FAQ

Der Evaluierungsaufwand hängt von den datenschutzrelevanten Funktionen des Portals, der Videosprechstunde und der IT- und Einsatzumgebung ab. In einem Antragsformular beschreiben und bestätigen Sie uns diese Komponenten abschließend. Auf dieser Grundlage kalkulieren wir den Aufwand für die Evaluation und Erstellung der Nachweise (Zertifikate). 

Jede Videosprechstunde und jedes Datenschutzmanagement müssen von uns sorgfältig geprüft werden. Wir können jedoch Synergien durchaus nutzen und den Aufwand dadurch minimieren. Bieten Sie sogenannte Whitelabel-Portale an, bei denen der Aufbau völlig gleich ist und sich lediglich ein Layout ändert, kommen wir Ihnen preislich gerne entgegen.

Ja. Wir bieten die Nachweise für Datenschutz und von Informationstechniksicherheit auch separat an. Bitte beachten Sie aber: Nachweis ist nicht gleich Nachweis. Lassen Sie sich die Nachweise einer Akkreditierung der Prüf- und Zertifizierungsstelle unbedingt vorlegen, bevor Sie Prüfungen und Zertifikate beauftragen. Beachten Sie bitte auch, dass Sie dann in der Regel unterschiedliche Laufzeiten der Nachweise haben. Die Zertifizierungsstellen untereinander synchronisieren sich i.d.R. nicht.

Sobald Sie uns beauftragen und wir die Zeitpläne abgestimmt haben, wenden wir unser Evaluierungsverfahren an: Zunächst muss der Evaluationsgegenstand sehr genau definiert und abgegrenzt werden. Sie stellen uns zu Beginn der Evaluation diese Informationen in einem von uns vorgegebenen Formular zur Verfügung (Referenzdokument). Dazu zählen die exakte Bezeichnung des Verarbeitungsvorgangs, die verwendeten Datenarten und die relevanten Standorte und Subdienstleister*innen.

Die Evaluierung wird sodann zweistufig durchgeführt:

• In einem Auftaktgespräch wird der Geltungsbereich zwischen Ihnen und unseren Evaluator*innen final abgestimmt. Ferner vereinbaren wir mit Ihnen einen verbindlichen Startzeitpunkt, zu dem sämtliche Ihrer Systeme und Dokumente final und prüffähig vorliegen müssen. Ist diese Bedingung nicht erfüllt, können wir die Evaluation nicht durchführen!
• Sie reichen das abgestimmte Dokument und Nachweise bei uns ein, und dadurch startet der offizielle Evaluationsprozess. Unsere Evaluator*innen prüfen die Umsetzung der Anforderungen.

Zunächst startet die Basis-Prüfung. Hierbei prüfen unsere Evaluator*innen die vorliegenden Nachweise und die grundsätzliche Schlüssigkeit für eine folgende (Haupt-)Evaluation. 

Die Evaluation findet durch Besichtigung der Videosprechstunde anhand von Testzugängen und durch die Nutzung von Tools (z.B. Qualys SSL Labs, Ghostery, whireshark) statt. In Einzelfällen – je nach Geltungsbereich – kann es erforderlich sein, dass wir auch vor Ort eine Evaluierung durchführen müssen („Site Visit“, z.B. eines Rechenzentrums, eines im Scope relevanten Callcenters oder Arbeitsplätze, aus denen ein Support erbracht wird). Liegen uns hingegen beispielsweise für alle relevanten Rechenzentren bereits gültige, anerkennbare Zertifizierungen vor (etwa ISO/IEC 27001 oder IT-Grundschutz), kann ein Site Visit in der Regel entfallen.

Offene Fragen fassen wir in einem Reviewprotokoll zusammen, in welchem Ihre Rückantworten dokumentiert und rechtsverbindlich garantiert werden (= 1 Durchlauf). Dies bündelt wesentliche Informationen und beschleunigt die Prüfung. In der Regel kommt es zu 1-2 Durchläufen mit dem Reviewprotokoll, die von unserem Projekt und Angebot an Sie umfasst sind. Sollten mehr Durchläufe erforderlich sein, stellen wir unseren tatsächlichen Mehraufwand zusätzlich in Rechnung.

Wird der Nachweis erteilt, erhalten Sie eine Urkunde (pdf) und den umfassenden Evaluierungsbericht, den Sie z. B. Aufsichtsbehörden, Verbänden oder Kund*innen als Prüfnachweis vorlegen können.

Wir evaluieren ausschließlich final aufgestellte Videosprechstunden. Um einen möglichst reibungslosen Ablauf der Evaluierung zu gewährleisten, muss Ihre Videosprechstunde also bereits so aufgestellt sein, dass wir sie testen können. Prüfen Sie intern, ob Sie die in §§ 2 und 2a der Vereinbarung genannten Vorgaben erfüllen. So vermeiden Sie zeit- und kostenaufwändige Mehrfachprüfungen.

Halten Sie zum Projektstart spätestens u.a. folgende Informationen/Dokumente bereit:

• vertragliche Dokumentationen, AGB o.ä. zwischen Ihnen und den Nutzern*innen der Videosprechstunde
• Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO bzw. ein entsprechender Auszug, der die Webseiten und die Videosprechstunde beschreibt
• zu allen relevanten Subunternehmen/Dienstleister*innen: Standorte, Dienstleistungen und Verträge zur Auftragsverarbeitung (Art. 28 DSGVO)
• Muster der eingesetzten Verpflichtungserklärung auf den Datenschutz für Ihre Beschäftigten, Nachweise für Schulungen zum Datenschutz und zur Informationssicherheit
• Nachweis über die Bestellung eines*einer Datenschutzbeauftragten oder Begründung, warum er*sie nicht bestellt werden musste
• Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen (TOMs) für die Webseite und die Videosprechstunde nach Art. 32 DSGVO
• Zertifikate zur IT-Sicherheit eines relevanten Rechenzentrums, z.B. gemäß ISO/IEC 27001, vgl. www.datenschutz-cert.de/leistungen/iso/iec-27001 (Liegt kein akkreditiertes Zertifikat zur Informationssicherheit vor, prüfen in der Regel unsere Evaluierenden vor Ort.) 
   

Ab Angebotsannahme brauchen wir ein paar Tage, um den Evaluierungsstart mit Ihnen gemeinsam zu planen. Die Evaluierung selbst dauert dann 2-6 Wochen, je nachdem, wie viele Abweichungen festgestellt und vom*von der Betreiber*in behoben werden müssen.

Nein. Der Nachweis ist bei funktionell gleichbleibendem Evaluationsgegenstand i.d.R. für drei Jahre gültig. Während der Laufzeit werden zwei gesondert zu vereinbarende Überwachungen fällig, um den Nachweis und die Gültigkeit aufrecht zu erhalten. Dies ist eine Akkreditierungsanforderung, um nicht angezeigte Veränderungen der Videosprechstunde, der IT-Systeme oder der verantwortlichen Stelle im Nachgang zu verifizieren und prüfen zu können. Folglich wird die Videosprechstunde jährlich geprüft. Der Aufwand einer Überwachung fällt i.d.R. geringer aus, je nach Änderungen im Geltungsbereich.

Die Laufzeit der Nachweise ist ferner begrenzt, wenn sich gravierende rechtliche Änderungen für Videosprechstunden ergeben, z.B. hinsichtlich der Drittstaatenproblematik oder sofern Aufsichtsbehörden dies fordern würden. Auch kann sich die Anlage 31b BMV-Ä ändern und eine neue Evaluation erforderlich machen. In diesem Fall müssen wir die Nachweise ohne Geld-zurück-Garantie entziehen, und Sie können neue Evaluierung beantragen.

Änderungen an der Videosprechstunde sind uns anzuzeigen. Werden Änderungen vorgenommen, die den Evaluierungsgegenstand beeinflussen, ist eine gesonderte Evaluierung erforderlich. Andernfalls kann der Nachweis entzogen werden. Gerne machen wir Ihnen ein Angebot zur Durchführung einer anlassbezogenen Evaluierung.

Ja.

Nein. Da wir unsere Unabhängigkeit gegenüber unseren Aufsichtsbehörden nachweisen müssen, dürfen wir Sie nicht beraten. Wenn Sie Fragen zur Auslegung des § 5 Anlage 31b zum BMV-Ä oder der DSGVO haben, können wir Ihnen unser Vorgehen erläutern. Wir erstellen jedoch für Sie weder AGB noch Datenschutzhinweise und empfehlen Ihnen auch keine Technikprodukte.

Ja. Die Anlage 31b zum BMV-Ä sieht vor, dass akkreditierte Stellen ein Zertifikat für „Datenschutz“ und „Informationstechniksicherheit“ vergeben können. Für den sicherheitstechnischen Nachweis sind wir bei der Deutschen Akkreditierungsstelle mit unserem eigenen Programm „VSS IT“ akkreditiert. Für den Nachweis zum Datenschutz haben wir einen Antrag gestellt, der zur Zeit bearbeitet wird. Damit greift für die Prüfung des Datenschutzes die Übergangsregelung. Bis 31.12.2023 dürfen wir auch ohne eine solche Akkreditierung prüfen. Die datenschutz cert GmbH ist bereits nach ISO/IEC 17065 akkreditiert. 

Sie bzw. die Videodienstanbieter*innen. Formulare sind unter https://www.kbv.de abrufbar.

Videodienstanbieter*innen müssen gemäß § 5 Abs. 2c der Anlage 31b zum BMV-Ä bestätigen, dass sie die inhaltlichen Anforderungen der Vereinbarungen erfüllen. Dies wird NICHT durch ein Zertifikat nachgewiesen, sondern durch eine Selbstauskunft bzw. Eigenerklärung der Videodienstanbieter*innen. Auch hierfür gibt es ein Formular auf der Seite der KBV: https://www.kbv.de.

Hierzu gibt es eine eigene Vereinbarung mit der Anlage 16 zum BMV-Z. Wenn Sie für diesen Spezialbereich gelistet sind, erkundigen Sie sich bitte bei den dortigen Fachverbänden. Ggf. wird unser Nachweis auch dort anerkannt.

Nein. Der Nachweis ist beim*bei der Videodienstanbieter*in erhältlich. Wir dürfen diese Bescheinigung nicht herausgeben, das kann nur der*die Anbieter*in selbst. Leider dürfen wir Ihnen auch keine Videosprechstunde empfehlen. Bitte sehen Sie von derartigen Nachfragen bei uns ab.

Die Anlage 31b zum BMV-Ä gilt nur für Heilberufe; sie ist u.a. dafür gedacht, dass heilberufliche Leistungen abrechnungsfähig sind. Für Rechtsanwälte*innen oder Wirtschaftsprüfer*innen sowie für andere Berufe sind derzeit keine gesetzlich verpflichtenden Nachweise gegenüber öffentlichen Stellen oder Verbänden bekannt. Da jedoch alle Stellen u.a. die Datenschutzgrundverordnung (DSGVO) nachweisbar einhalten müssen (vgl. Art. 5 DSGVO), macht es durchaus Sinn, wenn eine Videosprechstunde entsprechend von einer unabhängigen und fachkundigen Stelle geprüft wurde. Gerne unterbreiten wir Ihnen ein Angebot.

Ja, Ton- und Bildaufzeichnungen aus der Videosprechstunde heraus sind nunmehr zulässig, sofern beide Seiten damit einverstanden sind. Bei einer Evaluation weisen Sie dann die Wirksamkeit der Einwilligungserklärung nach (sie muss ausdrücklich, freiwillig, informiert und widerruflich erfolgen).

Die Anlage 31b zum BMV-Ä sieht vor, dass die Übertragung der Videosprechstunde über eine P2P-Verbindung zwischen Vertragsarzt*ärztin und Patient*in oder der Pflegekraft, ohne Nutzung eines zentralen Servers, erfolgen soll. Dies muss sollte also grundsätzlich möglich sein. Kaum eine Videosprechstunde kann eine 100%-ige P2P-Verbindung anbieten. Anlage 31b zum BMV-Ä verlangt bei Abweichen eines P2P-Verfahrens geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Wird eine Videosprechstunde nicht über eine P2P-Lösung umgesetzt, dürfen also nur genauso sichere Alternativen verwendet werden.

§ 3 Abs. 2 Anlage 31b zum BMV-Ä fordert zudem, dass sämtliche Inhalte der Videosprechstunde während des gesamten Übertragungsprozesses nach dem Stand der Technik Ende-zu-Ende verschlüsselt sind. Der Stand der Technik ergibt sich insbesondere aus der Technischen Richtlinie 02102 des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils aktuell gültigen Fassung.

Bei dem Einsatz von WebRTC werden sowohl bei einer direkten P2P-Verbindung, als auch bei dem Einsatz eines TURN-Servers die übertragenen Daten zwischen den Endpunkten automatisch Ende-zu-Ende verschlüsselt. Sollten alternative Methoden wie z.B. Insertable Streams eingesetzt werden, ist zu beachten, dass die eigentlichen Schlüssel sicher zwischen den Clients ausgetauscht werden müssen (z.B. über einen RTCDataChannel).

Grundsätzlich muss die Implementierung der eingesetzten Lösung sowie der eigentliche Schlüsselaustausch den Evaluator*innen nachvollziehbar dargelegt werden.

Zudem fordern wir, dass Ausnahmen gegenüber den Kommunikationsteilnehmern*innen deutlich gemacht werden, z.B. durch ein Pop-Up im Anmeldebereich und in AGB oder Nutzungsbedingen / Datenschutzerklärung, welche technische Lösung verwendet wird und ob P2P vorliegt.

§ 2a Absatz 3 der Vereinbarung sieht vor, dass die Verarbeitung von personenbezogenen Daten (auch im Auftrag) nur im Inland, in einem Mitgliedsstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen darf. Dies bedeutet im Klartext, dass Dienste, die im Rahmen von Videosprechstunden erbracht werden, nur zulässig sind, wenn die Verarbeitung ausschließlich in der EU/des EWR erbracht werden oder in Staaten, zu denen die EU-Kommission einen gültigen Angemessenheitsbeschluss gemäß Art. 45 DSGVO veröffentlicht hat (siehe Liste auf der Website der EU-Kommission). Diese Vorgabe ist laut Auskunft der KBV und des GKV uns gegenüber ganz bewusst enger gefasst als die Regelungen der DSGVO zur Drittstaatenverarbeitung und zur Auslegung des EuGHs (Rechtssache „Schrems II“). Sie ist so zu interpretieren, dass Anbieter*innen aus z. B. Indien, für welche bekanntlich KEIN Angemessenheitsbeschluss vorliegt, nicht datenschutzrechtlich zulässig im Sinne der Anlage 31b zum BMV-Ä genutzt werden dürfen. Die Nutzung von EU-Standardvertragsklauseln oder Binding Corporate Rules reicht bei diesen Drittstaaten nicht mehr aus für eine Zertifizierung gemäß der Anlage 31b zum BMV-Ä. Hintergrund hierfür ist, dass sich der Wortlaut der Anlage 31b zum BMV-Ä an § 3 Absatz 3 Digitale Gesundheitsanwendungen-Verordnung – DiGAV orientiert. Auf Rückfrage bei der KBV erhielten wir die Auskunft, dass diesbezüglich die enge Auslegung der KBV, des GKV Spitzenverbands und des Bundesministeriums für Gesundheit (BMG) sowie des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) anzuwenden ist.

Das BMG hat den Hinweis gegeben, dass diesbezüglich das BfArM für DiGA-Anbieter*innen auf seiner Webseite eine Handreichung veröffentlicht hat: "Informationen zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands im Zusammenhang mit dem Prüfverfahren des BfArM gemäß § 139e Fünftes Buch Sozialgesetzbuch (SGB V)", abrufbar über die Website des BfArM.

Diese Handreichung kann nach Auskunft der KBV analog auch zur Interpretation der Anforderungen an die Datenverarbeitung im Rahmen der Videosprechstunde herangezogen werden.

Wir empfehlen Ihnen dringend, diese Drittstaatenproblematik VOR einer Evaluation abschließend zu klären und zwar für alle relevanten Komponenten (Server, Videokommunikation, STUN, TURN, E-Mail, SMS usw.). Auch die von Ihnen ggf. eingesetzten Dienstleister*innen hierfür und deren Subunternehmer*innen sollten möglichst KEINEN Drittstaatenbezug aufweisen, da diese Evaluationen in der Regel sehr aufwändig sind.

Die EU-Kommission hat am 10. Juli 2023 für die USA einen neuen Angemessenheitsbeschluss erlassen. Danach können Verantwortliche und Auftragsverarbeiter wieder personenbezogene Daten an die vom US-Handelsministerium gelisteten Unternehmen und Organisationen in den USA übermitteln. Die aktuelle Liste können Sie hier abrufen: Website des Data Privacy Framework. Die Rechtslage dazu hat sich also erneut geändert. Es ist zu erwarten, dass gegen diesen Beschluss erneut vor dem EuGH geklagt wird. Auch ist noch nicht absehbar, ob die KBV, der GKV-Spitzenverband oder das BfArM sowie andere Stellen sich anders positionieren werden. Bitte beobachten Sie daher die neuesten Entwicklungen dazu genau. Der Einsatz von Unternehmen mit einem Drittstaatenbezug bleibt angesichts der sich stetig ändernden Rechtslage riskant. 

Pseudonyme (z.B. IP-Adressen, ID-Nummern, Patientennummern) sind auch personenbezogene Daten. Sie müssen also nachweisen, dass alle Anforderungen an den Datenschutz und die Sicherheit auch hier gewährleistet sind.

Sollten die Datenschutzbehörden oder die Akkreditierungsstellen im Rahmen ihrer Aufsichtstätigkeit oder auch Gerichte eine abweichende Rechtsauffassung vertreten, müssen Videodienstanbieter*innen eine Anpassung vornehmen, um weiterhin bei der KBV und dem GKV Spitzenverband als Videosprechstundenanbieter*in gelistet zu sein. Dies gilt auch, wenn sich die entsprechenden Gesetze oder die Anlage 31b der BMVÄ zwischenzeitlich ändern.

Wenn also die Behörden in Deutschland eine strengere Auslegung anwenden und z.B. den Einsatz von Subunternehmen mit US-amerikanischem Bezug komplett ausschließen, sind wir als Zertifizierungsstelle gezwungen, diese Auslegung mitzutragen und bisherige Zertifizierungen auslaufen zu lassen. Wenn Sie sich für diese Eventualitäten rüsten wollen, sollten Sie möglichst auf einen Einsatz dieser Subunternehmen verzichten.

Bei der Einführung des Informationssicherheits-Managementsystems (ISMS) ist neben der ISO/IEC 27001 die branchenspezifische Norm ISO/IEC 27019 zu berücksichtigen.

Für den sicheren Netzbetrieb gilt: Der Scope muss alle Anwendungen, Systeme und Komponenten enthalten, die für einen sicheren Netzbetrieb notwendig sind. Damit sind insbesondere alle Systeme des Netzbetreibers im Scope erfasst, welche direkt Teil der Netzsteuerung sind, d. h. unmittelbar Einfluss auf die Netzfahrweise nehmen.

Für Betreiber von Energieanlagen gilt: Der Scope muss alle in der Energieanlage eingesetzten TK- und EDV-Systeme umfassen. Die Einteilung der eingesetzten Anwendungen, Systeme und Komponenten erfolgt in sogenannten Zonen von 1 bis 6, in Abhängigkeit zur Bedeutung für den sicheren Anlagenbetrieb. Das ISMS muss mindestens die Zonen 1 bis 3 umfassen.

• Schutzziele: Verfügbarkeit, Integrität und Vertraulichkeit 
• Schadenskategorien: „kritisch“, „hoch“, „mäßig“, „gering“ (für Energieanlagenbetreiber)
• Einstufung: Komponenten, Systeme und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, als mindestens „hoch“
• Beachtung besonderer Schadensszenarien

• alle Anwendungen, Systeme und Komponenten des Geltungsbereiches samt Verbindungen.
• insbesondere „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ sowie „Sekundär-, Automatisierungs- und Fernwirktechnik“.

Sowohl Netzbetreiber als auch Betreiber von Energieanlagen müssen einen Ansprechpartner(in) bei der Bundesnetzagentur (BNetzA) melden.

Bis zum 31. März des Kalenderjahres muss für das vorhergehende Jahr geprüft werden, ob die in der KRITIS-VO genannten Schwellenwerte überschritten wurden. (Vgl. den zutreffenden Sektor-Anhang der KRITIS-V, jeweils im Teil 1 Nr. 3)

Bis zum 01. April des Kalenderjahres, in dem die Schwellenwerte (erstmalig) überschritten wurden, muss sich ein Betreiber einer kritischen Infrastruktur beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. (Vgl. den zutreffenden Sektor-Anhang der KRITIS-V, jeweils im Teil 1 Nr. 4)

Gemäß § 8a (3) BSIG ist zwei Jahre nach der Registrierung der kDl ein Nachweis zu erbringen. 

Kurz gesagt: Nein. In dieser Situation ist es ratsam so früh wie möglich mit dem KRITIS-Büro des BSI den Kontakt zu ersuchen. Diese stellen dann sehr zeitnahe ein Formular zur Verfügung, um die Anlagen zu deregistrieren. 

Nein. Bei einer KRITIS-Prüfung handelt es sich grundsätzlich nicht um eine Konformitätsbewertung. Der B3S kann als Orientierung der Schwerpunkte herangezogen werden – also als Grundlage einer Prüfung. Tatsächlich erscheinen Prüfungen auf Basis der ISO/IEC 27001 in Verbindung mit dem B3S als weniger aufwändig für Betreiber und werden genauso akzeptiert. 

Die Einführung eines Systems zur Angriffserkennung ist spätestens bis zum 01. Mai 2023 verpflichtend.

Grundsätzlich existieren hierzu keine Vorgaben durch das BSI. Im Allgemeinen wird hierunter jedoch der Betrieb eines IDS (Intrusion Detection Systems) verstanden. Die Anforderung, an den Einsatz eines Systems zur Angriffserkennung, kann gegenwärtig durch Firewalls mit entsprechenden Features, einer eigenen Appliance, zentralen Logservern (z.B. SysLog, SIEM, …) oder anderen, auch virtuellen, Lösungen erfüllt werden. Im September 2022 ist eine Konkretisierung geplant.