Klares Nein. Aber aufgepasst: Identifikation, Authentisierung und Authentifizierung sind drei verschiedene Dinge! In der derzeitigen Spezifikation sind als Authentisierungsverfahren nur die Anmeldung über die Online-Ausweisfunktion des Personalausweises und die eGK mit PIN vorgesehen. Im Interesse der Nutzerfreundlichkeit brauchen wir aber zusätzliche niederschwellige Verfahren, etwa einen Nutzername-/Passwort-basierten Ansatz oder eine Authentisierung mit biometrischen Merkmalen (z.B. Face-ID).
Das KHPflEG hat daher eingeführt, dass man nach entsprechender Information beim Anmeldeverfahren zwischen unterschiedlichen Datensicherheitsniveaus wählen kann (§ 291 Abs. 8 Satz 7 SGB V). Diese optionale Absenkung des Sicherheitsniveaus ist rechtlich okay, denn für die Bestimmung des „angemessenen“ Sicherheitsniveaus ist die Sicht des Betroffenen maßgeblich, wie sich aus der Abwägung der grundrechtlichen Verankerung der betroffenen Interessen und der DSGVO ergibt.
Vor diesem Hintergrund muss die entsprechende Spezifikation also erweitert werden. Eigentlich kein Problem. Problematisch ist aber das nach dem Gesetz notwendige Einvernehmen mit BSI und BfDI, mit dem wohl nicht gerechnet werden kann. Wie in der Digitalisierungsstrategie bereits vorgesehen, sollte im Rahmen des Digitalgesetzes der Prozess der Einvernehmensherstellung aufgegeben werden, sodass die gematik die Anforderungen eigenständig festsetzt und der Versicherte dann auswählen kann. Die Sorge, dass sonst gar nichts läuft, ist berechtigt, und das können wir uns einfach nicht erlauben.
Autor:
Prof. Dr. med. Dr. iur. Christian Dierks ist Rechtsanwalt und Facharzt für Allgemeinmedizin in Berlin
Kommentare & Fragen:
christian.dierks(at)dierks.company