latest

PDF HTML Excel XML
latest



Elektronische Gesundheitskarte und Telematikinfrastruktur



Methodik zur Datenschutzkonzeption in der Telematikinfrastruktur



Version2.1.0
Revision1513350
Stand02.02.2026
Statusfreigegeben
Klassifizierungöffentlich
ReferenzierunggemMeth_DSKonz





Dokumentinformationen

Änderungen zur Vorversion

Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.

Dokumentenhistorie

Version
Stand
Kap./ Seite
Grund der Änderung, besondere Hinweise
Bearbeitung
1.0.0
15.10.2012

freigegeben
gematik
1.1.0
06.06.2013

Einarbeitung Kommentare LA
P77
1.1.9
18.12.2015

Anpassungen zum Online-Produktivbetrieb (Stufe 1)
gematik
1.2.0
24.08.2016

freigegeben
gematik
2.0.0
26.07.2023

Grundlegende Überarbeitung
gematik
2.1.0
02.02.2026

Redaktionelle Anpassung
gematik

Inhaltsverzeichnis

1 Einordnung des Dokuments

1.1 Zielsetzung

Die Methodik zur Datenschutzkonzeption gewährleistet eine einheitliche methodische Vorgehensweise zur Betrachtung und vollständigen Bewertung des Datenschutzes in der Telematikinfrastruktur (TI). Die Methodik leitet aus den Grundsätzen für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO Anforderungen an Inhalte ab, die in Fachanwendungen der TI bzw. Produkten der TI (Komponenten oder Dienste) in der Entwicklungsphase verbindlich zu berücksichtigen sind.

Durch die verpflichtende Anwendung der Methodik wird der Datenschutz schon zu Beginn des Entwicklungsprozesses in der TI berücksichtigt und trägt so zur Umsetzung der Anforderung des Data Protection by Design und Data Protection by Default bei.

Durch die Anwendung der Methodik werden Entscheidungen transparent dokumentiert.

1.2 Zielgruppe

Das Dokument richtet sich an alle in der gematik an der Entwicklung, Herstellung und dem Betrieb von Fachanwendungen der TI bzw. Produkten der TI (Komponenten und Dienste) Beteiligten.

1.3 Geltungsbereich

Der Geltungsbereich umfasst alle von der gematik entwickelten, hergestellten und betriebenen Fachanwendungen und Produkte (Komponenten und Dienste) der TI bzw. die daran beteiligten Personen.

1.4 Abgrenzung des Dokuments

Das Dokument richtet sich nicht an Hersteller bzw. Anbieter von Produkten der TI. Die Methodik kann jedoch von Herstellern bzw. Anbietern der TI auf freiwilliger Basis adaptiert werden.

1.5 Methodik

Die getroffenen Maßnahmen zum Datenschutz fließen in die Spezifikationen, Produkte der TI sowie betrieblichen Maßnahmen der gematik ein. Die identifizierten Datenschutz-Risiken werden im Risikomanagement der gematik verwaltet.

2 Methodenüberblick

Die Methodik zur Datenschutzkonzeption gewährleistet durch methodische Vorgaben bei der Entwicklung eines Produktes oder einer Fachanwendung (der TI), dass die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO eingehalten werden.

2.1 Begriffsbestimmungen

Die folgende Abbildung gibt einen Überblick über Begriffe, die zum Verständnis des Dokumentes dienen.

Abbildung 1: Begriffe


Fachanwendung: Eine Fachanwendung stellt Nutzern Funktionalitäten zur Verfügung. Beispiele für Fachanwendungen der TI sind das E-Rezept, die elektronische Patientenakte, KIM, TI-Messenger oder das Versichertenstammdatenmanagement. In einer Fachanwendung werden Anwendungsprozesse zur Bereitstellung der Funktionalitäten ausgeführt. In den Anwendungsprozessen einer Fachanwendung werden Informationsobjekte verarbeitet. Eine Fachanwendung wird auf Basis von Komponenten und/oder Diensten bereitgestellt.  

Asset: Unter einem Asset kann ein Informationsobjekt, Anwendungsprozess, eine Komponente oder ein Dienst verstanden werden. Assets können bereits in der Entwicklungsphase einer Fachanwendung bekannt sein, aber auch erst bei der Umsetzung der Spezifikation der Komponenten und Dienste der Fachanwendung auftreten.

Anwendungsprozess: Ein Anwendungsprozess repräsentiert einen fachlichen Anwendungsfall der Fachanwendung mit Verarbeitungen von Informationsobjekten. Für die Methodik zur Datenschutzkonzeption sind alle Anwendungsprozesse einer Fachanwendung relevant, in denen personenbezogene Informationsobjekte verarbeitet werden. Beispiele für Anwendungsprozesse sind „Versicherter löst E-Rezept in der Apotheke ein“ oder „Arzt stellt Daten in eine elektronische Patientenakte ein“.

Informationsobjekt: Ein Informationsobjekt fasst einzelne Daten zu einer Entität mit einer fachlichen oder technischen Semantik zusammen. Beispielsweise ist ein E-Rezept ein Informationsobjekt, welches die Daten zum Versicherten, zum Medikament, ausstellenden Arzt etc. enthält. Ein weiteres Beispiel eines Informationsobjektes ist ein X.509-Zertifikat, welches Daten zum Zertifikatsinhaber, Aussteller, Gültigkeit etc. enthält. Ein Informationsobjekt kann auch aus einem einzelnem Datum bestehen, z.B. ein kryptographischer Schlüssel.

Enthält ein Informationsobjekt ein oder mehrere personenbezogenen Daten, so wird es als personenbezogenes Informationsobjekt bezeichnet. Personenbezogene Informationsobjekte sind z.B. E-Rezepte und X.509-Zertifikate für Versicherte. Beispiele für Informationsobjekte ohne Personenbezug sind kryptographische Schlüssel oder X.509-Zertifikate für technische Komponenten.

Für die Methodik zur Datenschutzkonzeption sind die personenbezogen Informationsobjekte relevant. Pseudonymisierte Informationsobjekte sind ebenfalls personenbezogene Informationsobjekte.

Komponenten und Dienste: Eine Fachanwendung wird Nutzern durch Komponenten und Dienste zur Verfügung gestellt. Komponenten sind bspw. die Apps für Versicherte zur Verwaltung ihrer E-Rezepte oder ihrer elektronischen Patientenakte. Dienste sind z.B. der Fachdienst für E-Rezepte oder die ePA-Aktensysteme. In den Komponenten und Diensten einer Fachanwendung werden die Anwendungsprozesse der Fachanwendung realisiert und die Informationsobjekte verarbeitet. Technische Maßnahmen in den Komponenten und Diensten sowie technische und organisatorische Maßnahmen während des Betriebs der Komponenten und Dienste gewährleisten die Ziele des Datenschutzes.

Produkttyp/Produkt/Produktinstanz: Ein Produkttyp ist eine von der gematik spezifizierte Komponente oder ein spezifizierter Dienst. Hersteller entwickeln ein Produkt auf Basis einer Spezifikation eines Produkttyps. Hersteller produzieren von ihrem entwickelten Produkt Produktinstanzen, die dann betrieben bzw. genutzt werden.     
Beispiel: Die gematik veröffentlicht eine Spezifikation für den Produkttyp ePA-Frontend des Versicherten (kurz ePA-App). Hersteller entwickeln auf Basis der Spezifikation ihre Apps (d.h. sie entwickeln Produkte für ePA-Apps) und stellen diese den Versicherten in App-Stores zur Verfügung. Eine vom Versicherten auf einem mobilen Endgerät installierte und ausgeführte ePA-App ist dann eine Produktinstanz einer ePA-App.

Hersteller: Hersteller entwickeln und produzieren die Komponenten und Dienste gemäß den Spezifikationen der gematik.

Anbieter/Betreiber: Anbieter bzw. Betreiber betreiben Komponenten und Dienste.

2.2 Gewährleistungsziele des Datenschutzes

Die Methodik zur Datenschutzkonzeption strukturiert die technischen und organisatorischen Maßnahmen zur Umsetzung der Grundsätze des Datenschutzes anhand der im Standard-Datenschutzmodell [SDM] beschriebenen Gewährleistungsziele Datenminimierung, Nichtverkettung, Transparenz, Intervenierbarkeit, Vertraulichkeit, Integrität und Verfügbarkeit. Im Standard-Datenschutzmodell [SDM] und den dazu veröffentlichten Maßnahmenkatalogen bzw. Bausteinen sind Maßnahmen zu finden, die zur Umsetzung der Gewährleistungsziele beitragen können.

Tabelle 1: Gewährleistungsziele des Datenschutzes

Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit c) DSGVO). Personenbezogene Daten, die nicht mehr zum Erreichen des Zwecks erforderlich sind, sind zu löschen.
Die Datenverarbeitung kann bzgl. des Umfangs der verarbeiteten personenbezogenen Informationen, des berechtigten Nutzerkreises und den Verarbeitungsmöglichkeiten der berechtigten Nutzer minimiert werden.
Um die Erforderlichkeit und Angemessenheit beurteilen zu können, sind zuvor die Zwecke festzulegen und die Rechtmäßigkeit dieser Zwecke zu begründen.
Nichtverkettung
Das Gewährleistungsziel Nichtverkettung bezeichnet die Anforderung, dass personenbezogene Daten nicht zusammengeführt, also verkettet, werden dürfen. Eine Zusammenführung darf nur dann erfolgen, wenn die in Art. 5 Abs. 1 lit. b DSGVO normierte Anforderung beachtet wird, dass Daten nur für den Zweck verarbeitet und ausgewertet werden, für den sie erhoben werden.
Das Gewährleistungsziel soll den Betroffenen davor schützen, dass sein gesamtes Verhalten, seine Bewegungen und Tätigkeiten unrechtmäßig erfasst und mit anderen, ursprünglich davon getrennten und zu unterschiedlichen Zwecken erhobenen Datenbeständen verknüpft werden, um umfassende Informationen über die Persönlichkeit, Interessen und Tätigkeiten des Betroffenen zu bekommen.
Neben Maßnahmen zur Datenminimierung (z.B. Löschen) wirken einer unberechtigten Verkettung insbesondere Maßnahmen der Datentrennung, zur Anonymisierung und zur Pseudonymisierung entgegen. Den Betroffenen soll nach Möglichkeit die anonyme oder pseudonyme Nutzung ermöglicht werden.
Transparenz
Die Transparenz der Erhebung personenbezogener Daten zeichnet sich dadurch aus, dass die Betroffenen angemessen über die beabsichtigte Erhebung (und weitere Verwendung) der Daten zu informieren sind und die datenverarbeitenden Prozesse für ihn nachvollziehbar sind.
Die Datenerhebung muss für die Betroffenen erkennbar sein und es muss für sie ersichtlich sein, welche ihrer personenbezogenen Daten für welchen Zweck erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt.
Intervenierbarkeit
Vom datenschutzrechtlich Verantwortlichen sind Maßnahmen umzusetzen, die den Betroffenen jederzeit die Ausübung der ihnen zustehenden Betroffenenrechte (u.a. auf Benachrichtigung, Auskunft, Berichtigung, Löschung und Widerspruch) wirksam ermöglichen. Die Möglichkeiten für den Betroffenen zur Wahrnehmung seiner Rechte müssen für alle Betroffenengruppen praktikabel sein.
Den Betroffenen sind in ausreichendem Umfang Möglichkeiten für die Kontrolle ihrer personenbezogenen Daten zur Verfügung zu stellen. Die Kontrolle kann vom Betroffenen auch durch Unterstützung der zuständigen Aufsichtsbehörden erfolgen.
Den Betroffenen soll die möglichst selbstständige Ausübung der ihnen zustehenden Rechte und die Kontrolle ihrer eigenen Daten ermöglicht werden (u.a. Daten selbstständig einsehen, ändern, berichtigen und löschen). Das Prinzip des Selbstdatenschutzes soll gefördert. Hierzu sollen den Betroffenen Methoden und Mittel zur Verfügung gestellt werden.
Verfahren und Geräte für Betroffene müssen anwenderfreundlich sein (z.B. sollten sie in ausreichendem Umfang Hilfefunktionen und einfache Schnittstellen für die Nutzung durch weniger erfahrene Anwender bereitstellen) und von allen Betroffenen einfach und effizient benutzt werden können.
Vertraulichkeit, Integrität und Verfügbarkeit
Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Informationsobjekte dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Informationsobjekten. Der Verlust der Integrität von Informationsobjekten bedeutet insbesondere, dass das Informationsobjekt selbst, Angaben zum Autor oder Zeitangaben zur Erstellung unerlaubt verändert wurden.
Die Verfügbarkeit von Anwendungsprozessen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Die Gewährleistungsziele der Verfügbarkeit, Integrität und Vertraulichkeit werden in der Methodik zur Sicherheitskonzeption [gemMeth_SiKonz] behandelt. Hierbei wird insbesondere auch die Perspektive des datenschutzrechtlich Betroffenen und möglicher Beeinträchtigungen des informationellen Selbstbestimmungsrechts berücksichtigt. Die Methodik der Datenschutzkonzeption ist daher immer im Zusammenspiel mit der dazugehörigen Sicherheitskonzeption zu sehen, um alle Gewährleistungsziele abzudecken.

2.3 Datenschutzkonzeption im agilen Entwicklungsprozess der gematik

Die Methodik zur Datenschutzkonzeption wird im Rahmen der agilen Entwicklungsprozesse (u.a. SAFe, Scrum, Kanban) der gematik angewendet (siehe Abbildung 2).

Abbildung 2: Die Methodik der Datenschutzkonzeption im Rahmen des Entwicklungsprozesses der gematik

Aus den fachlichen Business-Anforderungen und den daraus abgeleiteten Epics ergeben sich die Funktionalität, die beteiligten Akteure, die datenschutzrechtlichen Rahmenbedingungen, die Anwendungsprozesse und deren Zwecke sowie die verarbeiteten fachlichen personenbezogenen Informationsobjekte.

Während der agilen Entwicklung auf Produkt-Ebene werden aus den fachlichen Epics die technischen Produkttypen entwickelt und Spezifikationen erstellt. Es ergeben sich zusätzlich zu den fachlichen Informationsobjekten die technischen Informationsobjekte und die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes. Diese werden hinsichtlich der Datenschutzrisiken für die Rechte und Freiheiten der Betroffenen unter Anwendung der Methodik zur Datenschutzkonzeption bewertet.

Die Anwendung der Methodik der Datenschutzkonzeption wird im Folgenden kurz skizziert (siehe Abbildung 3).

Im ersten Schritt werden die datenschutzrechtlichen Rahmenbedingungen identifiziert und dokumentiert. Diese ergeben sich insbesondere aus allgemeinen (z.B. DSGVO, BDSG) sowie spezifischen Vorgaben (z.B. SGB V) zum Datenschutz, aber auch aus geschäftspolitischen Entscheidungen.

Danach werden auf Grundlage der Spezifikation die personenbezogenen Informationsobjekte und die Anwendungsprozesse identifiziert und dokumentiert. Hierbei werden auch die Zwecke der Verarbeitungsvorgänge beschrieben, die eine wesentliche Voraussetzung für die nachfolgende Datenschutzanalyse sind.

Die Datenschutzanalyse behandelt die Gewährleistungsziele Datenminimierung, Nichtverkettung, Transparenz und Intervenierbarkeit. Die Gewährleistungsziele Vertraulichkeit, Integrität und Verfügbarkeit sind Gegenstand der Sicherheitsanalyse [gemMeth_SiKonz].

Abbildung 3: Methodik der Datenschutzkonzeption


In der Datenschutzanalyse wird bewertet, ob die in den Anwendungsprozessen verarbeiteten personenbezogenen Informationsobjekte notwendig und verhältnismäßig hinsichtlich der festgelegten Zwecke sind. Zudem wird bewertet, ob die getroffenen technischen und organisatorischen Maßnahmen zur Umsetzung der Gewährleistungsziele des Datenschutzes ein Schutzniveau gewährleisten, welches den Risiken für die Rechte und Freiheiten natürlicher Personen angemessen entgegenwirken. Es werden sowohl die produktspezifischen Maßnahmen der Spezifikation, als auch produktübergreifende Festlegungen der TI zum Datenschutz und zur Sicherheit berücksichtigt.

Ergibt die Datenschutzanalyse, dass die getroffenen Maßnahmen nicht verhältnismäßig hinsichtlich der festgelegten Zwecke sind, werden entweder zusätzliche produktspezifische Anforderungen in die Spezifikation aufgenommen oder das Risiko wird akzeptiert und im Risikomanagement der gematik dokumentiert. Es ist ebenfalls möglich, dass ein Angriffsszenario außerhalb der Systemgrenzen der TI und damit außerhalb der Regelungshoheit der gematik liegt. In diesen Fällen wird das Angriffsszenario als Grenze der Sicherheitsleistung dokumentiert.

2.4 Beziehung zur Datenschutz-Folgenabschätzung

Abbildung 4 zeigt die Beziehung zwischen der Methodik zur Datenschutzkonzeption (bzw. der daraus resultierenden Datenschutzdokumentation) und einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Eine DSFA ist unter den in Art. 35 DSGVO genannten Voraussetzungen durch den datenschutzrechtlich Verantwortlichen durchzuführen.

Die Methodik zur Datenschutzkonzeption betrachtet die Umsetzung der Anforderungen des Datenschutzes auf Basis der Spezifikationen. Eine DSFA wird hingegen bzgl. eines konkreten Produktes durchgeführt, welches von einem Hersteller auf Basis der Spezifikationen implementiert wird.

Abbildung 4: Beziehung zwischen Methodik zur Datenschutzkonzeption und DSFA


Das Ergebnis der Methodik zur Datenschutzkonzeption ist keine DSFA, enthält jedoch ebenfalls die im Artikel 35 Absatz 7 DSGVO geforderten Inhalte einer DSFA, soweit sie auf Ebene der Spezifikation bekannt sind. Die folgende Tabelle zeigt, welche im Art. 35 Abs. 7 DSGVO geforderten Inhalte in welchen Abschnitten der Methodik der Datenschutzkonzeption behandelt werden.

Tabelle 2: Zuordnung der Inhalte aus Art. 35 Abs. 7 DSGVO zu den Abschnitten der Methodik der Datenschutzkonzeption 

Artikel 35 Absatz 7 DSGVO
Methodik zur Datenschutzkonzeption
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen
Abschnitt 3.1 Systemüberblick
Abschnitt 3.4 Identifikation der personenbezogenen Informationsobjekte
Abschnitt 3.5 Identifikation der Anwendungsprozesse mit personenbezogenen Informationsobjekten
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
Abschnitt 3.6.1.1 Notwendigkeit und Verhältnismäßigkeit
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1
Abschnitt 3.7 Datenschutz-Risiken
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Abschnitt 3.6 Umsetzung der Gewährleistungsziele

Die Spezifikationen für Produkte lassen Freiheiten bei der Implementierung des Produktes, so dass Hersteller die Spezifikationen unterschiedlich umsetzen können. Der datenschutzrechtlich Verantwortliche für ein implementiertes Produkt erstellt die DSFA daher spezifisch für dieses implementierte Produkt.

Durch die Anwendung der Methodik zur Datenschutzkonzeption ist sichergestellt, dass die Anforderungen des Datenschutzes auf Ebene der Spezifikation gewährleistet sind und so Risiken (bzw. auf Spezifikationsebene unbekannte Risiken) für die Rechte und Freiheiten der Betroffenen lediglich durch die spezifische Implementierung des Herstellers auftreten können.

3 Methodenbeschreibung

Die Methodik ist für einen Produkttyp, in dem personenbezogene Daten verarbeitet werden, anzuwenden. Sollen die Maßnahmen des Datenschutzes in einer Fachanwendung der TI betrachtet werden, die aus mehreren Produkttypen besteht, sind die Methoden auf alle Produkttypen der Fachanwendung anzuwenden, in denen personenbezogene Daten verarbeitet werden.

Die folgenden Abschnitte sind bei der Anwendung der Methodik zur Datenschutzkonzeption durchzuführen.

3.1 Systemüberblick

Im Systemüberblick soll eine systematische Beschreibung des Produkttyps bzw. der Produkttypen erfolgen. Hierbei sind insbesondere folgende Inhalte zu berücksichtigen:

  • der bzw. die Zwecke der Verarbeitungen im Produkttyp bzw. den Produkttypen,
  • die wesentlichen Anwendungsprozesse,
  • die wesentlichen personenbezogenen Informationsobjekte,
  • die wesentlichen beteiligten Akteure,
  • einen Architekturüberblick mit den wesentlichen Komponenten und Diensten,
  • die Systemgrenzen mit den wesentlichen angrenzenden Systemen, die nicht in der Reglungshoheit der gematik liegen,
  • die wesentlichen Maßnahmen zum Datenschutz.

3.2 Identifikation der Rahmenbedingungen des Datenschutzes

Für einen Produkttyp sind die zu berücksichtigenden Rahmenbedingungen des Datenschutzes zu identifizieren und zu dokumentieren.

Zu den gesetzlichen Vorgaben gehört stets die Datenschutzgrundverordnung (DSGVO) in Verbindung mit dem Bundesdatenschutzgesetz. Es sind jedoch auch die anwendbaren spezialgesetzlichen Regelungen zum Datenschutz zu identifizieren und zu dokumentieren. Im Kontext der Telematikinfrastruktur sind insbesondere die Vorgaben des SGB V zu berücksichtigen.

Ebenso können geschäftspolitische Vorgaben die Maßnahmen des Datenschutzes beeinflussen. Geschäftspolitische Vorgaben können sich in der TI beispielsweise aus Beschlüssen der Gesellschafter der gematik ergeben.

3.3 Dokumentation der datenschutzrechtlich Verantwortlichen

Es sind die Verantwortlichen gemäß Art. 4 Abs. 1 lit. 7 DSGVO zu dokumentieren.

Falls dabei die gematik als ein Verantwortlicher identifiziert wird, ist

  • der betriebliche Datenschutzbeauftragte der gematik darüber zu informieren,
  • zu prüfen, ob die in Art. 35 DSGVO genannten Voraussetzungen für die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) erfüllt sind (dies ist insbesondere bei einer umfangreichen Verarbeitung von Gesundheitsdaten der Fall),
  • eine DSFA durchzuführen, sofern diese nach Art. 35 DSGVO gefordert ist. Bei der Durchführung der DSFA ist der Rat des betrieblichen Datenschutzbeauftragten der gematik einzuholen (dies betrifft insbesondere die Form der zu erstellenden DSFA).

3.4 Identifikation der personenbezogenen Informationsobjekte

Es sind alle im Produkttyp verarbeiteten personenbezogenen Informationsobjekte i.S.d. Art. 4 S.1 Nr. 1 DSGVO aufzulisten und die in den personenbezogenen Informationsobjekten verarbeiteten personenbezogenen Informationen kurz zu beschreiben.

Hinweis: Die personenbezogenen Informationsobjekte sind eine Teilmenge aller Informationsobjekte, die im Rahmen der Methodik zur Sicherheitskonzeption [gemMeth_SiKonz] betrachtet werden.

Die Dokumentation muss auch pseudonymisierte personenbezogene Informationsobjekte gemäß Art 4 S. 1 Nr. 5 DSGVO umfassen. Hierzu gehören insbesondere auch verschlüsselte personenbezogene Daten.

Informationsobjekte ohne Personenbezug, u.a. anonymisierte Daten im Sinne des Erwägungsgrundes 26 der DSGVO, sind nicht zu betrachten.

Optional kann für die einzelnen personenbezogenen Informationsobjekte angegeben werden, in welchen Komponenten/Diensten sie verarbeitet werden.

3.5 Identifikation der Anwendungsprozesse mit personenbezogenen Informationsobjekten

Es sind alle Anwendungsprozesse aufzulisten und kurz zu beschreiben, in denen personenbezogene Informationsobjekte aus Abschnitt 3.4 verarbeitet werden.

Für jeden Anwendungsprozess

  • ist der Zweck des Anwendungsprozesses zu dokumentieren,
  • ist die Rechtsgrundlage der Verarbeitung gemäß Art. 6 DSGVO anzugeben,
  • sind alle im Anwendungsprozess verarbeiteten personenbezogenen Daten anzugeben,
  • sind die am Anwendungsprozess beteiligten fachlichen Akteure zu dokumentieren.

3.5.1 Schutzbedarf der Anwendungsprozesse

Für die Anwendungsprozesse ist der Schutzbedarf bzgl. der Gewährleistungsziele der Datenminimierung, Nichtverkettung, Transparenz und Intervenierbarkeit festzulegen.

Grundsätzlich kann hierbei von einem Schutzbedarf von „hoch“ ausgegangen werden, da eine Beeinträchtigung dieser Gewährleistungsziele dazu führt, dass die Grundsätze nach Art. 5 DSGVO nicht ausreichend umgesetzt sind.

Im Einzelfall kann ein von „hoch“ abweichender Schutzbedarf festgelegt werden. Dies wäre z.B. beim Gewährleistungsziel der Nichtverkettung der Fall sein, wenn unautorisierte Profile über natürliche Personen erstellt werden, die auf den Gesundheitszustand oder spezielle Krankheiten von Versicherten rückschließen lassen.

3.6 Umsetzung der Gewährleistungsziele des Datenschutzes

Es sind die organisatorischen und technischen Datenschutzmaßnahmen zu dokumentieren, die zur Abwehr von Risiken für die Rechte und Freiheiten der Betroffenen getroffen wurden. Die Maßnahmen sind nach den Gewährleistungszielen des Datenschutzes (vgl. Kapitel 2) zu strukturieren. Es ist zu bewerten, ob die Maßnahmen ausreichend zur Umsetzung der Gewährleistungsziele sind oder ob Risiken für die Rechte des Betroffenen bleiben.

3.6.1 Datenminimierung

Im Folgenden sind die Mindestinhalte beschrieben, die für das Gewährleistungsziel der Datenminimierung zu dokumentieren und zu bewerten sind.

3.6.1.1 Notwendigkeit und Verhältnismäßigkeit

Es ist zu prüfen, ob die Anwendungsprozesse notwendig und verhältnismäßig für die Erfüllung des Zwecks der Verarbeitungen im Produkttyp sind.

  1. Für jeden Anwendungsprozess ist zu bewerten und dokumentieren, ob und warum dieser notwendig und verhältnismäßig für die Erfüllung des Zwecks ist.
  2. (optional) Für die verarbeiteten personenbezogenen Informationsobjekte ist zu bewerten und dokumentieren, ob die personenbezogenen Daten im Informationsobjekt notwendig und verhältnismäßig (d.h. minimal) für die Erfüllung des Zwecks sind.
  3. (optional) Es ist der Nutzerkreis anzugeben, der das personenbezogene Informationsobjekt verarbeitet und zu bewerten, ob die Verarbeitungsmöglichkeiten des Nutzerkreises für den Zweck erforderlich sind.  
3.6.1.2 Löschen

Es sind die Löschmaßnahmen und –fristen für die verarbeiteten personenbezogenen Informationsobjekte aus Abschnitt 3.4 zu dokumentieren.

Falls personenbezogene Informationsobjekte in unterschiedlichen Speicherorten gespeichert werden (z.B. im Client, im Dienst), sind die Löschmaßnahmen und –fristen explizit für die jeweiligen Speicherorte zu beschreiben.

3.6.1.3 Datenschutzfreundliche Voreinstellungen (data protection by default)

Es sind die datenschutzrelevanten Voreinstellungen im Produkttyp zu identifizieren und zu bewerten, ob diese datenschutzfreundlich erfolgten.

3.6.2 Nichtverkettung

Im Folgenden sind die Mindestinhalte beschrieben, die für das Gewährleistungsziel der Nichtverkettung zu dokumentieren und zu bewerten sind.

Die Maßnahmen zur Umsetzung des Gewährleistungszieles der Datenminimierung (Abschnitt 3.6.1) können bei Bedarf referenziert werden, wenn sie auch zur Umsetzung des Gewährleistungsziels der Nichtverkettung beitragen. Ein Beispiel ist das Löschen von personenbezogenen Informationsobjekten, nachdem sie für den erhobenen Zweck nicht mehr erforderlich sind.

3.6.2.1 Anonymisierung und Pseudonymisierung

Es sind die umgesetzten Anonym- und/oder Pseudonymisierungsmaßnahmen zu dokumentieren.

Werden keine Maßnahmen zur Anonym- und/oder Pseudonymisierung umgesetzt, ist dies zu begründen.

3.6.2.2 Maßnahmen gegen unerlaubte Profilbildung

Es sind die organisatorischen und technischen Maßnahmen zu beschreiben, die eine zweckfremde Verkettung personenbezogener Daten verhindern sollen.

Hierbei sind die in Abschnitt 3.5 festgelegten Zwecke der Anwendungsprozesse zu berücksichtigen.

3.6.2.3 Datentrennung

Es sind die organisatorischen und technischen Maßnahmen zu dokumentieren, mit denen die Verarbeitungen von personenbezogenen Informationsobjekten voneinander getrennt werden. Hierbei ist insbesondere die Trennung von Verarbeitungen zu betrachten, die zu unterschiedlichen Zwecken erhobene personenbezogene Informationsobjekten verarbeiten.

Die festgelegten Maßnahmen sollten gewährleisten, dass die in den Anwendungsprozessen verarbeiteten personenbezogenen Informationsobjekte nicht in Anwendungsprozessen mit anderer Zweckbindung verarbeitet werden können.

3.6.3 Transparenz

Der in Art. 5 Abs. 1 lit. a DSGVO genannte Grundsatz Transparenz bezeichnet die Anforderung, dass Betroffene erkennen und nachvollziehen können müssen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten verarbeitet werden bzw. künftig noch verarbeitet werden (vgl. Erwägungsgrund 39).

Zu Behandlung des Gewährleistungsziels der Transparenz müssen insbesondere die Maßnahmen und Verfahren zur Gewährleistung der Betroffenenrechte Art. 12 – 23 DSGVO geprüft und dokumentiert werden.

3.6.3.1 Informationen, Mitteilungen und Benachrichtigungen

Es ist zu prüfen, welche Informations-, Mitteilungs- und Benachrichtigungspflichten für den Betrachtungsgegenstand gegenüber den Betroffenen bestehen. Hierbei sind insbesondere

  • Art. 13 DSGVO i.V.m § 32 BDSG,
  • Art. 14 DSGVO i.V.m. § 33 BDSG,
  • Art. 19 DSGVO,
  • Art. 33 DSGVO,
  • Art. 34 DSGVO.

zu betrachten.

Für die anwendbaren Pflichten sind die Maßnahmen zu dokumentieren, mit denen die Pflichten umgesetzt werden.

Es ist zu prüfen, ob

  • Betroffene über die datenschutzrechtliche Aufsichtsbehörde informiert werden, an die sie sich bei Datenschutzbeschwerden wenden können,
  • sich Betroffene über die wesentlichen Datenschutz- und Sicherheitsmaßnahmen informieren können,
  • Betroffene über ggf. unterschiedliche Sicherheitsniveaus von Optionen informiert werden, aus denen sie auswählen können,
  • sichergestellt wird, dass alle Informationen und Mitteilungen für die Betroffenen leicht zugänglich, verständlich und in klarer und einfacher Sprache zur Verfügung gestellt werden.
3.6.3.2 Auskunft

Es sind die Maßnahmen zur Auskunft gemäß Art. 15 DSGVO i.V.m. § 34 BDSG zu dokumentieren. Hierbei ist insbesondere zu prüfen, ob die Betroffenen

  • alle in Art. 15 Abs. 1 DSGVO genannten Informationen erhalten können,
  • angemessenen über ihre Auskunftsmöglichkeiten informiert werden und
  • sie ihr Auskunftsrecht jederzeit problemlos wahrnehmen können.

Gemäß Erwägungsgrund 63 sollten den Betroffenen nach Möglichkeit ein Fernzugang bereitgestellt werden, der den Betroffenen direkten Zugang zu ihren personenbezogenen Daten ermöglicht.  Es ist zu prüfen, ob ein solcher Zugang für Betroffene angeboten wird.

3.6.3.3 Protokollierung

Es sind die Protokollierungsmaßnahmen zu dokumentieren und anzugeben,

  • wo Protokolle erzeugt und gespeichert werden,
  • für wen die Protokolle zu welchem Zweck erstellt werden,
  • was protokolliert wird,
  • wie die Protokolldaten vor unberechtigten Zugriff geschützt werden und
  • wann Protokolleinträge gelöscht werden.

Es ist zu prüfen, ob der Betroffene durch die Protokollierungsmaßnahmen die Verarbeitung seiner personenbezogenen Daten lückenlos nachvollziehen kann.

3.6.3.4 Dokumentationspflichten

Es sind die durch die gematik erstellten Dokumentationspflichten an den Verantwortlichen zu dokumentieren, mit denen Transparenz geschaffen wird und die die Nachvollziehbarkeit der Verarbeitungen personenbezogenen Daten unterstützen.

3.6.3.5 Unabhängiger Nachweis des Datenschutzes

Es ist zu dokumentieren, ob und ggf. durch welche Vorgaben der gematik die Umsetzung des Datenschutzes durch unabhängige Dritte geprüft und nachgewiesen wird.

Beispiele für unabhängige Prüfungen sind Produkt- oder Sicherheitsgutachten oder Zertifizierungen nach Technischen Richtlinien des BSI.

3.6.4 Intervenierbarkeit

Es ist zu prüfen, ob Betroffene die ihnen zustehenden Datenschutzrechte jederzeit wirksam wahrnehmen können.

3.6.4.1 Widerspruch bzw. Widerruf

Beruht die Verarbeitung auf einer Einwilligung, sind die Maßnahmen zum Widerruf der Einwilligung zu beschreiben. Es ist dabei zu prüfen, ob der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung möglich ist.

Falls die Verarbeitung aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DSGVO erfolgt, sind die Maßnahmen für Betroffene zum Widerspruch gem. Art. 21 DSGVO i.V.m. § 36 BDSG zu beschreiben.  

3.6.4.2 Berichtigung

Es sind die Maßnahmen zu beschreiben, mit denen Betroffene ihr Recht auf Berichtigung der sie betreffenden personenbezogenen Daten gemäß Art. 16 DSGVO wahrnehmen können.

3.6.4.3 Löschen und Einschränkung der Verarbeitung

Es sind die Maßnahmen zu beschreiben, mit denen Betroffene ihr Recht auf Löschung der sie betreffenden personenbezogenen Daten gemäß Art. 17 DSGVO i.V.m. § 35 BDSG wahrnehmen können. Es ist zu begründen und die rechtliche Grundlage anzugeben, falls eine Löschung nicht möglich ist und ob an die Stelle der Löschung eine Einschränkung der Verarbeitung nach Art. 18 DSGVO tritt.

Es sind die Maßnahmen zu beschreiben, mit denen Betroffene ihr Recht auf Löschung der sie betreffenden personenbezogenen Daten gemäß Art. 18 DSGVO i.V.m. § 35 BDSG wahrnehmen können.

3.6.4.4 Datenübertragbarkeit

Es sind die Maßnahmen zu beschreiben, mit denen Betroffene ihr Recht auf Datenübertragbarkeit der sie betreffenden personenbezogenen Daten gemäß Art. 20 DSGVO wahrnehmen können.

Es ist darzustellen, ob Daten direkt von einem Verantwortlichen zu einem anderen Verantwortlichen übermittelt werden können.

3.6.4.5 Möglichkeiten des Selbstdatenschutzes

Es ist zu prüfen und dokumentieren, ob Betroffene ihre Datenschutzrechte oder Teile davon auch selbstständig wahrnehmen können, z.B. über Apps, Desktop-Anwendungen oder Web-Portale.

3.6.4.6 Praktikabilität für alle Betroffenengruppen

Es ist zu prüfen, ob die Prozesse zur Wahrnehmung der Betroffenenrechte und zur Intervenierbarkeit für alle Betroffenen praktikabel sind und es nicht zu einer Benachteiligung bestimmter Personengruppen kommt.

3.7 Datenschutz-Risiken

In einer Risikoanalyse ist zu bewerten, ob trotz der getroffenen organisatorischen und technischen Maßnahmen zur Umsetzung der Gewährleistungsziele des Datenschutzes gemäß Abschnitt 3.6 Risiken für die Rechte und Freiheiten der Betroffenen verbleiben.

In der Methodik zur Datenschutzkonzeption erfolgt eine Risikoanalyse bzgl. der Gewährleistungsziele der Datenminimierung, Nichtverkettung, Transparenz und Intervenierbarkeit. Die Risikoanalyse bzgl. der Gewährleistungsziele Vertraulichkeit, Integrität und Verfügbarkeit erfolgt in der Methodik zur Sicherheitskonzeption [gemMeth_SiKonz]. Diese betrachtet auch die Risiken für die Rechte und Freiheiten natürlicher Personen gemäß DSGVO.

3.7.1.1 Identifikation der Angriffsszenarien

Es sind Angriffsszenarien bzgl. der Gewährleistungsziele Datenminimierung, Nichtverkettung, Transparenz und Intervenierbarkeit zu identifizieren.

Ein Angriffsszenario beschreibt ein Ereignis, durch das die Rechte und Freiheiten von Betroffenen gemäß DSGVO verletzt würden und daher zu verhindern ist. Angriffsszenarien resultieren aus einer Bedrohung unter Ausnutzung einer Schwachstelle durch einen Angreifer.

Die Übersichten in [gemMeth_SiKonz] zu Ursachen und Aktionen für Bedrohungen, generischen Schwachstellentypen und generischen Angreiferprofilen können bei der Identifikation der Angriffsszenarien herangezogen werden.  

3.7.1.2 Risikoanalyse

Für jedes Angriffsszenario ist zu analysieren und zu bewerten, ob die getroffenen Maßnahmen das Angriffsszenario abwehren oder ob ein Risiko für die Rechte und Freiheiten der Betroffenen verbleibt.

Verbleibt ein Risiko, ist dieses in seiner Höhe zu bewerten. Die Risikobewertung erfolgt dabei durch Schätzung der Schadensschwere und der Eintrittswahrscheinlichkeit gemäß der Risikomatrix in [RL_RMS]. Bei der Schadensschwere wird die Schwere der Einschränkung für die Rechte und Freiheiten der betroffenen Personen bewertet.

Im Standard-Datenschutzmodell wird darauf hingewiesen, dass die DSGVO nur die Begriffe „Risiko“ und „hohes Risiko“ kennt, wobei „Risiko“ im Standard-Datenschutzmodell als „normales Risiko“ bezeichnet wird. Ferner wird im Standard-Datenschutzmodell die Aussage getroffen, dass es eine vollständig risikolose Verarbeitung nicht geben kann und daher die in der DSGVO verwendete Formulierung „voraussichtlich nicht zu einem Risiko“ (Art. 27 Abs. 2 lit. a und Art. 33 Abs. 1 DSGVO) im SDM als „nur zu einem geringen Risiko“ verstanden wird.

Im SDM werden Risiken vor Maßnahmen bewertet. Daher kann eine Verarbeitung von personenbezogenen Daten aus Sicht des SDM auch nicht risikolos sein. Die Bewertung der Risiken in der Risikomethodik der gematik inkludiert die bereits (im Design) ergriffenen Maßnahmen, so dass es zu der Einschätzung kommen kann, dass ein Risiko nicht eintreten kann und somit kein weiterer Handlungsbedarf gegeben ist (Risiko-Level „Blau“).

Die folgende Tabelle zeigt die Abbildung der Risiko-Level des gematik-Risikomanagements zu den Abstufungen der DSGVO und des SDM:

Tabelle 3: Risiko-Level des gematik-Risikomanagements zu den Abstufungen der DSGVO und des SDM

gematik
DSGVO
SDM
Blau (kein Risiko)
nicht vorgesehen
nicht vorgesehen
Grün (niedriges Risiko)
voraussichtlich kein Risiko
geringes Risiko
Gelb (mittleres Risiko)
(normales) Risiko
normales Risiko
Orange (hohes Risiko)
hohes Risiko
hohes Risiko
Rot (kritisches Risiko)
hohes Risiko
hohes Risiko

4 Anhang A – Verzeichnisse

4.1 A1 – Abkürzungen

Kürzel
Erläuterung
BDSG
Bundesdatenschutzgesetz
BSI
Bundesamt für Sicherheit in der Informationstechnik
DSFA
Datenschutz-Folgenabschätzung
DSGVO
Datenschutzgrundverordnung
SGB
Sozialgesetzbuch
TI
Telematikinfrastruktur

4.2 A2 – Glossar

Das Projektglossar wird als eigenständiges Dokument zur Verfügung gestellt.

4.3 A3 – Abbildungsverzeichnis

4.4 A4 – Tabellenverzeichnis

4.5 A5 – Referenzierte Dokumente

Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur. Der mit der vorliegenden Version korrelierende Entwicklungsstand dieser Konzepte und Spezifikationen wird pro Release in einer Dokumentenlandkarte definiert, Version und Stand der referenzierten Dokumente sind daher in der nachfolgenden Tabelle nicht aufgeführt. Deren zu diesem Dokument jeweils gültige Versionsnummer entnehmen Sie bitte der aktuellen, auf der Internetseite der gematik veröffentlichten Dokumentenlandkarte, in der die vorliegende Version aufgeführt wird.

[Quelle]
Herausgeber (Erscheinungsdatum): Titel
[gemMeth_SiKonz]
gematik (2025): Methodik der Sicherheitskonzeption in der Telematikinfrastruktur

Folgende Dokumente sind gematik intern und werden nicht veröffentlicht:

[Quelle]
Herausgeber (Erscheinungsdatum): Titel
[RL_RMS]
gematik (2023): Richtlinie Risikomanagement

Weitere Referenzierungen:

[Quelle]
Herausgeber (Erscheinungsdatum): Titel
[SDM]
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (2025): Das Standard-Datenschutzmodell - Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele