S 38 KA 5155/21

 

I. Die Klage wird abgewiesen.

II. Der Kläger trägt die Kosten des Verfahrens.

III. Die Berufung zum Bayerischen Landessozialgericht wird wegen grundsätzlicher Bedeutung zugelassen.

T a t b e s t a n d :

Der Kläger, der als Vertragszahnarzt zugelassen ist, wendet sich gegen die mit dem angefochtenen Ausgangsbescheid in der Fassung des Widerspruchsbescheids vorgenommenen Honorarkürzungen in den Quartalen 1/19 - 3/19 in Höhe von 1 % ( = 689,52€) wegen Nichtteilnahme an der Telematikinfrastruktur (TI). Zur Begründung der Kürzung wurde auf die Rechtsgrundlage des § 291 Abs. 2b Satz 3 und 4 SGB V (Anmerkung: genannte §§ SGB V ohne Zusatz sind solche, die in den strittigen Quartalen galten oder nach wie vor gelten) hingewiesen. Die Teilnahme an der Telematikinfrastruktur (Online-Abgleich der Versichertenstammdaten) sei für die Zahnärzte verpflichtend. Ein Verstoß gegen höherrangiges Recht, insbesondere gegen die Datenschutzgrundverordnung (DSGVO) liege nicht vor. Die Entscheidung des Bundessozialgerichts vom 20.01.2021 (Az B 1 KR 7/20 R, B 1 KR 15/20 R) mit der rechtlichen Fragestellung, inwiefern ein gesetzlich Versicherter zur Nutzung der elektronischen Krankenversicherungskarte verpflichtet ist, sei auf die Verpflichtung des Vertrags(-zahn)arztes zur Anbindung an die TI vollumfänglich übertragbar. Auch gebe es keine datenschutzrechtlichen Bedenken. Datenschutz und Datensicherheit seien gewährleistet. Die im Rahmen der TI einzusetzenden Komponenten und Dienste bedürften der Zulassung durch die Gematik. Der Nachweis der Sicherheit erfolge nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch eine Sicherheitszertifizierung. Die Verantwortlichkeit der Vertragsärzte für die Verarbeitung der Gesundheitsdaten der Versicherten mittels der durch sie genutzten Komponenten der dezentralen Infrastruktur ergebe sich aus § 307 SGB V. Eine Datenschutzfolgeabschätzung durch das Patientendaten-Schutz-Gesetz (BGBl 2020 Teil I Nummer 46) sei nur in einer Arztpraxis/Zahnarztpraxis notwendig, in der nicht mehr als 20 Personen beschäftigt sind (§ 38 Abs. 1 Satz 1 BDSG; Art. 35 die DSGVO). Sicherheitsmängel würden sich deshalb nicht erschließen. Auch eine Verletzung des Grundrechts auf Berufsfreiheit nach Art. 12 Grundgesetz sei nicht ersichtlich. Es handle sich um eine Berufsausübungsregelung, die durch vernünftige Erwägungen des Gemeinwohls gerechtfertigt sei.

Dagegen ließ der Kläger durch seinen Prozessbevollmächtigten Klage zum Sozialgericht München einlegen. Schwerpunkt der ausführlichen Klagebegründung war insbesondere die datenschutzrechtliche Verantwortlichkeit im Sinne des Art. 4 Nummer 7 DSGVO. Daneben wurden hauptsächlich erhebliche Zweifel zur Datensicherheit geäußert. Die Verpflichtung zur Anbindung an die Telematikinfrastruktur (TI) mit der Folge der Honorarkürzung bei Nichtbeachtung stelle auch einen Verstoß gegen Art. 12 Grundgesetz (GG) dar. Im Übrigen sei auch die Honorarkürzung nicht verhältnismäßig. Der Prozessbevollmächtigte des Klägers zitierte umfangreich die einschlägige Literatur (vor allem Dochau in MedR 2020, 979, 985), deren Meinung er sich anschloss. Danach sei für die Frage der Verantwortlichkeit maßgeblich, welche Rolle den Akteuren zugewiesen werde. Die Aufgaben der Gematik ergäben sich aus §§ 311 ff. SGB V. Dazu gehörten wesentliche Mittel der Datenverarbeitung und die Festlegung der Verfahren zur Übermittlung medizinischer Daten über die TI, welche die Gematik gemäß § 311 Abs. 6 SGB V festlege. Auch würden Rahmenbedingungen für Betriebsleistungen der TI durch die Gematik festgelegt. Das Sicherheitskonzept werde auch von der Gematik erstellt und die Umsetzung überwacht. Insofern komme der Gematik eine maßgebliche Steuerungsrolle zu. Die Entbindung der Gematik von der datenschutzrechtlichen Verantwortung sei weder sachgerecht, noch entspreche sie den Aufgabenzuweisungen. Deshalb liege es näher, von einer gemeinsamen Verantwortlichkeit im Sinne von Art. 26 Abs. 1 Satz 1 DSGVO auszugehen. "Die Ärzteschaft soll de facto nur Kellner sein, aber dennoch wie ein Koch für die Güte der Speisen geradestehen." Ferner machte sich der Prozessbevollmächtigte des Klägers die Auffassung aus der Literatur (Kühling/Sackmann, Datenschutzrecht, Rn. 538, 541) zu eigen, wonach im Zweifel von einer gemeinsamen Verantwortlichkeit auszugehen sei.

Soweit sich die Rechtsprechung mit der hier strittigen Thematik befasst habe (Bundessozialgericht, Urteil vom 20.01.2021, B 1 KR 7/20 ER; LSG Niedersachsen-Bremen, Entscheidung vom 17.03.2021, L 3 KA 63/20 B ER; SG München, Beschluss vom 22.03.2019, Az S 38 KA 52/19 ER) seien die bisher getroffenen Entscheidungen zur Klärung nicht geeignet. Denn sie setzten sich nicht "wirklich" inhaltlich mit der Datenschutzthematik und der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO auseinander.

Im Übrigen gehe auch aus einem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12.09.2019 hervor, dass gegen die TI rechtliche Bedenken bestünden. So werde die Auffassung vertreten, die Gematik sei datenschutzrechtlich alleinverantwortlich für die zentrale Zone der TI (TI-Plattform Zone zentral). Dies bedürfe einer gesetzlichen Regelung. Zum Patientendaten-Schutz-Gesetz wird die Auffassung vertreten, ohne Nachbesserungen beim Datenschutz für die Versicherten sei dieses Gesetz europarechtswidrig. Da es sich bei den fraglichen Daten um Gesundheitsdaten und damit um höchst sensible persönliche Informationen handle, müsse nach den Vorgaben der DSGVO die Authentifizierung ein höchstmögliches Sicherheitsniveau nach dem Stand der Technik gewährleisten.

Ferner wurde von der Klägerseite aus der Pressemitteilung 20/2020 des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) Professor Ulrich Kleber zitiert: "Meine Behörde wird aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen in meiner Zuständigkeit ergreifen müssen, wenn das PDSG in seiner derzeitigen Fassung umgesetzt werden sollte."

Die verpflichtende Teilnahme der Ärzte an der TI verstoße auch gegen Art. 12 Grundgesetz. Es handle sich zwar um eine Berufsausübungsregelung, die aber den geschützten Bereich als berufliche Geheimnisträger intensiv berühre (Berufsgeheimnis; ärztliche Schweigepflicht). Die ärztliche Schweigepflicht schütze zugleich das Recht der Patienten auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz). Eine Berufsausübungsregelung, welche das Berufsgeheimnis einschränke und zugleich Schutzgüter des Patientenwohls und des Patientendatenschutzes berühre, wie dies bei § 291b Abs. 5 S. 1 SGB V der Fall sei, lasse sich nur aus überragenden Belangen rechtfertigen, die beide Grundrechte berücksichtigten (vgl BVerfGE 65, 1, 43). Schließlich sei auch die Honorarkürzung unverhältnismäßig.

In ihrer Replik äußerte sich die Beklagte zu den von der Klägerseite aufgeworfenen rechtlichen Bedenken. Sie machte darauf aufmerksam, der Meinung aus der Literatur stehe die Auffassung der Rechtsprechung gegenüber. Das Bundessozialgericht (BSG, Beschluss vom 20.01.2021, B 1 KR 7/20 ER) habe sich auch insbesondere mit der Datensicherheit der TI befasst. Es sei der Standpunkt vertreten worden, durch verschiedene Mechanismen sei im Rahmen des Möglichen die Datensicherheit der TI gewährleistet. So gebe es eine Kontrolle der Gematik durch das BSI und den BfDI. Ferner obliege dem Gesetzgeber auch eine Beobachtungs-und Nachbesserungspflicht. Damit sei ein hohes Schutzniveau für die Gesundheitsdaten implementiert. Soweit die Klägerseite datenschutzrechtliche Bedenken hinsichtlich der Einführung der elektronischen Patientenakte (ePA) gelteng mache, seien diese für das vorliegende Verfahren irrelevant. Denn die TI sei auf den Abgleich der Versichertenstammdaten (Quartale 1/19 - 3/19) beschränkt. Zum von der Klägerseite behaupteten Verstoß gegen Art. 12 Abs. 1 GG werde die Auffassung vertreten, es handle sich um eine zulässige Berufsausübungsregelung, die durch entsprechende öffentliche Belange gerechtfertigt sei. Insofern werde auf die Begründung des Bescheides Bezug genommen. Im Übrigen könne eine Verletzung von Art. 1 Abs. 1 GG in Verbindung mit Art. 2 Abs. 1 GG nur von den Patienten selbst geltend gemacht werden. Inwieweit eine Unverhältnismäßigkeit der Honorarkürzung vorliege, sei nicht erkennbar.

Der Prozessbevollmächtigte der Kläger betonte nochmals, die Regelung der Alleinverantwortlichkeit der Behandler sei mit den Grundsätzen der DSGVO und der Rechtsprechung des EuGH nicht zu vereinbaren. Erhebliche Teile der Ärzteschaft seien nicht bereit, "auf dem Altar der Digitalisierung die Daten ihrer Patienten zu opfern". Zusätzlich wurde aus der Deutschen Apotheker Zeitung vom 20.12.2021 zum E-Rezept-Start zitiert. Danach sei die Einführung des E-Rezeptes verschoben worden. Nach der Aussage des BMG würden die erforderlichen technischen Systeme noch nicht flächendeckend zur Verfügung stehen.

Im Übrigen sei selbst bei der KZVB ein Umdenken festzustellen. So fordere die KZVB den Stopp der Telematikinfrastruktur wegen massiver Datenschutzprobleme. Im Einzelnen wurden der Vorsitzende des Vorstandes, der stellvertretende Vorsitzende des Vorstandes und ein Mitglied des Vorstandes zitiert (Berger, Dr. Kinner, Dr. Schott).

Zum Verfahren wurde die Gematik mit Beschluss beigeladen. Diese widersprach der Darstellung der Klägerseite und zitierte in Ihrem Schreiben vom 19.10.2022 zahlreiche Entscheidungen aus der Rechtsprechung (BSG, Urteil vom 18.11.2014, Az B 1 KR 35/13 R Rn 34; BSG, Urteil vom 20.01.2021, Az B 1 KR 7/20 R Rn. 111-114; LSG Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az L 3 KA 63/20 ER; LSG Bayern, Urteil vom 28.09.2021, Az L 4 KR 651/19 Rn. 47; BSG, Beschluss vom 10.11.2021, Az B 1 KR 86/20 B). Ausführlich wurde die Entscheidung des Sozialgerichts Stuttgart (SG Stuttgart, Urteil vom 27.01.2022, Az S 24 KA 166/20) wiedergegeben, das sich mit der Sach-und Rechtslage in einem identischen Fall auseinandergesetzt habe. Diese Entscheidung ist derzeit beim LSG Baden-Württemberg unter dem Aktenzeichen L 5 KA 26/22 anhängig.

Das SG Stuttgart schilderte zunächst anhand der gesetzlichen Regelungen, welche Vorgänge stattfinden. Danach (§ 291 Abs. 2b Satz 3 SGB V) prüften die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Einrichtungen und Zahnärzte bei der erstmaligen Inanspruchnahme ihrer Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse durch Nutzung der Dienste nach § 291 Abs. 2b Satz 1 SGB V. Diese ermöglichten den Online-Abgleich und die online-Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten nach Abs. 1 und 2 mit den bei der Krankenkasse vorliegenden aktuellen Daten (§ 291 Absatz 2b Satz 4 SGB V). Die Mitteilung der durchgeführten Prüfung sei Bestandteil der an die Kassenärztliche oder Kassenzahnärztliche Vereinigung zu übermittelnden Abrechnungsunterlagen nach § 295 (§ 291 Abs 2b Satz 12 SGB V). Es werde ein Abgleich von Daten durchgeführt (Vergleich der Informationen auf der elektrischen Gesundheitskarte beim erstmaligen Arztbesuch des Versicherten im Quartal online unter Nutzung der TI mit den Informationen, die bei der Krankenkasse hinterlegt sind). Es gehe nicht um Daten, die durch den Vertragsarzt erhoben würden (Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2022, Az L 3 KA 63/20 B ER Rn 32). Die Verarbeitung dieser personenbezogenen Daten bei Einlesen und Abgleich der elektronischen Gesundheitskarte durch den Kläger sei nach Art. 6 Abs. 1 DSGV zulässig. Die Verarbeitung der Daten erfolge gemäß Art. 6 Abs 1e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liege (Berechtigungsnachweis, Erschweren von Leistungsmissbrauch). Die mit dem VSD-Abgleich verbundene Datenverarbeitung wahre auch den Grundsatz der Verhältnismäßigkeit nach Art. 6 Abs. 3 S. 4 DSGVO. Zudem sei eine angemessene Sicherheit personenbezogener Daten gewährleistet. Der Gesetzgeber habe nämlich die zentralen und koordinierenden Aufgaben der Gematik zugewiesen (§ 291 Abs. 7 S. 1 und 2 SGB V a.F.). Mehrheitsgesellschafterin mit 51 % sei die Bundesrepublik Deutschland, vertreten durch das BMG. Insofern habe die Bundesrepublik Deutschland wesentlichen Einfluss auf den Entscheidungsprozess. Hinzu komme, dass die Kontrolle durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolge und auch der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) beteiligt werde. Bei der Zulassung von Komponenten und Diensten sei der Nachweis der Sicherheit durch eine Sicherheitszertifizierung nach den Vorgaben des BSI zu führen. Im Ergebnis sei daher eine kontinuierliche Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben durch die Gematik und die Anbieter von Diensten und Anwendungen im Rahmen der TI hinreichend gewährleistet (Art. 32 DSGVO). Damit werde der Grundsatz der angemessenen Sicherheit der Datenverarbeitung nach Art. 5 Abs. 1f DSGVO eingehalten.

Was die Festlegung von Verantwortlichkeiten betreffe, sei nach Art. 4 Nr 7 DSGVO eine solche Festlegung nicht erforderlich. Insofern werde auch nicht gegen das Bestimmtheitsgebot verstoßen. Wesentliches Merkmal für die Verantwortlichkeit sei die Entscheidungsbefugnis über den Zweck, d. h. über das ob, wofür und wieweit einer Datenverarbeitung. Derartige Entscheidungen treffe die Gematik nicht. Deshalb sei auch ein Verstoß gegen Art. 5 Abs. 1, Abs. 2, 24, 26 Abs. 1 S. 2 DSGV nicht erkennbar.

Außerdem handle es sich um eine zulässige Berufsausübungsregelung, die durch vernünftige Gründe des Gemeinwohls gerechtfertigt sei, ohne dass gegen Art. 12 GG verstoßen werde. Im Vordergrund stehe vor allem die finanzielle Stabilität und Funktionsfähigkeit der gesetzlichen Krankenversicherung.

In der mündlichen Verhandlung am 09.11.2022 wurde die Sach-und Rechtslage mit den anwesenden Beteiligten besprochen.

Der Vertreter der beigeladenen Gematik wies darauf hin, es habe bereits Mitte 2019 ein Informationsblatt der Gematik zum Datenschutz und Haftung in der Telematikinfrastruktur gegeben. Es finde eine umfassende Kontrolle durch den BSI, die BdfA und die Gesellschafter der Gematik statt. An sich seien alle verantwortlich. Die Haftung ergebe sich aus § 307 SGB V, Art. 82 Abs. 2, 3 DSGVO. Die Verantwortlichkeit sei dort differenziert. Der Behandler sei nur für das verantwortlich, wo er Einfluss habe, also für den dezentralen Bereich (Betrieb). Er könne sich aber diesbezüglich exkulpieren. Auf Frage des Gerichts in der mündlichen Verhandlung, wo sich der Zentralsurfer befinde, wird mitgeteilt, es gebe nicht den zentralen Surfer. Bei der TI handle sich um ein verteiltes und ausdifferenziertes System. Deshalb sei auch ein gemeinsam Verantwortlicher nicht vorhanden. Die TI setze sich vielmehr aus verschiedenen Komponenten und Anbietern zusammen. Hingewiesen wird auf § 306 SGB V und § 307 SGB V. Es stelle sich die Frage, was sich durch eine Mitverantwortung der Gematik nach Art. 26 DSGVO verbessern würde. In dem Zusammenhang wies der Vertreter der beigeladenen Gematik darauf hin, ihm sei bekannt, dass die Mehrheit der Mitgliedstaaten Probleme mit der Umsetzung der Mitverantwortlichkeit nach Art. 26 DSGVO aus Praktikabilitätserwägungen habe. Möglicherweise liege eine sogenannte "Überregulierung" vor. Allerdings seien die datenschutzrechtlichen Bestimmungen in Deutschland wesentlich strenger als in den meisten anderen Mitgliedstaaten.

Was die rechtlichen Bedenken hinsichtlich des Datenschutzes beträfen, so sei es unangebracht, eine Grundsatzdiskussion über Sinn und Zweck der Digitalisierung zu führen. Vielmehr komme es darauf an, ob die Vorschriften mit höherrangigem Recht vereinbar seien. Es gebe keine absolute Datensicherheit. So habe es in Deutschland keinen Fall gegeben, wo Daten publik geworden seien. Von über 40.000/45.000 Konnektoren, die in Deutschland angeschlossen sind, seien lediglich 300 abgeschaltet worden. Es handle sich daher um kein Massenphänomen. In der ganz überwiegenden Zahl sei die Funktionsfähigkeit gegeben. Auch wenn es u.U. einzelne Probleme gebe, bestehe eine Beobachtungs-und Nachbesserungspflicht. Deshalb könne das Vorliegen einzelner Mängel, so die bisherige Rechtsprechung des Bundessozialgerichts, nicht die grundsätzliche Verpflichtung infrage stellen, sich an die TI anzuschließen. Soweit die Klägerseite Bezug auf die Einführung des E-Rezeptes nehme, die verschoben worden sei, habe dies mit dem streitgegenständlichen Verfahren nichts zu tun. Denn das E-Rezept habe eine eigene Infrastruktur innerhalb der TI.

Laut den Aussagen der Vertreterin der Beklagten ist zwischen Politik und Recht zu trennen. Die Körperschaft des öffentlichen Rechts müsse das Gesetz umsetzen. Sie habe keinen Ermessensspielraum, auch nicht was den Honorarabzug betreffe. Datensicherheit müsse - so weit wie möglich - gewährleistet sein.

Der Prozessbevollmächtigte des Klägers weist auf den in den bereits getätigten Schriftsätzen enthaltenen Vortrag hin. Was die Haftungsverteilung betreffe, so würden die Ärzte für das haften, was "auf den letzten Metern passiere". Die Ärzte/Zahnärzte seien aber keine Techniker und Informatiker. Deshalb sei es problematisch, Ihnen die Verantwortung aufzuerlegen.

In der mündlichen Verhandlung am 09.11.2022 stellte der Prozessbevollmächtigte des Klägers den Antrag aus dem Schriftsatz vom 18.10.2021. Hilfsweise beantragte er, die Berufung zum Bayerischen Landessozialgericht zuzulassen.

Die Beklagte beantragte, die Klage abzuweisen. Hilfsweise wurde beantragt, die Berufung zum Bayerischen Landessozialgericht zuzulassen.

Der Vertreter der Beigeladenen schloss sich den Anträgen der Beklagten an.

Beigezogen und Gegenstand der mündlichen Verhandlung war die Beklagtenakte. Im Übrigen wird auf den sonstigen Akteninhalt, insbesondere die Schriftsätze der Beteiligten, sowie die Sitzungsniederschrift vom 09.11.2022 verwiesen.

E n t s c h e i d u n g s g r ü n d e :

Die zum Sozialgericht München eingelegte Klage ist zulässig, erweist sich jedoch als unbegründet. Der angefochtene Ausgangsbescheid in der Fassung des Widerspruchsbescheides ist rechtmäßig.

Rechtsgrundlage für die vorgenommene Kürzung (Honorarabzug) ist § 291 Abs. 2b S. 9 SGB V. Danach ist die Vergütung vertragsärztlicher Leistungen pauschal um ein Prozent zu kürzen, wenn die an der vertrags(-zahn)ärztlichen Versorgung teilnehmenden Ärzte die Prüfung nach § 291 Abs. 2b S. 2 SGB V nicht durchführen. Nach § 291 Abs. 2c S. 2 SGB V ist die Vergütung vertrags(-zahn)ärztlicher Leistungen pauschal um ein Prozent solange zu kürzen, bis der Nachweis, dass die Ärzte über die für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Dienste verfügen, nicht erbracht wird. Konkret hat der Kläger weder den Nachweis geführt, noch hat er den online-Datenabgleich vorgenommen, sodass die seit dem Pflegepersonalstärkungsgesetz (PpSG) gewährte Fristverlängerung zur Anbindung an die Telematikinfrastruktur und Durchführung des Versichertenstammdatenmanagements bis zum 30.06.2019 (§ 291 Abs. 2b S. 14 und 15 in der Fassung vom 11.12.2018) nicht gilt.

Die Honorarkürzung ist nur dann rechtmäßig, wenn die Verpflichtung zur Teilnahme an der Telematikinfrastruktur ihrerseits rechtmäßig ist. Dies setzt insbesondere voraus, dass die Regelungen über die Telematikinfrastruktur mit höherrangigem Recht, insbesondere der Datenschutz-grundverordnung (DSGVO) zu vereinbaren sind. Bei der DSGVO handelt es sich um EU-Recht. Die Verordnung entfaltet unmittelbare Wirkung und ist verbindlich, ohne dass diese in nationale Rechtsakte umgesetzt werden muss. Bei einer Kollision der DSGVO mit einfachem nationalen Recht ergibt sich ein Vorrang des EU-Rechts. Es handelt sich um einen sogenannten Anwendungsvorrang (vgl EuGHE 1964, 1251/1279).

Die Teilnahme der Vertragsärzte an der Telematikinfrastruktur steht im Zusammenhang mit der Einführung der sog. elektronischen Gesundheitskarte (E-Gesundheitskarte), die den Versicherten von der Krankenkasse ausgestellt wird (§ 291a Abs. 1 SGB V). Nach § 291 Abs. 2 SGB V enthält sie verschiedene Angaben, nämlich sog. Patientenstammdaten. §§ 291 Abs. 2, Abs. 3 regeln die Zwecke, für die die E-Gesundheitskarte geeignet sein muss. In dem strittigen Zeitraum (Jahr 2019) stellen die an der vertragsärztlichen Versorgung teilnehmenden Ärzte/Zahnärzte bei der erstmaligen Inanspruchnahme ihrer Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse durch Nutzung der Dienste fest. Konkret wird ein Online-Datenabgleich nach § 291 Abs. 2b SGB V mit den bei der Krankenkasse vorliegenden aktuellen Daten vorgenommen. Die Prüfungspflicht gilt ab dem Zeitpunkt, ab dem die Dienste nach § 291 Abs. 1 SGB V sowie die Anbindung an die Telematikinfrastruktur zur Verfügung stehen (§ 291 Abs. 2b S. 4 SGB V). Nach § 291 Abs. 2b S. 6 SGB V ist die Durchführung der Prüfung auf der E-Gesundheitskarte zu speichern. Gegenüber den zuständigen Kassen(-zahn)ärztlichen Vereinigungen besteht eine Nachweispflicht durch die an der vertrags(-zahn)ärztlichen Versorgung teilnehmenden Leistungserbringer (§ 291 Abs. 2c S. 1 SGB V).

Komponenten und Dienste der Telematikinfrastruktur werden von der Gematik zugelassen (§ 291 b Abs. 1 a S.1 SGB V). Die Gematik prüft dabei die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichen Prüfkriterien (§ 291 b Abs. 1 a S.4 SGB V). Vorgesehen ist auch eine sogenannte Sicherheitszertifizierung nach § 291b Abs. 1a S. 5 SGB V. Kommt es zu Störungen, die zu einer beträchtlichen Auswirkung auf die Sicherheit und Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, hat die Gesellschaft für Telematik dies dem Bundesamt für Sicherheit in der Informationstechnik zu melden (§ 291b Abs. 6 S. 4 SGB V). Bei Sicherheitsmängeln kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen (§ 291b Abs. 8 S. 2 SGB V).

Bestimmte Handlungen, die gegen einzelne Vorschriften verstoßen, stellen Ordnungswidrigkeiten bzw. strafbare Handlungen dar (§ 307 SGB V, § 307 b SGB V).

Die im strittigen Zeitraum (Quartale 1/2019-3/2019) geltenden gesetzlichen Vorgaben zur Telematikinfrastruktur (§§ 291 ff. SGB V) verstoßen nicht gegen die Vorschriften der DSGVO, gültig ab 25.05.2018.

Zu Recht weist die Beklagte auf die Entscheidung des Bundessozialgerichts vom 20.01.2021 (Az B1 KR 7/20 R) hin. Gegenstand des dortigen Verfahrens war, ob für die beklagte Krankenkasse eine Verpflichtung bestand, einer Versicherten einen Weg zu eröffnen, ihre Berechtigung zur Inanspruchnahme von vertragsärztlichen Leistungen nachweisen zu können, ohne dabei die E-Gesundheitskarte verwenden und einen online erfolgenden Abgleich von Versichertenstammdaten dulden zu müssen. Das Bundessozialgericht hat hierzu ausgeführt, die aktuellen gesetzlichen Vorgaben zur E-Gesundheitskarte und ihre Einbeziehung in die TI stünden im Einklang mit den Vorgaben der Datenschutz-Grundverordnung. Es könne dahinstehen, ob die DSGVO unmittelbar Anwendung finde. Jedenfalls lägen die besonderen Voraussetzungen für die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 S. 1 DSGVO vor (Buchstaben c und e). Auch genügten die Vorschriften den Anforderungen des Art. 6 Abs. 3 S. 4 DSGVO. Sie erschwerten den Leistungsmissbrauch und dienten auch der Abrechnung mit den Leistungserbringern. Hierbei handle es sich legitime Zwecke und bedeutsame Gemeinwohlbelange, die der finanziellen Stabilität der gesetzlichen Krankenversicherung zugutekämen. Auch der Verhältnismäßigkeitsgrundsatz sei gewahrt (Art. 6 Abs. 3 S. 4 DSGVO). Insgesamt liege den gesetzlichen Regelungen zur E-Gesundheitskarte ein ausgewogenes Konzept zugrunde, "das die Verarbeitung personenbezogener Daten auf das zur Erreichung der verfolgten (legitimen) Ziele zwingend erforderliche Maß beschränkt und die Persönlichkeitsrechte der Versicherten wahrt." Es sei auch nicht ersichtlich, dass es andere gleich geeignete, weniger belastende Möglichkeiten gebe, um die oben genannten legitimen Ziele zu erreichen. Was die Datensicherheit betreffe, so müssten nach Art. 5 Abs. 1 Buchst. f DSGVO personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleiste, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Dazu gehöre auch, dass Unbefugte keinen Zugang zu den Daten hätten und weder die Daten, noch die Geräte, mit denen diese verarbeitet würden, benutzen könnten. Die DSGVO verfolge dabei einen risikobasierten Ansatz, abhängig vom spezifischen Risiko der Datenverarbeitung und dessen Eintrittswahrscheinlichkeit. Eine absolute Datensicherheit gebe es nicht. Die Verfassung gebe auch nicht detailgenau vor, welche Sicherheitsmaßnahmen im Einzelnen geboten seien (vgl BVerfG vom 02.03.2010, Az 1 BvR 256/08). Die Vorschriften des SGB V, die im Einklang mit den Vorgaben der DSGVO stünden, gewährleisteten jedoch eine ausreichende Datensicherheit. Im SGB V seien Regelungen enthalten, durch die die Vorgaben der DSGVO umgesetzt und konkretisiert würden. In dem Zusammenhang wurde Bezug genommen auf die Regelungen in § 306 Abs. 3 SGB V, § 307 SGB V, § 311 SGB V, § 330 SGB V und § 331 SGB V. Die gesetzliche Obliegenheit zur Nutzung der elektronischen Gesundheitskarte verletze auch die Klägerin nicht in ihren Grundrechten, auch nicht in ihrem Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG). Eingriffe in dieses Grundrecht bedürften wie jede Grundrechtseinschränkung einer gesetzlichen Ermächtigung, die einen legitimen Gemeinwohlzweck verfolge und im Übrigen den Grundsatz der Verhältnismäßigkeit wahre. Diesen Anforderungen genüge die gesetzliche Pflicht der Krankenkassen, die elektronische Gesundheitskarte herzustellen und im von der Klägerin angegriffenen, zu überprüfenden Umfang zu nutzen. Die Regelungen über die elektronische Gesundheitskarte dienten der Verhinderung von Missbrauch und zur Kosteneinsparung zwecks Erhalt der finanziellen Stabilität der GKV und stellten somit überwiegende Allgemeininteressen dar, die die angegriffenen Beschränkungen des Rechts auf informationelle Selbstbestimmung rechtfertigten. Im Übrigen hat das Bundessozialgericht (aaO) von einem hinreichend normdichten und klaren Regelungsgefüge gesprochen, das durch eine Vielzahl aufeinander und insbesondere auch mit den Vorgaben der DSGVO abgestimmter materiell-rechtlicher, organisatorischer und prozeduraler Maßnahmen der Datensicherheit diene. Der Gesetzgeber sei auch seiner Beobachtungs-und Nachbesserungspflicht nachgekommen, indem er auch eine Abgrenzung der datenschutzrechtlichen Verantwortlichkeiten im Rahmen der TI in § 307 SGB V vorgenommen habe. Das Bundessozialgericht wies auch darauf hin, der Klägerin stünden datenschutzrechtliche Rechtsbehelfe nach Art. 77 ff. DSGVO in Verbindung mit §§ 81 ff SGB X zu.

Die genannte Entscheidung des Bundessozialgerichts ist auf die vorliegende Rechtsstreitigkeit nicht unmittelbar übertragbar. Denn Gegenstand des hier anhängigen Verfahrens ist die Frage, ob insbesondere unter Wahrung der Vorschriften der DSGVO ein Leistungserbringer, hier der Vertrags- (-zahn)arzt zur Teilnahme an der Telematikinfrastruktur verpflichtet werden kann. Das Bundessozialgericht hat sich aber mit den auch hier maßgeblichen Regelungen im SGB V (§§ 291 ff SGB V) umfassend auseinandersetzt und die Regelungen für datenschutzrechtlich unbedenklich und mit der DSGVO vereinbar angesehen. Die rechtlichen Erwägungen können daher mittelbar und ohne weiteres auch auf das streitgegenständliche Verfahren übertragen werden.

Das Sozialgericht Stuttgart (SG Stuttgart, Urteil vom 27.01.2022, Az S 24 KA 166/20) hatte in einem Verfahren über die Rechtmäßigkeit der Honorarkürzung wegen Nichtteilnahme von Vertragsärzten an der Telematikinfrastruktur zu entscheiden. Diese Entscheidung betraf das Quartal 1/2019. Das Gericht kam zu dem Ergebnis, §§ 291 Absatz 2b S. 3, S. 14 SGB V a.F. seien nicht wegen Verstoßes gegen höherrangiges Recht, insbesondere nicht wegen eines Verstoßes gegen die DSGVO nichtig.

Im Einzelnen setzte sich das SG Stuttgart mit der Vereinbarkeit der Regelungen der §§ 291 ff. SGB V a.F. mit Art. 6 Abs. 1 DSGVO (Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt), Art. 6 Abs. 3 S. 4 DSGVO (Verhältnismäßigkeitsgrundsatz), Art. 9 Abs. 1 DSGVO, Art. 5 Abs. 1f DSGVO (Grundsatz der angemessenen Datensicherheit der Datenverarbeitung), Art. 4 Nr 7 DSGVO (Verantwortlichkeit), Art. 24, 26 Abs. 1 S. 1 DSGVO, Art. 35 DSGVO (Datenschutzfolgenabschätzung) und Art. 12 Grundgesetz (GG) sehr ausführlich auseinander. Das Sozialgericht München nimmt darauf Bezug und schließt sich der dort vertretenen Rechtsauffassung im Ergebnis, aber auch in einzelnen Begründungen an. Darüber hinaus ist wie folgt auszuführen:

Ohne Zweifel stellt der Abgleich der personenbezogenen Daten nach § 291 Abs. 2b S. 2 SGB V eine Datenverarbeitung nach Art. 4 DSGVO dar. Nach Art. 4 Ziff 2 DSGVO ist unter Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen. Darunter fallen auch ein Auslesen und ein Abgleich von Daten (Art. 4 Ziff. 2 DSGVO). Die Legaldefinition für personenbezogene Daten findet sich in Art. 4 Ziff. 1 DSGVO. Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen... Damit ist der Anwendungsbereich der DSGVO (Art. 1 DSGVO) eröffnet.

Zu den wichtigsten zu beachtenden Regelungen in der DSGVO gehört die Sicherheit der Daten. Damit die Ziele der DSGVO (Art. 1 Abs. 2 DSGVO), nämlich der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Rechte auf Schutz persönlicher personenbezogener Daten erreicht werden, müssen nach Art. 5 Abs. 1 Buchst. f DSGVO "die Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (" Integrität und Vertraulichkeit")".

Der Verarbeitungsprozess in den Quartalen 1/19-3/19 besteht darin, dass der an der vertragsärztlichen Versorgung teilnehmende Vertrags-(zahn)arzt bei der erstmaligen Inanspruchnahme seiner Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse zur Nutzung der Dienste nach § 291 Abs. 2b S. 2 SGB V prüft. Dies geschieht durch einen Online-Abgleich der auf der elektronischen Gesundheitskarte gespeicherten Daten nach Abs. 1 und 2 mit den bei der Krankenkasse vorliegenden aktuellen Daten (§ 291 Abs. 2b S. 3 SGB V). Ein Erheben, ein Erfassen, eine Anpassung oder Veränderung von Daten durch den Vertrags(-zahn)arzt findet nicht statt (Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2022, Az L 3 KA 63/20 B ER Rn 32). Zudem handelt es sich in den strittigen Quartalen um sogenannte Patientenstammdaten, nämlich die Bezeichnung der ausstellenden Krankenkasse, einschließlich eines Kennzeichens für die Kassenärztliche Vereinigung, in deren Bezirk der Versicherte seinen Wohnsitz hat (Nr 1), den Familiennamen und Vornamen des Versicherten (Nr 2), das Geburtsdatum des Versicherten (Nr 3), das Geschlecht des Versicherten (Nr 4), die Anschrift des Versicherten (Nr 5), die Krankenversichertennummer des Versicherten (Nr 6), den Versichertenstatus, für die Personengruppe nach § 264 Abs. 2 den Status der auftragsweisen Betreuung (Nr 7), den Zuzahlungsstatus des Versicherten (Nr 8), den Tag des Beginns des Versicherungsschutzes (Nr 9), bei befristeter Gültigkeit elektronischen Gesundheitskarte das Datum des Fristablaufs (Nr 10). Dagegen werden in den strittigen Quartalen keine Daten über den einzelnen Gesundheitsstatus des Versicherten verarbeitet. Somit handelt es sich um einen Verarbeitungsprozess auf niedrigster Stufe. Dies bedeutet aber nicht, dass die Datensicherheit bei der Verarbeitung von Patientenstammdaten zu vernachlässigen wäre. Je umfangreicher und personenbezogener Daten aber sind, die zu verarbeiten sind, umso höhere Anforderungen sind an die Datensicherheit zu stellen, um das Risiko vor unbefugtem Zugriff Dritter möglichst gering zu halten. Art. 5 Abs. 1 Buchstabe f DSGVO verlangt keine absolute Sicherheit der personenbezogenen Daten. Dies wäre auch mit einem noch so großen technischen und organisatorischen Aufwand nicht darstellbar (vgl BSG, Urteil vom 20.01.2021, B 1 KR 7/20 R). Die DSGVO verlangt vielmehr eine angemessene Datensicherheit. Bei dem Begriff "angemessen" handelt es sich um einen unbestimmten Rechtsbegriff, der der Auslegung zugänglich ist. Dabei hat sich die Angemessenheit an den zu schützenden Daten zu orientieren.

Nachdem der Gesetzgeber der Gematik im Zusammenhang mit der Telematikinfrastruktur eine wesentliche Rolle zugedacht hat, kommt es darauf an, ob diese Einrichtung den Anforderungen an eine angemessene Datensicherheit gerecht wird. Als Aufgaben der Gematik sind die Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts (§ 291b Abs. 1 Ziff 1 SGB V), die Festlegung des Inhalts und der Struktur der Datensätze für deren Bereitstellung und Nutzung (§ 291b Abs. 1 Ziff 2 SGB V), die Erstellung und Überwachung der Vorgaben für den sicheren Betrieb der Telematikinfrastruktur (§ 291b Abs. 1 Ziff 3 SGB V), die Sicherstellung der notwendigen Test-und Zertifizierungsmaßnahmen (§ 291b Abs. 1 Ziff 4 SGB V) und die Festlegung der Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung der in § 291a Abs. 4 und 5a geregelten Zugriffsberechtigungen und der Steuerung der Zugriffe auf Daten nach § 291 Abs. 3 (§ 291b Abs. 1 Ziff 5 SGB V) genannt. Zuständig für die Schaffung der Voraussetzungen für die Nutzung der E-Gesundheitskarte und ihrer Anwendungen, die Schaffung der erforderlichen interoperablen und kompatiblen Informations-, Kommunikations- und Sicherheitsinfrastruktur sind die Bundesrepublik Deutschland und die in § 291a Abs. 7 SGB V genannten Spitzenorganisationen (Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft, Spitzenorganisationen der Apotheker). Im Einzelnen sind somit Gesellschafter der Gematik die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit und die in § 291a Abs. 7 S. 1 SGB V genannten Spitzenorganisationen. Dabei entfallen auf die Bundesrepublik Deutschland ein Anteil von 51 %, ein Anteil von 24,5 % auf den Spitzenverband Bund der Krankenkassen und ein weiterer Anteil von 24,5 % auf die übrigen Spitzenorganisationen (§ 291b Abs. 2 Ziff. 1 SGB V). Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und den Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und die Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich (§ 291b Abs. 4 S. 1 SGB V).

Im Rahmen der Erfüllung der Aufgaben der Gematik hat der Gesetzgeber eine Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und mit der/dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verbindlich vorgegeben. So ist, wenn bei den Festlegungen und Maßnahmen nach § 291b Abs. 1 SGB V Fragen der Datensicherheit berührt sind, ein Einvernehmen mit dem BSI herzustellen. Ferner ist in § 291b Abs. 1e S. 1 SGB V geregelt, dass die Gesellschaft für Telematik sichere Verfahren zur Übermittlung medizinischer Dokumente in Abstimmung mit dem BSI und festlegt. Für die Zulassung von Komponenten und Diensten der Telematikinfrastruktur entwickelt das BSI geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gematik in Abstimmung mit dem BSI beschlossen (§ 291 b Abs. 1a S. 6 und 7 SGB V). Nach § 291b Abs. 4 SGB V ist vor der Beschlussfassung zu Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur dem BSI und dem BfDI Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind. Auch, soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gematik in Abstimmung mit dem BSI befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Für die zugelassenen Dienste und Betreiber besteht die Pflicht, erhebliche Störungen der Verfügbarkeit, der Integrität, der Authentizität und Vertraulichkeit dieser Dienste unverzüglich der Gematik zu melden (§ 291b. Abs. 6 S. 2 SGB V). Die Gematik ist dann ihrerseits verpflichtet, diese Störungen unverzüglich dem BSI zu melden (§ 291b. Abs. 6 S. 4 SGB V). Auf Verlangen des BSI hat die Gematik die in § 291b Abs. 8 S. 1 SGB V genannten Dokumente vorzulegen. Wenn sich daraus Sicherheitsmängel ergeben sollten, kann das BSI der Gematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen (§ 291b Abs. 8 S. 2 SGB V). Auch die Gematik besitzt gegenüber den Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach § 291b Abs. 8 S. 3 SGB V ein Weisungsrecht.

Des Weiteren sieht das Gesetz in § 291b Abs. 2a SGB V die Einrichtung eines Beirats durch die Gesellschaft für Telematik vor, der diese in fachlichen Belangen berät. Der Beirat besteht zwingend aus insgesamt 17 Vertretern, nämlich aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, einen durch das Bundesministerium für Gesundheit im Einvernehmen mit dem Bundesministerium für Bildung und Forschung zu benennenden Vertreter aus dem Bereich der Hochschulmedizin, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisationen sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten.

In § 291c SGB V ist außerdem die verbindliche Einrichtung einer Schlichtungsstelle bei der Gesellschaft für Telematik vorgesehen, deren Entscheidungen für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich sind.

Somit verfügt die Gematik zwar über umfangreiche eigene Kompetenzen, so vor allem eine eigene Kompetenz, Festlegungen und Maßnahmen der Datensicherheit (§§ 291b Abs. 1, 291b Abs. 1e SGB V), darunter auch Maßnahmen der Gefahrenabwehr zu treffen (§ 291b Abs. 6 S. 1 SGB V), Entscheidungen über die Zulassung von Diensten und Betreibern zu treffen (§ 291b Abs. 4 S. 1 SGB V), auch gegebenenfalls den Zugang zur Telematikinfrastruktur zu sperren oder nur unter Auflagen zu gestatten (§ 291b Abs. 6 S. 6 SGB V). Außerdem ist die Gematik Betreibern von Diensten gegenüber weisungsbefugt (§ 291b Abs. 8 S. 6 SGB V).

Den Regelungen, insbesondere § 291b SGB V ist aber immanent, dass oft ein Einvernehmen bzw. eine Abstimmung mit dem BSI und/oder der/dem BfDI erforderlich ist. Auch wenn ein solches Procedere auf den ersten Blick raschen Entscheidungsprozessen zuwiderläuft, trägt dieses nicht unmaßgeblich zu einem "Mehr" an Datensicherheit bei. Für die Gematik besteht auch gegenüber dem BSI eine Meldepflicht bei erheblichen Störungen (§ 291b Abs. 4 S. 2 SGB V). Das BSI ist ebenfalls gegenüber der Gematik zu Weisungen befugt. Hinzu kommt auch die Einrichtung des Beirates nach § 291b Abs. 2a SGB V und einer Schlichtungsstelle nach § 291c SGB V, beides Einrichtungen, die ihrerseits ein zusätzliches "Mehr" an Datensicherheit garantieren. Es handelt sich also um ein extrem ausgewogenes Netz aus Eigenverantwortung der Gematik, in der strukturell neben der Bundesrepublik Deutschland die maßgeblichen Institutionen im Gesundheitswesen vertreten sind, diese aber begrenzt durch zahlreiche Kontrollmechanismen, die vor allem dem BSI und der/dem BfDI überantwortet wurden. Daneben gibt es auch zusätzliche Kontrollgremien, so den Beirat nach § 291b Abs. 2a SGB V und eine Schlichtungsstelle nach § 291c SGB V. Damit zeugen die Regelungen in §§ 291 ff. SGB V von dem großen Bemühen des Gesetzgebers, ein Optimum an Datenschutz zu erreichen. Das Bundessozialgericht (aaO) spricht außerdem von einem "risikobasierten Ansatz" der Regelungen der §§ 291 ff. SGB V, einem normdichten und klaren Regelungsgefüge, das durch eine Vielzahl aufeinander abgestimmter materiell-rechtlicher, organisatorischer und prozeduraler Maßnahmen der Datensicherheit dient und eine ausreichende Datensicherheit gewährleistet. Insofern sind auch die Anforderungen an den Bestimmtheitsgrundsatz der gesetzlichen Regelungen als erfüllt anzusehen. Es ist kaum vorstellbar, dass in einem der anderen Mitgliedstaaten, in dem auch die Vorschriften der DSGVO gelten, bei der Verarbeitung personenbezogener Daten im Gesundheitswesen eine vergleichbare Regelungsdichte zum Schutz dieser Daten vorhanden ist. Dies hat auch der Vertreter der Gematik in der mündlichen Verhandlung so deutlich gemacht. Nicht vorstellbar ist auch, dass in anderen Bereichen des Wirtschaftslebens ähnliche Sicherheitsvorkehrungen bestehen.

Trotz dieser Regelungsdichte wird immer wieder über Probleme bei der praktischen Umsetzung berichtet (zm 108, Nummer 4, 16.02.2018 (245)). Konkret war zum Beispiel im Jahr 2020 die Rede von einer Störung der Versichertenstammdaten bei der Telematikinfrastruktur und von konfigurationsbedingten Sicherheitsmängeln bei Konnektoren bestimmter Hersteller. Davon seien über einen Zeitraum von acht Wochen bis zu 80.000 Arzt/Zahnarztpraxen betroffen gewesen (zm 110, Nummer 15-16, 16.08.2020, (1472)). Die Einführung des sogenannten E- Rezeptes wurde gestoppt. Auch die sogenannte elektronische Arbeitsunfähigkeitsbescheinigung (eAU) wurde - soweit ersichtlich -noch nicht eingeführt. Außerdem besteht die Absicht, die Konnektoren zu tauschen, was zu erheblichen Kosten führen dürfte. Insgesamt wird sogar zum Teil die Auffassung vertreten, "die regelmäßigen Pannen belegen, dass der gegenwärtige Ansatz der Vernetzung nicht hinreichend praxiserprobt und für die Digitalisierung im Gesundheitswesen im Ergebnis dysfunktional ist"(BZB, November 2021). Schließlich hat auch der Chaos Computer Club (CCC) auf verschiedene Sicherheitslücken hingewiesen.

Es kann allerdings nicht erwartet werden, dass die Einführung der Telematikinfrastruktur von Anbeginn an "reibungslos" verläuft. Denn es handelt sich um ein Novum im Gesundheitswesen, das in den fortgeschrittenen Ausbaustufen geradezu als revolutionär zu bezeichnen ist und für das nicht auf Erfahrungswerte aus der Vergangenheit zurückgegriffen werden kann. Der Chief Produktion Office der Gematik,  Herr H. hat darauf hingewiesen, "wir befinden uns in einer Einführungsphase eines der wichtigsten Massenprozesse des Gesundheitswesens, das jährlich rund 77 Millionen Mal durchgeführt wird." Im Übrigen besteht eine Beobachtungs-und Nachbesserungspflicht, was den Datenschutz betrifft (vgl BSG, Beschluss vom 20.01.2021, B 1 KR 7/20 ER). Der Datenschutz muss auch jeweils dem Stand der Technik entsprechen. Eine absolute Datensicherheit ist nicht darstellbar. Dass der Gesetzgeber der Beobachtungs- und Nachbesserungspflicht genügt, ergibt sich daraus, dass immer wieder die gesetzlichen Regelungen angepasst werden (vgl. Gesetz vom 14.10.2020 (BGBl I S. 2115)). Ein Verstoß der gesetzlichen Regelungen der §§ 291 ff. SGB V gegen Art. 5 Buchst. f DSGVO ist auch deshalb nicht festzustellen.

Die Regelungen des §§ 291 ff. SGB V sind auch mit den allgemeinen Grundsätzen der DSGVO (Art. 4, 5, 6) vereinbar. Insbesondere dient der Datenabgleich der Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 DSGVO). Ebenso wird der Grundsatz der Verhältnismäßigkeit in Art. 6 Abs. 3 S. 4 DSGVO eingehalten. Danach muss auch das Recht des Mitgliedstaats ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. Die Prüfung des Verhältnismäßigkeitsgrundsatzes erfordert die Beurteilung der Eignung und Erforderlichkeit des gewählten Mittels zur Erreichung des erstrebten Zwecks sowie eine vorzunehmende Einschätzung und Prognose der dem Einzelnen oder der Allgemeinheit drohenden Gefahren (BVerfG, Urteil vom 09.03.1994, Az 2 BvL 43/92). Der mit der Telematikinfrastruktur verfolgte Zweck, konkret der von dem Vertrags-(zahn) Arzt im Jahr 2019 vorzunehmende Datenabgleich nach § 291 Abs. 2b S. 2 SGB V bestand insbesondere in der Verhinderung von Missbrauch der Krankenversichertenkarte, zur Kosteneinsparung und zur Abrechnung der Leistungen durch den Vertrags-(zahn)Arzt, insgesamt zur Gewährleistung der finanziellen Stabilität der GKV. Ein alternatives, gleich praktikables, effektives Verfahren, um den oben genannten Zwecken gerecht zu werden, ist nicht ersichtlich. Vielmehr drängt sich auf, die Möglichkeiten der elektronischen Datenverarbeitung auch im gesundheitlichen Bereich, allerdings bei gleichzeitiger besonderer Wahrung des Datenschutzes zu nutzen, wie sie auch in anderen Bereichen seit längerer Zeit bereits Verwendung finden. Es ist nicht ersichtlich, dass es andere, gleich geeignete, weniger belastende Möglichkeiten gibt, um die legitimen Ziele zu erreichen (vgl BSG, Beschluss vom 20.01.2021, B 1 KR 7/20 ER).

Allerdings muss der mit der Nichtteilnahme an der Telematikinfrastruktur verbundene Honorarabzug seinerseits verhältnismäßig sein. Bei Verstoß gegen die Pflicht zur Fortbildung nach § 95d SGB V beträgt der Honorarabzug zunächst 10 % für die ersten vier Quartale, später dann 25 % (§ 95d Abs. 3 S. 3 SGB V). Wird der Fortbildungsnachweis nicht spätestens zwei Jahre nach dem Ablauf des Fünfjahreszeitraums geführt, steht auch die Zulassung zur vertrags(-zahn) ärztlichen Tätigkeit zur Disposition (§ 95 Abs. 6 SGB V). Gemessen daran handelt sich um einen moderaten Honorarabzug (lediglich 1 % vom Gesamthonorar) bei Nichtteilnahme an der Telematikinfrastruktur. Eine Verpflichtung des Vertrags-(zahn)arztes zur Teilnahme an der Telematikinfrastruktur ohne jegliche Sanktion würde dazu führen, dass sich ein Teil der Vertrags-(zahn)ärzte der Telematikinfrastruktur trotzdem anschließen, ein anderer Teil aber sanktionslos davon Abstand nehmen könnte. Damit könnten die Ziele der Einführung der E- Gesundheitskarte nicht erreicht werden.

Soweit allerdings ein Vertrags-(zahn)arzt seiner Verpflichtung zur Teilnahme an der Telematikinfrastruktur deshalb nicht nachkommen kann, weil dieser technische Probleme entgegenstehen, handelt es sich um eine rechtliche und tatsächliche Unmöglichkeit. In diesem Fall wäre es als unverhältnismäßig anzusehen, das Honorar zu kürzen. Allerdings wäre vom Vertrags-(zahn)arzt der Nachweis zu führen, dass eine solche Konstellation vorliegt.

Darüber hinaus ergibt sich aus § 291a Abs. 3 SGB V, dass die elektronische Gesundheitskarte auch für die dort beschriebenen Anwendungen geeignet sein muss, so zum Beispiel zur Verarbeitung von Befunden, Diagnosen, Therapieempfehlungen sowie Behandlungsberichten in elektronischer und maschinell verwertbarer Form für eine einrichtungsübergreifende, fallbezogene Kooperation (elektronischer Arztbrief; § 291a Abs. 3 Ziff. 2 SGB V) und zur Verarbeitung von Daten über Befunde, Diagnosen, Therapiemaßnahmen, Behandlungsberichten sowie Impfungen für eine fall-und einrichtungsübergreifende Dokumentation über die Versicherten sowie durch von Versicherten selbst oder für Sie zur Verfügung gestellte Daten (elektronische Patientenakte; § 291a Abs. 3 Ziff. 2 SGB V). Diese Anwendungen gehen weit über den in § 291 Abs. 2b S. 2 SGB V verpflichtenden Datenabgleich hinaus. In den streitgegenständlichen Verfahren, Quartale des Jahres 2019 betreffend, ist aber über eine Vereinbarkeit dieser Anwendungen mit der DSGVO nicht zu befinden. Derartige Regelungen müssten mit den Vorschriften der DSGVO vereinbar sein. In dem Zusammenhang wird zu beachten sein, ohne einer späteren rechtlichen Bewertung und Entscheidung vorgreifen zu wollen, dass, je umfangreicher die Datenverarbeitung stattfinden soll, umso größer also das Gefährdungspotenzial ist, umso größere Anforderungen sind an die Datensicherheit zu stellen.

Die Klägerseite beanstandet insbesondere, dass die datenschutzrechtliche Verantwortlichkeit ganz oder jedenfalls überwiegend dem Vertrags-(zahn)arzt auferlegt ist. Es trifft zu, dass erst mit Gesetz vom 14.10.2020 (BGBl I S. 2115) datenschutzrechtliche Verantwortlichkeiten in § 307 SGB V geregelt sind. Danach (§ 307 Abs. 1 SGB V) liegt die Verantwortung für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Abs. 2 Nr 1 SGB V (insbesondere ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten) bei denjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen. Ferner ist der Anbieter des gesicherten Netzes innerhalb des gesicherten Netzes für Übertragung von personenbezogenen Daten verantwortlich, insbesondere von Gesundheitsdaten der Versicherten, zwischen Leistungserbringern, Kostenträgern sowie Versicherten und für die Übertragung im Rahmen der Anwendungen der elektronischen Gesundheitskarte (§ 307 Abs. 3 S. 2 SGB V). Auch die Gematik wurde in den Kreis der datenschutzrechtlich Verantwortlichen in § 307 Abs. 5 S. 1 SGB V mit aufgenommen. So ist sie verantwortlich für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben nach § 311 Abs. 1 die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist. Es handelt sich somit um eine subsidiäre Verantwortlichkeit der Gematik, was sich daraus ergibt, dass diese nur dann besteht, soweit nicht die in § 307 Abs. 1, 3 und 4 SGB V genannten verantwortlich sind.

Daraus, dass vor dem 14.10.2020 keine ausdrücklichen Verantwortlichkeiten im SGB V festgelegt wurden, ergibt sich allerdings kein Verstoß gegen die DSGVO. Denn, wer datenschutzrechtlicher Verantwortlicher ist, folgt bereits aus der Legaldefinition in Art. 4 Ziff 7 DSGVO. Danach ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dieser setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür zu erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt (Art. 24 DSGVO). Daraus folgt zumindest indirekt die Verantwortlichkeit für die natürliche Person oder juristische Person, Behörde, Einrichtung oder andere Stelle für die Einhaltung des Datenschutzes innerhalb der eigenen Sphäre. Der Vertragszahnarzt hat keine Verantwortung für die Datenschutzsicherheit der zentralen Zone der TI (TI-Plattformzone zentral), auf die er keinen Einfluss hat. Es ergibt sich auch keine Gesamtverantwortlichkeit des Vertrags-(zahn)arztes, sondern nur für die dezentrale Zone. Eine solche Verantwortlichkeit des Vertragszahnarztes für die dezentrale Zone stellt kein Novum dar. Denn bereits vor Einführung der E-Gesundheitskarte lag es im Verantwortungsbereich des Vertrags-(zahn)arztes, die datenschutzrechtlichen Vorgaben in seiner Sphäre zu beachten. Im Übrigen wurde, wie der Vertreter der Gematik in der mündlichen Verhandlung am 09.11.2022 ausführte, bereits Mitte 2019 ein Informationsblatt zum Datenschutz und Haftung in der Telematikinfrastruktur herausgegeben.

Außerdem schreibt die DSGVO nicht verpflichtend die Nennung eines/der Verantwortlichen vor. Vielmehr steht es im Ermessen der Mitgliedstaaten nach Art. 4 Ziff.7 DSGVO, ob der Verantwortliche als solcher nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen wird (vgl. SG Stuttgart, Urteil vom 27.01.2022, Az S 24 KA 166/20).

Auch ein Verstoß gegen Art. 26 DSGVO ist nicht ersichtlich. Die Klägerseite macht geltend, zumindest sei von einer mit Verantwortlichkeit der Gematik neben dem Vertragszahnarzt auszugehen. Es ist bereits fraglich, ob die Gematik in den Quartalen des Jahres 2019 als verantwortlich im Sinne von Art. 4 Nr 7 DSGVO anzusehen ist. Verneinendenfalls könnte sie auch nicht "Gemeinsam" Verantwortliche sein. Aus Art. 4 Nr. 7 DSGVO ergibt sich als wesentliches Kriterium für die "Verantwortlichkeit" die Entscheidungsbefugnis über den Zweck und die Mittel der Datenverarbeitung. Allein dadurch, dass die Gematik Komponenten und Dienste der Telematikinfrastruktur (§ 291b Abs. 1a SGB V) zulässt und als "actus contrarius" Komponenten und Dienste für den Zugang sperren kann (§ 291b Abs. 5 S. 6 SGB V), besitzt sie zumindest eine Entscheidungsbefugnis über die Mittel der Datenverarbeitung. Dagegen ist eine Entscheidungsbefugnis der Gematik, was den Zweck, also das ob, wofür und wie weit der Datenverarbeitung betrifft, nicht ersichtlich. Denn die Entscheidungsbefugnis müsste von einem Eigeninteresse an der Datenverarbeitung getragen sein, was aber nicht der Fall ist. Vielmehr fungiert die Gematik lediglich als organisatorische und koordinierende Institution und erfüllt als solche nur die ihr auferlegten gesetzlichen Pflichten (aA . Dochau in MedR 2020, 979, 985; Kühling/Sackmann, Datenschutzrecht, Rn. 538, 541).

Abgesehen davon bestimmt Art. 26 Abs. 1 S. 2 DSGVO, dass "gemeinsam Verantwortliche" in einer Vereinbarung in transparenter Form festlegen, wer von Ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt... Eine solche Vereinbarung wurde nicht geschlossen und wäre auch nicht umsetzbar, zumal jeder einzelne an der TI teilnehmende Vertrags-(zahn)arzt in einer Individualvereinbarung mit der Gematik die wechselseitigen Verpflichtungen festlegen müsste. Es müssten also etliche 1.000 Vereinbarungen allein in Bayern geschlossen werden. Hinzu kommt, dass in die Telematikinfrastruktur zahlreiche unterschiedliche Dienste und Komponenten eingebunden sind, die durchaus als verantwortlich im Sinne von Art. 4 Ziff. 7 DSGVO anzusehen wären. An sich müssten mit diesen Diensten ebenfalls Individualvereinbarungen, betreffend die gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO abgeschlossen werden, was ebenfalls nicht umsetzbar ist.

Soweit in der verpflichtenden Teilnahme der Vertrags-(zahn)ärzte an der Telematikinfrastruktur ein Verstoß gegen Art. 12 Grundgesetz geltend gemacht wird, ist diese Auffassung nicht zu teilen. Denn es ist zu differenzieren zwischen einer Berufswahl- und einer Berufsausübungsregelung. Allenfalls könnte hier in der verpflichtenden Teilnahme an der Telematikinfrastruktur, konkret im Online-Abgleich der auf der elektronischen Gesundheitskarte gespeicherten Daten mit den bei der Krankenkasse vorliegenden aktuellen Daten eine Berufsausübungsregelung gesehen werden. Dabei ist festzustellen, dass die Eingriffstiefe in das Grundrecht im Jahr 2019 relativ gering ist. Vor diesem Hintergrund ist anerkannt, dass eine solche Berufsausübungsregelung zulässig ist, wenn "sachlich nachvollziehbare Erwägungen des Normgebers im Hinblick auf die Gestaltungsfreiheit" vorliegen (BVerfG, Beschluss vom 16.07.2004, Az 1 BvR 1127/01; BSG, Urteil vom 13.05.2020, Az B 6 KA 24/18 R). Wie bereits im Zusammenhang mit dem in Art. 6 Abs. 3 DSGVO enthaltenen Verhältnismäßigkeitsgrundsatz ausgeführt, sie dient die Einführung der Telematikinfrastruktur dazu, einen Missbrauch der Krankenversichertenkarte, wie in der Vergangenheit nicht selten zu beobachten war, zu verhindern, dient der Kosteneinsparung und der Abrechnung der Leistungen durch den Vertrags-(zahn)arzt, also insgesamt zur Gewährleistung der finanziellen Stabilität der GKV. Es handelt sich somit um sachlich nachvollziehbare Erwägungen des Normgebers, die einen Eingriff in die Berufsausübungsfreiheit nach Art. 12 GG rechtfertigen (BSG, Urteil vom 20.01.2021, Az B 1 KR 7/20 R).

Genausowenig ist ein Verstoß gegen Art. 2 Abs. 1 GG (allgemeine Handlungsfreiheit) ersichtlich. Es ist anerkannt, dass es sich hierbei um ein sog. Auffanggrundrecht handelt, das gegenüber dem in Art. 12 Abs. 1 GG speziellen Grundrecht zurücktritt (BVerfG, Beschluss vom 06.06.1989, Az 1 BvR 921/85; Bayerischer Verwaltungsgerichtshof, Urteil vom 18.04.2013, Az 10 B 11.1529). Von dem Schutzbereich des Art. 2 Abs. 1 GG erfasst und Ausfluss der allgemeinen Handlungsfreiheit in Art. 2 Abs. 1 GG ist auch das Recht auf informationelle Selbstbestimmung (vgl BVerfG, Beschluss vom 13.06.2007, Az 1 BvR 1550/03). Geschützt wird der Einzelne gegen informationsbezogene Maßnahmen, die ihn betreffen und die für ihn weder überschaubar, noch beherrschbar sind. Der Einzelne ist befugt, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen (BSG, Urteil vom 20.01.2021, Az B 1 KR 7/20 R). Nachdem der Vertrags-(zahn)arzt nicht Grundrechtsbetroffener ist, da seine eigenen personenbezogenen Daten nicht betroffen sind, kann allein deshalb ein Verstoß gegen das Recht auf informationelle Selbstbestimmung nicht vorliegen. Selbst wenn dies zu bejahen wäre, kann nichts Anderes gelten als für den betroffenen Patienten, dessen Daten erfasst und weitergegeben werden. Denn das Recht auf informationelle Selbstbestimmung ist nicht schrankenlos. Eine solche Grundrechtseinschränkung ist zulässig, wenn sie auf einer gesetzlichen Ermächtigung beruht, die ihrerseits einen legitimen Gemeinwohlzweck verfolgt und der Grundsatz der Verhältnismäßigkeit eingehalten wird (BSG, Urteil vom 20.01.2021, Az B 1 KR 7/20 R). Dies ist, wie wiederholt ausgeführt wurde, der Fall.

Betroffene Personen, die der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt, haben die Möglichkeit, Rechtsbehelfe nach Art. 77 ff. DSGVO in Verbindung mit §§ 81 ff SGB X einzulegen. Im Einzelnen handelt es sich um das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 Abs. 1 DSGVO), das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde (Art. 78 Abs. 1 DSGVO). Für den gerichtlichen Rechtsbehelf ist der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit nach § 81a Abs. 1 bzw. § 81b SGB X eröffnet. Rechtsgrundlage für einen Schadenersatzanspruch wegen eines Verstoßes gegen diese Verordnung, die zu einem materiellen oder immateriellen Schaden geführt hat, ist Art. 82 Abs. 1 DSGVO. Der Schadensersatzanspruch richtet sich gegen den/die Verantwortlichen oder gegen den/die Auftragsverarbeiter (Art. 82 Abs. 1, 2 DSGVO). Wenn der Vertragszahnarzt als Verantwortlicher in Anspruch genommen wird, ist er seinerseits mit Einwendungen nicht abgeschnitten. So kann er sich nach Art. 82 Abs. 3 DSGVO exkulpieren, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Insofern kann er weder für einen Schaden haftbar gemacht werden, der nicht in seiner Sphäre entstanden ist, noch kann er für einen Schaden haftbar gemacht werden, der zwar in seiner Sphäre entstanden ist, den er aber nicht zu vertreten hat, beispielsweise, indem er bei Beschäftigung von Personal seinen Aufsichtspflichten genügt hat.

Aus den genannten Gründen sind die angefochtenen Bescheide (Honorarkürzung) als rechtmäßig anzusehen und ist die Klage abzuweisen.
Die Kostenentscheidung beruht auf § 197a SGG in Verbindung mit § 154 VwGO.