Dieser Beitrag wurde am 18. September 2019 veröffentlicht und könnte daher veraltet sein, Sprechen Sie uns an, falls Sie an einer Aktualisierung interessiert sind.

Wer ist bei der Telematik-Infrastruktur der Gematik verantwortlich? Die Gematik, die Ärzte/Psychotherapeuten oder beide? Damit beschäftigten sich die Datenschutzbeauftragten des Bundes und der Länder.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) positionierte sich dabei im wesentlichen durch einen Beschluss. Den Inhalt will ich hier neu formuliert wiedergeben:

  1. Die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) ist für die zentrale Zone der TI („TI-Plattform Zone zentral“) datenschutzrechtlich allein verantwortlich.
  2. In der dezentralen Zone trägt sie datenschutzrechtliche eine Mitverantwortung. Diese fällt ihr neben den Betreibern der Arztpraxen zu.
  3. Der Gesetzgeber möge den Umfang der Verantwortung der gematik für die dezentrale Zone der Telematik-Infrastruktur noch gesetzlich regeln.

Soweit der Gesetzgeber eine Infrastruktur mit verwaltungsübergreifenden eindeutigen Personenkennzeichen schafft, schaffe er damit zugleich erhebliche datenschutzrechtlichen Risiken und verfassungsrechtliche Bedenken. So das Fazit der Datenschutzbeauftragten.

Quelle: Pressemitteilung vom 13.09.2019 (Link)

Die Auffassung ist nicht rechtsverbindlich und nicht gerichtlich geprüft. Allerdings hat sie einiges an Gewicht. Ärzte sollten sich ihrer Verantwortung bewusst sein.

Mitverantwortung der Ärzte

Die gemeinsame Verantwortung richtet sich nach Art. 26 DSGVO.

Nach Art. 26 DSGVO haben die gemeinsam Verantwortlichen in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt. Zu klären ist insbesondere die Wahrnehmung der Rechte der betroffenen Person sowie die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO. Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, können die jeweiligen Aufgaben der Verantwortlichen abweichend festlegen.

Betroffene Person können ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Zum Teil wird bereits empfohlen vom Anschluss der Telematik-Infrastruktur abzusehen.* Dem stehen  die Sanktionen bei Nichtnutzung der Telematik entgegen. Verweigerern des so genannten Versichertenstammdatenmanagements drohen Sanktionen von einem Prozent des Honorars, § 291 Absatz 2b Satz 14 SGB V. Das Digitale Versorgung-Gesetz (kurz DVG; zum Entwurf) sorgt ab März 2020 noch für eine Erhöhung der Sanktionen.

Ohne vertiefte Prüfung will ich an dieser Stelle dazu keine Stellungnahme abgeben oder gar Erfolgsaussichten nennen.

Die betroffenen Praxisinhaber tuen allerdings gut daran, die Entwicklung weiter zu verfolgen. Die Inhalte der Verträge mit ihren Dienstleistern sollten sie kennen und – bestenfalls vorher – anpassen. Insbesondere können und sollten in diesen Verträgen Verantwortungsbereiche und Pflichten aufgenommen werden. Ärzte können damit auch für einen etwaigen Schadenfall bestmögliche rechtliche Vorsorge treffen. Sie sollten sich zwingend über die technischen und (datenschutz-)rechtlichen Möglichkeiten informieren.

Praxisinhaber sollten dabei nicht nur auf die Telematik achten. Auch in anderen Bereichen der ambulanten und stationären Versorgung ist Vorsorge und Überarbeitung oft Not.

Nachtrag vom 06.01.2026

Die Datenschutzrechtliche Verantwortlichkeiten sind zwischenzeitlich durch das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur
(Patientendaten-Schutz-Gesetz – PDSG) vom 14. Oktober 2020 angepasst und in § 307 SGB V mehrfach geändert worden.

Verantwortung der Anbieter

Die gematik GmbH (Gesellschaft für Telematikanwendungen der Gesundheitskarte) ist nach § 311 SGB V gesetzlich damit beauftragt, die Telematik-Infrastruktur zu planen, zu entwickeln, technisch zu definieren, zu betreiben und weiterzuentwickeln. Sie ist die zentrale nationale Agentur und verantwortlich für die Bereitstellung der Infrastruktur und Standards (z. B. Konnektor-Spefikation, VPN-Dienste, Sicherheitsprinzipien). 

Die Gesellschafter der gematik sind aufgrund gesetzlicher Vorgabe in § 310 Abs. 1 SGB V das Bundesministerium für Gesundheit (BMG), die Bundesärztekammer (BÄK), die Bundeszahnärztekammer (BZÄK), der Deutsche Apothekerverband (DAV), die Deutsche Krankenhausgesellschaft (DKG), der Spitzenverband der Gesetzlichen Krankenversicherungen (GKV-SV), die Kassenärztliche Bundesvereinigung (KBV), die Kassenzahnärztliche Bundesvereinigung (KZBV) und der Verband der Privaten Krankenversicherung (PKV).

Der Betrieb der durch die Gesellschaft für Telematik spezifizierten und zugelassenen Zugangsdienstes als Schnittstelle zur dezentralen Infrastruktur liegt in der Verantwortung des jeweiligen Anbieters des Zugangsdienstes. Der Anbieter eines Zugangsdienstes darf personenbezogene Daten der Versicherten ausschließlich für Zwecke des Aufbaus und des Betriebs seines Zugangsdienstes verarbeiten, § 307 Abs. 2 SGB V.

Allein verantwortlich für den Betrieb des gesicherten Netzes einschließlich der für den Betrieb notwendigen Dienste innerhalb des gesicherten Netzes ist der jeweils von der gematik beauftragte Anbieter. Er ist  verantwortlich für die Übertragung von personenbezogenen Daten, insbesondere von Gesundheitsdaten der Versicherten, zwischen Leistungserbringern, Kostenträgern sowie Versicherten und für die Übertragung im Rahmen der Anwendungen der elektronischen Gesundheitskarte. Der Anbieter des gesicherten Netzes darf die Daten ausschließlich zum Zweck der Datenübertragung verarbeiten.

Der Betrieb der Dienste der Anwendungsinfrastruktur erfolgt durch den jeweiligen Anbieter. Die Anbieter sind für die Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten der Versicherten, zum Zweck der Nutzung des jeweiligen Dienstes der Anwendungsinfrastruktur verantwortlich.
Die Gesellschaft für Telematik wiederum ist verantwortlich für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist. Sie hat Betroffenen auch Auskunft über Zuständigkeiten innerhalb der Telematikinfrastruktur, insbesondere zur datenschutzrechtlichen Verantwortlichkeit, zu erteilen.

Verantwortung der Praxisinhaber

Ärzte und Psychotherapeuten sind gesetzlich verpflichtet, sich an die TI anschließen und sie zu nutzen (z. B. für Versichertenstammdaten-Management, ePA-Zugriff etc.). Sie sind nicht Betreiber der TI, sondern Nutzende mit Eigenverantwortung für die korrekte Nutzung und lokale Datenverarbeitun. Damit sind sie verantwortlich für die Nutzung der TI in ihrer Praxis und die Einhaltung datenschutz- und sicherheitsrechtlicher Pflichten bei der Datenverarbeitung vor Ort (z. B. korrekte Installation, Update-Pflichten, Zugangsschutz).

Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur liegt nach § 307 Abs. 1 SGB V in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden. Die Verantwortlichkeit erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten.

Für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur enthält Anlage 2 zum SGB V eine Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 DSGVO.

Zuletzt geändert am 06.01.2026 von Dr. Andreas Staufer