Zusammenfassung

  • Schutzbedarf der Rechnungsdaten 
    • Vertraulichkeit: sehr hoch, da personenbezogene medizinische Daten
    • Integrität: hoch, Daten dienen nicht als Grundlage für die Behandlung
    • Authentizität: keine besonderen Anforderungen (wie im Papierprozess)
  • Maßnahmen
    • Sicherheitsgutachten und Prozessprüfungen der Anbieter/Betreiber
    • Produktgutachten für den Nachweis von Datenschutzkonformität und Sicherheit der Produkte
    • Verarbeitung der Daten in einer vertrauenswürdigen Ausführungsumgebung (VAU) u.a. zum Betreiberausschluss
  • Integrität und Authentizität (Signaturen)

    • Rechnungen werden beim Einstellen durch die Primärsysteme der Leistungserbringer bzw. Abrechnungsdienstleister mittels der SM(C)-B signiert (ID.HCI.OSIG).

      • Die Signaturerstellung erfolgt automatisch (insbes. ohne PIN-Eingabe) und kann durch jeden Mitarbeitenden einer Praxis erfolgen, der für die Nutzung des Konnektors autorisiert ist.

      • Die Signatur kann durch die Primärsysteme der Kostenträger geprüft werden.

      • Integritätsverletzungen an Rechnungen können somit erkannt werden.

      • Die Identität der rechnungserstellenden Leistungserbringerinstitution kann festgestellt werden.

    • Leistungsabrechnungen werden nicht signiert.

      • Es entsteht kein Implementierungsaufwand für die Erstellung von Signaturen in den Primärsystemen der Kostenträger.

      • Versicherte können den Betrag auf der Leistungsabrechnung mit dem Betrag der Überweisung abgleichen, um ggf. Abweichungen festzustellen.

  • Zugriffe 
    • von außen: nur berechtigte Nutzer des E-Rechnung FD
    • innerhalb des Betriebs: nur berechtigte Administratoren und nur auf administrative Funktionen; kein Zugriff auf personenbezogene medizinische Daten
    • Authentisierung: über (sektoralen) IdP der TI
    • Autorisierung über Autorisierungsdienst des Fachdiensts
    • Löschung eines Nutzerkontos durch den Nutzer wird ermöglicht
    • Nur Zugriff über FdVs mit definierten (Sicherheits-)Eigenschaften (siehe Zero Trust)
  • Anomalieerkennung
    • Betreiber: Maßnahmen zur Erkennung von Anomalien und Reaktionen darauf auf Netzwerkebene (Schutz vor DDoS-Attacken)
    • Missbrauchsszenarien auf der Anwendungsebene, die von berechtigten Nutzern der Anwendung ausgehen werden nicht abgewehrt. Dies erfolgt - nach wie vor - in den Systemen der Kostenträger.
  • Datenschutzaspekte
    • Verbot der Profilbildung, Gewährleistung der Nichtverkettbarkeit
    • Datenminimierung: nur die für die jeweilige Verarbeitung notwendigen Daten dürfen verarbeitet werden
    • Transparenz für den Versicherten über Verarbeitung seiner personenbezogenen medizinischen Daten: über Protokollierung und Ansichtsmöglichkeit des Protokolls im Frontend
    • Datenschutzerklärung im Frontend
    • Freiwilligkeit der Anwendung: Einwilligung in die Nutzung kann gegeben sowie widerrufen werden

Details

In der Anwendung E-Rechnung (eRg) werden personenbezogene medizinische Daten verarbeitet, die gemäß ihrem Schutzbedarf durch eine Ende-zu-Ende-Sicherheit durchgängig von der Kollektion bis zur Nutzung geschützt werden müssen.

Schutzbedarf

Maßgeblich für den Schutzbedarf der Anwendung ist das Informationsobjekt „Rechnung“, das u. a. Angaben zum behandelnden Leistungserbringer, zur behandelten Person und den abgerechneten Leistungen sowie den Rechnungs-Token enthält. Diese Informationen sind als personenbezogene medizinische Daten klassifiziert und besitzen damit einen sehr hohen Schutzbedarf in Hinsicht auf die Vertraulichkeit. Der Schutzbedarf für die Integrität der Daten wird mit hoch bewertet, da diese personenbezogenen medizinischen Daten nicht als Grundlage für eine Behandlung dienen, bei einer Verfälschung also keine Gefahr für Leib und Leben besteht. An die Authentizität des Informationsobjekts E-Rechnung werden – wie im papiergebunden Verfahren – keine besonderen Anforderungen gestellt.

Maßnahmen

Der Schutzbedarf der verarbeiteten Daten und die vollständige Integration der Anwendung in die TI haben zur Folge, dass für den Hersteller des Frontend des Versicherten (FdV) und des Fachdienstes E-Rechnung (eRg FD), die Produkte selbst und den Anbieter/Betreiber des Fachdienstes grundsätzlich alle übergreifenden Datenschutz- und Sicherheitsanforderungen der TI gelten. Insbesondere betrifft dies die Anforderungen an den sicheren Softwareentwicklungsprozess und die Integration des Betriebs des eRg FD in das Security Monitoring und andere für die Telematikinfrastruktur (TI) sicherheitsrelevante Prozesse der gematik. Die Erfüllung dieser Anforderungen wird über Sicherheitsgutachten und Prozessprüfungen nachgewiesen. Der Nachweis der Datenschutzkonformität und Sicherheit der Produkte wird über Produktgutachten erbracht.

In der Umsetzung werden alle personenbezogenen medizinischen Daten transportverschlüsselt übertragen (data in motion), verschlüsselt gespeichert (data at rest) und derart geschützt verarbeitet (data in use), dass der Betreiber des E-Rechnung-Fachdienstes keinen Zugriff darauf erhalten kann (Verarbeitung in einer vertrauenswürdigen Ausführungsumgebung, VAU).

Die Integrität (und Authentizität) der E-Rechnung wird durch eine Signatur mit der SMC-B der einstellenden Leistungserbringerorganisation sichergestellt. E-Rechnungen, die von Versicherten eingestellt werden, sind nicht elektronisch signiert. Beim Abruf von E-Rechnungen von Kostenträgern (KTR), werden Informationen mitgeliefert, die kenntlich machen, ob die E-Rechnung von einer Leistungserbringerinstitution (LEI) oder von einem Versicherten eingestellt wurde.

Vom Hersteller und Betreiber des eRg FD wird verlangt, dass alle technischen Kommunikationsstrecken zwischen dem eRg FD und den E-Rechnung-Clients sowie die Kommunikation zwischen den Komponenten des eRg FD verschlüsselt sind.

Von außen dürfen nur berechtigte Nutzer auf den eRg FD zugreifen und innerhalb des Betreibers dürfen nur berechtigte Administratoren Zugriff auf rein administrative Funktionen erhalten. Dabei ist auszuschließen, dass das Personal des Betreibers Zugriff auf die im eRg FD verarbeiteten personenbezogenen medizinischen Daten erhält.

Die Authentisierung der Nutzer erfolgt über die (sektoralen) Identity Provider (IdP) der TI. Die Use Cases der eRg dürfen nur von dafür berechtigten Personen bzw. Rolleninhabern ausgeführt werden. Die Umsetzung der Zugriffssteuerung erfolgt durch den Autorisierungsdienst des Fachdienst eRg. Neben der expliziten Berechtigung zum Zugriff auf eine E-Rechnung im eRg FD für einen KTR, autorisiert ein Versicherter einen KTR zum Zugriff auf eine E-Rechnung im eRg FD durch das Übersenden einer gedruckten Rechnung, auf die der Rechnung-Token aufgedruckt ist. Mittels dieses Token kann ein KTR auf eine E-Rechnung im eRg FD zugreifen, indem über diesen Weg der Einreichungsvorgang für diese E-Rechnung gestartet wird.

Nutzer können ihr Konto jederzeit selbst löschen. Konten für Versicherte werden nach einer angemessenen Zeit der Inaktivität automatisch im eRg FD gelöscht. Dies ist erforderlich, da sich im Prinzip auch Versicherte ein Konto anlegen können, die nicht (mehr) privat versichert sind oder Versicherte sich ein Konto anlegen, ohne die Absicht, die Funktionen der Anwendung zu nutzen. Falls ein Nutzer kein Zugriff mehr auf sein Konto hat, kann er sein Konto löschen lassen. Durch das Löschen eines Kontos werden auch alle damit verknüpften Dokumente sowie das Zugriffsprotokoll unwiederbringlich im eRg FD gelöscht. Erfolgt der Aktivierung des Löschbefehls mittels des eRg-FdV, muss dieses durch eine geeignete Nutzerinteraktion sicherstellen, dass ein versehentliches Löschen durch den Nutzer praktisch nicht auftreten kann.

Die Entwicklung der Software der Komponenten und des Dienstes der eRg muss mittels eines sicheren Softwareentwicklungsprozesses stattfinden. Den Nachweis hierüber erbringt der Hersteller einer Komponente bzw. Dienstes über ein Sicherheitsgutachten, das eine Voraussetzung für die Zulassung dieser Komponente bzw. dieses Dienstes ist.

Die Autorisierung einer neuen Version der Software für den eRg FD muss im Mehr-Augen-Prinzip und unter Beteiligung der gematik erfolgen. Das hierfür zu etablierende Verfahren muss die Beteiligung der gematik technisch erzwingen, wobei die Aktivitäten der gematik dafür aus der Ferne (remote via VPN) und asynchron (zeitlich versetzt) zu den Aktivitäten des Betreibers ablaufen können sollten. Das Verfahren und die zugrundeliegenden Informationen müssen für die gematik aussagekräftig sein. Details dazu werden in den Spezifikationen geregelt.

Insbesondere zur Sicherstellung der Verfügbarkeit des eRg FD muss der Betreiber Maßnahmen zur Erkennung von Anomalien und Reaktionen darauf auf Netzwerkebene implementieren (Schutz vor DDoS-Attacken).

Sobald die Komponenten der Zero Trust Architektur der TI 2.0 zur Verfügung stehen, müssen diese im Produkt und dessen Betrieb eingesetzt werden. Im ersten Schritt dahin stellt der eRg FD sicher, dass nur FdV mit definierten (Sicherheits-) Eigenschaften zugreifen können. Die Festlegung dieser Eigenschaften erfolgt in den Spezifikationen der eRg.

Prüfnutzeridentitäten

Die gematik hat den Bedarf, die sichere Inbetriebnahme neuer Anwendungen und Dienste in der Produktivumgebung zu begleiten und gemeldete Störungen aus der Produktivumgebung zu analysieren, ohne den Datenschutz in der TI zu gefährden (vgl. § 331 Absatz 5 SGB V). Dazu werden Prüfnutzeridentitäten in einer speziellen Verifikationsumgebung (VU), die Bestandteil der Produktivumgebung ist, für die Ausführung von Use Cases verwendet. In der eRg müssen diese Prüfnutzeridentitäten als solche erkennbar sein. Es muss ausgeschlossen sein, dass mittels Prüfnutzeridentitäten auf Daten von real existierenden Nutzern der Anwendung zugegriffen werden kann und das real existierende Nutzer auf die Daten von Prüfnutzeridentitäten zugreifen können. Insbesondere dürfen Prüfnutzeridentitäten nicht als Vertreter von real existierenden Nutzern bzw. real existierende Nutzer als Vertreter von Prüfnutzeridentitäten eingerichtet werden können.

Datenschutzaspekte

Die eRg muss eine Nichtverkettbarkeit gewährleisten. Es gilt demnach ein grundsätzliches Verbot der Profilbildung für die gesamte Anwendung – insbesondere jedoch für den eRg FD, der dies technisch umsetzen muss. Davon unberührt kann die gematik nach §331 Abs. 2 SGB V Daten festlegen, die Anbieter von Komponenten und Diensten der gematik offenzulegen haben, sofern diese erforderlich sind, um den gesetzlichen Auftrag der gematik zur Überwachung des Betriebs zur Gewährleistung der Sicherheit, Verfügbarkeit und Nutzbarkeit der TI zu erfüllen. Nur die hierfür erforderlichen personenbezogenen Daten dürfen vom Betreiber als Ausnahme vom Profilbildungsverbot erhoben werden. Die konkreten Daten werden in der Spezifikation für den eRg FD festgelegt. Zur Verhinderung einer zweckfremden Verkettung personenbezogener Daten müssen die Daten beim Transport und der Speicherung verschlüsselt werden.

In den Verarbeitungsvorgängen der eRg dürfen nur Daten verarbeitet werden, die für die Durchführung des jeweiligen Verarbeitungsvorgangs erforderlich sind (Datenminimierung).

Zum Zweck der Transparenz muss es den Versicherten ermöglicht werden, die Verarbeitung ihrer personenbezogenen Daten zu überwachen. Dazu werden alle Zugriffe auf Dokumente eines Versicherten im eRg FD protokolliert. Dieses Protokoll ist für die Versicherten über das eRg-FdV einsehbar. Für das eRg-FdV muss eine Datenschutzerklärung existieren, die u. a. über Verantwortlichkeiten der Datenverarbeitung, die Art und den Zweck der verarbeiteten Daten sowie die Betroffenenrechte aufklärt.

Die eRg ist eine freiwillige Anwendung. Insofern kann ein Versicherter in die Nutzung der Anwendung einwilligen bzw. die Einwilligung widerrufen (Intervenierbarkeit).

Grenzen der Sicherheitsleistung

Im Bedrohungsmodell zur eRg werden Missbrauchsszenarien berücksichtigt, die die Verfügbarkeit der Use Cases, die Vertraulichkeit und Integrität der verarbeiteten Daten bedrohen.

Missbrauchsszenarien auf der Anwendungsebene, die von berechtigten Nutzern der Anwendung ausgehen werden nicht abgewehrt. Dies erfolgt - nach wie vor - in den Systemen der Kostenträger.

So gehören unterstützende Funktionen zur Entdeckung von Abrechnungsbetrug zu den Grenzen der Sicherheitsleistung der eRg.

Dies betrifft auch Sicherheitsleistungen, die von der eRg benötigt werden und von der TI-Plattform bereitgestellt werden. Hierzu gehören:

  • die Identifikation von TI-Teilnehmern durch die (sektoralen) IdP, sowie
  • das Erstellen und Prüfen fortgeschrittener elektronischen Signaturen mittels SMC-B und Konnektor.

Fristen für die Löschung und Aufbewahrung von Daten im Fachdienst

Neben einer durch den Nutzer ausgelösten Löschung von seinem Nutzerkonto oder ihm zugeordneten E-Rechnungen und Dokumenten, soll nach bestimmten Fristen auch eine automatische Löschung der Elemente durch den Fachdienst erfolgen. Dies beruht auf folgenden Grundüberlegungen:

    • Der Fachdienst setzt keine Aufbewahrungs- oder Löschfristen um, die in der Verantwortung der LE, ADL oder KTR liegen.
    • Der Versicherte erhält nur eine zweckgebundene Möglichkeit, seine Daten im Fachdienst zu speichern - nämlich primär um sie bei Kostenträgern einreichen zu können.
    • Die Aufbewahrung im Fachdienst soll zweckbezogen und zeitlich beschränkt sein. Insbesondere dient der Fachdienst nicht der Archivierung. Dazu ist die ePA zu nutzen, oder eine eigene persönliche Ablage außerhalb der eRg.

Authentizität und Integrität von Rechnungen und Dokumenten

E-Rechnungen und Dokumente können vom Rechnungsersteller nur in den Fachdienst eingestellt werden, wenn dessen Identität sicher über den Identity Provider authentifiziert wurde (Institutionsidentität). Die Übertragung zwischen Client-Systemen und dem Fachdienst sowie die Speicherung im Fachdienst erfolgen stets verschlüsselt. Eine Verarbeitung erfolgt im Fachdienst nur geschützt, in einer vertrauenswürdigen Ausführungsumgebung.

Um die jederzeitige Überprüfbarkeit der Authentizität und Integrität von E-Rechnungen oder Dokumenten zu gewährleisten - insbesondere auch außerhalb des Fachdienstes, nach der Übertragung in Client-Systeme -, MÜSSEN E-Rechnungen (strukturierte Daten und PDF) vom Rechnungsersteller mit einer Dokumenten-Signatur (per SMC-B bzw. HSM-B) versehen werden. Dokumente, die der Rechnungsersteller zu einer E-Rechnung hinzufügt, KÖNNEN mit einer Dokumenten-Signatur versehen werden.

Schutz personenbezogener Daten in Token

Identitätsattribute des Nutzers werden vom Fachdienst (Autorisierungsdienst) über den jeweiligen Identity Provider bezogen. Die hier genutzten Identity Token werden zum Schutz der personenbezogenen Daten über sichere "Backend"-Verbindungen zwischen IDP und Fachdienst (Autorisierungsdienst) übertragen. 

Das Gleiche gilt für die Übertragung von personenbezogenen Daten in Device Token zwischen Gerätemanagement und Fachdienst (Autorisierungsdienst).

Die Übertragung von Access Token und den ggf. darin enthaltenen personenbezogenen Daten vom Autorisierungsdienst  - über das FdV - zum Anwendungsdienst erfolgt verschlüsselt. Eine Verarbeitung der Access Token erfolgt geschützt im Fachdienst, in einer vertrauenswürdigen Ausführungsumgebung.

Nutzerprotokolle

Für den Nachvollzug von Zugriffen auf Dokumente und Daten von Versicherten sollen vom eRg FD Protokolle geschrieben und z.B. für die Einsicht durch den Versicherten über das FdV zur Verfügung gestellt werden.

  • No labels

© gematik GmbH 2025