Schutzbedarfsfeststellung in der Telematikinfrastruktur

Transkript

1 Einheitliche Methoden der Informationssicherheit Schutzbedarfsfeststellung in der Telematikinfrastruktur Version: Revision: \main\rel_online\21 Stand: Status: freigegeben Klassifizierung: öffentlich Referenzierung: [gemmeth_schutzbed] gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 1 von 55

2 Dokumentinformationen Änderungen zur Vorversion Einarbeitung Kommentare LA Dokumentenhistorie Version Stand Kap./ Seite Grund der Änderung, besondere Hinweise Bearbeitung freigegeben PL P77 Einarbeitung Kommentare LA P RC Zur Freigabe empfohlen PL P freigegeben gematik gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 2 von 55

3 Inhaltsverzeichnis Dokumentinformationen...2 Inhaltsverzeichnis Einordnung des Dokumentes Zielsetzung Zielgruppe Geltungsbereich Abgrenzungen Methodik Methodik der Schutzbedarfsfeststellung für Informationen und Prozesse Schutzziele der Telematikinfrastruktur Definition der Schutzziele Informationsobjekte und Anwendungsprozesse Schutzbedarfsfeststellung Ermittlung des Schutzbedarfs n : allgemeine Gesetze und Vorschriften : das Bundesdatenschutzgesetz [BDSG] : egk betreffende Gesetze ([GMG], [SGB V]) und Rechtsverordnungen : Verträge : Beeinträchtigung der Aufgabenerfüllung : Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust) : Finanzielle/Wirtschaftliche Schäden Schutzbedarf für Datenklassen Datenklassen für Informationsobjekte Schutzbedarfsfeststellung der Datenklassen Schutzbedarf für Schlüssel und PINs Regeln im Kontext der Anwendung kryptographischer Verfahren Schutzbedarf für Prozessklassen Klassen für Prozesse Schutzbedarfsfeststellung der Prozessklassen Prozessklassen für Verfügbarkeit...34 gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 3 von 55

4 Prozessklassen für Nichtabstreitbarkeit Methodik der Schutzbedarfsfeststellung für Dienste und Komponenten Komponenten und Dienste der TI Vererbung des Schutzbedarfs Vererbungsprinzipien Maximumprinzip Beachtung von Abhängigkeiten Kumulationseffekt Verteilungseffekt Beispiele zur Anwendung der Methoden Beispiele für Methodik der Schutzbedarfsfeststellung für Informationen und Prozesse Beispielhafte Bestimmung des Schutzbedarfs unter Verwendung der Regeln für Schlüssel und Datenklassen Informationsobjekt verschlüsselter medizinischer Befund Anwendungsprozess aktualisierendes Schreiben von Notfalldaten auf eine egk Beispiel einer Schutzbedarfsfeststellung für Dienste und Komponenten Vererbung des Schutzbedarfs bei Transport einer Nachricht Zusatzinformationen Aufwand zur Durchführung Qualitätssicherung Lernmittel Häufig gestellte Fragen (FAQs)...52 Anhang A...53 A1 Abkürzungen...53 A2 Glossar...53 A3 Abbildungsverzeichnis...53 A4 Tabellenverzeichnis...53 A5 - Referenzierte Dokumente...54 gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 4 von 55

5 1 Einordnung des Dokumentes 1.1 Zielsetzung Zweck der Schutzbedarfsfeststellung ist die Ermittlung des Schutzbedarfs aller Informationsobjekte und Anwendungsprozesse pro Fachanwendung und TI-Plattform. Hierzu werden für jeden Anwendungsprozess und die verarbeiteten Informationen die zu erwartenden Schäden herangezogen, die bei einer Beeinträchtigung von Schutzzielen (bspw. Vertraulichkeit) entstehen können. Weiterhin wird dargestellt wie der Schutzbedarf für Komponenten und Dienste in der TI ermittelt wird. Die Schutzbedarfsfeststellung muss insbesondere zum Beginn des Lebenszyklus einer Fachanwendung und der TI-Plattform für alle als relevant identifizierten Informationsobjekte und Anwendungsprozesse durchgeführt werden. Sollten in späteren Phasen Informationsobjekte oder Anwendungsprozesse neu hinzukommen oder wegfallen, muss die Schutzbedarfsfeststellung wiederholt und fortgeschrieben werden. Um die Schutzbedarfsanalyse durchführen zu können, müssen alle Informationsobjekte und Anwendungsprozesse für die jeweilige Fachanwendung oder TI-Plattform identifiziert und dokumentiert sein. Für jedes Informationsobjekt und jeden Anwendungsprozess müssen Fachexperten zur Verfügung stehen, die den Schutzbedarf bewerten können. Als Quelle für die Identifizierung von Informationsobjekten dienen die Informations- bzw. Datenmodelle aus den Konzept- und Spezifikationsdokumenten. Als Quelle für die Identifizierung von Anwendungsprozessen dienen die Anwendungsfälle (Use Cases) aus den Konzept- und Spezifikationsdokumenten. Das Ergebnis der Methodik zur Schutzbedarfsfeststellung ist der ermittelte und dokumentierte Schutzbedarf für jedes Informationsobjekt und jeden Anwendungsprozess der betrachteten Fachanwendung bzw. der TI-Plattform. Das Ergebnis der Schutzbedarfsfeststellung ist Voraussetzung für die Sicherheitsanalyse innerhalb der Sicherheitskonzeption, siehe Abbildung 1. Methodik der Sicherheitskonzeption Bedrohungs- und Schwachstellenanalyse Übergreifende Festlegungen Sicherheitsanalyse Risikoanalyse Schutzbedarfsfeststellung Umgebungsannahmen Sicherheitsfunktionen Abbildung 1: Methodik der Sicherheitskonzeption gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 5 von 55

6 1.2 Zielgruppe Das Dokument richtet sich an Autoren von Spezifikationen von Produkten der TI sowie an Anbieter von Produkten der TI. 1.3 Geltungsbereich Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des Deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z.b. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben. 1.4 Abgrenzungen In diesem Dokument wird nur die Durchführung von Schutzbedarfsfeststellungen beschrieben. Die Erhebung der Informationsobjekte und Anwendungsprozesse oder die Definition der Sicherheitsmaßnahmen ist nicht Bestandteil dieses Dokuments. Anhand eines Beispiels wird die Anwendung der Methode aufgezeigt. Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der TI. 1.5 Methodik Die vorliegende Methodik der Schutzbedarfsfeststellung ist angelehnt an die IT-Grundschutz-Vorgehensweise des BSI [BSI-100-2]. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 6 von 55

7 2 Methodik der Schutzbedarfsfeststellung für Informationen und Prozesse 2.1 Schutzziele der Telematikinfrastruktur Zur Umsetzung der Sicherheitsstrategie der Telematikinfrastruktur (TI) werden für die Informationen und die verarbeitenden Anwendungsprozesse (im folgenden kurz Prozesse genannt) in der TI Schutzziele definiert, die die schützenswerten Grundeigenschaften einer Information bzw. eines Prozesses beschreiben. Der Verlust einer dieser Grundeigenschaften (und somit eines Schutzzieles) führt zu potentiellen Schadensszenarien, welche nach der zu erwartenden Schadenshöhe klassifiziert sind. Basierend auf diesen Schadenshöhen wird der Schutzbedarf für jedes bedrohte Schutzziel für die jeweilige Information bzw. den Prozess ermittelt. Führt beispielsweise der Verlust des Schutzzieles Integrität für eine bestimmte Information zu einem niedrigen Schaden, so wird der Schutzbedarf bezüglich dieses Schutzzieles für diese Information als niedrig eingestuft Definition der Schutzziele Die Definition der Schutzziele der Informationen und Anwendungsprozesse in der TI trägt der datenschutzgerechten Ausgestaltung von Telematikinfrastruktur und elektronischer Gesundheitskarte Rechnung. Dies macht einen konsequenten Einsatz von Sicherheitstechnologie und organisatorischen Maßnahmen erforderlich. Für die automatisierte Verarbeitung und Nutzung von personenbezogenen Daten in der Telematikinfrastruktur müssen daher verschiedene Schutzziele erfüllt werden. Diese Schutzziele gelten für die Telematikinfrastruktur und deren verschiedenen Anwendungen. Die Grundlage dieser Schutzziele sind Anforderungen aus dem Datenschutz, gesetzliche Rahmenbedingungen und Anforderungen aus Standards der Informationssicherheit. Die folgenden fünf Schutzziele 1 bilden die Basis für die vorliegende Methodik der Schutzbedarfsfeststellung: Vertraulichkeit: Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. Integrität: Integrität bezeichnet die Sicherstellung der Unversehrtheit von Informationsobjekten und der korrekten Funktionsweise von Systemen. Der Verlust der Integrität von Informationsobjekten kann bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden. 1 Die Beschreibung der einzelnen Schutzziele ist an die entsprechende Definition im Glossar des BSI [BSI-Glossar] angelehnt. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 7 von 55

8 Authentizität: Mit dem Begriff Authentizität wird die Eigenschaft von Informationsobjekten bezeichnet, die gewährleistet, dass sie von der angegebenen Quelle erstellt wurden. Nichtabstreitbarkeit (Verbindlichkeit): Ziel der Nichtabstreitbarkeit ist es zu gewährleisten, dass die Prozesse zur Erhebung, Verarbeitung und Nutzung von Informationsobjekten nicht in Abrede gestellt werden können. Die Nichtabstreitbarkeit des Sendens und Empfangens von Informationsobjekten bezieht sich sowohl auf den Vorgang der Übertragung als auch auf das Objekt der Übertragung. Verfügbarkeit: Die Verfügbarkeit von Prozessen ist vorhanden, wenn diese wie gewünscht zur Verfügung stehen Informationsobjekte und Anwendungsprozesse Für die Schutzbedarfsfeststellung in der Telematikinfrastruktur wird in Informationen mit passiven Eigenschaften (Informationsobjekte) und Prozesse mit aktiven Eigenschaften (Anwendungsprozesse) unterschieden. Während die Schutzziele Vertraulichkeit, Integrität und Authentizität auf einzelne Informationsobjekte abgebildet werden (da diese passive Eigenschaften von Objekten beschreiben), werden die Schutzziele Verfügbarkeit und Nichtabstreitbarkeit auf Anwendungsprozesse angewandt, in denen Informationsobjekte dynamisch erzeugt, verarbeitet oder gespeichert werden. Hierbei kann sich z.b. die Verfügbarkeit für die einzelnen Anwendungsprozesse stark unterscheiden. 2.2 Schutzbedarfsfeststellung Ziel der Schutzbedarfsfeststellung ist es, für die Informationsobjekte und Anwendungsprozesse der Telematikinfrastruktur zu ermitteln, welchen Schutzbedarf sie bezüglich der jeweiligen Schutzziele besitzen. Dieser Schutzbedarf orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der Schutzziele verbunden sind. Zur Vereinfachung der Schutzbedarfsfeststellung können Informationsobjekten Datenklassen, für die bereits ein generischer Schutzbedarf ermittelt wurde, zugeordnet werden. Informationen zu dieser Vorgehensweise finden sich in Abschnitt 2.3. Analog können Anwendungsprozesse Prozessklassen zugeordnet werden, für die bereits ein generischer Schutzbedarf ermittelt wurde (vgl. Abschnitt 2.6). Für Schlüssel und PINs wird eine gesonderte Methode zur Bestimmung ihres Schutzbedarfs in Abschnitt 2.4 eingeführt. Einen Überblick über die einzelnen Schritte einer Schutzbedarfsfeststellung gibt die folgende Abbildung: gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 8 von 55

9 Identifizierung eines IOs oder Prozesses Informationsobjekt (IO) Liegt ein IO oder ein Prozess vor? Prozess Ist das IO ein Schlüssel bzw. eine PIN? NEIN Ist der SBF einer Datenklasse für das IO plausibel? Ist der SBF einer Prozessklasse für den Prozess plausibel? JA JA NEIN JA Ableitung des Schutzbedarfs aus dem zu schützenden IO Übernahme des Schutzbedarfs der Datenklasse für das IO Durchführung einer individuellen Schutzbedarfsfeststellung Übernahme des Schutzbedarfs der Prozessklasse für den Prozess Dokumentation des Schutzbedarfs Abbildung 2 - Schritte einer Schutzbedarfsfeststellung Ermittlung des Schutzbedarfs Da der Schutzbedarf in der Regel nicht quantifizierbar ist, beschränkt sich die Schutzbedarfsfeststellung auf eine qualitative Aussage, indem der Schutzbedarf in vier Klassen unterteilt wird. Das heißt, der Schutzbedarf einzelner Informationsobjekte bzw. Anwendungsprozesse wird mit Hilfe einer Klassifizierung nach Niedrig, Mittel, Hoch und Sehr hoch und bezüglich der Schutzziele Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit und Nichtabstreitbarkeit (Verbindlichkeit) gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 9 von 55

10 festgelegt. Es wurde hier bewusst von den in der IT-Grundschutz-Vorgehensweise nach BSI- Standard vorgeschlagenen drei Schutzbedarfsklassen (im BSI-Standard sind dies die drei Schutzbedarfskategorien normal, hoch, sehr hoch) abgewichen, um mit den hier verwendeten vier Klassen mehr Granularität in der Darstellung des Schutzbedarfs zu ermöglichen. Diese größere Granularität wird durch das Informationssicherheits- Risikomanagement (ISRM) der Telematikinfrastruktur motiviert, da diese Klassen dort ebenfalls Anwendung finden und letztendlich in die Darstellung von Risikobereichen münden. Die Höhe des Schutzbedarfs wird durch eine Abschätzung der Höhe potentieller Schäden durch Verlust eines Schutzzieles für ein Informationsobjekt oder einen Anwendungsprozess festgelegt. Diese Abschätzung wird durch vordefinierte n, die für jeden potentiellen Schadensfall herangezogen werden sollen, vereinfacht (siehe Kapitel 2.2.2). Häufig treffen dabei für einen Schaden mehrere n zu. So kann beispielsweise der Verlust der Vertraulichkeit eines Informationsobjektes einen eine Vorschrift oder ein Gesetz bedeuten, was auch finanzielle Einbußen nach sich zieht und gleichzeitig auch zu einem Imageverlust führt. Sollte für ein Schutzziel in einer kein Schaden ermittelbar sein, so ist diese zur Ermittlung der Schutzbedarfsklasse nicht anwendbar. Sollten Schäden möglich sein, die sich nicht in die in Kapitel definierten n einordnen lassen, jedoch für die Bewertung der Schadenschwere und damit des zu ermittelnden Schutzbedarfs von Nöten sind, so können auch eigene n gebildet werden. Dabei ist die, insbesondere die Abgrenzung zwischen den Klassen ( niedrig, mittel, hoch" oder sehr hoch") bei der Schadenschwere, zu definieren. Die Beurteilung des Schutzbedarfs für Informationsobjekte und Anwendungsprozesse erfolgt nach dem Maximumprinzip, d.h. dass der Schutzbedarf immer von der mit dem schwersten potentiellen Schaden abgeleitet wird (maximale Schadensschwere bestimmt den Schutzbedarf) n Die als Grundlage zur Abschätzung des möglichen Schadens herangezogenen n sind nachfolgend aufgeführt. Sie basieren auf den in den IT- Grundschutzkatalogen des BSI und anderen Best-Practice-Sammlungen verwendeten n. Sie werden ebenfalls im Rahmen des Informationssicherheits- Risikomanagements (ISRM) der Telematikinfrastruktur zur Bewertung von Risiken angewendet. Die folgenden sieben n werden betrachtet: (1) allgemeine Gesetze und Vorschriften (inkl. Personenschäden); (2) das Bundesdatenschutzgesetz (BDSG); (3) spezielle, die egk betreffende Gesetze (GMG, SGB V) und Rechtsverordnungen; gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 10 von 55

11 (4) Verträge; (5) Beeinträchtigung der Aufgabenerfüllung; (6) Negative Innen- bzw. Außenwirkung; (7) Finanzielle/Wirtschaftliche Schäden. Innerhalb jeder der sieben n werden die Abstufungen der Schadensschwere in den folgenden Abschnitten und Tabellen separat definiert : allgemeine Gesetze und Vorschriften Diese betrifft Verstöße gegen allgemeine Gesetze und beinhaltet die Bewertung von potentiellen Schäden für Leib und Leben von Versicherten, die im Zusammenhang mit der Verletzung der Schutzziele der TI entstehen können. Tabelle 1: Schadensbewertung allgemeine Gesetze Schadensschwere Kein Schaden Niedrig Mittel Hoch Sehr hoch Beschreibung Ein Verstoß würde gegenwärtig nicht mit einem für die TI relevanten Schadensereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis festgestellt werden würde (bspw. durch eine Änderung der Gesetzeslage). ODER Ein Schaden dieser Kategorie ist auf das Objekt der Betrachtung nicht anwendbar. Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen: Ein Vergehen solcher Art würde voraussichtlich maximal mit einer Empfehlung, Beratung (öffentliche Stelle), Rüge (nicht-öffentliche Stelle) oder Verwarnung geahndet werden. Formale Verstöße gegen Vorschriften und Gesetze mit mittleren Konsequenzen: Ein Verstoß hätte höchstens Schadensersatzforderungen mittlerer Höhe gemäß 823 BGB i. V. m. Artikel 1 und 2 GG [GG] zur Folge. Materielle Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen: Ein Verstoß hätte möglicherweise die Beschlagnahme eines Servers (oder anderer Datenträger) als Beweismittel gemäß 97 StPO wegen strafrechtlicher Ermittlungen zur Folge (=Betriebsstilllegung). Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen (z. B. Ahndung durch sehr hohe Geldstrafe und/oder Freiheitsstrafe): Bei einem Verstoß kann es zu einer Ahndung mit Freiheitsstrafe kommen. Dies läge bspw. vor bei: unbefugtem Ausspähen von Daten gemäß 202a StGB, Verletzung von Privatgeheimnissen gemäß 203 StGB, Verstoß gemäß 206 StGB (unbefugte Mitteilung über Tatsachen, die dem Post- oder Fernmeldegeheimnis unterliegen). ODER Eine gravierende Beeinträchtigung der persönlichen Unversehrtheit ist möglich. Durch den Verstoß kann es zu einer Gefahr für Leib und Leben kommen. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 11 von 55

12 : das Bundesdatenschutzgesetz [BDSG] Einer verantwortlichen Stelle drohen bei Vorschriften des Bundesdatenschutzgesetzes [BDSG] und speziellen Vorschriften u. a. folgende Nachteile und Sanktionen: Imageverlust/Wettbewerbsnachteil Kontrolle durch Aufsichtsbehörde ( 38 BDSG, insbes. Abs. IV) Schadensersatz der verantwortlichen Stelle an Betroffene ( 7, 823 BGB i. V. m. Art. 1, 2 I GG [Schmerzensgeld], 8 BDSG) Bußgeld nach 43 BDSG (je nach Verstoß bis zu bzw ) Strafen nach 44 BDSG (Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe) Die oben genannten möglichen Auswirkungen werden teilweise in separaten n behandelt (Imageschäden werden z. B. in der Negative Innen- bzw. Außenwirkung behandelt). Die folgenden Abstufungen beziehen sich auf rechtliche Folgen eines Verstoßes gegen das BDSG. Dabei wird der persönlich mit Bußgeld belegt, wem die tatsächliche Verantwortung und Entscheidungsbefugnis über den datenschutzrechtlich geregelten Sachverhalt obliegt ( 9, 130 OwiG; 3 Abs. 7 BDSG). Strafrechtlich ist jeder verantwortlich, der die unten genannten Tathandlungen begeht. Tabelle 2: Schadensbewertung das Bundesdatenschutzgesetz Schadensschwere Kein Schaden Niedrig Beschreibung Ein Verstoß würde gegenwärtig nicht mit einem für die TI relevanten Schadensereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis festgestellt werden würde (bspw. durch eine Änderung der Gesetzeslage). ODER Ein Schaden dieser Kategorie ist auf das Objekt der Betrachtung nicht anwendbar. Prozesse und Verfahren des Umgangs mit personenbezogenen Daten stehen nicht komplett mit datenschutzrechtlichen Vorschriften im Einklang, Konformität könnte jedoch durch leicht durchzuführende Abänderungen an den betreffenden Prozessen und Verfahren erreicht werden. Vergehen solcher Art würden durch die zuständigen Behörden voraussichtlich maximal mit einer Empfehlung, Beratung (öffentliche Stelle), Rüge (nicht-öffentliche Stelle) oder Verwarnung geahndet werden. Anmerkung: Welche Verstöße nur mit einer Rüge anstatt mit einem Bußgeld geahndet werden, ist gesetzlich nicht geregelt und liegt im Ermessen der zuständigen Aufsichtsbehörde und ist für jeden Einzelfall gesondert zu bewerten. Fälle, bei denen auf ein Bußgeld verzichtet wurde bzw. die weitgehend nicht mit Sanktionen belegt sind, sind bspw. Verstöße gegen die Informationspflicht des 4 Abs. 3 BDSG und Nichtbeachtung der Programmsätze der Datenvermeidung und Datensparsamkeit gemäß 3a BDSG, soweit gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 12 von 55

13 Schadensschwere Beschreibung keine Begründung für die Nichteinhaltung vorliegt. Mittel Hoch Sehr hoch Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel eingeschätzt werden bzw. der mögliche Missbrauch personenbezogener Daten hat nur begrenzte Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Es liegt ein formaler das BDSG nach 43 Abs. 1 BDSG vor. Missstände gemäß 43 Abs. 1 BDSG können mit Bußgeldern oder Auflagen durch die Aufsichtsbehörden geahndet werden. Eine erhebliche Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen liegt vor bzw. ein möglicher Missbrauch personenbezogener Daten hat erhebliche Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Es handelt sich um einen unrechtmäßigen Umgang mit personenbezogenen Daten; es liegt ein materieller das BDSG nach 43 Abs. 2 BDSG vor. Ein Verstoß hätte hohe Bußgelder zur Folge. Eine besonders bedeutende Beeinträchtigung des informationellen Selbstbestimmungsrechts des Einzelnen liegt vor bzw. ein möglicher Missbrauch personenbezogener Daten würde für den Betroffenen einen erheblichen gesellschaftlichen oder wirtschaftlichen Schaden bedeuten. Es handelt sich um einen unrechtmäßigen Umgang mit personenbezogenen Daten; es liegt ein materieller das BDSG nach 44 BDSG vor. Ein Verstoß hätte eine Freiheitsstrafe bis zu 2 Jahren oder eine sehr hohe Geldstrafe zur Folge : egk betreffende Gesetze ([GMG], [SGB V]) und Rechtsverordnungen Für die Bewertung von Schäden durch Risken in Verbindung mit Verstößen gegen egk betreffende Gesetze werden folgende Festlegungen getroffen: Tabelle 3: Schadensbewertung egk betreffende Gesetze Schadensschwere Kein Schaden Beschreibung Ein Verstoß würde gegenwärtig nicht mit einem für die TI relevanten Schadensereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis festgestellt werden würde (z. B. durch eine Änderung der Gesetzeslage). ODER Ein Schaden dieser Kategorie ist auf das Objekt der Betrachtung nicht anwendbar. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 13 von 55

14 Schadensschwere Niedrig Mittel Hoch Sehr hoch Beschreibung Geringfügige Abweichungen von egk-betreffenden Gesetzen ([GMG], [SGB V]) und Rechtsverordnungen: Dies umfasst bspw. Verstöße gegen das Ziel der Datensparsamkeit gemäß 78 b SGB X und 284 ff. SGB V. Vergehen solcher Art würden durch die zuständigen Behörden voraussichtlich maximal mit einer Empfehlung, Beratung (öffentliche Stelle), Rüge (nicht-öffentliche Stelle) oder Verwarnung geahndet werden. Formale Abweichungen von egk-betreffenden Gesetzen ([GMG], [SGB V]) und Rechtsverordnungen. Dies umfasst zum Beispiel Verstöße gemäß 85 Abs. 1 SGB X. Ordnungswidrigkeiten gemäß 307 Abs. 1 SGB V. Materielle Verstöße gegen egk-betreffende Gesetze ([GMG], [SGB V]) und Rechtsverordnungen. Dies umfasst z. B.: Verstöße gemäß 85 Abs. 2 SGB X. Ordnungswidrigkeiten gemäß 307 Abs. 2 SGB V. Fundamentaler egk-betreffende Gesetze ([GMG ], [SGB V]) und Rechtsverordnungen. Dies umfasst z. B.: Verstöße gemäß 85 Abs. 2, 85a SGB X (Strafordnung), die mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe bestraft werden. Verstöße gemäß 307 a SGB V, die mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft werden : Verträge Innerhalb der Telematikinfrastruktur bestehen verschiedene Verträge auf unterschiedlichen Ebenen zwischen vielfältigen Beteiligten. Anbieter und Dienstbetreiber oder Provider zum Beispiel schließen Service Level Agreements (SLA) miteinander ab, welche die Anforderungen an die angebotenen Dienste/Dienstleistungen beschreiben und im Falle einer Nichterfüllung die vertraglichen, rechtlich verbindlichen Konsequenzen regeln. Auch schließen verschiedene Institutionen Verträge mit ihren Mitarbeitern ab, welche die Wahrung von Betriebsgeheimnissen oder die Verpflichtung zur Verschwiegenheit regeln. Wenn Verträge gebrochen werden, sei es durch vorsätzliche Handlungen, das Nichteinhalten von Sicherheitsstandards oder als Konsequenz von höherer Gewalt, so können Schäden unterschiedlicher Schwere entstehen. Die folgende Tabelle stellt die einzelnen Schadensschweren dar, die auch im Zusammenhang mit den Werten der finanziellen Schäden in Kapitel betrachtet werden sollten. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 14 von 55

15 Tabelle 4: Schadensbewertung Verträge Schadensschwere Kein Schaden Niedrig Mittel Hoch Sehr hoch Beschreibung Ein Verstoß würde gegenwärtig nicht mit einem für die TI relevanten Schadensereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis festgestellt werden würde (z. B. durch eine Änderung der Gesetzeslage). ODER Ein Schaden dieser Kategorie ist auf das Objekt der Betrachtung nicht anwendbar. Ein Verstoß wäre eine Vertragsverletzung, die mit maximal niedrigen (Schadenshöhe siehe 7: Finanzielle/Wirtschaftliche Schäden S. 18) wirtschaftlichen bzw. finanziellen Schäden verbunden wäre: Mangelgewährleistung: Nacherfüllung durch Nachbesserung oder wirtschaftlich vertretbare Neulieferung. Bei einem Verzug: Leistung wird innerhalb angemessener Nachfrist erbracht. Ein Verstoß wäre eine Vertragsverletzung, die mit maximal mittleren (Schadenshöhe siehe 7: Finanzielle/Wirtschaftliche Schäden) wirtschaftlichen bzw. finanziellen Schäden verbunden wäre: Wegen fehlender Nacherfüllung oder fruchtlosem Ablauf einer Nachfrist Rücktrittsrecht ( 323, 324 BGB) vom Vertrag und Anspruch auf Schadensersatz ( 280, 281, 282, 283 BGB = positives Interesse) wegen Pflichtverletzung, Aufwendungsersatzanspruch ( 284 BGB = negatives Interesse). Der Zustand, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre, ist mit mittlerem Aufwand herzustellen (vgl. 249 BGB). Ein Verstoß wäre eine Vertragsverletzung, die mit hohen (Schadenshöhe siehe 7: Finanzielle/Wirtschaftliche Schäden) wirtschaftlichen bzw. finanziellen Schäden verbunden wäre. Durch den Verstoß kann es zum Rücktritt vom Vertrag ( 323, 324 BGB) kommen, der Schadensersatzansprüche nach 280 BGB zur Folge hätte. Der Zustand, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre, ist nur mit hohem Aufwand herzustellen (vgl. 249 BGB), und kann entgangenen Gewinn ( 252 BGB) und neben Vermögensschäden auch Ersatz immaterieller Schäden ( 253 BGB) umfassen. Ein Verstoß wäre eine Vertragsverletzung, die mit sehr hohen (Schadenshöhe siehe: 7: Finanzielle/Wirtschaftliche Schäden) wirtschaftlichen bzw. finanziellen Schäden verbunden wäre. Durch den Verstoß könnten Schadensersatzansprüche nach 280 BGB geltend gemacht werden: Haftung wegen Verletzung vertraglicher oder gesetzlicher Verpflichtungen. Der Zustand, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre, ist nur mit sehr hohem Aufwand herzustellen (vgl. 249 BGB), der die jeweils vertraglich vereinbarte Haftungsbeschränkung erreicht. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 15 von 55

16 Schadensschwere Beschreibung Evtl. Zahlung eines vertraglich vereinbarten pauschalierten Schadensersatzes (% vom Auftragswert) bei Auftragserlangung durch strafbares Handeln wie z. B. Bestechung, Vorteilsgewährung, wettbewerbsbeschränkende Absprachen, Betrug ( 334, 333, 298 und 263 StGB) : Beeinträchtigung der Aufgabenerfüllung Eine Beeinträchtigung der Aufgabenerfüllung entsteht meistens als Folge einer Nichtverfügbarkeit von Assets. Denkbar sind jedoch auch Beeinträchtigungen der Aufgabenerfüllung durch den Verlust weiterer Schutzziele, wie der Integrität oder der Vertraulichkeit von Informationsobjekten. Die folgende Tabelle enthält die Vorgaben für die Bewertung von Schäden, die eine Beeinträchtigung der Aufgabenerfüllung zur Folge haben. Tabelle 5: Schadensbewertung Beeinträchtigung der Aufgabenerfüllung Schadensschwere Kein Schaden Niedrig Mittel Hoch Beschreibung Eine Beeinträchtigung würde nicht mit einem TI-relevanten Schadensereignis verbunden sein. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis festgestellt werden würde (z. B. durch eine Änderung der Gesetzeslage). ODER Ein Schaden dieser Kategorie ist auf das Objekt der Betrachtung nicht anwendbar. Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt. Die Beeinträchtigung der Aufgabenerfüllung wäre für die Betroffenen tolerabel, da z.b. innerhalb eines kurzen Zeitraums und mit nur niedrigem Aufwand auf Ersatzverfahren umgestellt werden könnte und Arbeitsabläufe nur geringfügig gestört würden. Die Beeinträchtigung der Aufgabenerfüllung wäre für die Betroffenen zwar tolerabel, der Übergang auf Ersatzverfahren bedürfe jedoch einigen Aufwandes und würde Arbeitsabläufe stören. Der Übergang auf Ersatzverfahren würde von den Betroffenen als unangenehm und aufwendig betrachtet, würde jedoch nur mittlere (siehe 7 für die Definition von mittel für finanzielle Schäden) Kosten für den Betroffenen verursachen. Die Beeinträchtigung würde von den Betroffenen als nicht tolerabel eingeschätzt. Die Beeinträchtigung der Aufgabenerfüllung wäre für die Betroffenen nicht tolerabel, da der Übergang auf Ersatzverfahren sehr aufwendig und kostspielig wäre, und der Vorfall die Arbeitsabläufe stark stören würde (siehe 7 für die Definition von hoch für finanzielle Schäden). Der Betroffene, sofern er Leistungen erbringt, wäre in der Erbringung dieser stark eingeschränkt. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 16 von 55

17 Schadensschwere Beschreibung Der Betroffene, sofern er Leistungen bezieht, würde den Vorfall als nicht tolerable Verzögerung des Leistungsbezugs wahrnehmen. Sehr hoch Eine Beeinträchtigung wäre nicht tolerabel. Die Beeinträchtigung der Aufgabenerfüllung wäre für die Betroffenen nicht tolerabel, da der Übergang auf Ersatzverfahren nicht oder nur mit einem sehr hohen (siehe 7 für die Definition von sehr hoch für finanzielle Schäden) Aufwand möglich wäre, bzw. der Vorfall die Arbeitsabläufe sehr stark stören würde. Der Betroffene, sofern er Leistungen erbringt, könnte seine Leistungen für einen Zeitraum, der für ihn nicht tolerabel ist, nicht mehr erbringen. Der Betroffene, sofern er Leistungen bezieht, würde den Vorfall als nicht tolerable Verzögerung des Leistungsbezugs wahrnehmen. Der Ausfall könnte eine Gefahr für Leib und Leben nach sich ziehen : Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust) Imageschäden können erhebliche negative Auswirkungen auf die TI haben und finden deshalb innerhalb der Betrachtung besondere Beachtung. Potentielle Schäden von Schadensereignissen bezüglich dieser sind nach der folgenden Tabelle zu bewerten. Tabelle 6: Schadensbewertung Negative Innen- bzw. Außenwirkung (Imageschaden oder Akzeptanzverlust) Schadensschwere Kein Schaden Niedrig Mittel Hoch Sehr hoch Beschreibung Das Schadensereignis würde sich in seiner Innen- bzw. Außenwirkung nicht unmittelbar auf die TI beziehen. Eine Änderung der Rahmenbedingungen könnte jedoch dazu führen, dass in der Zukunft ein Schadensereignis festgestellt werden würde (z. B. durch eine Änderung der Gesetzeslage). ODER Ein Schaden dieser Kategorie ist auf das Objekt der Betrachtung nicht anwendbar. Ein Vorfall hätte geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung zur Folge. Eine Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten, die jedoch keine langfristige negative Wirkung hätte. Geringe negative Berichterstattung ohne größere Auswirkungen. Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteuren für eine gewisse Zeit boykottiert wird. Ein Vorfall dieser Art hätte eine so starke Ansehens- oder Vertrauensbeeinträchtigung zur Folge, dass die Möglichkeit besteht, dass der Fortbestand der TI infrage gestellt wird. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 17 von 55

18 : Finanzielle/Wirtschaftliche Schäden Auch wirtschaftliche Schäden können entstehen, wenn eines oder mehrere der fünf Schutzziele der TI verletzt werden. Finanzielle Schäden können zum Beispiel dann entstehen, wenn durch eingeschränkte Funktionalitäten der TI Ersatzprozesse strapaziert werden müssen, die Arbeitsabläufe stören und dadurch zusätzliche Arbeitsaufwände erzeugen. Die Bewertung möglicher finanzieller Schäden findet meistens in Zusammenhang mit den anderen n Anwendung. Hierauf wurde in den vorangegangenen Tabellen bereits hingewiesen. Auch bei der Beurteilung von finanziellen Schäden spielt die Relation des Schadens zum Geschädigten eine Rolle. So werden Schäden gleicher absoluter Höhe verschiedenen Schadensklassen zugeordnet, je nachdem wer der Betroffene ist. Die nachfolgende Tabelle zeigt daher beispielhaft die Zuordnung von monetären Schadenswerten zu Schadensschweren für verschiedene Geschädigtengruppen; die aufgeführten Geschädigtengruppen sind als erläuternde Beispiele zu sehen und decken nicht alle möglichen vorhandenen Geschädigtengruppen ab. Tabelle 7: (INFORMATIV) Beispiele für die Schadensbewertung finanzieller Schäden Schadensschwere bis (in EUR pro Schadensfall) - Obergrenzen - Geschädigtengruppe niedrig mittel hoch sehr hoch Versicherter > 222 gematik > Arzt (freiberuflich) > 280 Leistungserbringer Zahnarzt (freiberuflich) > 570 Apotheker > 750 Vorsorge- oder Rehabilitationseinrichtung > Krankenhaus > Kostenträger > gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 18 von 55

19 Schadensschwere bis (in EUR pro Schadensfall) - Obergrenzen - Geschädigtengruppe niedrig mittel hoch sehr hoch Mitarbeiter (diverse) > 222 Für die Bewertung eines Schadens, welcher verschiedene Geschädigte betrifft, ist die Schadensschwere so zu bewerten, dass es den Schaden des am schwersten Geschädigten widerspiegelt. 2.3 Schutzbedarf für Datenklassen In diesem Abschnitt wird die Nutzung von Datenklassen zur vereinfachten Ermittlung des Schutzbedarfs von Informationsobjekten beschrieben. Schlüssel und PINs werden nicht Datenklassen zugeordnet, sondern durch eine spezielle Methode in Abschnitt 2.4 behandelt Datenklassen für Informationsobjekte Die Einführung von Datenklassen für die Schutzbedarfsfeststellung soll helfen, die Durchführung von Schutzbedarfsfeststellungen zu vereinfachen. Der Grundgedanke hierbei liegt in der Bildung von Datenklassen für Informationsobjekte, die aus dem Blickwinkel des Datenschutzes bzw. der Informationssicherheit den gleichen Schutzbedarf besitzen. Hierzu wird der Schutzbedarf jeder Datenklasse bestimmt und alle Informationsobjekte, die in diese Datenklasse fallen, haben damit genau diesen Schutzbedarf. Beispielsweise existieren in der TI eine Reihe unterschiedlicher Informationsobjekte, die personenbezogene medizinische Daten enthalten (Notfalldaten, Arztbriefe, Befunde, Röntgenbilder etc.) und die bei einer individuell durchgeführten Schutzbedarfsfeststellung zum gleichen Ergebnis des Schutzbedarfs führen würden. Durch die Zuordnung dieser Informationsobjekte zur Datenklasse personenbezogene medizinische Daten entfällt der Aufwand für die individuellen Schutzbedarfsfeststellungen. Der Personenbezug eines Informationsobjektes ist das erste Kriterium für die Bildung der Datenklassen, so dass sich Datenklassen für Informationsobjekte mit Personenbezug und Datenklassen für Informationsobjekte ohne Personenbezug ergeben. Aufgrund der Tatsache, dass in der TI eine große Anzahl personenbezogener medizinischer Daten verarbeitet werden, wird für diese Informationsobjekte eine gesonderte Datenklasse eingeführt. Die Datenklasse öffentliche personenbezogene Daten wird eingeführt, da insbesondere für die Kommunikation der Beteiligten in der TI ein Teil der personenbezogenen Daten innerhalb der TI veröffentlicht werden (bspw. Zertifikate). Unter den Informationsobjekten ohne Personenbezug existiert eine Reihe, die für Sicherheitsfunktionen notwendig sind. Diese werden zweckmäßigerweise nochmals in vertrauliche Daten mit Sicherheitsrelevanz und öffentliche Daten mit Sicherheitsrelevanz unterschieden. Sicherheitsrelevanz bedeutet hier, dass diese Informationsobjekte eine Rolle bei der Gewährleistung der Informationssicherheit in der TI spielen. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 19 von 55

20 Im Ergebnis werden folgende Datenklassen unterschieden: personenbezogene Daten Daten ohne Personenbezug öffentliche personenbezogene Daten personenbezogene medizinische Daten vertrauliche Daten mit Sicherheitsrelevanz öffentliche Daten mit Sicherheitsrelevanz Abbildung 3: Datenklassen für die Schutzbedarfsfeststellung Beispiele für die Zuordnung von Informationsobjekten zu den Datenklassen sind in der folgenden Abbildung dargestellt. personenbezogene Daten personenbezogene medizinische Daten öffentliche personenbezogene Daten Daten ohne Personenbezug vertrauliche Daten mit Sicherheitsrelevanz öffentliche Daten mit Sicherheitsrelevanz Versichertendaten Notfalldaten Zertifikate Verschlüsselte medizinische Daten Konfigurationsdaten von Sicherheitsdiensten OSCP-Antwort Protokolldaten mit Personenbezug Patientenakten Eintrag im Verzeichnisdienst Technische Protokolldaten CR-Listen Befunde Konfigurationsdaten Anonymisierte medizinische Daten Abbildung 4: Beispiele für die Zuordnung von Informationsobjekten zu Datenklassen Bei der Ermittlung des Schutzbedarfs für ein Informationsobjekt wird dieses zunächst genau einer Datenklasse zugeordnet. Zuerst wird die Zuordnung zu einer der spezialisierten Datenklassen ( personenbezogene medizinische Daten, öffentliche personenbezogene Daten, vertrauliche Daten mit Sicherheitsrelevanz und öffentliche Daten mit Sicherheitsrelevanz ) geprüft. Falls diese Datenklassen nicht passend sind, prüft man die allgemeinen Datenklassen ( personenbezogene Daten und Daten ohne Personenbezug ). Nach erfolgter Zuordnung sind die folgenden Regeln anzuwenden: Regel D1: Treffen alle Bewertungen für die einzelnen n der Schutzbedarfsfeststellung der zugeordneten Datenklasse für das Informationsobjekt zu, erhält das Informationsobjekt den Schutzbedarf dieser Klasse. Regel D2: Falls der vordefinierte Schutzbedarf der zugeordneten Datenklasse nicht anwendbar ist, muss das Informationsobjekt individuell bewertet werden (vgl. Abschnitt 2.2.1). gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 20 von 55

21 2.3.2 Schutzbedarfsfeststellung der Datenklassen Die Schutzbedarfsfeststellung der Datenklassen erfolgt entsprechend der Methoden im Abschnitt 2.2. Tabelle 8 - Schutzbedarfsfeststellung der Datenklasse "personenbezogene medizinische Daten" Gesamtbewertung nach Maximumprinzip allgemeine Gesetze und Vorschriften BDSG spezielle Gesetze (SGB V,...) Schutzziele Vertraulichkeit Integrität Authentizität sehr hoch sehr hoch sehr hoch sehr Medizinische Daten in der Behandlung von Patienten unterliegen Gesetzen zur Wahrung der Vertraulichkeit. Hierzu zählt insbesondere der 203 StGB zur Verletzung von Privatgeheimnissen. Ein Verstoß der im 203 StGB genannten Berufsgruppen gegen die Wahrung von Privatgeheimnissen kann zu Freiheitsstrafen führen. Die Strafvorschriften des 44 BDSG gelten für eine vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Da ein Vorsatz der Beteiligten in der TI nicht unterstellt wird, sind vielmehr die Bußgeldvorschriften nach 43 BDSG relevant. sehr Es wird angenommen, dass ein Teil der medizinischen Daten mittels der egk erhoben, verarbeitet oder genutzt sehr Ein Verlust der Integrität medizinischer Daten kann eine gravierende Beeinträchtigung der persönlichen Unversehrtheit des Patienten zur Folge haben. Die Strafvorschriften des 44 BDSG gelten für eine vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Da ein Vorsatz der Beteiligten in der TI nicht unterstellt wird, sind vielmehr die Bußgeldvorschriften nach 43 BDSG relevant. nicht anwendbar Ein Verlust der Authentizität könnte materielle Verstöße gegen Vorschriften und allgemeine Gesetze mit erheblichen Konsequenzen zur Folge haben. Die Strafvorschriften des 44 BDSG gelten für eine vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Da ein Vorsatz der Beteiligten in der TI nicht unterstellt wird, sind vielmehr die Bußgeldvorschriften nach 43 BDSG relevant. nicht anwendbar gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 21 von 55

22 Verträge Schutzziele Vertraulichkeit Integrität Authentizität werden. Daher ist der 307b SGB V anwendbar, der Zugriffe auf die mit der egk erhobenen, verarbeiteten oder genutzten medizinischen Daten entgegen 291a Abs. 4 Satz 1 SGB V unter Strafe stellt. Für die Strafvorschriften des 307b Abs. 1 SGB V ist alleine der Zugriff, unabhängig vom Vorsatz des Zugreifenden, ausschlaggebend. nicht anwendbar nicht anwendbar nicht anwendbar Beeinträchtigung der Aufgabenerfüllung nicht anwendbar Ein Verlust der Integrität kann den Übergang auf Ersatzverfahren erfordern, die von den Betroffenen als unangenehm und aufwändig empfunden werden können. Ein Verlust der Authentizität kann den Übergang auf Ersatzverfahren erfordern, die von den Betroffenen als unangenehm und aufwändig empfunden werden können. Negative Innen- bzw. Außenwirkung (Imageschaden od. Akzeptanzverlust) sehr Ein Vorfall dieser Art hätte eine so starke Ansehens- oder Vertrauensbeeinträchtigung zu Folge, dass die Möglichkeit besteht, dass der Fortbestand der TI infrage gestellt wird. sehr Ein Vorfall dieser Art hätte eine so starke Ansehens- oder Vertrauensbeeinträchtigung zu Folge, dass die Möglichkeit besteht, dass der Fortbestand der TI infrage gestellt wird. sehr Ein Vorfall dieser Art hätte eine so starke Ansehens- oder Vertrauensbeeinträchtigung zu Folge, dass die Möglichkeit besteht, dass der Fortbestand der TI infrage gestellt wird. Finanzielle Auswirkungen sehr Es werden finanzielle Schäden für die betroffenen Beteiligten in sehr hohen Ausmaß gemäß der Tabelle für die "Finanzielle Auswirkungen" angenommen. sehr Es werden finanzielle Schäden für die betroffenen Beteiligten in sehr hohen Ausmaß gemäß der Tabelle für die "Finanzielle Auswirkungen" angenommen. sehr Es werden finanzielle Schäden für die betroffenen Beteiligten in sehr hohen Ausmaß gemäß der Tabelle für die "Finanzielle Auswirkungen" angenommen. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 22 von 55

23 Tabelle 9 - Schutzbedarfsfeststellung der Datenklasse "öffentliche personenbezogene Daten" Schutzziele Vertraulichkeit Integrität Authentizität Gesamtbewertung nach Maximumprinzip allgemeine Gesetze und Vorschriften BDSG spezielle Gesetze (SGB V,...) Verträge mittel hoch hoch Ein Verstoß hätte höchstens Schadensersatzforderungen mittlerer Höhe gemäß 823 BGB zur Folge. Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts würde durch den Einzelnen als tolerabel eingeschätzt werden bzw. der mögliche Missbrauch personenbezogener Daten hat nur begrenzte Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Ein Verstoß hätte hohe Schadensersatzforderungen gemäß 823 BGB zur Folge. Es wird kein Vorsatz der Beteiligten in der TI unterstellt, gegen Entgelt zu handeln oder in der Absicht sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Ein Verstoß hätte hohe Schadensersatzforderungen gemäß 823 BGB zur Folge. Es wird kein Vorsatz der Beteiligten in der TI unterstellt, gegen Entgelt zu handeln oder in der Absicht sich oder einen anderen zu bereichern oder einen anderen zu schädigen. nicht anwendbar nicht anwendbar nicht anwendbar Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit mittleren wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe : Finanzielle/Wirtschaftliche Schäden). Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe : Finanzielle/Wirtschaftliche Schäden). Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe : Finanzielle/Wirtschaftliche Schäden). gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 23 von 55

24 Schutzziele Vertraulichkeit Integrität Authentizität Beeinträchtigung der Aufgabenerfüllung nicht anwendbar Ein Verlust der Integrität kann den Übergang auf Ersatzverfahren erfordern, die von den Betroffenen als unangenehm und aufwändig empfunden werden können. Ein Verlust der Authentizität kann den Übergang auf Ersatzverfahren erfordern, die von den Betroffenen als unangenehm und aufwändig empfunden werden können. Negative Innenbzw. Außenwirkung (Imageschaden od. Akzeptanzverlust) Eine Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten, die jedoch keine langfristige negative Wirkung hätte. Geringe negative Berichterstattung ohne größere Auswirkungen. Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteuren für eine gewisse Zeit boykottiert wird. Ein Vorfall hätte eine enorme Ansehensoder Vertrauensbeeinträchtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteuren für eine gewisse Zeit boykottiert wird. Finanzielle Auswirkungen Es werden finanzielle Schäden für die betroffenen Beteiligten in mittlerem Ausmaß gemäß der Tabelle für die "Finanzielle Auswirkungen" angenommen. Es werden finanzielle Schäden für die betroffenen Beteiligten in hohem Ausmaß gemäß der Tabelle für die "Finanzielle Auswirkungen" angenommen. Es werden finanzielle Schäden für die betroffenen Beteiligten in hohem Ausmaß gemäß der Tabelle für die "Finanzielle Auswirkungen" angenommen. Tabelle 10 - Schutzbedarfsfeststellung der Datenklasse "personenbezogene Daten" Schutzziele Vertraulichkeit Integrität Authentizität Gesamtbewertung nach Maximumprinzip hoch hoch hoch allgemeine Gesetze und Vorschriften Ein das allgemeine Persönlichkeitsrecht könnte Schadensersatzforderungen gemäß 823 I BGB ivm Art. 1, 2 I GG auslösen. Ein das allgemeine Persönlichkeitsrecht könnte Schadensersatzforderungen gemäß 823 I BGB ivm Art. 1, 2 I GG auslösen. Ein das allgemeine Persönlichkeitsrecht könnte Schadensersatzforderungen gemäß 823 I BGB ivm Art. 1, 2 I GG auslösen. gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 24 von 55

25 Schutzziele Vertraulichkeit Integrität Authentizität BDSG Ein Vorschriften des BDSG kann neben Schadensersatzforderungen nach 7 BDSG auch Bußgelder nach 43, 44 BDSG gegen die verantwortliche Stelle auslösen. Ein Vorschriften des BDSG kann neben Schadensersatzforderungen nach 7 BDSG auch Bußgelder nach 43, 44 BDSG gegen die verantwortliche Stelle auslösen. Ein Vorschriften des BDSG kann neben Schadensersatzforderungen nach 7 BDSG auch Bußgelder nach 43, 44 BDSG gegen die verantwortliche Stelle auslösen. spezielle Gesetze (SGB V,...) hoch Ein spezialgesetzliche Vorschriften des SGB V kann die Verhängung von Bußgeldern und Strafen zur Rechtsfolge haben, b SGB V. hoch Ein spezialgesetzliche Vorschriften des SGB V kann die Verhängung von Bußgeldern und Strafen zur Rechtsfolge haben, b SGB V. hoch Ein spezialgesetzliche Vorschriften des SGB V kann die Verhängung von Bußgeldern und Strafen zur Rechtsfolge haben, b SGB V. Verträge Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe : Finanzielle/Wirtschaftliche Schäden). Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe : Finanzielle/Wirtschaftliche Schäden). Ein Verstoß hätte eine Vertragsverletzung zur Folge, die maximal mit hohen wirtschaftlichen bzw. finanziellen Schäden verbunden ist (Schadenshöhe siehe : Finanzielle/Wirtschaftliche Schäden). Beeinträchtigung der Aufgabenerfüllung nicht anwendbar Ein Verlust der Integrität kann den Übergang auf Ersatzverfahren erfordern, die von den Betroffenen als unangenehm und aufwändig empfunden werden können. Ein Verlust der Authentizität kann den Übergang auf Ersatzverfahren erfordern, die von den Betroffenen als unangenehm und aufwändig empfunden werden können. Negative Innenbzw. Außenwirkung (Imageschaden od. Akzeptanzverlust) Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteuren für Ein Vorfall hätte eine enorme Ansehens- oder Vertrauensbeeinträchtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Ein Vorfall hätte eine enorme Ansehensoder Vertrauensbeeinträchtigung zur Folge, die dazu führen würde, dass die Nutzung der TI von den Akteu- gematik_einheitl_methode_schutzbedarfsfeststellung_v1.1.0.doc Seite 25 von 55