Der Hausarzt hatte sich nicht rechtzeitig an TI anbinden lassen, sondern gegenüber der Kassenärztlichen Vereinigung (KV) mitgeteilt, dass er die dafür benötigten Komponenten gar nicht bestellt habe. Daraufhin kürzte die KV das Honorar für die ersten drei Monate des Jahres 2019 um 1 Prozent, was bei einer Summe von 42.158,07 Euro einem Abschlag von 421,58 Euro entsprach. Zur Begründung hieß es, die Anbindung sei Pflicht. Die TI sei geschaffen worden, um alle Beteiligten im Gesundheitswesen besser miteinander zu vernetzen. Ziel sei es, einen schnelleren, umfassenderen und effektiveren Zugriff auf medizinische Informationen als bisher zu erhalten, was der Qualität und Wirtschaftlichkeit im Gesundheitswesen zugutekomme.

Konkret drehte sich der Streit um den vorgeschrieben Abgleich der Versichertenstammdaten (VSD). Der Mediziner argumentierte, dass dies mit den derzeit von der Gematik zugelassenen TI-Komponenten nur unter Verstoß gegen die Datenschutzgrundverordnung (DSGVO) möglich sei: Über den in der Arztpraxis zu installierenden Konnektor und das daran angeschlossene Kartenlesegerät würden die auf der Gesundheitskarte gespeicherten Daten eines jeden Patienten ausgelesen und an die zentrale Zone der TI zum Abgleich mit den bei der Krankenversicherung gespeicherten Daten weitergesandt.

Neben den eigentlichen Stammdaten des Versicherten würden auch bereits gesundheitsbezogene Daten gespeichert und verarbeitet. Auf der elektronischen Gesundheitskarte werde nach dem „Fachkonzept Versichertenstammdatenmanagement“ der Gematik und der „Technischen Anlage zur Anlage 4“ ein DMP-Kennzeichen zu bestimmten chronischen Erkrankungen, mithin Gesundheitsdaten, gespeichert.

Eine Datenverarbeitung sei überhaupt nur zulässig, wenn ein „Verantwortlicher“ feststehe – die datenschutzrechtliche Verantwortlichkeit für die TI sei jedoch ungeklärt. Die DSGVO laufe daher ins Leere. Zwar habe die Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder die Auffassung vertreten, dass die Gematik für die zentrale Zone der TI datenschutzrechtlich alleine verantwortlich und für die dezentrale Zone der TI datenschutzrechtlich mitverantwortlich sei. Es fehle jedoch eine gesetzliche Regelung genauso wie eine Klärung zu der Frage, wer weiter „mitverantwortlich“ sei. Die Gematik sei vom Bundesdatenschutzbeauftragten (BfDI) wiederholt zu einer sogenannten Datenschutzfolgenabschätzung aufgefordert worden, habe diese jedoch auch eineinhalb Jahre nach der Aufforderung und nach Inkrafttreten des DSGVO nicht umgesetzt.

Außerdem gebe es nachweislich Sicherheitsmängel bei TI-Komponenten: Diverse Beispiele zeigten, dass die in den TI-Konnektoren enthaltene Software nicht im erforderlichen Maß gewartet und durch neuere Versionsstände ausgetauscht werde. Der Hintergrund sei ein fundamentaler systemischer Fehler im Zulassungsverfahren der Gematik, das nur Vorgaben zur Planung und Entwicklung einer Software umfasse, nicht zur weiteren Wartung.

Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angewandte Prüf- und Zertifizierungssystem sehe für die TI-Konnektoren die Sicherheitsstufe EAL 3 vor. Diese Einstufung sei im Ergebnis zu niedrig und könne nur darauf zurückzuführen sein, dass das BSI bei der Einstufung nicht berücksichtigt habe, dass Gesundheitsdaten verarbeitet würden. Auch sei nicht bedacht worden, dass zwischen dem TI-Konnektor und der Praxisverwaltungssoftware bei der von der Gematik empfohlenen seriellen Installation (Reihenschaltung) keine weitere Firewall beziehungsweise kein weiterer technischer Schutz bestehe.

Es könne nicht ausgeschlossen werden, dass ein Hackerangriff über ein kompromittierendes IT-System eines an sich autorisierten TI-Nutzers, wie zum Beispiel einer Krankenversicherung, erfolge oder von der Krankenversicherung aus ein „verseuchter“ Datensatz an den TI-Konnektor der Arztpraxis versandt werde. Der TI-Konnektor stelle daher eine zusätzliche Gefahr für das Praxisnetzwerks und der dortigen Patientendaten dar. Im Ergebnis sei festzuhalten, dass die Gematik ihrem gesetzlichen Auftrag nicht nachkomme, die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sicherzustellen.

Das Sozialgericht ließ sich von diesen detaillierten Ausführungen nicht beeindrucken. Denn beim Abgleich der Versichertenstammdaten handele es sich um eine überschaubare Verarbeitung von Daten, die zuvor bereits von den Krankenkassen erhoben worden sind und die auf die elektronische Gesundheitskarte übertragen werden. „Es geht nicht um Daten, die durch den Vertragsarzt erhoben werden“, so die beiden ehrenamtlichen Richter aus den Kreisen der Vertragsärzte und Vertragspsychotherapeuten.

Die DSGVO erlaube die Verarbeitung personenbezogener Daten unter anderem dann, dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist oder im öffentlichen Interesse liegt. Dies sei hier der Fall, daher seien Vertragsärzte auch gesetzlich zur Mitwirkung verpflichtet: Die Gesundheitskarte diene dem Nachweis der Berechtigung zur Inanspruchnahme von Leistungen: „Sie erschwert dadurch den Leistungsmissbrauch und dient der Abrechnung mit den Leistungserbringern, was der finanziellen Stabilität der gesetzlichen Krankenversicherung zugutekommt.“ Der geforderte Abgleich ermögliche es, die Aktualität und Zuordnung der elektronischen Gesundheitskarte zum jeweiligen Karteninhaber zu überprüfen und damit ungültige sowie als verloren oder gestohlen gemeldete Karten zu identifizieren, um so Missbrauch zu verhindern. „Ein im öffentlichen Interesse liegendes Ziel liegt damit vor.“

Eine absolute Datensicherheit gebe es laut Auffassung des Bundessozialgerichts (BSG) nicht, dies verbiete aber keineswegs die automatisierte Verarbeitung personenbezogener Daten, solange „ein Standard gewährleistet wird, der der Sensibilität der betroffenen Daten und dem jeweiligen Gefährdungsrisiko Rechnung trägt, und sich an dem Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt“. Vor diesem Hintergrund verfolge die DSGVO einen risikobasierten Ansatz: „Abhängig vom spezifischen Risiko der Datenverarbeitung und dessen Eintrittswahrscheinlichkeit hat der jeweils Verantwortliche die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Dass der Abgleichs der Versichertendaten in der Praxis ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge habe, sei nicht ersichtlich. Dagegen sei die Maßnahme erforderlich, geeignet und auch angemessen.

Auch die Gematik wurde angehört, sie bestritt vor Gericht, dass es die genannten Sicherheitsmängel gebe. Doch selbst wenn dies so wäre, gewähre dies Ärzten nicht das Recht, den gesetzlich vorgeschriebenen Anschluss an die TI zu verweigern. So sahen es auch die Richter: Die Gematik sei gesetzlich verpflichtet, Vorgaben für die Datensicherheit beim Betrieb der TI zu erstellen und deren Umsetzung zu überwachen – über „den Zweck, über das Ob, Wofür und Wieweit einer Datenverarbeitung“ entscheide sie jedoch nicht.