S 38 KA 5092/21

Land
Freistaat Bayern
Sozialgericht
SG München (FSB)
Sachgebiet
Vertragsarztangelegenheiten
1. Instanz
SG München (FSB)
Aktenzeichen
S 38 KA 5092/21
Datum
2. Instanz
-
Aktenzeichen
-
Datum
-
3. Instanz
-
Aktenzeichen
-
Datum
-
Kategorie
 
Leitsätze

 

I. Die Vorschriften über die Telematikinfrastruktur (§§ 291 ff.) stehen mit höherrangigem Recht, der DSGVO und dem Grundgesetz (Art. 12, 2 GG) in Einklang (vgl. SG Stuttgart, Urteil vom 27.01.2022, Az S 24 KA 166/20; SG Mainz, Urteil vom 27.07.2022, Az S 3 KA 84/20; SG München, Urteile vom 09.11.2022, u.a. Az S 38 KA 5155/21; SG München, Urteile vom 26.01.2023, Az S 38 KA 190/20 und S 38 KA 72/22).

II. Ein Vertrags-(zahn)arzt, der sich entsprechend den gesetzlichen Regelungen an die Telematikinfrastruktur anschließt, verstößt nicht gegen die (zahn-)ärztliche Schweigepflicht aus § 203 StGB. Denn § 291 Abs. 2b S. 4, 5 SGB V stellt eine Gebotsvorschrift dar, die automatisch eine Erlaubnisvorschrift beinhaltet. Dies schließt eine Strafbarkeit nach § 203 StGB aus. Im Übrigen ist auch der subjektive Tatbestand des § 203 StGB bei bestimmungsgemäßem Anschluss an die TI, bestimmungsgemäßer Nutzung, ordentlicher Wartung und Beachtung der erforderlichen Datenschutzmaßnahmen (zum Beispiel Absicherung der Hard-und Software) zu verneinen (vgl Thomas Fischer, Kommentar zum StGB, Rn. 92 zu § 203).

 

I. Die Klage wird abgewiesen.


II. Der Kläger trägt die Kosten des Verfahrens.

 

T a t b e s t a n d :

Der Kläger, der als Vertragszahnarzt zugelassen ist, wendet sich gegen die mit dem angefochtenen Ausgangsbescheid in der Fassung des Widerspruchsbescheids vorgenommenen Honorarkürzungen in den Quartalen 1/19 - 3/19 in Höhe von 1 % (= 1.087,19€) wegen Nichtteilnahme an der Telematikinfrastruktur (TI). 

Zur Begründung der Kürzung wurde auf die Rechtsgrundlage des § 291 Abs. 2b Satz 14 a.F. (Satz 9 n.F; Anmerkung: genannte §§ SGB V ohne Zusatz sind solche, die in den strittigen Quartalen galten oder nach wie vor gelten) hingewiesen. Die Teilnahme an der Telematikinfrastruktur (Online-Abgleich der Versichertenstammdaten) sei u.a. für Vertragsärzte und Vertragszahnärzte verpflichtend. Ein Verstoß gegen höherrangiges Recht liege nicht vor. Die Beklagte setzte sich insbesondere mit den Argumenten des Klägers, die dieser im Rahmen des Vorverfahrens vortrug bzw. vortragen ließ, auseinander. 

So wurde betont, eine Verletzung von Privatgeheimnissen § 203 StGB sei nicht ersichtlich, wenn die Telematikinfrastruktur eingeführt und bestimmungsgemäß betrieben werde; etwas anders stelle sich die Situation dar, wenn es aufgrund fehlender Datenschutzmaßnahmen (fehlende Absicherung der Hard-oder Software mittels Firewall, Zugriffsbeschränkung oder ähnlichem) zu einem Datenmissbrauch kommen sollte. Eine Verletzung erfordere immer ein Verschulden oder einen Vorsatz. Ferner sei ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO), insbesondere gegen Art. 6 Abs. 1c und e, Abs. 2, Abs. 3 und Art. 9 Abs. 1 Absatz 2, Abs. 3, Abs. 4 DSGVO nicht zu besorgen. Vor allem sei eine Gefährdung der Datensicherheit der Praxis-IT-Systeme durch eine Implementierung der TI nicht zu erwarten. Denn die TI sei ein geschlossenes Netz, zu dem nur registrierte Nutzer mit einem elektronischen Ausweis Zugang erhielten. Wesentliches Element sei der Konnektor. Dieser schütze die Praxen bzw. Apotheken vor unberechtigten Zugriffen aus dem Internet und aus der TI, indem er die Kommunikation zwischen Praxissoftware, elektronischer Gesundheitskarte, Institutionsausweis und TI koordiniere und verschlüssle. Gleichzeitig schütze der Konnektor auch die TI vor beispielsweise Schadstoffsoftware in der Arztpraxis. 
Durch das Zertifizierungsverfahren und die dafür notwendige Sicherheitsüberprüfung für die Herstellung und den Betrieb von Produkten der TI und Diensten gewährleiste die Gematik, die die Architektur der TI maßgeblich definiere und entwickle, dass die sensiblen Gesundheitsdaten vor unbefugtem Zugriff sicher seien. Bei der Gematik handle es sich um eine private Gesellschaft mit einer Mehrheitsbeteiligung der Bundesrepublik Deutschland (Gesellschafterbeteiligung: Bundesrepublik Deutschland zu 51 %, vertreten durch das BMG). Es liege im Regelungsspielraum des Gesetzgebers, die Regelungskompetenzen abzugeben. 

Zusammenfassend seien die angefochtenen Bescheide rechtmäßig. Die Kürzung sei somit zu Recht erfolgt.

Gegen den Ausgangsbescheid in der Fassung des Widerspruchsbescheides ließ der Kläger durch seinen Prozessbevollmächtigten Klage zum Sozialgericht München einlegen. 

Zur Begründung wurde ausgeführt, der Kläger werde durch den angefochtenen Bescheid in seinen Rechten verletzt. Denn dieser solle mit dem Druckmittel der Kürzung seiner Honorare in rechtswidriger Weise dazu gezwungen werden, sein IT-System an die Thematikinfrastruktur anzubinden und die Durchführung des Versichertenstammdatenmanagements zu genehmigen. Der Kläger sei gegenüber seinen Patienten aber zur Schweigepflicht verpflichtet (§ 203 Nr 1 StGB) und mache sich dadurch strafbar. Er sei gegenüber der Beklagten nicht von der Schweigepflicht entbunden und könne schon deshalb der Beklagten die von ihr gewünschte Anbindung an sein IT-System nicht gestatten. Fakt sei auch, dass die zur Verfügung gestellte Schnittstelle keine Möglichkeit enthalte, den Zugriff nur auf die Versichertenstammdaten und die für die Abgrenzung erforderlichen Daten zu begrenzen. Letztendlich werde der Beklagten ein "Ausspähen" der gesamten Informationen aus dem IT-System des Klägers ermöglicht. Damit könnten auch Dritte Zugriff nehmen, was der Kläger im Hinblick auf die Schweigepflicht nicht gewähren könne und auch nicht wolle. Die Regelung in § 291 Abs. 2b S. 14ff SGB V sei verfassungskonform dahingehend auszulegen, dass sich die Beklagte auf diese Vorschrift gegenüber dem Kläger solange nicht berufen könne, solange sie keine Schnittstelle geschaffen habe, die nur auf die für die Abrechnung erforderlichen Daten, die im System des Klägers gespeichert seien, zugreifen könne. Es werde bestritten, dass die Schnittstelle hier Vorkehrungen getroffen habe, die den Zugriff auf Daten, die nicht der Abrechnung dienten, verhindern. Die Schnittstelle und das System der Beklagten gewährten weder die erforderliche Datensicherheit, noch den erforderlichen Datenschutz. Es müsse sichergestellt werden, dass durch die TI Schnittstelle gar nicht erst die Möglichkeit bestehe, entsprechende Daten und Informationen abzuziehen. Die Beklagte habe deshalb substantiiert darzulegen, dass ein derartiger Zugriff aufgrund der Schnittstelle nicht möglich sei. Der Kläger wehre sich auch nicht dagegen, dass die Beklagte Informationen, die für die Abrechnung der einzelnen Fälle erforderlich seien, erhalte. Für die Rechtswidrigkeit und Verfassungswidrigkeit der Situation im Jahr 2019 spreche auch der Umstand, dass die gesetzlichen Regelungen im Jahr 2020 neu gefasst wurden. Auch aus diesem Grund könnten die Kürzungen im Jahr 2019 nicht erfolgen. Es werde die Einholung eines Sachverständigengutachtens beantragt.

In ihrer Replik vertrat die Beklagte die Auffassung, ein Verstoß gegen die Schweigepflicht in § 203 Nr. 1 StGB sei nicht zu besorgen. Lediglich die Krankenkassen könnten in streng reglementiertem Umfang unmittelbaren Zugriff auf Versichertendaten nehmen, wozu sie auch berechtigt seien. Es erschließe sich nicht, welche Dritte unzulässigerweise Patientendaten zugänglich gemacht bekommen sollten. Zudem wies die Beklagte auf das Urteil des Bundessozialgerichts vom 20.01.2021 (Az B 1 KR 7/20 R) hin. Das Bundessozialgericht habe auch die Vereinbarkeit mit der Datenschutzgrundverordnung (DSGVO) festgestellt. So werde die Verarbeitung auch von besonders geschützten personenbezogenen Daten im Rahmen des Versichertenstammdatenmanagements als datenschutzrechtlich zulässig angesehen. Ein Datenaustausch sei aufgrund von Erlaubnisnormen gestattet, sodass dies keinen Verstoß gegen § 203 Nr. 1 StGB begründen könne. Auch aus dem Umstand, dass es im Jahr 2020 zu einer Gesetzesänderung gekommen sei, ergebe sich keine Rechtswidrigkeit der Regelung für das Kalenderjahr 2019. Im Übrigen bestehe offensichtlich Unklarheit beim Kläger hinsichtlich des Inhalts und der Funktion der Telematikinfrastruktur. Die Abrechnung werde nämlich unabhängig von der TI online vom Zahnarzt an die KZVB übermittelt. Außerdem erhalte die Beklagte auch keinerlei Zugriff auf die vertraulichen Patientendaten. Der Vertragszahnarzt sei lediglich verpflichtet, die Versichertenstammdaten an die Krankenkasse zu übermitteln. Dies ergebe sich aus dem Gesetzestext des § 291b Abs. 2 S. 1 SGB V

In der mündlichen Verhandlung am 28.02.2023 betonte der Prozessbevollmächtigte des Klägers, es müsse von Amts wegen nach § 103 SGG ermittelt werden, welche Möglichkeiten die TI Schnittstelle habe. Ferner müsse die Frage geklärt werden, ob die TI Schnittstelle auf Patientendaten, die der Schweigepflicht unterliegen und auf die die Kasse zugreifen dürfe, einsehen oder zugreifen könne.

Der Prozessbevollmächtigte des Klägers stellte die Anträge aus dem Schriftsatz vom 09.09.2021.

Die Vertreterin der Beklagten beantragte, die Klage abzuweisen.

Beigeladen und Gegenstand der mündlichen Verhandlung
war die Beklagtenakte. Im Übrigen wird auf den sonstigen Akteninhalt, insbesondere die Schriftsätze der Beteiligten, sowie die Sitzungsniederschrift vom 28.02.2023 verwiesen.


E n t s c h e i d u n g s g r ü n d e :

Das Gericht hat dem Antrag des Prozessbevollmächtigten des Klägers, Beweis durch Sachverständigengutachten zu erheben, nicht stattgegeben. Nach § 103 Satz 2 SGG ist das Gericht an das Vorbringen und die Beweisanträge der Beteiligten nicht gebunden. Hintergrund hierfür ist, dass in sozialgerichtlichen Verfahren nach § 103 Satz 1 SGG eine sog. Amtsermittlungspflicht besteht. Der Sachverhalt ist umfassend, losgelöst von dem Vorbringen und Beweisanträgen der Beteiligten zu ermitteln. Beweisanträge sind daher grundsätzlich als Anregungen zu verstehen (Meyer-Ladewig/Keller Leitherer/ Schmidt, Kommentar zum SGG, Rn. 12c zu § 103). Nicht zuletzt aufgrund der Einlassungen der Beteiligten, aber auch im Hinblick auf die vorausgegangenen Entscheidungen der Sozialgerichte wurde nach Auffassung des Gerichts eine Ermittlungsdichte erreicht, die weitere Ermittlungen von Amts wegen erübrigt und dazu führt, den Rechtsstreit als entscheidungsreif anzusehen. 

Die zum Sozialgericht München eingelegte Klage ist zulässig, erweist sich jedoch als unbegründet. Der angefochtene Ausgangsbescheid in der Fassung des Widerspruchsbescheides ist rechtmäßig. 

Rechtsgrundlage für die vorgenommene Kürzung (Honorarabzug) ist § 291 Abs. 2b S. 14 SGB V. Danach ist die Vergütung vertragsärztlicher Leistungen pauschal um ein Prozent zu kürzen, wenn die an der vertrags(-zahn)ärztlichen Versorgung teilnehmenden Ärzte die Prüfung nach § 291 Abs. 2b S. 2 SGB V nicht durchführen. Nach § 291 Abs. 2c S. 2 SGB V ist die Vergütung vertrags(-zahn)ärztlicher Leistungen pauschal um ein Prozent solange zu kürzen, bis der Nachweis, dass die Ärzte über die für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Dienste verfügen, nicht erbracht wird. Konkret hat der Kläger weder den Nachweis geführt, noch hat er den online-Datenabgleich vorgenommen, sodass die seit dem Pflegepersonalstärkungsgesetz (PpSG) gewährte Fristverlängerung zur Anbindung an die Telematikinfrastruktur und Durchführung des Versichertenstammdatenmanagements bis zum 30.06.2019 (§ 291 Abs. 2b S. 14 und 15 in der Fassung vom 11.12.2018) nicht gilt.

Die Honorarkürzung ist nur dann rechtmäßig, wenn die Verpflichtung zur Teilnahme an der Telematikinfrastruktur ihrerseits rechtmäßig ist. Dies setzt insbesondere voraus, dass die Regelungen über die Telematikinfrastruktur mit höherrangigem Recht, insbesondere der Datenschutz-grundverordnung (DSGVO) zu vereinbaren sind. Bei der DSGVO handelt es sich um EU-Recht. Die Verordnung entfaltet unmittelbare Wirkung und ist verbindlich, ohne dass diese in nationale Rechtsakte umgesetzt werden muss. Bei einer Kollision der DSGVO mit einfachem nationalen Recht ergibt sich ein Vorrang des EU-Rechts. Es handelt sich um einen sogenannten Anwendungsvorrang (vgl EuGHE 1964, 1251/1279).

Das Sozialgericht Stuttgart (SG Stuttgart, Urteil vom 27.01.2022, Az S 24 KA 166/20) hatte in einem Verfahren ebenfalls über die Rechtmäßigkeit der Honorarkürzung wegen Nichtteilnahme von Vertragsärzten an der Telematikinfrastruktur zu entscheiden. Diese Entscheidung betraf das Quartal 1/2019. Das Gericht kam zu dem Ergebnis, §§ 291 Absatz 2b S. 3, S. 14 SGB V a.F. seien nicht wegen Verstoßes gegen höherrangiges Recht, insbesondere nicht wegen eines Verstoßes gegen die DSGVO nichtig.

Im Einzelnen setzte sich das SG Stuttgart mit der Vereinbarkeit der Regelungen der §§ 291 ff. SGB V a.F. mit Art. 6 Abs. 1 DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt), Art. 6 Abs. 3 S. 4 DSGVO (Verhältnismäßigkeitsgrundsatz), Art. 9 Abs. 1 DSGVO, Art. 5 Abs. 1f DSGVO (Grundsatz der angemessenen Datensicherheit der Datenverarbeitung), Art. 4 Nr 7 DSGVO (Verantwortlichkeit), Art. 24, 26 Abs. 1 S. 1 DSGVO, Art. 35 DSGVO (Datenschutzfolgenabschätzung) und Art. 12 Grundgesetz (GG) sehr ausführlich auseinander. Das Urteil ist nicht rechtskräftig (Berufung zum LSG Baden-Württemberg).
Zudem gelangte das Sozialgericht Mainz (SG Mainz, Urteil vom 27.07.2022, Az S 3 KA 84/20) zu dem Ergebnis, die erfolgte Honorarkürzung auf der Grundlage von § 291 Abs. 2b S 3, S. 14 SGB V a.F. sei rechtmäßig. Vom Gericht geprüft wurde insbesondere die Vereinbarkeit der Vorschriften des SGB V (§§ 291ff.) mit Art. 6 Abs. 1 S. 1 DSGVO, Art. 6 Abs. 1e DSGVO, Art. 6 Abs. 3 DSGVO, Art. 9 DSGVO, Art. 5 Abs. 1f DSGVO, Art. 32 DSGVO und Art. 35 DSGVO sowie mit Art. 12 Grundgesetz. Das SG Mainz führte aus, die Vorschriften würden nicht gegen die Vorgaben der DSGVO verstoßen. Insbesondere handle es sich um einen überschaubaren Datenverarbeitungsprozess. Außerdem sei eine kontinuierliche Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben durch die Gesellschaft und die Anbieter von Diensten und Anwendungen im Rahmen der TI hinreichend gewährleistet.

Ende 2022 war das SG München (SG München, Urteile vom 09.11.2022, u.a. Az S 38 KA 5155/21) mit Honorarkürzungen im Zahnarzt-Bereich wegen Nichtteilnahme an der TI (Klagen mehrerer Vertragszahnärzte) befasst. Weitere Verfahren im Bereich des Vertragsarztrechts wurden am 26.01.2023 entschieden (Az S 38 KA 190/20 und S 38 KA 72/22). Auch hier wurden die Klagen abgewiesen.

Des Weiteren war das Bundessozialgericht (BSG, Urteil vom 20.01.2021, Az B 1 KR 7/20 R), wenn auch in anderem Zusammenhang, mit der Prüfung der Rechtmäßigkeit und Vereinbarkeit der §§ 291 ff. SGB V mit der DSGVO befasst. Gegenstand des dortigen Verfahrens war, ob für die beklagte Krankenkasse eine Verpflichtung bestand, einer Versicherten einen Weg zu eröffnen, ihre Berechtigung zur Inanspruchnahme von vertragsärztlichen Leistungen nachweisen zu können, ohne dabei die E-Gesundheitskarte verwenden und einen online erfolgenden Abgleich von Versichertenstammdaten dulden zu müssen. Das Bundessozialgericht hat hierzu ausgeführt, die aktuellen gesetzlichen Vorgaben zur E-Gesundheitskarte und ihre Einbeziehung in die TI stünden im Einklang mit den Vorgaben der Datenschutzgrundverordnung (Art. 6 Abs. 1 S. 1 DSGVO, Art. 6 Abs. 3 S. 4 DSGVO, Art. 5 Abs. 1 Buchst. f DSGVO). Es handle sich um legitime Zwecke und bedeutende Gemeinwohlbelange, zumal hierdurch der Leistungsmissbrauch erschwert werde und dies der finanziellen Stabilität der gesetzlichen Krankenversicherung zugutekomme. Das Bundessozialgericht betonte auch, es gebe keine absolute Datensicherheit. Im Übrigen sprach das Bundessozialgericht (aaO) von einem hinreichend normdichten und klaren Regelungsgefüge, das durch eine Vielzahl aufeinander und insbesondere auch mit den Vorgaben der DSGVO abgestimmter materiell-rechtlicher, organisatorischer und prozeduraler Maßnahmen der Datensicherheit diene. Der Gesetzgeber sei auch später seiner Beobachtungs-und Nachbesserungspflicht nachgekommen. 

Das Sozialgericht München nimmt auf die o.g. Entscheidungen Bezug. Zudem ist im streitgegenständlichen Verfahren wie folgt auszuführen: 

Was die genannte Entscheidung des Bundessozialgerichts betrifft (BSG, aaO), ist diese auf die vorliegende Rechtsstreitigkeit nicht unmittelbar übertragbar. Denn Gegenstand des hier anhängigen Verfahrens ist die Frage, ob insbesondere unter Wahrung der Vorschriften der DSGVO ein Leistungserbringer, hier der Vertrags- (-zahn)arzt zur Teilnahme an der Telematikinfrastruktur verpflichtet werden kann. Das Bundessozialgericht hat sich aber mit den auch hier maßgeblichen Regelungen im SGB V (§§ 291 ff SGB V) umfassend auseinandersetzt und die Regelungen für datenschutzrechtlich unbedenklich und mit der DSGVO vereinbar angesehen. Die rechtlichen Erwägungen können folglich mittelbar und ohne weiteres auch auf das streitgegenständliche Verfahren aus dem Bereich des Vertragsarztrechtes übertragen werden. 

Die Teilnahme der Vertragsärzte an der Telematikinfrastruktur steht im Zusammenhang mit der Einführung der sog. elektronischen Gesundheitskarte (E-Gesundheitskarte), die den Versicherten von der Krankenkasse ausgestellt wird (§ 291a Abs. 1 SGB V). Nach § 291 Abs. 2 SGB V enthält sie verschiedene Angaben, nämlich sog. Patientenstammdaten. §§ 291 Abs. 2, Abs. 3 regeln die Zwecke, für die die E-Gesundheitskarte geeignet sein muss. In dem strittigen Zeitraum (Jahr 2019) stellen die an der vertragsärztlichen Versorgung teilnehmenden Ärzte/Zahnärzte bei der erstmaligen Inanspruchnahme ihrer Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse durch Nutzung der Dienste fest. Dazu ermöglichen sie den Online-Abgleich und die Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten nach Abs. 1 und 2 mit den bei der Krankenkasse vorliegenden aktuellen Daten. Die Prüfungspflicht gilt ab dem Zeitpunkt, ab dem die Dienste nach § 291 Abs. 1 SGB V sowie die Anbindung an die Telematikinfrastruktur zur Verfügung stehen (§ 291 Abs. 2b S. 4 SGB V). Nach § 291 Abs. 2b S. 6 SGB V ist die Durchführung der Prüfung auf der E-Gesundheitskarte zu speichern. Gegenüber den zuständigen Kassen(-zahn)ärztlichen Vereinigungen besteht eine Nachweispflicht durch die an der vertrags(-zahn)ärztlichen Versorgung teilnehmenden Leistungserbringer (§ 291 Abs. 2c S. 1 SGB V). Nach der Erläuterung der Gematik in den Parallelverfahren findet ein sog. Patientenstammdatenabgleich jedenfalls in der Weise nicht statt, dass Stammdaten an die Krankenkassen übertragen werden. Vielmehr wird nach Einlesen der Versichertenkarte in der Arztpraxis über den Konnektor verschlüsselt (Kartennummer) bei der Krankenkasse angefragt, ob es ein Update gibt. Liegt ein solches vor, erfolgt eine verschlüsselte Rückmeldung von der Krankenkasse. Diese Änderung wird dann auf die Patientenkarte geschrieben.

Komponenten und Dienste der Telematikinfrastruktur werden von der Gematik zugelassen (§ 291 b Abs. 1 a S.1 SGB V). Die Gematik prüft dabei die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichen Prüfkriterien (§ 291 b Abs. 1 a S.4 SGB V). Vorgesehen ist auch eine sogenannte Sicherheitszertifizierung nach § 291b Abs. 1a S. 5 SGB V. Kommt es zu Störungen, die zu einer beträchtlichen Auswirkung auf die Sicherheit und Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, hat die Gesellschaft für Telematik dies dem Bundesamt für Sicherheit in der Informationstechnik zu melden (§ 291b Abs. 6 S. 4 SGB V). Bei Sicherheitsmängeln kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen (§ 291b Abs. 8 S. 2 SGB V). 

Ohne Zweifel stellt der Abgleich der personenbezogenen Daten nach § 291 Abs. 2b S. 2 SGB V eine Datenverarbeitung nach Art. 4 DSGVO dar. Nach Art. 4 Ziff 2 DSGVO ist unter Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen. Darunter fallen auch ein Auslesen und ein Abgleich von Daten (Art. 4 Ziff. 2 DSGVO). Die Legaldefinition für personenbezogene Daten findet sich in Art. 4 Ziff. 1 DSGVO. Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen... Damit ist der Anwendungsbereich der DSGVO (Art. 1 DSGVO) eröffnet.

Die Regelungen des §§ 291 ff. SGB V sind auch mit den allgemeinen Grundsätzen der DSGVO (Art. 4, 5, 6) vereinbar. Insbesondere dient der Datenabgleich der Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 DSGVO). Ebenso wird der Grundsatz der Verhältnismäßigkeit in Art. 6 Abs. 3 S. 4 DSGVO eingehalten. Danach muss auch das Recht des Mitgliedstaats ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. Die Prüfung des Verhältnismäßigkeitsgrundsatzes erfordert die Beurteilung der Eignung und Erforderlichkeit des gewählten Mittels zur Erreichung des erstrebten Zwecks sowie eine vorzunehmende Einschätzung und Prognose der dem Einzelnen oder der Allgemeinheit drohenden Gefahren (BVerfG, Urteil vom 09.03.1994, Az 2 BvL 43/92). Der mit der Telematikinfrastruktur verfolgte Zweck, konkret der von dem Vertrags-(zahn) Arzt im Jahr 2019 vorzunehmende Datenabgleich nach § 291 Abs. 2b S. 2 SGB V bestand insbesondere in der Verhinderung von Missbrauch der Krankenversichertenkarte, zur Kosteneinsparung und zur Abrechnung der Leistungen durch den Vertrags-(zahn)Arzt, insgesamt zur Gewährleistung der finanziellen Stabilität der GKV. Ein alternatives, gleich praktikables, effektives Verfahren, um den oben genannten Zwecken gerecht zu werden, ist nicht ersichtlich. Vielmehr drängt sich auf, die Möglichkeiten der elektronischen Datenverarbeitung auch im gesundheitlichen Bereich, allerdings bei gleichzeitiger besonderer Wahrung des Datenschutzes zu nutzen, wie sie auch in anderen Bereichen seit längerer Zeit bereits Verwendung finden. Es ist nicht ersichtlich, dass es andere, gleich geeignete, weniger belastende Möglichkeiten gibt, um die legitimen Ziele zu erreichen (vgl BSG, Beschluss vom 20.01.2021, B 1 KR 7/20 ER).

Zu den wichtigsten zu beachtenden Regelungen in der DSGVO gehört die Sicherheit der Daten. Damit die Ziele der DSGVO (Art. 1 Abs. 2 DSGVO), nämlich der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Rechte auf Schutz persönlicher personenbezogener Daten erreicht werden, müssen nach Art. 5 Abs. 1 Buchst. f DSGVO "die Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (" Integrität und Vertraulichkeit")". 

Der Verarbeitungsprozess in den Quartalen 1/19-3/19 besteht darin, dass der an der vertragsärztlichen Versorgung teilnehmende Vertrags-(zahn)arzt bei der erstmaligen Inanspruchnahme seiner Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse durch Nutzung der Dienste nach § 291 Abs. 2b S. 2 SGB V prüft. Dies geschieht durch einen Online-Abgleich der auf der elektronischen Gesundheitskarte gespeicherten Daten nach Abs. 1 und 2 mit den bei der Krankenkasse vorliegenden aktuellen Daten (§ 291 Abs. 2b S. 3 SGB V). Zu den Patientenstammdaten zählen die Bezeichnung der ausstellenden Krankenkasse, einschließlich eines Kennzeichens für die Kassenärztliche Vereinigung, in deren Bezirk der Versicherte seinen Wohnsitz hat (Nr 1), der Familiennamen und Vorname des Versicherten (Nr 2), das Geburtsdatum des Versicherten (Nr 3), das Geschlecht des Versicherten (Nr 4), die Anschrift des Versicherten (Nr 5), die Krankenversichertennummer des Versicherten (Nr 6), der Versichertenstatus, für die Personengruppe nach § 264 Abs. 2 der Status der auftragsweisen Betreuung (Nr 7), der Zuzahlungsstatus des Versicherten (Nr 8), der Tag des Beginns des Versicherungsschutzes (Nr 9), bei befristeter Gültigkeit elektronischen Gesundheitskarte das Datum des Fristablaufs (Nr 10). Das Sozialgericht München, wohl aber auch die bisher befassten Sozialgerichte sind bisher von einem Abgleich aller sog. Patientenstammdaten im Wege der Übermittlung von der jeweiligen Praxis an die Krankenkassen und Rückleitung ausgegangen. Wie dies im Einzelnen geschieht, wurde, soweit ersichtlich, in den ersten Entscheidungen nicht thematisiert. Nunmehr, nämlich im Rahmen der mündlichen Verhandlung am 26.01.2023 in Parallelverfahren vor dem Sozialgericht München wurden Einzelheiten des sog. Online-Datenabgleich bekannt. Danach - so die Vertreter der Gematik - wird bei der Krankenkasse verschlüsselt angefragt, ob es ein Update gibt. Ist dies der Fall, beispielsweise, weil sich beim Patienten eine Adressänderung ergeben hat und es damit zu einem Update gekommen ist, wird ebenfalls verschlüsselt Rückmeldung von der Krankenkasse gegeben und die Anpassung auf die Patientenkarte geschrieben. In den strittigen Quartalen findet somit weder ein Abgleich der Patientenstammdaten im eigentlichen Sinn statt, denn es wird nur verschlüsselt angefragt, ob es ein update gibt, geschweige denn werden Daten über den einzelnen Gesundheitsstatus des Versicherten verarbeitet. Auch werden vom Vertrags(-zahn)arzt Daten nicht erhoben, nicht erfasst, nicht angepasst oder verändert (Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2022, Az L 3 KA 63/20 B ER Rn 32). 

Nach Art. 5 Abs. 1 Buchstabe f DSGVO wird eine "angemessene" Datensicherheit gefordert. Bei dem Begriff "angemessen" handelt es sich um einen unbestimmten Rechtsbegriff, der der Auslegung zugänglich ist. In dem Zusammenhang bekräftigt das Gericht seine Auffassung, wonach umso höhere Anforderungen an die Datensicherheit zu stellen sind, um das Risiko vor unbefugtem Zugriff Dritter möglichst gering zu halten, je umfangreicher und personenbezogener Daten sind, die verarbeitet werden. Die Anforderungen an die Datensicherheit sind somit unterschiedlich und abhängig von der Art, dem Umfang der Daten und der konkreten Datenverarbeitung. Ganz allgemein gilt, eine absolute Datensicherheit ist nicht zu fordern und wäre auch mit einem noch so großen technischen und organisatorischen Aufwand nicht darstellbar (vgl BSG, Urteil vom 20.01.2021, B 1 KR 7/20 R). 

In Umsetzung dieser grundsätzlichen Erwägungen auf das streitgegenständliche Verfahren, ist zunächst festzustellen, dass die Nutzung der Dienste zwar im Zusammenhang mit der elektronischen Patientenkarte steht, es sich in den strittigen Quartalen aber um einen Verarbeitungsprozess auf niedrigster Stufe handelt. Denn es findet rein tatsächlich nicht einmal ein Abgleich der Patientenstammdaten im eigentlich Sinn statt. Entsprechend Art und Umfang des Verarbeitungsprozesses sind folglich geringe Anforderungen an den Datenschutz zu stellen. 

Nachdem der Gesetzgeber der Gematik im Zusammenhang mit der Telematikinfrastruktur eine wesentliche Rolle zugedacht hat, kommt es darauf an, ob diese Institution den Anforderungen an eine "angemessene" Datensicherheit gerecht wird. Auch stellt sich die Frage, ob es der Gematik qua Gesetz überlassen werden kann, die wesentlichen, mit der Einführung der Telematikinfrastruktur zusammenhängenden Maßnahmen, darunter insbesondere Sicherheitsmaßnahmen zur Gewährleistung des Datenschutzes zu treffen. Als Aufgaben der Gematik sind die Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts (§ 291b Abs. 1 Ziff 1 SGB V), die Festlegung des Inhalts und der Struktur der Datensätze für deren Bereitstellung und Nutzung (§ 291b Abs. 1 Ziff 2 SGB V), die Erstellung und Überwachung der Vorgaben für den sicheren Betrieb der Telematikinfrastruktur (§ 291b Abs. 1 Ziff 3 SGB V), die Sicherstellung der notwendigen Test-und Zertifizierungsmaßnahmen (§ 291b Abs. 1 Ziff 4 SGB V) und die Festlegung der Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung der in § 291a Abs. 4 und 5a geregelten Zugriffsberechtigungen und der Steuerung der Zugriffe auf Daten nach § 291 Abs. 3 (§ 291b Abs. 1 Ziff 5 SGB V) genannt. Die Gematik wird in der Rechtsform einer GmbH geführt, bestehend aus mehreren Gesellschaftern, konkret die Bundesrepublik Deutschland und die in § 291a Abs. 7 SGB V genannten Spitzenorganisationen (Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft, Spitzenorganisationen der Apotheker). Dabei entfallen auf die Bundesrepublik Deutschland ein Anteil von 51 %, ein Anteil von 24,5 % auf den Spitzenverband Bund der Krankenkassen und ein weiterer Anteil von 24,5 % auf die übrigen Spitzenorganisationen (§ 291b Abs. 2 Ziff. 1 SGB V). Mit Gesetz vom 14.10.2020 erfolgte eine Änderung des SGB V u.a. durch Einfügung der Vorschriften der §§ 306 ff SGB V. 

Im Rahmen der Erfüllung der Aufgaben der Gematik hat der Gesetzgeber eine Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit der/dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verbindlich vorgegeben. So ist, wenn bei den Festlegungen und Maßnahmen nach § 291b Abs. 1 SGB V Fragen der Datensicherheit berührt sind, ein Einvernehmen mit dem BSI herzustellen. Ferner ist in § 291b Abs. 1e S. 1 SGB V geregelt, dass die Gesellschaft für Telematik sichere Verfahren zur Übermittlung medizinischer Dokumente in Abstimmung mit dem BSI und festlegt. Für die Zulassung von Komponenten und Diensten der Telematikinfrastruktur entwickelt das BSI geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gematik in Abstimmung mit dem BSI beschlossen (§ 291 b Abs. 1a S. 6 und 7 SGB V). Nach § 291b Abs. 4 SGB V ist vor der Beschlussfassung zu Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur dem BSI und dem BfDI Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind. Auch, soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gematik in Abstimmung mit dem BSI befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Für die zugelassenen Dienste und Betreiber besteht die Pflicht, erhebliche Störungen der Verfügbarkeit, der Integrität, der Authentizität und Vertraulichkeit dieser Dienste unverzüglich der Gematik zu melden (§ 291b. Abs. 6 S. 2 SGB V). Die Gematik ist dann ihrerseits verpflichtet, diese Störungen unverzüglich dem BSI zu melden (§ 291b. Abs. 6 S. 4 SGB V). Auf Verlangen des BSI hat die Gematik die in § 291b Abs. 8 S. 1 SGB V genannten Dokumente vorzulegen. Wenn sich daraus Sicherheitsmängel ergeben sollten, kann das BSI der Gematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen (§ 291b Abs. 8 S. 2 SGB V). Auch die Gematik besitzt gegenüber den Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach § 291b Abs. 8 S. 3 SGB V ein Weisungsrecht. 

Des Weiteren sieht das Gesetz in § 291b Abs. 2a SGB V die Einrichtung eines Beirats durch die Gesellschaft für Telematik vor, der diese in fachlichen Belangen berät. Der Beirat besteht zwingend aus insgesamt 17 Vertretern, nämlich aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, einen durch das Bundesministerium für Gesundheit im Einvernehmen mit dem Bundesministerium für Bildung und Forschung zu benennenden Vertreter aus dem Bereich der Hochschulmedizin, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisationen sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten. 

Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und die Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich (§ 291b Abs. 4 S. 1 SGB V). Außerdem ist die Gematik Betreibern von Diensten gegenüber weisungsbefugt (§ 291b Abs. 8 S. 6 SGB V). In § 291c SGB V ist ferner die verbindliche Einrichtung einer Schlichtungsstelle bei der Gesellschaft für Telematik vorgesehen, deren Entscheidungen für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich sind.

Somit verfügt die Gematik einerseits über umfangreiche eigene Kompetenzen, so vor allem eine eigene Kompetenz, Festlegungen und Maßnahmen der Datensicherheit (§§ 291b Abs. 1, 291b Abs. 1e SGB V), darunter auch Maßnahmen der Gefahrenabwehr zu treffen (§ 291b Abs. 6 S. 1 SGB V), Entscheidungen über die Zulassung von Diensten und Betreibern zu treffen (§ 291b Abs. 1a SGB V), auch gegebenenfalls den Zugang zur Telematikinfrastruktur zu sperren oder nur unter Auflagen zu gestatten (§ 291b Abs. 6 S. 6 SGB V). Andererseits ist den Regelungen, insbesondere § 291b SGB V immanent, dass oft ein Einvernehmen bzw. eine Abstimmung mit dem BSI und/oder der/dem BfDI erforderlich ist. Auch wenn ein solches Procedere auf den ersten Blick raschen Entscheidungsprozessen zuwiderläuft, trägt dieses nicht unmaßgeblich zu einem "Mehr" an Datensicherheit bei. Für die Gematik besteht auch gegenüber dem BSI eine Meldepflicht bei erheblichen Störungen (§ 291b Abs. 4 S. 2 SGB V). Das BSI ist ebenfalls gegenüber der Gematik zu Weisungen befugt. Es handelt sich also um ein extrem ausgewogenes Netz aus Eigenverantwortung der Gematik, in der strukturell neben der Bundesrepublik Deutschland die maßgeblichen Institutionen im Gesundheitswesen vertreten sind, diese aber begrenzt durch zahlreiche Kontrollmechanismen, die vor allem dem BSI und der/dem BfDI überantwortet wurden. Daneben gibt es auch zusätzliche Kontrollgremien, so den Beirat nach § 291b Abs. 2a SGB V und eine Schlichtungsstelle nach § 291c SGB V. Damit zeugen die Regelungen in §§ 291 ff. SGB V von dem großen Bemühen des Gesetzgebers, ein Optimum an Datenschutz zu erreichen. Das Bundessozialgericht (aaO) spricht deshalb nicht umsonst von einem "risikobasierten Ansatz" der Regelungen der §§ 291 ff. SGB V, einem normdichten und klaren Regelungsgefüge, das durch eine Vielzahl aufeinander abgestimmter materiell-rechtlicher, organisatorischer und prozeduraler Maßnahmen der Datensicherheit dient und eine ausreichende Datensicherheit gewährleistet. Es ist kaum vorstellbar, dass in einem der anderen Mitgliedstaaten, in dem auch die Vorschriften der DSGVO gelten, bei der Verarbeitung personenbezogener Daten im Gesundheitswesen eine vergleichbare Regelungsdichte zum Schutz dieser Daten vorhanden ist. 

Zudem ist festzustellen, dass der Gesetzgeber in den Regelungen, die elektronische Patientenkarte und die Telematikinfrastruktur betreffend (§§ 291ff. SGB V), umfangreich festgelegt hat, wer an der Umsetzung der Telematikinfrastruktur beteiligt ist und welche Aufgaben den einzelnen an der TI Beteiligten überantwortet sind. Das Gericht räumt aber zugleich ein, dass im SGB V keine oder kaum detaillierte Vorgaben und Regelungen zum Sicherheitsniveau und zu den geeigneten Sicherheitsmaßnahmen einschließlich konkreter Regelungen zur Gefahrenvorsorge enthalten sind (Stand: Jahr 2019). Im Zusammenhang mit dem Vorbehalt des Gesetzes in Art. 20 Grundgesetz wurde die sog. Wesentlichkeitstheorie von der Rechtsprechung entwickelt. Danach muss der Gesetzgeber alle wesentlichen Entscheidungen, die von Grundrechtsrelevanz sind, selbst treffen (BVerfGE 77,170/230f; 98, 218/251; 101, 1/34, 108, 282/312, 136, 69; Jarass/Pieroth, Kommentar zum Grundgesetz für die Bundesrepublik Deutschland, Rn. 72 zu Art. 20). Außerdem ist den Bestimmtheitsanforderungen Rechnung zu tragen (Jarass/Pieroth, Kommentar zum Grundgesetz für die Bundesrepublik Deutschland, Rn. 72 zu Art. 20). Dabei handelt es sich nicht nur darum, dass überhaupt ein bestimmter Gegenstand geregelt ist, sondern darum, in welchem Umfang die Regelungen den Gegenstand festzulegen haben. Vorauszusetzen ist daher, dass die Regelungen ausreichend detailliert sind (Jarass/Pieroth, Kommentar zum Grundgesetz für die Bundesrepublik Deutschland, Rn. 82 zu Art. 20). Die ausreichende Bestimmtheit hängt von Art und Schwere des Eingriffs in die Grundrechte ab. Wird gegen den Bestimmtheitsgrundsatz und den Grundsatz, dass der Gesetzgeber selbst alle wesentlichen Entscheidungen mit Grundrechtsrelevanz treffen muss, verstoßen, sind solche Maßnahmen verfassungswidrig. 

Im Hinblick auf das Verarbeitungsgeschehen und den Verarbeitungsprozess auf niedrigster Stufe in den Quartalen des Jahres 2019 sind an die ausreichende Bestimmtheit allerdings relativ geringe Anforderungen zu stellen, auch wenn ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung als Ausfluss der allgemeinen Handlungsfreiheit bei Verarbeitung von Patientendaten grundsätzlich nicht auszuschließen ist. Bei der Frage, welche wesentlichen Regelungen dem Gesetzgeber hier vorbehalten sind, damit der Wesentlichkeitstheorie und dem Bestimmtheitsgrundsatz Rechnung getragen wird, ist auch zu berücksichtigen, dass die Digitalisierung auf allen Gebieten, so auch im Gesundheitsbereich weltweit rasant zunimmt und immer mehr die Lebenswirklichkeit bestimmt. In immer kürzeren zeitlichen Abständen besteht Veranlassung zur Anpassung. Dies macht es erforderlich, dass die Sicherheitsvorkehrungen zur Einhaltung des Datenschutzes ebenfalls kurzfristig und laufend angepasst sowie nachjustiert werden müssen. Es handelt sich somit um eine Besonderheit der Materie, die schnelles Handeln verlangt. Die Befürchtung, es sei fraglich, ob der Gesetzgeber dem Rechnung tragen könne, weil die Regelungen bereits bei Inkrafttreten des Gesetzes bereits überholt sein könnten, erscheint deshalb nicht unbegründet, auch wenn sich die Gesetzgebungskompetenz des Bundes aus Art. 74 Abs. 1 Nr. 13, Art. 72 Abs. 2 GG ergibt und eine gesetzliche Neuregelung, Anpassung oder Änderung nicht der Zustimmung der Bundesländer bedarf. Im Hinblick darauf, dem Umstand, dass es sich um eine Anfangs-und Erprobungsregelung handelt, und der Datenverarbeitungsprozess auf niedrigster Stufe, verbunden mit einem entsprechend geringen Risiko stattfindet, erscheint es akzeptabel und mit den dargestellten Grundsätzen vereinbar, wenn in den gesetzlichen Regelungen (§§ 291 ff. SGB V) detaillierte Vorgaben und Regelungen zum Sicherheitsniveau und zu den geeigneten Sicherheitsmaßnahmen einschließlich konkreter Regelungen zur Gefahrenvorsorge nicht enthalten sind. 

Gleichwohl wird immer wieder über Probleme bei der praktischen Umsetzung berichtet (zm 108, Nummer 4, 16.02.2018 (245)). Konkret war zum Beispiel im Jahr 2020 die Rede von einer Störung der Versichertenstammdaten bei der Telematikinfrastruktur und von konfigurationsbedingten Sicherheitsmängeln bei Konnektoren bestimmter Hersteller. Davon seien über einen Zeitraum von acht Wochen bis zu 80.000 Arzt/Zahnarztpraxen betroffen gewesen (zm 110, Nummer 15-16, 16.08.2020, (1472)). Die Einführung des sogenannten E- Rezeptes wurde gestoppt. Auch die Einführung der sogenannten elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) ist - soweit ersichtlich -noch nicht abgeschlossen. Außerdem besteht die Absicht, die Konnektoren zu tauschen, was zu erheblichen Kosten führen dürfte. Insgesamt wird sogar zum Teil die Auffassung vertreten, "die regelmäßigen Pannen belegen, dass der gegenwärtige Ansatz der Vernetzung nicht hinreichend praxiserprobt und für die Digitalisierung im Gesundheitswesen im Ergebnis dysfunktional ist" (BZB, November 2021). Schließlich hat auch der (CCC) auf verschiedene Sicherheitslücken hingewiesen. 

Es mag sein, dass die in den Medien geschilderten Probleme mehr oder weniger auftraten. Zum Teil drängt sich allerdings der Eindruck auf, dass die Berichterstattung hierzu zu plakativ ist, dem Gerieren von Schlagzeilen geschuldet ist und als "Aufhänger" dienen soll, der Schaffung der Telematikinfrastruktur nicht nur kritisch gegenüber zu stehen, sondern diese pauschal und gänzlich abzulehnen. Aus den in den Medien geschilderten Problemen ist jedoch nicht auf mangelnde Datensicherheit zu schließen. 

Zunächst kann nicht erwartet werden, dass die Einführung der Telematikinfrastruktur von Anbeginn an "reibungslos" verläuft. Die Telematikinfrastruktur befindet sich in einer Anfangs- und Erprobungsphase, die bis zur definitiven Umsetzung der in § 291a Abs. 3 SGB V genannten, sehr ambitionierten Ziele nicht nur Monate, sondern Jahre dauern dürfte. Denn es handelt sich um ein Novum im Gesundheitswesen, das in den fortgeschrittenen Ausbaustufen geradezu als revolutionär zu bezeichnen ist und für das nicht auf Erfahrungswerte aus der Vergangenheit zurückgegriffen werden kann. Der Chief Produktion Office der Gematik, Herr H. hat darauf hingewiesen, "wir befinden uns in einer Einführungsphase eines der wichtigsten Massenprozesse des Gesundheitswesens, das jährlich rund 77 Millionen Mal durchgeführt wird." Vor diesem Hintergrund, dem Umstand, dass es sich um eine Anfangs- und Erprobungsphase handelt, sind gewisse Unschärfen bei den gesetzlichen Regelungen und deren Umsetzung hinzunehmen, vorausgesetzt, dass der Beobachtungs- und Nachbesserungspflicht nachgekommen wird (vgl BSG, Beschluss vom 20.01.2021, B 1 KR 7/20 ER). Werden Sicherheitslücken im Datenschutz bekannt, so sind diese umgehend zu beheben. Der Datenschutz muss auch jeweils dem Stand der Technik entsprechen. Eine absolute Datensicherheit ist, wie bereits ausgeführt, nicht darstellbar. Dass der Gesetzgeber der Beobachtungs- und Nachbesserungspflicht genügt, ergibt sich daraus, dass immer wieder die gesetzlichen Regelungen angepasst werden (vgl. Gesetz vom 14.10.2020 (BGBl I S. 2115)). Ausgeschlossen ist es aber, die Einführung der Telematikinfrastruktur grundsätzlich infrage zu stellen. Denn der Gesetzgeber hat sich hierfür entschieden. In diesem Zusammenhang wird darauf hingewiesen, dass die Bundesrepublik Deutschland, obwohl zu einer der führenden Wirtschaftsnationen gehörend, im Ranking unter den 27 bewerteten europäischen Ländern nach dem Digital economy and society index (DESI) im Jahr 2022 lediglich einen mittleren Platz (Platz 13) einnimmt. Ein Verstoß der gesetzlichen Regelungen der §§ 291 ff. SGB V gegen Art. 5 Buchst. f DSGVO ist nicht festzustellen.

In Parallelverfahren, die bereits vom SG München entschieden wurden, wurde vorgetragen, es gebe Schwachstellen im Vergabeprozess - angeblich fand keine zuverlässige Prüfung der Identität der Antragsteller statt; jedermann habe bis Ende 2019 eine Berechtigungskarte bestellen und diese auch an eine abweichende Anschrift schicken lassen können - ist dies ab Anfang 2020 nicht mehr möglich. In den Quartalen des Jahres 2019 handelte es sich um eine Anfangs-und Erprobungsregelung, in denen gewisse Schwachstellen hinzunehmen sind, sofern diese nach Art und Umfang nicht ein Ausmaß annehmen, die die Telematikinfrastrukur insgesamt in Frage stellt. Dies ist aber nicht der Fall, wie sich darin zeigt, dass es nach den Ausführungen der Gematik in den Parallelverfahren außer den vom (CCC) gemeldeten Fällen keine weiteren konkreten Fälle gab, es sich um kein echtes Szenario handelte, sondern nur um Demonstrationsfälle. Hinzu kommt, dass diese Schwachstellen später behoben wurden und insofern der Beobachtungs-und Nachbesserungspflicht nachgekommen wurde.

Nach Auffassung des Gerichts kann aus dem vergebenen Sicherheitsprofil (EAL3+) nicht auf ein zu niedriges Sicherheitsniveau geschlossen werden. Denn es gibt insgesamt sieben EAL-Stufen, sodass die Einstufung mit EAL3+ in der Mitte liegt. Dass smart meter gateway mit einem Sicherheitsprofil von EAL4 höher eingestuft sind, bedeutet nicht zwangsläufig, dass das Sicherheitsniveau der Konnektoren zu niedrig wäre. Außerdem wurde die Stufe der Schwachstellenanalyse nicht von 5 auf 3 abgesenkt. Denn die Einstufung mit EAL3+ spiegelt nicht das tatsächliche Sicherheitsniveau wieder. Dieses ergibt sich vielmehr aus dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach § 291b Abs. 1a S. 6 SGB V auf 155 Seiten vorgegebenen Schutzprofil.

Zutreffend haben die Beteiligten darauf hingewiesen, dass dem Konnektor als Schnittstelle eine zentrale Bedeutung zukommt. Denn der Zugang der Heilberufler zur Telematikinfrastruktur findet über den Konnektor statt. Die Gematik hat in ihrem White Paper Datenschutz und Informationssicherheitsstand September 2020 die Sicherheitsstruktur allgemein, aber auch im Einzelnen erläutert. Zu unterscheiden ist zwischen der TI-Plattform dezentrale Zone und der TI-Plattform zentrale Zone. Zur zentralen Zone gehören die Karten aller Beteiligten, die Kartenterminals, der sogenannte Konnektor, sowie die Gerätekarten, die den Kartenterminals und Konnektoren eine eindeutige Identität zuordnen. Dagegen enthält die zentrale TI-Plattform Zone Zentraldienste der TI-Plattform, die die Anwendungen der Telematikinfrastruktur mit grundlegenden Funktionalitäten unterstützen. In dem White Paper Datenschutz und Informationssicherheit wird zum Konnektor wie folgt ausgeführt: "Damit die Heilberufe auf die zentrale TI-Plattform zugreifen können, baut der Konnektor einen sicheren Kanal zu den VPN-Zugangsdiensten der Telematikinfrastruktur auf. Diese auf Netzebene gesicherte Verbindung (ein Virtuell-Private-Netzwerk-Tunnel mittels Internet Protocol Security) zur zentralen TI-Plattform wird über das Internet hergestellt. Sensible Daten, die über diese Verbindung versandt werden, sind zusätzlich auf Transportebene geschützt (Transport Layer Security)...In seiner Funktion als Firewall auf Netz-und Anwendungsebene schützt der Konnektor sowohl die IT-Systeme der Heilberufler als auch die zentrale TI-Plattform. Die IT-Systeme der Heilberufler werden vor Angriffen aus dem Internet, aber auch vor unberechtigten Zugriffen aus der zentralen TI-Plattform geschützt." Dafür, dass durch die Schnittstelle die Möglichkeit bestehe, die gesamten Informationen des IT-Systems des Klägers durch die Beklagte und Dritte "auszuspähen", wie vom Prozessbevollmächtigten des Klägers behauptet, gibt es keinerlei Anhaltspunkte. Im Übrigen erfolgt die Abrechnung gegenüber der Beklagten außerhalb der Telematikinfrastruktur. Zudem ist die Beklagte nicht in die Telematikinfrastruktur eingebunden, sodass sie auch keinerlei Zugriff auf vertrauliche Patientendaten hat. 

Nicht ersichtlich ist auch, dass nur durch sog. Stand-Alone-Lösungen (= Nutzung der Dienste ohne Netzanbindung an die Praxisverwaltungssysteme der Leistungserbringer) eine dem Schutz der Patientendaten "angemessene" Sicherheit gewährleistet werden kann. Diese Stand-Alone-Lösungen gab es noch bis Ende 2019, sodass der Einwand jedenfalls für die hier streitbefangenen Quartale nicht gilt. Die Abschaffung wurde damit begründet, für die Durchführung des Notfalldatenmanagements sei dies notwendig gewesen. Allerdings sind die Leistungserbringer, so auch der Kläger nicht gehindert, sich einen zweiten Konnektor allerdings auf eigene Kosten zu beschaffen, falls trotzdem Zweifel an der Sicherheit der Daten bestehen sollten.

Was die datenschutzrechtliche Verantwortlichkeit betrifft, ist diese ganz oder jedenfalls überwiegend dem Vertrags-(zahn)arzt auferlegt. Es trifft zu, dass erst mit Gesetz vom 14.10.2020 (BGBl I S. 2115) datenschutzrechtliche Verantwortlichkeiten in § 307 SGB V geregelt sind. Danach (§ 307 Abs. 1 SGB V) liegt die Verantwortung für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Abs. 2 Nr 1 SGB V (insbesondere ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten) bei denjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. Ferner ist der Anbieter des gesicherten Netzes innerhalb des gesicherten Netzes für Übertragung von personenbezogenen Daten verantwortlich, insbesondere von Gesundheitsdaten der Versicherten, zwischen Leistungserbringern, Kostenträgern sowie Versicherten und für die Übertragung im Rahmen der Anwendungen der elektronischen Gesundheitskarte (§ 307 Abs. 3 S. 2 SGB V). Auch die Gematik wurde in den Kreis der datenschutzrechtlich Verantwortlichen in § 307 Abs. 5 S. 1 SGB V mit aufgenommen. So ist sie verantwortlich für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben nach § 311 Abs. 1 die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist. Es handelt sich somit um eine subsidiäre Verantwortlichkeit der Gematik, was sich daraus ergibt, dass diese nur dann besteht, soweit nicht die in § 307 Abs. 1, 3 und 4 SGB V genannten verantwortlich sind.

Daraus, dass vor dem 14.10.2020 keine ausdrücklichen Verantwortlichkeiten im SGB V festgelegt wurden, ergibt sich allerdings kein Verstoß gegen die DSGVO. Denn, wer datenschutzrechtlicher Verantwortlicher ist, folgt bereits aus der Legaldefinition in Art. 4 Ziff 7 DSGVO. Danach ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dieser setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür zu erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt (Art. 24 DSGVO). Daraus folgt zumindest indirekt die Verantwortlichkeit für die natürliche Person oder juristische Person, Behörde, Einrichtung oder andere Stelle für die Einhaltung des Datenschutzes innerhalb der eigenen Sphäre. Der Vertragszahnarzt hat keine Verantwortung für die Datenschutzsicherheit der zentralen Zone der TI (TI-Plattformzone zentral), auf die er keinen Einfluss hat. Es ergibt sich auch keine Gesamtverantwortlichkeit des Vertrags-(zahn)arztes, sondern nur für die dezentrale Zone. Eine solche Verantwortlichkeit des Vertragszahnarztes für die dezentrale Zone stellt kein Novum dar. Denn bereits vor Einführung der E-Gesundheitskarte lag es im Verantwortungsbereich des Vertrags-(zahn)arztes, die datenschutzrechtlichen Vorgaben in seiner Sphäre zu beachten. Jegliche Haftung ist außerdem verschuldensabhängig, sodass ein Haftungsrisiko für den Vertragsarzt bei bestimmungsgemäßem Anschluss an die TU, bestimmungsgemäßer Nutzung, ordentlicher Wartung und Beachtung der erforderlichen Datenschutzmaßnahmen (zum Beispiel Absicherung der Hard-und Software) nicht besteht. Im Übrigen wurde, wie der Vertreter der Gematik in der mündlichen Verhandlung am 09.11.2022 in den vorausgegangenen Verfahren (aaO) ausführte, bereits Mitte 2019 ein Informationsblatt zum Datenschutz und Haftung in der Telematikinfrastruktur herausgegeben. 

Außerdem schreibt die DSGVO nicht verpflichtend die Nennung eines/der Verantwortlichen vor. Vielmehr steht es im Ermessen der Mitgliedstaaten nach Art. 4 Ziff.7 DSGVO, ob der Verantwortliche als solcher nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen wird (vgl. SG Stuttgart, Urteil vom 27.01.2022, Az S 24 KA 166/20).

Auch ein Verstoß gegen Art. 26 DSGVO ist nicht ersichtlich, wenn keine gemeinsame Verantwortlichkeit festgelegt wurde. Es ist bereits fraglich, ob die Gematik in den Quartalen des Jahres 2019 als verantwortlich im Sinne von Art. 4 Nr 7 DSGVO anzusehen ist. Allein dadurch, dass die Gematik Komponenten und Dienste der Telematikinfrastruktur (§ 291b Abs. 1a SGB V) zulässt und als "actus contrarius" Komponenten und Dienste für den Zugang sperren kann (§ 291b Abs. 5 S. 6 SGB V), besitzt sie zumindest eine Entscheidungsbefugnis über die Mittel der Datenverarbeitung. Dagegen ist eine Entscheidungsbefugnis der Gematik, was den Zweck, also das ob, wofür und wie weit der Datenverarbeitung betrifft, nicht ersichtlich. Denn die Entscheidungsbefugnis müsste von einem Eigeninteresse an der Datenverarbeitung getragen sein, was aber nicht der Fall ist. Vielmehr fungiert die Gematik lediglich als organisatorische und koordinierende Institution und erfüllt als solche nur die ihr auferlegten gesetzlichen Pflichten (aA . Dochau in MedR 2020, 979, 985; Kühling/Sackmann, Datenschutzrecht, Rn. 538, 541).

Abgesehen davon bestimmt Art. 26 Abs. 1 S. 2 DSGVO, dass "gemeinsam Verantwortliche" in einer Vereinbarung in transparenter Form festlegen, wer von Ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt... Eine solche Vereinbarung wurde nicht geschlossen und wäre auch nicht umsetzbar, zumal jeder einzelne an der TI teilnehmende Vertrags-(zahn)arzt in einer Individualvereinbarung mit der Gematik die wechselseitigen Verpflichtungen festlegen müsste. Es müssten also etliche 1.000 Vereinbarungen allein in Bayern geschlossen werden. Hinzu kommt, dass in die Telematikinfrastruktur zahlreiche unterschiedliche Dienste und Komponenten eingebunden sind, die durchaus als verantwortlich im Sinne von Art. 4 Ziff. 7 DSGVO anzusehen wären. An sich müssten mit diesen Diensten ebenfalls Individualvereinbarungen, betreffend die gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO abgeschlossen werden, was ebenfalls nicht umsetzbar ist. 

Schließlich muss auch der mit der Nichtteilnahme an der Telematikinfrastruktur verbundene Honorarabzug seinerseits verhältnismäßig sein. Bei Verstoß gegen die Pflicht zur Fortbildung nach § 95d SGB V beträgt der Honorarabzug zunächst 10 % für die ersten vier Quartale, später dann 25 % (§ 95d Abs. 3 S. 3 SGB V). Wird der Fortbildungsnachweis nicht spätestens zwei Jahre nach dem Ablauf des Fünfjahreszeitraums geführt, steht auch die Zulassung zur vertrags(-zahn) ärztlichen Tätigkeit zur Disposition (§ 95 Abs. 6 SGB V). Gemessen daran handelt sich um einen moderaten Honorarabzug (zunächst 1 %, später 2,5 % vom Gesamthonorar) bei Nichtteilnahme an der Telematikinfrastruktur. Eine Verpflichtung des Vertrags-(zahn)arztes zur Teilnahme an der Telematikinfrastruktur ohne jegliche Sanktion würde dazu führen, dass sich ein Teil der Vertrags-(zahn)ärzte der Telematikinfrastruktur trotzdem anschließen, ein anderer Teil aber sanktionslos davon Abstand nehmen könnte. Damit könnten die Ziele der Einführung der E- Gesundheitskarte langfristig nicht erreicht werden. Der Grundsatz der Verhältnismäßigkeit in Bezug auf die Honorarkürzung ist trotz der in den Quartalen des Jahres 2019 äußerst eingeschränkten Datenverarbeitung (Online-Abgleich) gewahrt. Wenn es bei der Datenverarbeitung solcher Art und solchen Ausmaßes bliebe, dann wäre in der Tat die Verhältnismäßigkeit der Honorarkürzung grundsätzlich, zumindest aber der Höhe nach kritisch zu würdigen. Jedoch ist hier zu berücksichtigen, dass die Nutzung der Dienste in mehreren Schritten gesteigert werden und die Telematikinfrastruktur künftig zu einem Bündel unterschiedlicher Anwendungen dienen soll. Würden bereits bei den ersten Schritten der Einführung keine Sanktionen (Kürzungen) erfolgen oder würden die Sanktionen geringer sein mit der Folge, dass ein Teil der Vertrags-Ärzte keine Veranlassung sehen würden, sich an die TI anzuschließen, hätte dies weitreichende Konsequenzen für die vom Gesetzgeber in Zukunft beabsichtigte umfangreichere Nutzung der TI. Insofern ist es mit dem Verhältnismäßigkeitsgrundsatz vereinbar, dass bereits am Anfang der Einführung der TI Sanktionen (Kürzungen) in der genannten Höhe erfolgen.

Soweit allerdings ein Vertrags-(zahn)arzt seiner Verpflichtung zur Teilnahme an der Telematikinfrastruktur deshalb nicht nachkommen kann, weil dieser technische Probleme entgegenstehen, handelt es sich um eine rechtliche und tatsächliche Unmöglichkeit. In diesem Fall wäre es als unverhältnismäßig anzusehen, das Honorar zu kürzen. Allerdings wäre vom Vertrags-(zahn)arzt der Nachweis zu führen, dass eine solche Konstellation vorliegt.

Dass in Zukunft über die TI weitere Anwendungen stattfinden sollen (so zum Beispiel Verarbeitung von Befunden, Diagnosen, Therapieempfehlungen sowie Behandlungsberichten in elektronischer und maschinell verwertbarer Form für eine einrichtungsübergreifende, fallbezogene Kooperation (elektronischer Arztbrief; § 291a Abs. 3 Ziff. 2 SGB V) und die Verarbeitung von Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichten sowie Impfungen für eine fall-und einrichtungsübergreifende Dokumentation über die Versicherten sowie durch von Versicherten selbst oder für Sie zur Verfügung gestellte Daten (elektronische Patientenakte; § 291a Abs. 3 Ziff. 2 SGB V), ist nicht Gegenstand im streitgegenständlichen Verfahren, sodass über deren Vereinbarkeit mit der DSGVO nicht zu befinden ist. In der Tat gehen diese Anwendungen weit über den in § 291 Abs. 2b S. 2 SGB V verpflichtenden Datenabgleich hinaus. Ohne einer späteren rechtlichen Bewertung und Entscheidung vorgreifen zu wollen, wird zu beachten sein, dass, je umfangreicher die Datenverarbeitung stattfinden soll, umso größer also das Gefährdungspotenzial ist, umso größere Anforderungen sind an die Datensicherheit zu stellen. 

Soweit in der verpflichtenden Teilnahme der Vertrags-(zahn)ärzte an der Telematikinfrastruktur ein Verstoß gegen Art. 12 Grundgesetz geltend gemacht wird, ist diese Auffassung nicht zu teilen. Denn es ist zu differenzieren zwischen einer Berufswahl- und einer Berufsausübungsregelung. Allenfalls könnte hier in der verpflichtenden Teilnahme an der Telematikinfrastruktur, konkret im Online-Abgleich der auf der elektronischen Gesundheitskarte gespeicherten Daten mit den bei der Krankenkasse vorliegenden aktuellen Daten eine Berufsausübungsregelung gesehen werden. Dabei ist festzustellen, dass die Eingriffstiefe in das Grundrecht im Jahr 2019 relativ gering ist. Vor diesem Hintergrund ist anerkannt, dass eine solche Berufsausübungsregelung zulässig ist, wenn "sachlich nachvollziehbare Erwägungen des Normgebers im Hinblick auf die Gestaltungsfreiheit" vorliegen (BVerfG, Beschluss vom 16.07.2004, Az 1 BvR 1127/01; BSG, Urteil vom 13.05.2020, Az B 6 KA 24/18 R). Wie bereits im Zusammenhang mit dem in Art. 6 Abs. 3 DSGVO enthaltenen Verhältnismäßigkeitsgrundsatz ausgeführt, dient die Einführung der Telematikinfrastruktur dazu, einen Missbrauch der Krankenversichertenkarte, wie in der Vergangenheit nicht selten zu beobachten war, zu verhindern, sie dient der Kosteneinsparung und der Abrechnung der Leistungen durch den Vertrags-(zahn)arzt, also insgesamt zur Gewährleistung der finanziellen Stabilität der GKV. Es handelt sich somit um sachlich nachvollziehbare Erwägungen des Normgebers, die einen Eingriff in die Berufsausübungsfreiheit nach Art. 12 GG rechtfertigen (BSG, Urteil vom 20.01.2021, Az B 1 KR 7/20 R).

Genausowenig ist ein Verstoß gegen Art. 2 Abs. 1 GG (allgemeine Handlungsfreiheit) ersichtlich. Es ist anerkannt, dass es sich hierbei um ein sog. Auffanggrundrecht handelt, das gegenüber dem in Art. 12 Abs. 1 GG speziellen Grundrecht zurücktritt (BVerfG, Beschluss vom 06.06.1989, Az 1 BvR 921/85; Bayerischer Verwaltungsgerichtshof, Urteil vom 18.04.2013, Az 10 B 11.1529). Von dem Schutzbereich des Art. 2 Abs. 1 GG erfasst und Ausfluss der allgemeinen Handlungsfreiheit in Art. 2 Abs. 1 GG ist auch das Recht auf informationelle Selbstbestimmung (vgl BVerfG, Beschluss vom 13.06.2007, Az 1 BvR 1550/03). Geschützt wird der Einzelne gegen informationsbezogene Maßnahmen, die ihn betreffen und die für ihn weder überschaubar, noch beherrschbar sind. Der Einzelne ist befugt, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (BSG, Urteil vom 20.01.2021, Az B 1 KR 7/20 R). Nachdem der Vertrags-(zahn)arzt nicht Grundrechtsbetroffener ist, da seine eigenen personenbezogenen Daten nicht betroffen sind, kann allein deshalb ein Verstoß gegen das Recht auf informationelle Selbstbestimmung nicht vorliegen. So hat das Landessozialgericht Niedersachsen-Bremen (LSG Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az L 3 KA 63/20 B ER) ausgeführt, "im subjektiv geprägten Sozialgerichtsverfahren" könne sich der Kläger grundsätzlich nicht auf die Verletzung von Rechten Dritter berufen. Selbst wenn dies zu bejahen wäre, kann nichts Anderes gelten als für den betroffenen Patienten, dessen Daten erfasst und weitergegeben werden. Denn das Recht auf informationelle Selbstbestimmung ist nicht schrankenlos. Eine solche Grundrechtseinschränkung ist zulässig, wenn sie auf einer gesetzlichen Ermächtigung beruht, die ihrerseits einen legitimen Gemeinwohlzweck verfolgt und der Grundsatz der Verhältnismäßigkeit eingehalten wird (BSG, Urteil vom 20.01.2021, Az B 1 KR 7/20 R). Dies ist, wie wiederholt ausgeführt wurde, der Fall. 

Der Prozessbevollmächtigte des Klägers hat in dem streitgegenständlichen Verfahren umfangreich zur ärztlichen/zahnärztlichen Schweigepflicht ausgeführt und den Rechtsstandpunkt vertreten, der Kläger mache sich alleine durch den Anschluss an die TI nach § 203 StGB strafbar. Nach § 203 Abs. 1 StGB wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs-oder Geschäftsgeheimnis offenbart, das ihm als Arzt, Zahnarzt anvertraut worden oder sonst bekannt gegeben worden ist. 

Nach Auffassung des Gerichts ist bereits der objektive Tatbestand von § 203 StGB zu verneinen. 

Ziel dieser Norm ist es, das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 und Art. 1 Abs. 1 GG zu schützen. Der Bundesgerichtshof hat im Zusammenhang mit der Rechtsprechung zur Abtretung von Honoraransprüchen an Rechtsanwälte ohne Zustimmung des Mandanten hervorgehoben, dass dieses Grundrecht eingeschränkt werden kann, sofern die entsprechende Vorschrift als gesetzliche Offenbarungsbefugnis im Sinne eines Rechtfertigungsgrundes anzusehen sei (BGH, Urteil vom 01.03.2007, Az IX ZR 189/05). Voraussetzung sei aber, dass die Offenbarungsbefugnis in ihren Voraussetzungen und ihrem Umfang dem Gesetz eindeutig und für den Bürger erkennbar zu entnehmen ist und damit dem Gebot der Normenklarheit entspricht (vgl BVerfGE 65, 1, 44). Als eine solche zulässige Erlaubnisnorm hat der BGH die Vorschrift des § 49b Abs. 4 BRAO angesehen.

Nach § 291 Abs. 2b S. 4, 5 SGB V prüfen die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Einrichtungen und Zahnärzte bei der erstmaligen Inanspruchnahme ihrer Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse durch Nutzung der Dienste nach Satz 1. Dazu ermöglichen sie den online-Abgleich und die - Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten nach Abs. 1 und 2 mit den bei der Krankenkasse vorliegenden aktuellen Daten. Wird diese Prüfung nicht durchgeführt, so hat dies Honorarkürzungen zur Folge (§ 291 Abs. 2b S. 14 SGB V). Diese Regelungen stellen Gebotsvorschriften dar, die automatisch als Erlaubnisvorschriften anzusehen sind. Wie oben ausgeführt sind die Vorschriften vereinbar mit der DSGVO, Art. 12, 2 GG. Sie sind auch hinreichend bestimmt, sodass sie dem Gebot der Normenklarheit entsprechen. Damit liegt in § 291 Abs. 2b S. 4, 5 SGB V ein Erlaubnistatbestand vor, der eine Strafbarkeit des Vertrags(-zahn)arztes nach § 203 Abs. 1 StGB ausschließt.

Selbst wenn der objektive Tatbestand von § 203 StGB erfüllt wäre, ist bei bestimmungsgemäßem Anschluss an die TI, bestimmungsgemäßer Nutzung, ordentlicher Wartung und Beachtung der erforderlichen Datenschutzmaßnahmen (zum Beispiel Absicherung der Hard-und Software) der subjektive Tatbestand zu verneinen. Denn dieser erfordert nämlich Vorsatz, zumindest bedingten Vorsatz (vgl Thomas Fischer, Kommentar zum StGB, Rn. 92 zu § 203).

Betroffene Personen, die der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt, haben die Möglichkeit, Rechtsbehelfe nach Art. 77 ff. DSGVO in Verbindung mit §§ 81 ff SGB X einzulegen. Im Einzelnen handelt es sich um das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 Abs. 1 DSGVO), das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde (Art. 78 Abs. 1 DSGVO). Für den gerichtlichen Rechtsbehelf ist der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit nach § 81a Abs. 1 bzw. § 81b SGB X eröffnet. Rechtsgrundlage für einen Schadenersatzanspruch wegen eines Verstoßes gegen diese Verordnung, die zu einem materiellen oder immateriellen Schaden geführt hat, ist Art. 82 Abs. 1 DSGVO. Der Schadensersatzanspruch richtet sich gegen den/die Verantwortlichen oder gegen den/die Auftragsverarbeiter (Art. 82 Abs. 1, 2 DSGVO). Wenn der Vertragszahnarzt als Verantwortlicher in Anspruch genommen wird, ist er seinerseits mit Einwendungen nicht abgeschnitten. So kann er sich nach Art. 82 Abs. 3 DSGVO exkulpieren, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Insofern kann er weder für einen Schaden haftbar gemacht werden, der nicht in seiner Sphäre entstanden ist, noch kann er für einen Schaden haftbar gemacht werden, der zwar in seiner Sphäre entstanden ist, den er aber nicht zu vertreten hat, beispielsweise, indem er bei Beschäftigung von Personal seinen Aufsichtspflichten genügt hat.

Aus den genannten Gründen sind die angefochtenen Bescheide (Honorarkürzung) als rechtmäßig anzusehen und ist die Klage abzuweisen.

Die Kostenentscheidung beruht auf § 197a SGG in Verbindung mit § 154 VwGO

 

Rechtskraft
Aus
Saved