von 156

13 3 Rechtliche Grundlagen und geschäftspolitische Eingangsanforderungen Mit den Anwendungen gemäß 291a SGB V wird die Möglichkeit geschaffen, auf Wunsch des Versicherten patientenbezogene medizinische Informationen für eine einrichtungs- und sektorübergreifende Nutzung im Rahmen der medizinischen Versorgung verfügbar zu machen. Die Anwendungen unterteilen sich in einen Teil, der als Pflichtanwendung ausgestaltet ist, und einen Teil, der von den Versicherten freiwillig in Anspruch genommen werden kann und nur mit dessen Zustimmung genutzt werden darf. Im Einzelnen sind die Anwendungen: die für die Versicherten verpflichtenden Anwendungen nach 291 Abs. 2 SGB V (Versichertenstammdatenmanagement) und 291a Abs. 2 Satz 1 Nr. 1 SGB V (Verordnungsdatenmanagement), die für die Versicherten freiwilligen Anwendungen nach 291a Abs.3 SGB V: o Notfalldatenmanagement: medizinische Daten, soweit sie für die Notfallversorgung erforderlich sind, o Arzneimitteldatenmanagement: Daten zur Prüfung der Arzneimitteltherapiesicherheit, o elektronischer Arztbrief: Befunde, Diagnosen, Therapieempfehlungen sowie Behandlungsberichte in elektronischer und maschinell verwertbarer Form für eine einrichtungsübergreifende, fallbezogene Kooperation, o elektronische Patientenakte: Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichte sowie Impfungen für eine fall- und einrichtungsübergreifende Dokumentation über den Patienten (elektronische Patientenakte), o Patientenfachdatenmanagement: durch von Versicherten selbst oder für sie zur Verfügung gestellte Daten, o Patientenquittung: Daten über in Anspruch genommene Leistungen und deren vorläufige Kosten für die Versicherten ( 305 Abs.2 SGB V). Bei Einführung dieser Anwendungen der elektronischen Gesundheitskarte und der Telematikinfrastruktur darf sich die datenschutzrechtliche Position der Patienten nicht verschlechtern. Die datenschutzrechtlichen Anforderungen an die Telematikinfrastruktur im Gesundheitswesen ergeben sich insbesondere aus gematik_ds_datenschutzkonzept.doc Seite 13 von 156

14 den 291, 291a, 291b SGB V, der Europäischen Richtlinie 95/46/EG, dem Bundesdatenschutzgesetz, einem Arbeitspapier der europäischen Datenschutzgruppe zur Verarbeitung von Patientendaten in elektronischen Patientenakten [Dat07] sowie den Anforderungen an Medizinnetze der Datenschutzbeauftragten des Bundes und der Länder [BWB02]. Die Richtlinie 95/46/EG der Europäischen Union vom 24. Oktober 1995 behandelt den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. Gemäß Artikel 29 der Richtlinie 95/46/EG wurde eine Datenschutzgruppe eingesetzt. Diese Datenschutzgruppe hat ein Arbeitspapier zur Verarbeitung von Patientendaten in elektronischen Patientenakten veröffentlicht [Dat07], welches einige der allgemeinen Grundsätze der Richtlinie 95/46/EG erläutert und konkrete Hinweise zu den Datenschutzanforderungen für Systeme zur elektronischen Speicherung von Patientendaten gibt. Es werden ebenfalls die von den Gesellschaftern der gematik gesetzten geschäftspolitischen Rahmenbedingungen berücksichtigt (siehe [Grundsatzentscheidung]). In dieser Entscheidung wird gefordert, dass sich die Infrastruktur in der Telematik prioritär am Nutzen für den Patienten ausrichtet. Alle Komponenten, Schnittstellen, Dienste und Prozesse in der Telematikinfrastruktur müssen an erster Stelle den Erfordernissen des Datenschutzes und der Datensicherheit entsprechen. Daher müssen alltagstaugliche, für Versicherte praktikable, technische Verfahren zur aktiven Wahrnehmung ihrer Beteilungsrechte bereitgestellt werden und die Durchsetzbarkeit der Betroffenenrechte ist zu gewährleisten. Die technische Umsetzung darf nicht dazu führen, dass datenschutzrechtliche Einbußen erfolgen. Insbesondere für die Pflichtanwendung Verordnungsdatenmanagement müssen den Versicherten mindestens die Funktionalitäten des Papierrezeptes erhalten bleiben. Der Versicherte hat die Datenhoheit für alle seine 291a-Anwendungen und die darin enthaltenen Gesundheitsdaten in der Telematikinfrastruktur. Ohne die Einwilligung und Freigabe des Zugriffs durch den Versicherten können die freiwilligen medizinischen Anwendungen nicht genutzt werden. Der Grundsatz der Freiwilligkeit der Speicherung von Gesundheitsdaten muss bewahrt werden d. h. die Versicherten müssen darüber entscheiden können, welche ihrer Gesundheitsdaten aufgenommen werden und welche der aufgenommenen Daten gelöscht werden sollen bzw. welche Daten sie welchem Leistungserbringer zugänglich machen, die Versicherten haben das Informations- und Leserecht, über ihre in der Telematikinfrastruktur gespeicherten Daten und alle diese Daten betreffenden Vorgänge. gematik_ds_datenschutzkonzept.doc Seite 14 von 156

15 Die gematik ist dafür verantwortlich, dass technische Vorkehrungen getroffen und dem Patienten verfügbar gemacht werden, mit denen sie die Zugriffsrechte und ihre Daten selbst aktiv verwalten können. Aufgrund des sehr hohen Schutzbedarfs der Daten, die von medizinischen Systemen verarbeitet werden, ergeben sich spezielle Sicherheitsmaßnahmen, die aus datenschutzrechtlicher Sicht als unabdingbar anzusehen sind. Die grundlegenden Sicherheitsanforderungen ergeben sich zunächst aus 9 BDSG nebst Anlage. Diese Vorschrift verlangt allgemein technische und organisatorische Maßnahmen zur Gewährleistung des Schutzes personenbezogener Daten. Die in der Anlage zu 9 BDSG beschriebenen Regelungen definieren Sicherheitsmaßnahmen und haben im Wesentlichen die technischen Komponenten von Datenverarbeitungsanlagen zum Gegenstand. Durch die Telematikinfrastruktur muss auch die einfache Bedienbarkeit der Dienste zum Selbstdatenschutz in der Telematikinfrastruktur für alle Versicherten sichergestellt sein. Alltagstaugliche Verfahren zur aktiven Wahrnehmung der Versichertenrechte und der Ausübung der Datenhoheit sind - ohne Einschränkungen im Recht auf informationelle Selbstbestimmung - eine Grundvoraussetzung für die Testvorhaben und den Wirkbetrieb der Telematikinfrastruktur. Die Stärkung der Patientensouveränität, der Patientenrechte und die Ausweitung der Eigenverantwortung, der Beteiligungsrechte der Versicherten und des Selbstdatenschutzes erfordert zusätzliche datenschutzgerechte und datenschutzfördernde Technik. Im Rest des Kapitels wird zunächst auf die Verarbeitung personenbezogener Daten besonderer Art und die dabei gestellten Anforderungen an die Einwilligung eingegangen. Anschließend wird der Rechtsraum der Telematikinfrastruktur zu demjenigen abgegrenzt, in dem sich die Primärsysteme der Leistungserbringer befinden. Der Hauptteil des Kapitels befasst sich mit der Ableitung der Eckpunkte des Datenschutzes in der Telematikinfrastruktur aus gesetzlichen und geschäftspolitischen Eingangsanforderungen. 3.1 Verarbeitung von personenbezogenen Daten besonderer Art Bei der Verarbeitung von Daten in der Telematikinfrastruktur handelt es sich überwiegend um Daten über die Gesundheit der Versicherten. Aus den Daten der Telematikinfrastruktur lassen sich aber möglicherweise auch Informationen über die rassische oder ethnische Herkunft, religiöse Überzeugungen oder das Sexualleben der Versicherten ermitteln. Alle diese Daten gehören nach der Europäischen Richtlinie 95/46/EG und dem Bundesdatenschutzgesetz zu Kategorien personenbezogener Daten besonderer Art. Daten dieser Kategorien unterliegen besonderen Datenschutzvorschriften und erfordern verstärkt Maßnahmen, um das Persönlichkeitsrecht des Versicherten zu schützen. Artikel 8 Absatz 1 der Richtlinie 95/46/EG behandelt die Verarbeitung besonderer Kategorien personenbezogener Daten. gematik_ds_datenschutzkonzept.doc Seite 15 von 156

16 Besondere Kategorien der Verarbeitung - Daten über die Gesundheit oder das Sexualleben zählen nach Artikel 8 Abs. 1 zu den besonderen Kategorien personenbezogener Daten (vgl. auch 3 Abs. 9 BDSG). Artikel 8 Absatz 1 verbietet grundsätzlich die Verarbeitung von Daten über die Gesundheit oder das Sexualleben. Artikel 8 Absatz 2 und 3 der Richtlinie 95/46/EG definieren Ausnahmeregelungen von diesem grundsätzlichen Verarbeitungsverbot. Artikel 8 Absatz 3: Ist die Verarbeitung der Daten zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich und erfolgt die Verarbeitung dieser Daten durch ärztliches Personal, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, ist die Verarbeitung von Daten der Gesundheit möglich. Artikel 8 Absatz 2 Buchstabe a: Dieser Absatz rechtfertigt die Verarbeitung von Gesundheitsdaten, wenn die ausdrückliche Einwilligung des Betroffenen vorliegt. Das Arbeitspapier [Dat07] der europäischen Datenschutzgruppe konkretisiert die Anforderungen an diese Einwilligung: o Die Einwilligung MUSS ohne Zwang erfolgen - Ohne Zwang bedeutet, dass sich eine Person aus freien Stücken und im Vollbesitz ihrer geistigen Kräfte ohne jeglichen sozialen, finanziellen, psychologischen oder sonstigen Druck von außen entscheiden kann. Erfolgt die Einwilligung nur, weil mit Nichtbehandlung oder einer schlechteren medizinischen Behandlung gedroht wird, kann von einer Einwilligung aus freien Stücken nicht die Rede sein. Die Einwilligung einer Person, die nicht die Möglichkeit hatte, eine echte Wahl zu treffen oder vor vollendete Tatsachen gestellt wurde, ist daher ungültig.(freiwilligkeit) o Die Einwilligung MUSS einen konkreten Fall betreffen - Die Einwilligung für den konkreten Fall muss sich auf eine genau umrissene konkrete Situation beziehen, in der die Verarbeitung der medizinischen Daten erfolgen soll. Eine pauschale Zustimmung der betroffenen Person beispielsweise zur Erfassung ihrer medizinischen Daten in einer elektronischen Patientenakte und zur anschließenden Weitergabe früherer und aktueller Daten an in die Behandlung eingebundene medizinische Fachkräfte wäre keine Einwilligung im Sinne von Artikel 2 Buchstabe h der Richtlinie 95/46/EG.(Informiertheit) o Die Einwilligung MUSS in Kenntnis der Sachlage erfolgen - In Kenntnis der Sachlage bedeutet Einwilligung der betroffenen Person nach der bewussten Erfassung und Würdigung der Fakten und Auswirkungen einer Handlung. Sie muss in klarer und verständlicher Form genau und umfassend über alle relevanten Aspekte, insbesondere die in den Artikeln 10 und 11 genannten wie Art und Zweckbestimmung der verarbeiteten Daten, Personen, an die die Daten möglicherweise weitergegeben werden, und ihre Rechte, aufgeklärt werden. Hierzu gehört auch die Aufklärung über die möglichen Folgen bei Verweigerung der Einwilligung zu der jeweiligen Verarbeitung.(Transparenz) gematik_ds_datenschutzkonzept.doc Seite 16 von 156

17 Auch der 4a Abs. 3 BDSG stellt höhere Anforderungen an die Einwilligung zur Verarbeitung personenbezogener Daten besonderer Art. Die Einwilligung MUSS sich in diesem Fall ausdrücklich auf diese Daten beziehen. Das Verbot der Verarbeitung medizinischer Daten in der Telematikinfrastruktur kann selbst durch ausdrückliche Einwilligung nicht aufgehoben werden, wenn die Daten nicht für die medizinische Behandlung des Versicherten verwendet werden sollen ( 291a Abs. 8 Satz 1 SGB V). 3.2 Rechtsraum der Daten der TI und dessen Abgrenzung Abbildung 2 gibt einen Überblick über die unterschiedlichen Rechtsräume für Gesundheitsdaten im Gesundheitswesen und die Informationsflüsse, die beim Austausch von medizinischen Informationen zwischen den Rechtsräumen auftreten. Beteiligte im Gesundheitswesen sind die Versicherten, Leistungserbringer (auch innerhalb der EU) und Kostenträger, insbesondere Krankenkassen (gesetzlich und privat). Ärzte Zahnärzte Apotheker Krankenhäuser Versicherte Versicherten zentrierte Dienste Psychotherapeuten sonstige LE Krankenkassen Weitere Stellen (EU) Rehabilitation Sichere Informationsflüsse zwischen Leistungserbringern gesteuert und kontrolliert vom Versicherten Telematikinfrastruktur Existierende IT-Systemeim Gesundheitswesen KIS Krankenhaus Informationssystem PVS Praxisverwaltungssystem AVS Apothekenverwaltungssystem Schriftliche Übermittlung (fax, Papier u.a. Diagnose, Arztbriefe, Befunde) Sozialdaten 291, 291a SGB V Privatgeheimnis 203 StGB gematik_ds_datenschutzkonzept.doc Seite 17 von 156

18 Abbildung 2 - Patientenzentrierte Dienste für den Austausch von medizinischen Informationen zwischen den Leistungserbringern im Gesundheitswesen Im Folgenden werden die Rechtsräume der Telematikinfrastruktur und der IT-Systeme der Leistungserbringer genauer abgegrenzt: Telematikinfrastruktur Die Daten innerhalb der Telematikinfrastruktur unterliegen den 291, 291a SGB V, die insbesondere Bestimmungen zu den Anwendungen der elektronischen Gesundheitskarte, zu den Zugriffsrechten und zu technischen Sicherheitsmaßnahmen enthalten. Die Daten unterliegen den gesetzlichen Anforderungen und Strafvorschriften des 307, 307a SGB V. Die mittels der egk gespeicherten 291a-Daten liegen in der Hoheit des Versicherten und sind vergleichbar mit Kopien der Behandlungsdokumentation des Arztes, die von der Arztpraxis angefertigt und dem Versicherten ausgehändigt werden. Existierende IT-Systeme im Gesundheitswesen Die Daten von Versicherten bei Leistungserbringern in der Behandlungsdokumentation fallen in der Regel nicht unter das SGB. Für Leistungserbringer findet jedoch der 203 StGB zur Verletzung von Privatgeheimnissen zusammen mit den entsprechenden Strafvorschriften Anwendung. Die Regelungen zur Behandlungsdokumentation, Speicherdauer, Beschlagnahmeverbot etc. bleiben erhalten. Es ergibt sich keine Änderung der jetzigen Situation durch Einführung der Telematikinfrastruktur. Die auf der egk bzw. in der Telematikinfrastruktur gespeicherten Daten sind somit rechtlich anders zu behandeln als die Originale bei den Leistungserbringern. Bei der Übernahme von Daten des Versicherten aus den Systemen der Leistungserbringer in die Telematikinfrastruktur (und umgekehrt) wechselt somit der Rechtsraum, in dem sich die Daten befinden und dementsprechend auch die Maßnahmen, die zu deren Schutz innerhalb des Rechtsraumes notwendig sind. Tabelle 1 fasst die unterschiedlichen Rechtsnormen und zugehörigen Straf- und Bußgeldvorschriften bzgl. des Rechtsraumes, in dem sich die Daten befinden, zusammen. Tabelle 1 - Rechtsnormen und Straf- und Bußgeldvorschriften Daten Rechtsnorm Straf- und Bußgeldvorschriften Medizinische Daten beim Leistungserbringer 203 StGB (Verlet- 203 StGB, gematik_ds_datenschutzkonzept.doc Seite 18 von 156

19 Medizinische Daten in der TI zung von Privatgeheimnissen), 3 Abs. 9, 5 BDSG 291, 291a, 291b SGB V, 3 Abs. 9 BDSG Daten zum Zwecke der Datenschutzkontrolle 291a SGB V, 3 Abs. 1, 31 BDSG Technische Daten mit Personenbezug in der TI 3 Abs. 1, 3 Abs. 9 BDSG 43, 44 BDSG 307, 307a SGBV 43, 44 BDSG 43, 44 BDSG 43, 44 BDSG Die Grenze zwischen den Rechtsräumen bilden die Konnektoren. Der Leistungserbringer erstellt/übernimmt eine Kopie der Daten des Versicherten aus/in seine Behandlungsdokumentation und übergibt/übernimmt dann diese Kopie an/von den Versicherten. Die Kopien der Behandlungsdokumentation sind innerhalb von Systemen in der betrieblichen Verantwortung des zugriffsberechtigten Leistungserbringers durch die entsprechenden Rechtsnormen (u.a. 203 StGB) geschützt und sind daher entsprechend den Datenschutz- und Sicherheitsvorgaben des Leistungserbringers für den Umgang mit der Behandlungsdokumentation zu behandeln. Wenn die Daten des Versicherten einen Konnektor in die Telematikinfrastruktur bzw. auf die egk passiert haben, dann sind diese Kopien in der Datenhoheit des Versicherten und unterliegen den Datenschutz- und Sicherheitsanforderungen der gematik. Die Informationsflüsse über die Telematikinfrastruktur zwischen Leistungserbringern müssen vom Versicherten kontrolliert werden. Ein Informationsfluss darf erst nach Information und unter der Mitwirkung des Versicherten erfolgen. gematik_ds_datenschutzkonzept.doc Seite 19 von 156

20 3.3 Eckpunkte des Datenschutzes in der TI Dieser Abschnitt leitet die Eckpunkte des Datenschutzes in der Telematikinfrastruktur aus gesetzlichen und geschäftspolitischen Eingangsanforderungen ab. Die Gestaltung der Telematikinfrastruktur MUSS sich an diesen Eckpunkten orientieren. Eingangsanforderungen EU-R. BDSG SGB V Gesellschafterbeschlüsse Vorrang des Datenschutzes Alle Architekturenscheidungen und die Prozessgestaltung müssen an erster Stelle den Erfordernissen des Datenschutzes entsprechen Stärkung Patientensouveränität, Selbstdatenschutz Datenschutzregeln IT-Sicherheit Datenschutzfördernde Techniken Stärkere Einbindung der Versicherten in die Entscheidungsprozesse Sicherstellen der Datenschutzregeln Verlässlichkeit des Systems Integration von Datenschutz in Komponenten, Diensten und Verfahren der TI Abbildung 3 - Überblick über die Datenschutzeckpunkte gematik_ds_datenschutzkonzept.doc Seite 20 von 156

21 Abbildung 3 zeigt die Eckpunkte des Datenschutzes und ihre Beziehung zueinander. Alle Eckpunkte leiten sich aus gesetzlichen Anforderungen oder/und Anforderungen der Gesellschafter ab. Der Eckpunkt Vorrang des Datenschutzes basiert auf Gesellschafterbeschlüssen [Grundsatzentscheidung] und ist den restlichen Datenschutzeckpunkten übergeordnet. Übergeordneter Eckpunkt: Vorrang des Datenschutzes, d.h. alle Architekturenscheidungen und die Prozessgestaltung in der Telematikinfrastruktur müssen an erster Stelle den Erfordernissen des Datenschutzes entsprechen. Aus diesem übergeordneten Eckpunkt leiten sich die folgenden Eckpunkte ab: Stärkung der Patientensouveränität, der Patientenrechte und Ausweitung der Eigenverantwortung und Beteiligungsrechte der Versicherten, d.h. eine stärkere Einbindung der Versicherten in die Entscheidungsprozesse. Um dieses Ziel zu erreichen, müssen vor allem Konzepte des Selbstdatenschutzes umgesetzt werden. Sicherstellen der Datenschutzregeln, d.h. die Datenverarbeitung in der Telematikinfrastruktur muss u.a. die Zweckbindung, Datensparsamkeit und Datentrennung, die Betroffenenrechte und die Beherrschbarkeit des Systems gewährleisten. IT-Sicherheit, d.h. die Gestaltung der Telematikinfrastruktur muss insbesondere die Verlässlichkeit des Systems gewährleisten. Gestaltung von datenschutzgerechten und -fördernden Techniken, d.h. eine Integration von Datenschutz in Komponenten, Dienste und Verfahren der Telematikinfrastruktur, die den Versicherten beim Selbstdatenschutz unterstützen. Im Folgenden werden die Eckpunkte ausführlich behandelt: Für jeden Eckpunkt werden zunächst die gesetzlichen und geschäftspolitischen Eingangsanforderungen vorgestellt, die zur Formulierung des Eckpunktes führen Übergeordneter Eckpunkt: Vorrang des Datenschutzes Die gematik hat den gesetzlichen Auftrag, "die Interessen von Patientinnen und Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sicherzustellen" ( 291b Abs. 1 SGB V). Da es sich in der Telematikinfrastruktur insbesondere um personenbezogene Daten besonderer Art handelt, ist bei der Entwicklung der Telematikinfrastruktur zu gewährleisten, dass Eingriffe in das Recht auf informationelle Selbstbestimmung, auch wenn sie im überwiegenden Allgemeininteresse liegen, gering zu halten sind. Tabelle 2 enthält die Eingangsanforderungen, die zur Einhaltung des Datenschutzes in der Telematikinfrastruktur verpflichten. gematik_ds_datenschutzkonzept.doc Seite 21 von 156

22 Tabelle 2 - Eingangsanforderungen für den Eckpunkt: Vorrang des Datenschutzes Quelle Beschreibung Kennung Übergreifendes Datenschutzkonzept der Gesundheitstelematik [Grundsatzentscheidung] [Grundsatzentscheidung] [Grundsatzentscheidung] Alle Komponenten, Schnittstellen, Dienste und Prozesse in der Telematik MÜSSEN an erster Stelle den Erfordernissen des Datenschutzes und der Datensicherheit entsprechen. Heute gültiges Datenschutzniveau und Datenzugriffsrechte MÜSSEN erhalten bleiben oder bedürfen gesetzlicher Änderungen. Zur Realisierung dieser Grundsätze könnten ggf. einvernehmlich auch höherwertige Realisierungsoptionen gewählt werden. Die Infrastruktur in der Telematik MUSS sich prioritär am Nutzen für den Patienten ausrichten. A_N_01 A_00513 A_00493 Die Eingangsanforderungen in Tabelle 2 werden zum Eckpunkt Vorrang des Datenschutzes zusammengefasst: Tabelle 3 - Eckpunkt: Vorrang des Datenschutzes Anforderungsnr. A_02427 (AD-GRU-01) Beschreibung Vorrang (Primat) des Datenschutzes Die Infrastruktur in der Telematik richtet sich prioritär am Nutzen für den Versicherten aus (Versichertenzentrierung). Alle Komponenten, Schnittstellen, Dienste und Prozesse in der Telematik MÜSSEN an erster Stelle den Erfordernissen des Datenschutzes und der Datensicherheit entsprechen. gematik_ds_datenschutzkonzept.doc Seite 22 von 156

23 Durch die Einführung der egk und der Telematik MÜSSEN das heute bestehende Datenschutzniveau und die heute bestehenden Datenzugriffsrechte erhalten bleiben. Änderungen der Datenzugriffsrechte erfordern gesetzliche Vorgaben oder geänderte vertragliche Beziehungen. Zur Realisierung dieser Grundsätze könnten ggf. einvernehmlich auch höherwertige Realisierungsoptionen gewählt werden Eckpunkt: Stärkung der Patientenrechte, -souveränität und des Selbstdatenschutzes Die Stärkung der Patientensouveränität, der Patientenrechte und eine Ausweitung der Eigenverantwortung und Beteiligungsrechte der Patientinnen und Patienten sind wesentliche Ziele des GKV-Modernisierungsgesetzes (GMG) zur Steigerung der Wirtschaftlichkeit und Qualität des Gesundheitswesens. Leistungserbringer sollen Patientinnen und Patienten bei der Durchsetzung ihrer Rechte unterstützen und darauf hinwirken, dass die Patientenrechte in der täglichen Praxis bei allen Beteiligten im Gesundheitswesen Berücksichtigung finden. Mehrere Beteiligte im Gesundheitswesen - darunter das BMG, die Bundesärztekammer, die Deutsche Krankenhausgesellschaft, die Kassenärztliche Bundesvereinigung - fordern in [PATRECHTE] die Beteiligung und Mitwirkung von Patienten im Gesundheitswesen auszubauen. Um dieses Ziel zu erreichen, müssen vor allem Konzepte des Selbstdatenschutzes umgesetzt werden. Tabelle 4 - Eingangsanforderungen für den Eckpunkt: Stärkung der Patientenrechte und -souveränität Quelle Beschreibung Kennung [Grundsatzentscheidung] BfDI (Rede Schaar) Die Hoheit über seine medizinischen Daten liegt auch zukünftig beim Versicherten. Die Datenhoheit der Patienten und der Grundsatz der Freiwilligkeit der Speicherung von Gesundheitsdaten MÜSSEN bewahrt werden. Die Patienten MÜSSEN darüber entscheiden A_00480 Teil von A_00520 gematik_ds_datenschutzkonzept.doc Seite 23 von 156

24 Quelle Beschreibung Kennung können, welche ihrer Gesundheitsdaten aufgenommen und welche gelöscht werden. Die Patienten MÜSSEN darüber entscheiden können, ob und welche Daten sie einem Leistungserbringer zugänglich machen. Die Patienten MÜSSEN das Recht haben, die über sie gespeicherten Daten zu lesen. Artikel 2 Buchstabe h Richtlinie 95/46/EG 4a Abs. 3 BDSG 6 Abs.1 BDSG 6c Abs.1 BDSG Einwilligung Einwilligung ist jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Einwilligung Soweit besondere Arten personenbezogener Daten ( 3 Abs. 9 BDSG) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. Transparenz Die Rechte des Betroffenen auf Auskunft ( 19, 34 BDSG) und auf Berichtigung, Löschung oder Sperrung ( 20, 35 BDSG) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. Transparenz Detail aus BDSG 6c: Unterrichtspflicht gegenüber Betroffenen: (1)...muss den Betroffenen A_N_03 A_N_04 A_N_06 A_00530 gematik_ds_datenschutzkonzept.doc Seite 24 von 156

25 Quelle Beschreibung Kennung 3. darüber, wie er seine Rechte nach den 19, 20, 34 und 35 ausüben kann, unterrichten, soweit der Betroffene nicht bereits Kenntnis erlangt hat. 19, 34, 20, 35 BDSG 291a Abs. 6 SGB V Transparenz Die Regelungen zur Form der Auskunft, Entgeltlichkeit bzw. Unentgeltlichkeit der Auskunftserteilung und zur Berichtigung, Löschung und Sperrung von Daten im BDSG MÜS- SEN erfüllt werden. Durch technische Vorkehrungen ist zu gewährleisten, dass mindestens die letzten fünfzig Zugriffe auf die Daten nach Absatz 2 oder Absatz 3 für Zwecke der Datenschutzkontrolle protokolliert werden. Protokolliert werden muss der Zugriff auf die Daten nach 291a Abs. 2 Satz 1 Nr. 1 und Absatz 3 Satz 1 SGB V. A_ A_00119 A_00281 Die Eingangsanforderungen in Tabelle 4 werden zum Eckpunkt Stärkung der Patientensouveränität, der Patientenrechte und des Selbstdatenschutzes zusammengefasst: Tabelle 5 - Eckpunkt: Stärkung der Patientensouveränität, - -rechte und des Selbstdatenschutzes Anforderungsnr. A_02428 (AD-GRU-02) Beschreibung Stärkung der Patientensouveränität, der Patientenrechte und des Selbstdatenschutzes Die Patientensouveränität und die Patientenrechte werden gestärkt und die Entscheidungsfreiheiten der Versicherten ausgeweitet. Die Versicherten werden künftig stärker in die Entscheidungsprozesse gematik_ds_datenschutzkonzept.doc Seite 25 von 156

26 eingebunden. Die Stärkung der Patientensouveränität und der Ausbau der Patientenrechte werden die Patienten von Betroffenen zu Beteiligten und mitverantwortlichen Partnern bei der Gesundheitsversorgung machen. Die Gesundheitskarte MUSS datenschutzrechtlichen Belangen genügen. Insbesondere die für die Versicherten freiwilligen Anwendungen eröffnen den Patienten die Möglichkeit, einen besseren Überblick über ihren Gesundheitszustand zu erhalten. Damit schafft die Gesundheitskarte und die Telematikinfrastruktur für die Versicherten Transparenz und fördert die Patientensouveränität. Gleichzeitig kann die elektronische Gesundheitskarte entscheidend zur Verbesserung der Qualität der medizinischen Behandlung beitragen, da Gesundheitsdaten zum Zeitpunkt und am Ort der Behandlung durch die Patienten verfügbar gemacht werden können Eckpunkt: Datenschutzregeln Die Einhaltung der Datenschutzregeln wird von allen Beteiligten im Gesundheitswesen zwingend gefordert, um das für eine angemessene Vorsorge, Diagnose, Therapie und Nachsorge des Versicherten nötige Vertrauen zu erhalten (u.a. 291b SGB V, [Grundsatzentscheidung], [PATRECHTE], [BWB02]). Tabelle 6 - Eingangsanforderungen für den Eckpunkt: Datenschutzregeln Quelle Beschreibung Kennung Datenschutzgruppe gemäß Artikel 29 Richt- Nur jene medizinischen Fachkräfte oder Mitarbeiter von Gesundheitseinrichtungen sind zugangsberechtigt, die an der Behandlung des Patienten mitwirken. Es muss somit eine akute Behandlungssituation zwischen dem Patienten und A_N_10 gematik_ds_datenschutzkonzept.doc Seite 26 von 156

27 Quelle Beschreibung Kennung linie 95/46/EG 291a Abs.8 SGB V BfDI (Rede Schaar) der medizinischen Fachkraft vorliegen, die auf die Daten zugreifen möchte. Vom Inhaber der Karte darf nicht verlangt werden, den Zugriff auf Daten nach [SGB V 291a] Absatz 2 Satz 1 Nr. 1 oder Absatz 3 Satz 1 anderen als den in Absatz 4 Satz 1 genannten Personen oder zu anderen Zwecken als denen der Versorgung der Versicherten, einschließlich der Abrechnung der zum Zwecke der Versorgung erbrachten Leistungen, zu gestatten; mit ihnen darf nicht vereinbart werden, Derartiges zu gestatten. Sie dürfen nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff bewirkt oder verweigert haben. Die datenschutzrechtliche Position der Patienten DARF sich mit der Einführung der Telematikinfrastruktur NICHT verschlechtern. Patienten MÜSSEN in Zukunft mindestens e- benso gut gestellt sein wie heute. A_00376 A_00520 BDSG Auf die Telematikinfrastruktur ist das BDSG anzuwenden. A_00706 RVO 2006 Der Datenschutz ist sicherzustellen. A_ Abs. 1 BDSG Artikel 6 Abs. 1 Richtlinie 95/46/EG Rechtmäßigkeit Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz [BDSG] oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Erforderlichkeit Personenbezogene Daten werden nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, aufbewahrt. A_00096 A_N_12 gematik_ds_datenschutzkonzept.doc Seite 27 von 156

28 Quelle Beschreibung Kennung 3a BDSG Datenvermeidung und Datensparsamkeit Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Artikel 6 Abs. 1 Richtlinie 95/46/EG BVerfGE 27, Architekturboard 61. Sitzung Datenqualität Personenbezogene Daten sind sachlich richtig und, wenn nötig, auf den neuesten Stand zu bringen; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nicht zutreffende oder unvollständige Daten gelöscht oder berichtigt werden. Personenkennzeichen Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung, und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist. Verwendung Krankenversichertennummer für 291a- Anwendungen Für Anwendungen nach SGB V 291a KANN die Krankenversichertennummer verwendet werden. A_00095 A_N_13 A_N_14 A_03956 gematik_ds_datenschutzkonzept.doc Seite 28 von 156

29 Quelle Beschreibung Kennung [Dies gilt für die gesetzliche und die private Krankenversicherung.] Architekturboard 61. Sitzung Verwendung Krankenversichertennummer für sonstige gesetzliche Anwendungen Für sonstige gesetzliche Anwendungen (bspw. Gesundheitsakte nach SGB V 68) KANN die Krankenversichertennummer verwendet werden. [Dies gilt für die gesetzliche und die private Krankenversicherung.] Architekturboard 61. Sitzung Für sonstige Anwendungen (bspw. Mehrwertdienste) MUSS zur Nutzung der Krankenversichertennummer eine gesetzliche Grundlage oder das Einverständnis des Versicherten vorliegen. Erfordert ist jeweils eine Einzelfallprüfung. [Dies gilt für die gesetzliche und die private Krankenversicherung.] Datenschutzgruppe gemäß Artikel 29 Richtlinie 95/46/EG Anlage zu 9 BDSG Zum Zwecke des Datenschutzes sind folgende besondere Maßnahmen vorzusehen: ausführliche Protokollierung und Dokumentierung sämtlicher Verarbeitungsschritte, die im System stattgefunden haben regelmäßiges internes und externes Datenschutz- Audit. Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der A_03957 A_03958 A_N_16 A_00857 gematik_ds_datenschutzkonzept.doc Seite 29 von 156

30 Quelle Beschreibung Kennung [Grundsatzentscheidung] zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),... Die eingesetzten Systeme müssen für die Anwender (Patienten/Versicherte, Heil- und Gesundheitsberufe etc.) sicher und handhabbar gestaltet werden. A_N_17 Die Eingangsanforderungen in Tabelle 6 werden zum Eckpunkt Datenschutzregeln zusammengefasst: Tabelle 7 - Eckpunkt: Datenschutzregeln Anforderungsnr. Beschreibung der Eckpunkte des Datenschutzes A_02429 (AD-GRU-03) Die Datenschutzregeln sind sicherzustellen Die zu schaffenden technischen Verfahren der Telematikinfrastruktur MÜSSEN sich an den Datenschutzgrundsätzen ausrichten und damit u.a. die Datenhoheit des Versicherten, die Freiwilligkeit der Speicherung der Daten und das Informations- und Leserecht des Versicherten sicherstellen. Die Versicherten MÜSSEN darüber entscheiden können, welche ihrer Gesundheitsdaten aufgenommen und welche gelöscht werden und ob und welche Daten sie einem Leistungserbringer zugänglich machen. gematik_ds_datenschutzkonzept.doc Seite 30 von 156

31 3.3.4 Eckpunkt: IT-Sicherheit Die Telematikinfrastruktur muss verlässlich sein. Die Verlässlichkeit der Systeme betrifft u.a. die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit der personenbezogenen Daten. Beispielsweise kann eine Verfälschung, Unvollständigkeit oder Inkonsistenz medizinischer Daten zu falschen medizinischen Entscheidungen mit möglicherweise lebensbedrohenden Folgen für den Patienten führen, verbunden mit rechtlichen Konsequenzen für Leistungserbringer. Die Richtlinie 95/46/EG sowie der 9 BDSG nebst Anlage fordern technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit. Die Artikel 29-Datenschutzgruppe konkretisiert die Anforderungen an die Datensicherheit für medizinische personenbezogene Daten in [Dat07]. Im Rahmen der Aufgaben nach 291a Abs. 7 Satz 2 SGB V hat die Gesellschaft für Telematik die technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen ( 291b Abs. 1 Satz 1 Nr. 1). Tabelle 8 - Eingangsanforderungen für Eckpunkt: IT-Sicherheit Quelle Beschreibung Kennung BVerfG, 1 BvR 370/07 vom , Absatz-Nr. (1-333) 291a Abs. 4 SGB V Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. In 291a Abs. 4 SGB V sind die zugriffsberechtigten Leistungserbringergruppen abschließend festgelegt. Ein Zugriff anderer Personen auf die Daten der freiwilligen Anwendungen der Versicherten MUSS verhindert werden. A_N_18 A_N_11 Artikel 17 Der für die Verarbeitung Verantwortliche muss die geeigne- A_N_19 gematik_ds_datenschutzkonzept.doc Seite 31 von 156

32 Quelle Beschreibung Kennung Abs. 1 Richtlinie 95/46/EG Datenschutzgruppe gemäß Artikel 29 Richtlinie 95/46/EG Datenschutzgruppe gemäß Artikel 29 Richtlinie 95/46/EG ten technischen und organisatorischen Maßnahmen durchführen, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden - und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Identifizierung und Authentisierung von Versicherten und medizinischem Personal Wegen der besonderen Sensibilität der medizinischen Daten muss verhindert werden, dass sich Unbefugte Zugang zu den Daten verschaffen können. Voraussetzung für eine zuverlässige Zugangskontrolle sind eine zweifelsfreie Identifizierung und Authentisierung. Benutzer müssen deshalb eindeutig identifizierbar und authentifizierbar sein. Eindeutige Identifizierung von Versicherten Versicherte müssen absolut zweifelsfrei identifizierbar sein. Würden aufgrund von Fehlern bei der Versichertenidentifikation irrtümlicherweise Daten einer anderen Person verwendet, hätte dies in vielen Fällen fatale Folgen. A_N_20 A_N_21 [Grundsatz- entschei- Grundsatz der Verschlüsselung Für den Transport und die Speicherung medizinischer Daten A_N_22 gematik_ds_datenschutzkonzept.doc Seite 32 von 156