Gründe

12Die zulässige Revision ist unbegründet (§ 170 Abs 1 Satz 1 SGG).

13A. Von Amts wegen zu berücksichtigende Verfahrensmängel, die einer Sachentscheidung des Senats entgegenstünden, sind nicht ersichtlich. Ein absoluter Revisionsgrund im Sinne von § 202 Satz 1 SGG iVm § 547 Nr 6 ZPO liegt nicht vor.

141. Die Rüge der Klägerin, das Urteil des SG leide an dem Mangel unzureichender Entscheidungsgründe, weil nicht alle Einwände berücksichtigt worden seien, greift nicht. Unter § 547 Nr 6 ZPO fallen weder knapp gefasste noch unvollständige oder vermeintlich fehlerhaft begründete Entscheidungen (vgl BSG Beschluss vom 12.2.2004 - B 4 RA 67/03 B - juris RdNr 7 mwN; Schmidt in Meyer-Ladewig/Keller/Schmidt, SGG, 14. Aufl 2023, § 162 RdNr 10e mwN). Ein Urteil ist nicht als fehlerhaft aufzuheben, solange eine Auseinandersetzung mit dem Kern des Vorbringens erkennbar und die Argumentation noch nachvollziehbar und verständlich ist (vgl BSG Urteil vom 27.6.2012 - B 6 KA 28/11 R - BSGE 111, 114 = SozR 4-2500 § 87 Nr 26, RdNr 22 mwN). Über diese Anforderungen geht das Urteil des SG, das sich eingehend mit der wesentlichen Argumentation der Klägerin auseinandergesetzt hat, weit hinaus. Im Übrigen kann die Sprungrevision nicht auf Mängel des Verfahrens gestützt werden (vgl § 161 Abs 4 SGG).

152. Zutreffende Klageart ist die kombinierte, auf Zahlung höheren Honorars gerichtete Anfechtungs- und Leistungsklage (§ 54 Abs 1 Satz 1 Alt 1 und Abs 4 SGG). Vergleichbar mit der quartalsgleichen Richtigstellung macht die Klägerin das teilweise versagte Honorar zu Recht im Wege einer Leistungsklage geltend, verbunden mit der Anfechtungsklage gegen den teilweise ablehnenden Bescheid (vgl BSG Urteil vom 10.12.2008 - B 6 KA 66/07 R - juris RdNr 14; BSG Urteil vom 12.12.2012 - B 6 KA 5/12 R - SozR 4-2500 § 115 Nr 1 RdNr 9 mwN; BSG Urteil vom 26.6.2019 - B 6 KA 68/17 R - SozR 4-2500 § 106d Nr 6 RdNr 15).

16B. In materieller Hinsicht hat das SG die Klage zu Recht abgewiesen. Der angegriffene Honorarbescheid ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten. Die für das Quartal 1/2019 vorgenommene Honorarkürzung ist revisionsrechtlich nicht zu beanstanden. Der Einwand der Klägerin, dass die Befolgung der Pflicht zur Anbindung an die TI im Quartal 1/2019 mehrfache Verstöße gegen die DS-GVO zur Folge hätte und die Sanktionierung der Nichtanbindung einen unverhältnismäßigen Eingriff in ihre Berufsausübungsfreiheit darstelle, greift nicht durch.

17Maßgeblicher Zeitpunkt für die Beurteilung der Rechtmäßigkeit der Höhe des gewährten Honorars ist die materielle Rechtslage im Quartal 1/2019 (dazu 1). Die Voraussetzungen für eine Honorarkürzung nach § 291 Abs 2b Satz 3 und 14 SGB V aF lagen vor (dazu 2). Die gesetzlichen Regelungen zur Einbeziehung der ärztlichen Leistungserbringer in die TI und zu ihrer Verpflichtung zur Durchführung des Online-Abgleichs der Versichertenstammdaten verstoßen nicht gegen Vorgaben der DS-GVO (dazu 3), insbesondere nicht gegen die Gewährleistung einer ausreichenden Datensicherheit des Normenprogramms (dazu 4). Die zugrunde liegenden Rechtsvorschriften verletzen weder die Grundrechte der Klägerin aus der Verfassung noch aus der Europäischen Grundrechtecharta (GRCh) (dazu 5).

181. Die streitige Honorarkürzung betrifft nur das Quartal 1/2019. Für die Höhe des Honoraranspruchs der Klägerin ist auf die materielle Rechtslage in diesem Quartal abzustellen (allgemein vgl Keller in Meyer-Ladewig/Keller/Schmidt, SGG, 14. Aufl 2023, § 54 RdNr 34 mwN). Dies gilt auch für die datenschutzrechtlichen Vorgaben, da sich die Beurteilung der Rechtmäßigkeit der Honorarkürzung nur nach den zum Zeitpunkt des sanktionierten Verhaltens geltenden datenschutzrechtlichen Vorschriften richten kann. Die durch das PDSG bei den Vorschriften zur elektronischen Gesundheitskarte (§§ 291 ff SGB V) und zur TI (§§ 306 ff SGB V) eingetretenen Rechtsänderungen sind daher keiner revisionsrechtlichen Prüfung zu unterziehen. Sie erfassen nicht das streitige Rechtsverhältnis im Quartal 1/2019.

192. Gesetzliche Grundlage für die Honorarkürzung ist § 291 Abs 2b Satz 3 und 14 SGB V aF. Für die Klägerin ergab sich im Quartal 1/2019 aus § 291 Abs 2b Satz 3 SGB V aF die Verpflichtung zur Anbindung an die TI, um den dort geregelten Online-Abgleich der Versichertenstammdaten durchführen zu können. Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Einrichtungen und Zahnärzte prüfen gemäß § 291 Abs 2b Satz 3 SGB V aF bei der erstmaligen Inanspruchnahme ihrer Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse durch Nutzung der Dienste nach § 291 Abs 2b Satz 1 SGB V aF. Dazu ermöglichen sie den Online-Abgleich und die Online-Aktualisierung der auf der elektronischen Gesundheitskarte nach § 291 Abs 1 und 2 SGB V aF gespeicherten Daten mit den bei der Krankenkasse vorliegenden aktuellen Daten (§ 291 Abs 2b Satz 4 SGB V aF). Die nach § 291 Abs 1 Satz 1 und 2 SGB V aF von den Krankenkassen für jeden Versicherten als Versicherungsnachweis ausgestellte elektronische Gesundheitskarte enthält gemäß § 291 Abs 2 Satz 1 SGB V aF im Wesentlichen folgende Daten: Die Bezeichnung der ausstellenden Krankenkasse, einschließlich eines Kennzeichens für die KÄV, in deren Bezirk der Versicherte seinen Wohnsitz hat (Nr 1), den Familiennamen und Vornamen des Versicherten (Nr 2), das Geburtsdatum des Versicherten (Nr 3), das Geschlecht des Versicherten (Nr 4), die Anschrift des Versicherten (Nr 5), die Krankenversichertennummer des Versicherten (Nr 6), den Versichertenstatus, für die Personengruppen nach § 264 Abs 2 SGB V aF den Status der auftragsweisen Betreuung (Nr 7), den Zuzahlungsstatus des Versicherten (Nr 8), den Tag des Beginns des Versicherungsschutzes (Nr 9), bei befristeter Gültigkeit der elektronischen Gesundheitskarte das Datum des Fristablaufs (Nr 10). Daneben können die in § 291 Abs 2 Satz 2 SGB V aF genannten weiteren Daten enthalten sein. Die Prüfungspflicht gemäß § 291 Abs 2b Satz 3 SGB V aF besteht ab dem Zeitpunkt, ab dem die Dienste nach Satz 1 sowie die Anbindung an die TI zur Verfügung stehen und die Vereinbarungen nach § 291a Abs 7a und 7b SGB V (idF des Gesetzes für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen sowie zur Änderung weiterer Gesetze vom 21.12.2015 mWv 29.12.2015, BGBl I 2408 - im Folgenden aF) geschlossen sind (§ 291 Abs 2b Satz 5 SGB V aF). Im Quartal 1/2019 lagen die in § 291 Abs 2b Satz 5 SGB V aF normierten Voraussetzungen für den Beginn der Prüfungspflicht der Klägerin nach den bindenden Feststellungen des SG (§ 163 SGG) vor.

20Nach § 291 Abs 2b Satz 14 SGB V aF ist den an der vertragsärztlichen Versorgung teilnehmenden Ärzten, Einrichtungen und Zahnärzten, die die Prüfung nach Satz 3 ab dem 1.1.2019 nicht durchführen, die Vergütung vertragsärztlicher Leistungen pauschal um ein Prozent so lange zu kürzen, bis sie die Prüfung durchführen. Von der Kürzung nach Satz 14 ist bis zum 30.6.2019 abzusehen, wenn der an der vertragsärztlichen Versorgung teilnehmende Arzt oder Zahnarzt oder die an der vertragsärztlichen Versorgung teilnehmende Einrichtung gegenüber der jeweils zuständigen KÄV nachweist, bereits vor dem 1.4.2019 die Anschaffung der für die Prüfung nach Satz 3 erforderlichen Ausstattung vertraglich vereinbart zu haben (§ 291 Abs 2b Satz 16 SGB V aF). Nach den Feststellungen des SG ist die Klägerin ihrer Verpflichtung zur Anbindung an die TI und zur Durchführung des Online-Abgleichs der Versichertenstammdaten im Quartal 1/2019 nicht nachgekommen. Sie hat auch nicht eingewendet, bereits vor dem 1.4.2019 eine vertragliche Vereinbarung über die erforderliche Ausstattung abgeschlossen zu haben.

213. Die gesetzlichen Regelungen zur elektronischen Gesundheitskarte - einschließlich der Regelungen zur Verpflichtung der Klägerin zur Anbindung an die TI und Durchführung des Online-Abgleichs der Versichertenstammdaten - verstießen im Quartal 1/2019 nicht gegen Vorgaben der DS-GVO. Der Schutzbereich und sachliche Geltungsbereich der DS-GVO sind eröffnet (dazu a bis c). Die Klägerin war im streitigen Quartal Verantwortliche iS der DS-GVO für die rechtmäßige Datenverarbeitung im Rahmen des Online-Abgleichs der Versichertenstammdaten im Bereich der dezentralen TI-Komponenten (dazu d). Die Verarbeitung der personenbezogenen Gesundheitsdaten entspricht den Rechtmäßigkeitsanforderungen der DS-GVO (dazu e).

22a) Die DS-GVO beruht primärrechtlich auf der Rechtsetzungskompetenz der Union von Art 16 Abs 2 des Vertrags über die Arbeitsweise der Europäischen Union (in der konsolidierten Fassung ABl Nr C 202, 47 vom 7.6.2016 - AEUV). Dieser ermächtigt das Europäische Parlament und den Rat zu Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch hoheitliche Stellen der Union und der Mitgliedstaaten, wenn und soweit sie im Anwendungsbereich des Unionsrechts tätig werden, sowie für den freien Datenverkehr durch Private als besondere Ausprägung der allgemeinen Binnenmarktkompetenz (vgl Bretthauer in Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 1. Aufl 2019, Teil A § 2 RdNr 38 mwN; Bäcker in Wegener <Hrsg>, Enzyklopädie Europarecht, 2. Aufl 2021, Bd 8, § 11 RdNr 13 ff; vgl auch ErwGr 12 der DS-GVO). Die DS-GVO soll, wie sich aus ihrem Art 1 Abs 1 im Licht insbesondere ihrer ErwGr 9, 10 und 13 ergibt, eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen (vgl EuGH Urteil vom 28.4.2022 - C-319/20 - NVwZ 2022, 945, 946 RdNr 57; BVerfG Beschluss vom 6.11.2019 - 1 BvR 276/17 - BVerfGE 152, 216, 232 RdNr 41 mwN - Recht auf Vergessen II). Allerdings eröffnen einige Bestimmungen der DS-GVO den Mitgliedstaaten die Möglichkeit, zusätzliche - strengere oder einschränkende - nationale Vorschriften vorzusehen und lassen ihnen ein Ermessen hinsichtlich der Art und Weise ihrer Durchführung ("Öffnungsklauseln", vgl EuGH Urteil vom 28.4.2022 - C-319/20 - NVwZ 2022, 945, 946 RdNr 57; EuGH Urteil vom 5.12.2023 - C-683/21 - DB 2023, 3007, 3011 RdNr 65). Dies gilt insbesondere, wenn national die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist (vgl ErwGr 10 und Art 6 Abs 2 und 3, Art 9 Abs 3 und 4 DS-GVO; vgl auch Bäcker in Wegener <Hrsg>, Enzyklopädie Europarecht, 2. Aufl 2021, Bd 8, § 11 RdNr 11). Hierunter fallen die nationalen Datenschutzvorschriften des BDSG, SGB I und SGB X sowie die bereichsspezifischen Vorschriften des SGB V zum elektronischen Abgleich von Versichertendaten, aus denen sich ein Normenkonflikt oder ein Kollisionsfall mit den hier einschlägigen Normen der DS-GVO nicht abzeichnet (vgl allgemein Schrader, Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung, 2022, S 45 mwN).

23b) Der Schutzbereich des Art 1 Abs 1 DS-GVO der nach Art 288 Abs 2 AEUV ohne weiteren Umsetzungsakt im nationalen Recht gültigen DS-GVO ist eröffnet. Nach Art 1 Abs 1 DS-GVO enthält die Verordnung Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Die Klägerin macht als Verantwortliche nach dem Datenschutzrecht (dazu RdNr 27) den Schutz der in ihrer Vertragsarztpraxis verarbeiteten Daten von Versicherten geltend. In diesem Zusammenhang bestreitet sie, dass die verpflichtende Anbindung an die TI und die Durchführung des Online-Abgleichs der Versichertenstammdaten mit den Vorgaben der DS-GVO im Einklang steht und sieht in der Sanktionierung der Nichtanbindung einen unverhältnismäßigen Eingriff in ihre Berufsausübungsfreiheit.

24c) Der sachliche Anwendungsbereich von Art 2 Abs 1 DS-GVO beinhaltet die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Beim Einlesen der Daten der elektronischen Gesundheitskarte und bei der Durchführung des Online-Abgleichs der Versichertenstammdaten handelt es sich um Datenverarbeitung iS des Art 2 Abs 1 DS-GVO. Ausnahmetatbestände des Art 2 Abs 2 DS-GVO liegen nicht vor. Insbesondere ist die Anwendung der DS-GVO nicht nach Art 2 Abs 2 Buchst a DS-GVO ausgeschlossen. Danach findet die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. Der EuGH hat den Ausschluss des sachlichen Anwendungsbereichs der DS-GVO in seiner jüngeren Rechtsprechung eng ausgelegt und auf Angelegenheiten begrenzt, die von staatlichen Stellen im Rahmen einer Tätigkeit, die der Wahrung der nationalen Sicherheit dient oder einer Tätigkeit, die derselben Kategorie zugeordnet werden kann, vorgenommen werden (vgl EuGH Urteil vom 22.6.2021 - C-439/19 - RDV 2021, 332, 333 - juris RdNr 62 ff, 66 mwN; dieser Rechtsprechung folgend BVerwG Urteil vom 2.3.2022 - 6 C 7/20 - BVerwGE 175, 76 RdNr 26 ff; BVerwG Urteil vom 30.11.2022 - 6 C 10/21 - BVerwGE 177, 211 RdNr 21 ff; zuvor schon unter Auslegung der Vorgängerregelung der Datenschutzrichtlinie vgl EuGH Urteil vom 9.7.2020 - C-272/19 - NVwZ 2020, 1497, 1499 RdNr 66 sowie 1500 RdNr 70; vgl auch Bäcker in Wegener <Hrsg>, Enzyklopädie Europarecht, 2. Aufl 2021, Bd 8, § 11 RdNr 17). Eine auf die Wahrung nationaler Sicherheit abzielende Tätigkeit oder Tätigkeit derselben Kategorie liegt hier nicht vor.

25Unter Berücksichtigung der engen Auslegung der Ausschlusstatbestände vom sachlichen Anwendungsbereich der DS-GVO durch den EuGH (vgl Urteile vom 22.6.2021 - C-439/19 - RDV 2021, 332, 333 - juris RdNr 62 ff und vom 24.2.2022 - C-175/20 - EuZW 2022, 527, 529 RdNr 40) ist eine unmittelbare Anwendung der DS-GVO für den hier zu entscheidenden Fall der Anbindung von Vertragsärzten an die TI zu bejahen (die Frage einer unmittelbaren oder nur mittelbaren Anwendung noch offen lassend: BSG Urteil vom 18.12.2018 - B 1 KR 31/17 R - BSGE 127,181 = SozR 4-2500 § 284 Nr 4, RdNr 14 ff; BSG Urteil vom 18.12.2018 - B 1 KR 40/17 R - SozR 4-7645 Art 9 Nr 1 RdNr 29; BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 25 ff mwN). Es ist nicht davon auszugehen, dass die in Art 168 Abs 7 AEUV zum Ausdruck kommende Grundentscheidung, die Verantwortung für die Organisation, Verwaltung und Finanzierung des gesamten Gesundheitssystems allein den Mitgliedstaaten zu überlassen (vgl Wallrabenstein in Wegener <Hrsg>, Enzyklopädie Europarecht, 2. Aufl 2021, Bd 8, § 8 RdNr 104 mwN) generell zur Begründung einer Ausnahme von der unmittelbaren Anwendbarkeit der DS-GVO herangezogen werden kann (vgl allgemein Kühling/Raab in Kühling/Buchner, DS-GVO BDSG, 4. Aufl 2024, Einführung RdNr 8 und Weichert in Kühling/Buchner, DS-GVO BDSG, 4. Aufl 2024, Art 9 DS-GVO RdNr 96). Die DS-GVO regelt weder Struktur noch Organisation des Gesundheitswesens unmittelbar im Kern, sondern setzt hierfür Rahmenbedingungen (vgl Weichert in Kühling/Buchner, DS-GVO BDSG, 4. Aufl 2024, Art 9 DS-GVO RdNr 96) und belässt den Mitgliedstaaten über Öffnungsklauseln in der DS-GVO bereichsspezifische Gestaltungsspielräume.

26Eines konkreten grenzüberschreitenden Sachverhalts bedarf es bei der Anwendung der DS-GVO nicht (vgl EuGH Urteil vom 21.12.2023 - C-667/21 - EuZW 2024, 270 - zum Rechtsstreit des MDK Nordrhein wegen der Verarbeitung von Gesundheitsdaten eines Mitarbeiters; EuGH Urteil vom 9.7.2020 - C-272/19 - NVwZ 2020, 1497, 1499 RdNr 66 ff - zur Datenverarbeitung des Petitionsausschusses des Hessischen Landtags im Rahmen einer Petition; vgl allgemein Bäcker in Wegener <Hrsg>, Enzyklopädie Europarecht, 2. Aufl 2021, Bd 8, § 11 RdNr 19 mwN; aA Schröder in Streinz, EUV/AEUV, 3. Aufl 2018, Art 16 AEUV RdNr 9).

27d) Der Einwand der Klägerin, die datenschutzrechtliche Verantwortlichkeit sei nicht hinreichend geklärt gewesen, greift nicht. Die Klägerin war im Quartal 1/2019 Verantwortliche iS von Art 4 Nr 7 Halbsatz 1 DS-GVO für die rechtmäßige Datenverarbeitung im Rahmen des Online-Abgleichs der Versichertenstammdaten im Bereich der dezentralen TI-Komponenten. Den Verantwortlichen trifft die Pflicht zur Einhaltung der datenschutzrechtlichen Grundsätze für die rechtmäßige Verarbeitung personenbezogener Daten (vgl Art 5 Abs 2 DS-GVO). Geeignete technische und organisatorische Maßnahmen müssen durch den Verantwortlichen umgesetzt werden, um sicherzustellen, dass die Verarbeitung gemäß der DS-GVO erfolgt (Art 24 Abs 1, Art 25 Abs 2 DS-GVO; vgl EuGH Urteil vom 25.1.2024 - C-687/21 - EuZW 2024, 278, 280 RdNr 36 mwN).

28aa) Nach dem Konzept der DS-GVO trägt die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, die Verantwortung (Art 4 Nr 7 Halbsatz 1 DS-GVO). Dafür ist maßgeblich, dass im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung Einfluss genommen wird (vgl EuGH Urteil vom 5.12.2023 - C-683/21 - DB 2023, 3007, 3008 RdNr 28 ff mwN).

29bb) Art 4 Nr 7 Halbsatz 2 DS-GVO ermöglicht den Mitgliedstaaten, den Verantwortlichen gesetzlich nach eigenen Maßstäben zu bestimmen, wenn die Zwecke und Mittel der Verarbeitung gesetzlich vorgegeben sind (vgl Schrader, Datenschutz im Gesundheitswesen unter der Europäischen Datenschutz-Grundverordnung, 2022, S 234). Hiervon ist - zeitlich nach dem hier streitgegenständlichen Quartal 1/2019 - für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur durch § 307 SGB V (idF des PDSG mit Wirkung vom 20.10.2020) Gebrauch gemacht worden (vgl Gesetzentwurf der Bundesregierung zum PDSG, BT-Drucks 19/18793 S 100 zu § 307). Nach § 307 Abs 1 Satz 1 SGB V sind für die Verarbeitung der Gesundheitsdaten der Versicherten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Abs 2 Nr 1 SGB V diejenigen verantwortlich, die diese Komponenten zu den genannten Zwecken nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden (vgl Beyer in Hauck/Noftz, SGB V, Stand Februar 2024, § 307 RdNr 6; Carstensen in BeckOGK, SGB V, § 307 RdNr 4, Stand 15.2.2024; Hecheltjen in Schlegel/Voelzke, jurisPK-SGB V, § 307 RdNr 15 f, Stand 5.11.2021; kritisch dazu Dochow, MedR 2020, 979, 983 ff). Die Verantwortlichkeit erstreckt sich auf den Bereich, in dem der Verantwortliche über die konkrete Datenverarbeitung entscheidet, somit schwerpunktmäßig auf die Sicherstellung der bestimmungsgemäßen Nutzung der dezentralen TI-Komponenten, deren ordnungsgemäßen Anschluss und die Durchführung der erforderlichen fortlaufenden Software-Updates (vgl § 307 Abs 1 Satz 2 SGB V; Gesetzentwurf der Bundesregierung zum PDSG, BT-Drucks 19/18793 S 100 zu § 307).

30cc) Entgegen der Ansicht der Klägerin bestand im Quartal 1/2019 keine Notwendigkeit einer ausdrücklichen nationalen Bestimmung der Verantwortlichkeit gemäß Art 4 Nr 7 Halbsatz 2 DS-GVO. Die Verantwortlichkeit für die rechtmäßige Verarbeitung personenbezogener Daten im Bereich der dezentralen TI-Komponenten lag seinerzeit nach Art 4 Nr 7 Halbsatz 1 iVm Art 24 Abs 1, Art 25, Art 5 Abs 2 DS-GVO bei der Klägerin (zur einheitlichen Betrachtung einer BAG im Hinblick auf ihre vertragsärztliche Infrastruktur vgl BSG Urteil vom 27.6.2018 - B 6 KA 46/17 R - BSGE 126, 96 = SozR 4-2500 § 103 Nr 25, RdNr 30 f). Die Klägerin nahm iS des Art 4 Nr 7 Halbsatz 1 DS-GVO im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Datenverarbeitung Einfluss. Charakteristisch für den Verantwortlichen ist sein rechtlicher oder tatsächlicher Einfluss auf die Datenverarbeitung (vgl Schantz in Schantz/Wolff, Das neue Datenschutzrecht, 1. Aufl 2017, C IV 1 c RdNr 361). Derjenige, der - wie hier - Datenverarbeitungsvorgänge zu eigenen Zwecken in "Eigenregie" durchführt, ist aufgrund der tatsächlichen Herrschaft für den Datenverarbeitungsvorgang verantwortlich (vgl Heckmann, Gutachterliche Stellungnahme für den Gesundheitsausschuss des Deutschen Bundestages, Sachverständigenanhörung vom 27.5.2020 zum Entwurf des PDSG, 25.5.2020, Ausschussdrucks 19 <14> 165 <25> RdNr 6).

31dd) Nach der erst nach dem Quartal 1/2019 eingeführten Regelung des § 307 Abs 5 Satz 1 SGB V (idF des PDSG) ist die Gesellschaft für Telematik Verantwortliche für die Verarbeitung personenbezogener Daten in der TI, soweit sie im Rahmen ihrer Aufgaben nach § 311 Abs 1 SGB V die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist. Im Quartal 1/2019 waren die Aufgaben der Gesellschaft für Telematik im Einzelnen gesetzlich geregelt (s dazu 4 c). Der Senat kann offenlassen, ob und in welchem Umfang im Quartal 1/2019 eine (Mit-)Verantwortlichkeit der Gesellschaft für Telematik im Bereich der dezentralen TI-Komponenten vorlag, denn dies hätte keinen Einfluss auf die rechtliche Einordnung der Klägerin als Verantwortliche iS von Art 4 Nr 7 Halbsatz 1 DS-GVO. Dass zu Beginn der Einführung der TI unterschiedliche Auffassungen über die datenschutzrechtliche Verantwortlichkeit (iS von Art 26 DS-GVO) der Leistungserbringer und der Gesellschaft für Telematik für die dezentralen Komponenten der TI bestand, überrascht angesichts der Komplexität der TI nicht (zum Streit vgl Beyer in Hauck/Noftz, SGB V, Stand Februar 2024, § 307 RdNr 12 ff; vgl Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder - DSK - vom 12.9.2019; 27. Tätigkeitsbericht des BfDI zum Datenschutz 2017-2018, BT-Drucks 19/9800 S 59; 28. Tätigkeitsbericht des BfDI zum Datenschutz 2019, BT-Drucks 19/19900 S 24 ff; Stellungnahme des Bundesrats vom 20.5.2020, BT-Drucks 19/19365 S 4 ff).

32e) Die Verarbeitung personenbezogener Daten beim Einsatz der elektronischen Gesundheitskarte und der Durchführung des Online-Abgleichs der Versichertenstammdaten durch die an der vertragsärztlichen Versorgung teilnehmenden Ärzte ist durch die Ermächtigungsgrundlagen von Art 9 Abs 2 Buchst h, Abs 3 iVm Art 6 Abs 1 Satz 1 Buchst c und e iVm Abs 3 DS-GVO gedeckt.

33Die Rechtmäßigkeit einer auf Art 9 Abs 2 Buchst h, Abs 3 DS-GVO gestützten Verarbeitung von personenbezogenen Gesundheitsdaten liegt vor, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art 6 Abs 1 DS-GVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt (vgl EuGH Urteil vom 21.12.2023 - C-667/21 - EuZW 2024, 270, 274 RdNr 71 ff sowie 275 RdNr 79; in diesem Sinne auch BFH Urteil vom 5.9.2023 - IX R 32/21 - DB 2023, 2735 RdNr 19 ff). Dies ist bereits im Quartal 1/2019 der Fall gewesen, da sowohl die Voraussetzungen des Art 6 Abs 1 Satz 1 Buchst c und e DS-GVO (dazu aa) als auch die des Art 9 Abs 2 und Abs 3 DS-GVO (dazu bb) gegeben waren.

34aa) Die Verarbeitung personenbezogener Daten (vgl Art 4 Nr 1 und 2 DS-GVO) war zur Erfüllung der rechtlichen Verpflichtung gemäß § 291 Abs 2b Satz 3 SGB V aF erforderlich (Art 6 Abs 1 Satz 1 Buchst c DS-GVO). Die Datenverarbeitung zur Durchführung des Online-Abgleichs der Versichertenstammdaten war auch für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse lag (Art 6 Abs 1 Satz 1 Buchst e DS-GVO). Art 6 Abs 1 Satz 1 Buchst c und e DS-GVO setzen zusätzlich eine den Anforderungen des Art 6 Abs 3 DS-GVO genügende Rechtsvorschrift im Unionsrecht oder im Recht des Mitgliedstaats voraus, die eine rechtliche Verarbeitungspflicht bzw die hoheitliche Verarbeitungsbefugnis auslöst (ErwGr 45 Satz 1 und ErwGr 47 Satz 5 zur DS-GVO; vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 32 mwN). Die nationalen Ermächtigungen, die die Reichweite des Datenschutzes und den Zweck der Verarbeitung bei der Durchführung des Online-Abgleichs der Versichertenstammdaten regeln, finden sich - bezogen auf das hier maßgebliche Quartal 1/2019 - in § 1 Abs 1, 2 und 5 und § 22 Abs 1 BDSG (hinsichtlich der Datenverarbeitung durch Vertragsärzte) sowie in den bereichsspezifischen Vorschriften der § 15 Abs 2 SGB V (idF des Gesetzes für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen sowie zur Änderung weiterer Gesetze vom 21.12.2015 mWv 29.12.2015, BGBl I 2408 - im Folgenden aF), § 284 SGB V (idF des Heil- und Hilfsmittelversorgungsgesetzes - HHVG - vom 4.4.2017 mWv 1.1.2018, BGBl I 778 - im Folgenden aF), §§ 291, 291a SGB V aF (vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 33 ff zu den gesetzlichen Grundlagen nach Inkrafttreten des PDSG). An der vertragsärztlichen Versorgung teilnehmende Ärzte verarbeiten keine Sozialdaten iS von § 67 Abs 2 Satz 1 SGB X, da sie als Leistungserbringer nicht zu den in § 35 Abs 1 SGB I ausdrücklich genannten Stellen gehören (vgl BSG Urteil vom 10.12.2008 - B 6 KA 37/07 R - BSGE 102,134 = SozR 4-2500 § 295 Nr 2, RdNr 23; Schifferdecker in BeckOGK, SGB I, § 35 RdNr 62, Stand 15.2.2024; Dochow, MedR 2020, 979, 980).

35Überdies wahrte die mit dem Online-Abgleich der Versichertenstammdaten verbundene Datenverarbeitung den Grundsatz der Verhältnismäßigkeit iS des Art 6 Abs 3 Satz 4 DS-GVO. Die Datenverarbeitung diente legitimen Zielen iS des Art 6 Abs 3 DS-GVO. Der Online-Abgleich der Versichertenstammdaten ermöglicht es, die Aktualität und die Zuordnung der elektronischen Gesundheitskarte zum jeweiligen Karteninhaber zu überprüfen und damit ungültige sowie verloren oder gestohlen gemeldete Karten zu identifizieren, um so Leistungsmissbrauch zu verhindern. Entgegen der Auffassung der Klägerin ist die sog Barcode-Lösung (Ermöglichung eines Offline-Abgleichs der Versichertenstammdaten in der Praxis, nachdem den Versicherten ihre Daten zuvor von der Krankenkasse per Post übermittelt wurden), kein gleich oder besser geeignetes Mittel, das den Online-Abgleich der Versichertenstammdaten entbehrlich machen könnte. Aufgrund der Abhängigkeit von der Compliance der Versicherten sowie des Fehlens der Möglichkeit eines Echtzeitabgleichs handelt es sich um eine weniger effektive Methode (so zutreffend Schüttler, jurisPR-MedizinRecht 8/2022 Anm 5 und Lorenz, juris PR-ITR 6/2023 Anm 6; zur Wahrung des Verhältnismäßigkeitsgrundsatzes vgl auch BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 43 ff; s auch BSG Urteil vom 23.3.2023 - B 6 KA 14/22 R - SozR 4-2500 § 106a Nr 29 zum Erstattungsbegehren einer KÄV gegen eine Krankenkasse wegen Behandlungen vermeintlicher Grenzgänger aufgrund nicht mehr gültiger europäischer Krankenversicherungskarten).

36bb) Die Verarbeitung von Gesundheitsdaten (Art 4 Nr 15 DS-GVO) ist gemäß Art 9 Abs 1 DS-GVO grundsätzlich untersagt (Verbot mit Erlaubnisvorbehalt). Es greift jedoch jedenfalls die Ausnahme des Art 9 Abs 2 Buchst h iVm Art 9 Abs 3 DS-GVO. Danach ist die Verarbeitung von Gesundheitsdaten zulässig, wenn sie ua für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs vorbehaltlich der in Art 9 Abs 3 DS-GVO genannten Bedingungen und Garantien erforderlich ist (zur Erforderlichkeit s auch RdNr 34). Personenbezogene Gesundheitsdaten dürfen zu den in Art 9 Abs 2 Buchst h DS-GVO genannten Zwecken nach Art 9 Abs 3 DS-GVO nur von Fachpersonal oder unter dessen Verantwortung verarbeitet werden, das nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder durch Personen, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegen. Diese Voraussetzungen wurden hinsichtlich der Verarbeitung der auf der elektronischen Gesundheitskarte und im Rahmen der TI gespeicherten Daten erfüllt (s hierzu bereits BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 75 mwN). Gemäß Art 9 Abs 4 DS-GVO sind für Gesundheitsdaten ergänzend die im innerstaatlichen Recht zusätzlich statuierten Bedingungen und Beschränkungen zu beachten (vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 71 mwN). § 22 Abs 1 BDSG konkretisiert als nationale Regelung die Tatbestände, in denen die Verarbeitung besonderer Kategorien personenbezogener Daten ausnahmsweise zulässig ist (Art 9 Abs 2 Buchst b, g, h und i DS-GVO; vgl BT-Drucks 18/11325 S 94; Bieresborn, VSSAR 2/2023, 135, 179). Strengere Anforderungen an den Ermächtigungstatbestand als Art 9 Abs 2 Buchst h DS-GVO begründet die Vorschrift jedoch nicht.

374. Die Regelungen zum Online-Abgleich der Versichertenstammdaten alter Rechtslage widersprachen nicht den Vorgaben der DS-GVO zur Gewährleistung einer ausreichenden Datensicherheit. Die angemessene Sicherheit personenbezogener Daten war gewährleistet (dazu a). Eine vorherige Datenschutz-Folgenabschätzung war nicht erforderlich (dazu b). Die Regelungen zum Online-Abgleich der Versichertenstammdaten waren ausreichend normenklar ausgestaltet (dazu c). Die notwendige Überwachung für den sicheren Betrieb der Telematik war gewährleistet (dazu d). Der Gesetzgeber ist seiner Beobachtungs- und Nachbesserungspflicht nachgekommen (dazu e).

38a) Das streitige Normenkonzept ist mit den Vorgaben der DS-GVO zur Gewährleistung einer ausreichenden Datensicherheit vereinbar. Nach Art 5 Abs 1 Buchst f DS-GVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit"). Dazu gehört auch, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können (vgl ErwGr 39 zur DS-GVO). Jede Verarbeitung personenbezogener Daten muss ua mit den in Art 5 DS-GVO aufgestellten Grundsätzen im Einklang stehen (vgl EuGH Urteil vom 24.2.2022 - C-175/20 - EuZW 2022, 527, 529 RdNr 50 mwN).

39Für Verantwortliche enthält Art 24 DS-GVO eine allgemeine Verpflichtung für die Verarbeitung personenbezogener Daten, unter Beachtung der Eintrittswahrscheinlichkeit und Schwere von Risiken, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt (vgl ErwGr 74 ff zur DS-GVO; vgl auch EuGH Urteil vom 25.1.2024 - C-687/21 - EuZW 2024, 278, 280 RdNr 36 mwN). Nähere Konkretisierungen dazu finden sich in Art 25, 32 und 35 DS-GVO (vgl bereits BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 78 ff). Der EuGH interpretiert diese Vorgaben dahin, dass der für die Verarbeitung Verantwortliche verpflichtet ist, die Risiken einer Verletzung des Schutzes personenbezogener Daten einzudämmen, und nicht, jede Verletzung ihres Schutzes zu verhindern (vgl EuGH Urteil vom 25.1.2024 - C-687/21 - EuZW 2024, 278, 280 RdNr 39 mwN). Weder wird damit eine absolute Datensicherheit gefordert, noch wird postuliert, dass die DS-GVO das Risiko von Verletzungen des Schutzes personenbezogener Daten beseitigt. Vielmehr muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern (vgl EuGH Urteil vom 14.12.2023 - C-340/21 - EuZW 2024, 234, 235 RdNr 29 ff). Nach der Rechtsprechung des BSG zur elektronischen Gesundheitskarte und zur TI (vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 83 unter Hinweis auf BT-Drucks 19/18793 S 100 zu § 307) gilt, dass die Pflicht zur Verwendung bestimmter Dienste, Anwendungen, Komponenten und sonstiger Infrastrukturteile den oder die jeweiligen Verantwortlichen nicht von der Pflicht zur Ergreifung geeigneter und angemessener technischer und organisatorischer Maßnahmen entbindet, soweit diese zusätzlich erforderlich sind zB zur Sicherung von Konnektoren gegen unbefugten Zugang, Verwendung geeigneter Verschlüsselungsstandards nach dem Stand der Technik etc.

40b) Zur Gewährleistung einer ausreichenden Datensicherheit bei der Verarbeitung personenbezogener Daten beim Einlesen und der Durchführung des Online-Abgleichs der Versichertenstammdaten war nach der Rechtslage im Quartal 1/2019 eine vorherige Datenschutz-Folgenabschätzung nicht zwingend erforderlich.

41Art 35 Abs 1 Satz 1 DS-GVO verpflichtet den Verantwortlichen für den Fall, dass eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgenabschätzung).

42Ob eine Datenschutz-Folgenabschätzung nach Art 35 DS-GVO zwingend erforderlich ist, hängt von dem mit der vorgesehenen Verarbeitung verbundenen Risiko für den Datenschutz von Personen ab. Ein solches Risiko liegt insbesondere bei umfangreichen Verarbeitungsvorgängen vor. Hingegen soll die Verarbeitung personenbezogener Daten nicht als umfangreich gelten, wenn Gesundheitsdaten von Patienten betroffen sind und die Verarbeitung durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes erfolgt, sodass in diesen Fällen eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein soll (vgl ErwGr 91 DS-GVO). Die Gesetzesbegründung zu dem - erst nach dem streitigen Quartal 1/2019 - in Kraft getretenen § 307 SGB V (idF des PDSG) geht davon aus, dass die DS-GVO (ErwGr 91) offengelassen habe, ab welcher Größe das Tatbestandsmerkmal "umfangreich" erfüllt sei, und es daher auf eine wertende Betrachtung des Einzelfalls ankomme, ob Art, Umfang, Umstände oder die Zwecke der Verarbeitung eine zusätzliche Risikoerhöhung begründen. Die Gesetzesmaterialien gehen in diesem Zusammenhang davon aus, dass jedenfalls in Arztpraxen, in denen nicht mehr als 20 Personen beschäftigt sind, dies nicht der Fall ist (vgl BT-Drucks 19/18793 S 100 zu § 307). Zwar hat das SG die Anzahl der in der BAG beschäftigten Personen nicht festgestellt. Darauf kommt es aber nicht entscheidend an.

43Bei Einführung der TI und erstmaliger Anbindung der Klägerin im Quartal 1/2019 bestand für die Klägerin anfangs nur eine Verpflichtung zur Durchführung des Online-Abgleichs der Versichertenstammdaten, nicht aber zu weiteren TI-Anwendungen. Art, Umfang und Zweck der Datenverarbeitung im ersten Quartal 2019 begründeten daher kein so hohes Risiko für die Rechte und Freiheiten natürlicher Personen, dass zwingend eine vorherige Datenschutz-Folgenabschätzung notwendig gewesen wäre. Aber selbst wenn dieses Erfordernis bestanden hätte, beeinträchtigte ein Fehlen der Datenschutz-Folgenabschätzung nicht die Rechtmäßigkeit der Datenverarbeitung (vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 84 mwN; Nolte/Werkmeister in Gola/Heckmann, DS-GVO - BDSG, 3. Aufl 2022, Art 35 RdNr 74).

44c) Im Hinblick auf die Rechtslage im Quartal 1/2019 lag entgegen der Ansicht der Klägerin eine ausreichend normenklare Ausgestaltung der Regelungen in §§ 291 ff SGB V aF für den Bereich der elektronischen Gesundheitskarte und TI vor. Bereits im frühen Stadium der TI wurde dem Datenschutz - einschließlich der Datensicherheit - hohe Bedeutung beigemessen (vgl BSG Urteil vom 18.11.2014 - B 1 KR 35/13 R - BSGE 117, 224 = SozR 4-2500 § 291a Nr 1, RdNr 25 mwN zur Rechtslage vor dem PDSG; vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 97 mwN). Die Voraussetzungen und der Umfang der Datenverwendung waren klar erkennbar. Es unterlag keinem Zweifel, welche Angaben von wem zu welchem Zweck gespeichert, verwendet und verarbeitet werden durften (vgl hierzu § 284, § 291 Abs 1 und 2, § 291a SGB V aF). Die normenklare Begrenzung der Datenverwendung ergibt sich insbesondere aus folgenden Vorschriften: Die Gesellschaft für Telematik war im Rahmen ihrer Aufgaben nach § 291a Abs 7 Satz 1 und 2 SGB V aF gesetzlich verpflichtet, Vorgaben für die Datensicherheit beim Betrieb der TI zu schaffen und deren Umsetzung zu überwachen. Sie hatte nach § 291b Abs 1 Satz 1 SGB V (idF des Gesetzes zur Umsetzung der Richtlinie <EU> 2016/1148 des Europäischen Parlaments und des Rates vom 6.7.2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union vom 23.6.2017 mWv 30.6.2017, BGBl I 1885 - im Folgenden aF) die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen (Nr 1), Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen (Nr 2), Vorgaben für den sicheren Betrieb der TI zu erstellen und ihre Umsetzung zu überwachen (Nr 3), die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen (Nr 4) und Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung der in § 291a Abs 4 und 5a SGB V aF geregelten Zugriffsberechtigungen (Nr 5 Buchst a) und der Steuerung der Zugriffe auf Daten nach § 291a Abs 2 und 3 SGB V aF (Nr 5 Buchst b).

45d) Bereits nach der früheren Rechtslage unterlag die Gesellschaft für Telematik der Kontrolle durch das BSI und den BfDI, wodurch eine kontinuierliche Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben durch die Gesellschaft für Telematik und die Anbieter von Diensten und Anwendungen im Rahmen der TI iS des Art 32 Abs 1 Buchst d DS-GVO gewährleistet war. So musste die Gesellschaft Festlegungen und Maßnahmen nach § 291b Abs 1 Satz 1 SGB V aF, die Fragen der Datensicherheit berührten, im Einvernehmen mit dem BSI treffen (§ 291b Abs 1 Satz 3 SGB V aF). Sie hatte die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen (§ 291b Abs 1 Satz 4 SGB V aF). Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der TI ausging, war die Gesellschaft für Telematik in Abstimmung mit dem BSI befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen (§ 291b Abs 6 Satz 1 und 5 SGB V aF). Es waren Meldepflichten für die Betreiber von zugelassenen Diensten und bestätigten Anwendungen bei erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste an die Gesellschaft für Telematik (§ 291b Abs 6 Satz 2 und 3 SGB V aF), sowie entsprechende Meldepflichten an das BSI normiert (§ 291b Abs 6 Satz 4 SGB V aF). Nach § 291b Abs 7 Satz 1 SGB V aF konnte die Gesellschaft für Telematik für Komponenten und Dienste, die die TI nutzten, aber außerhalb der TI betrieben wurden, in Abstimmung mit dem BSI solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich waren, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der TI zu gewährleisten. In diesem Zusammenhang kommt dem Umstand, dass die Bundesrepublik Deutschland im Quartal 1/2019 nach § 291b Abs 2 Nr 1 SGB V aF noch nicht Mehrheitsgesellschafterin der Gesellschaft für Telematik war (vgl die Geschäftsanteile der in § 291a Abs 7 SGB V aF genannten Spitzenorganisationen: Spitzenverband Bund der Krankenkassen zu 50 % sowie zu 50 % die anderen Spitzenorganisationen: Kassenärztliche Bundesvereinigung, Kassenzahnärztliche Bundesvereinigung, Bundesärztekammer, Bundeszahnärztekammer, Deutsche Krankenhausgesellschaft, Spitzenorganisation der Apotheker auf Bundesebene), keine maßgebliche Bedeutung zu. Vielmehr sicherte die enge Einbindung des BSI in den gesamten Verfahrensablauf beim Ausbau und Betrieb der TI ausreichend die durch Art 32 Abs 1 DS-GVO angeordnete Berücksichtigung des Stands der Technik (vgl bereits BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 87).

46e) Aus dem Umstand, dass datenschutzbereichsspezifische Regelungen ergänzt worden sind, kann nicht gefolgert werden, dass das einschlägige Normenkonzept der §§ 291 ff SGB V aF im Quartal 1/2019 rechtsfehlerhaft gewesen ist. Der Gesetzgeber ist seiner Beobachtungs- und Nachbesserungspflicht nachgekommen, die zwangsläufig nur "für die Zukunft" gefordert werden kann (vgl BSG Urteil vom 13.12.2023 - B 6 KA 1/22 R - juris RdNr 39 mwN, auch zur Veröffentlichung in SozR 4 vorgesehen).

47aa) Die Einwände der Klägerin, dass bestimmte konkretisierende Regelungen erst nach dem streitigen Quartal 1/2019, teils durch das Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz - DVG - vom 9.12.2019 mWv 19.12.2019, BGBl I 2562) und teils durch das PDSG eingefügt worden sind, führen nicht zu einer anderen Beurteilung. Daraus kann nicht der Schluss gezogen werden, dass im Quartal 1/2019 keine ausreichenden Vorkehrungen im Hinblick auf die verfassungsrechtlich gebotene Gewährleistung der Datensicherheit bestanden hätten. Auch die Rechtsprechung des BVerfG basiert auf der Grundannahme, dass es keine absolute Datensicherheit gibt, und dass allein dieser Umstand die automatisierte Verarbeitung personenbezogener Daten nicht verbietet, solange ein Standard gewährleistet wird, der der Sensibilität der betroffenen Daten und dem jeweiligen Gefährdungsrisiko hinreichend Rechnung trägt, sich - etwa unter Rückgriff auf einfachgesetzliche Rechtsfiguren wie den Stand der Technik - an dem Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt (vgl bereits BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 102 mwN zur Rspr des BVerfG; in diese Richtung vgl EuGH Urteil vom 25.1.2024 - C-687/21 - EuZW 2024, 278, 280 RdNr 39 mwN).

48bb) Dem kann nicht mit Erfolg entgegengehalten werden, dass erst im PDSG ein hohes Schutzniveau ausdrücklich gesetzlich verankert worden sei (jetzt § 306 Abs 3 SGB V). Der Gesetzgeber hat den Auf- und Ausbau der TI nachgebessert und vorangetrieben. Nach Art 32 DS-GVO musste auch zuvor schon ein angemessenes Datenschutzniveau unter Berücksichtigung des Stands der Technik durch entsprechende Maßnahmen erreicht werden (vgl RdNr 45 und ErwGr 83; entsprechend der mWv 19.12.2019 in § 291b Abs 1 Satz 24 SGB V geregelten Gewährleistung des Datenschutzes und der Datensicherheit nach dem Stand der Technik auch für den grenzüberschreitenden Austausch von Gesundheitsdaten, jetzt § 311 Abs 3 Satz 4 SGB V). Soweit § 332 SGB V nF Vorgaben für die Wartung dezentraler TI-Komponenten enthält, sah auch bereits die durch das DVG mWv 19.12.2019 eingeführte Vorschrift des § 291b Abs 6a SGB V aF vor, dass die Dienstleister, die die TI-Konnektoren vor Ort in den Arztpraxen installieren bzw warten, über die notwendige Fachkunde verfügen müssen. Auch wenn konkretisierende Regelungen nicht bereits im Quartal 1/2019 existierten, ist der Gesetzgeber ausreichend zeitnah seiner Beobachtungs- und Nachbesserungspflicht nachgekommen, indem er auf die in der Praxis zu Tage getretenen datenschutzrechtlichen Defizite und Sicherheitslücken entsprechende Gegenmaßnahmen ergriffen hat (vgl hierzu im Einzelnen BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 105 mwN).

49cc) Ähnliches gilt auch, soweit der Gesetzgeber durch § 75b SGB V (idF des DVG vom 9.12.2019 mWv 19.12.2019) der Kassenärztlichen Bundesvereinigung aufgegeben hat, eine IT-Sicherheitsrichtlinie für die vertragsärztliche Versorgung zu erlassen, die mit dem BSI abzustimmenden Anforderungen zur Gewährleistung der IT-Sicherheit festzulegen und jährlich anzupassen. Dadurch wird gewährleistet, dass das hohe Sicherheitsniveau der TI auch der Maßstab für die Datensicherheit in den Vertragsarztpraxen ist (vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 105 mwN). Die "Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit" vom 16.12.2020 (DÄ 2021, 118 <3>, A 149) ist zwar erst am 23.1.2021 in Kraft getreten. Darin liegt aber kein Verstoß gegen die DS-GVO oder höherrangiges Recht.

50dd) Schließlich hat das BSG zu den Regelungen des PDSG bereits entschieden, dass der Gesetzgeber beim Auf- und Ausbau der TI den Vorgaben der DS-GVO Rechnung getragen und den Belangen des Datenschutzes und der Datensicherheit zentrale Bedeutung beigemessen hat (vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 88). Der Gesetzgeber hat auch ausreichende Vorkehrungen zur verfassungsrechtlich gebotenen Gewährleistung der Datensicherheit (vgl BVerfG Urteil vom 2.3.2010 - 1 BvR 256/08 ua - BVerfGE 125, 260, 344 f; BVerfG Beschluss vom 27.5.2020 - 1 BvR 1873/13 ua - BVerfGE 155, 119, 182 RdNr 135 sowie 205 RdNr 188) im Zusammenhang mit der elektronischen Gesundheitskarte und der TI getroffen. Er ist insoweit seiner Beobachtungs- und Nachbesserungspflicht ausreichend nachgekommen (vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 101 ff mwN).

51ee) Auch im Quartal 1/2019 sind hinreichende Vorkehrungen zur verfassungsrechtlich gebotenen Gewährleistung der Datensicherheit getroffen worden. Die Frage der verfassungskonformen Ausgestaltung der im Streit stehenden gesetzlichen Regelungen zur elektronischen Gesundheitskarte und TI hängt nicht davon ab, ob diese gesetzlichen Vorgaben zum Datenschutz und zur Datensicherheit in der Praxis durchgehend beachtet worden sind. Vielmehr ist nach der Rechtsprechung des BVerfG und BSG entscheidend, dass der Gesetzgeber ausreichende Vorkehrungen zur Gewährleistung eines dem Schutzniveau der betroffenen Daten und der Gefährdungslage angemessen Rechnung tragenden Maßes an Datensicherheit normativ getroffen hat und dabei auch seiner Beobachtungs- und Nachbesserungspflicht nachgekommen ist (vgl BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 101 ff mwN). Dies war hier der Fall.

52Aus dem gesamten Prozessstoff ergibt sich nicht, dass trotz der vielfältigen institutionellen Sicherungsmechanismen (vgl dazu oben RdNr 38 ff) ein angemessenes Maß an Datenschutz und Datensicherheit nicht gewährleistet gewesen wäre. Das SG hat keine tatsächlichen Sicherheitsmängel in der Anfangsphase der TI festgestellt. Die Klägerin kann sich im Rahmen ihrer Sprungrevision von vornherein nicht auf eine fehlende Beweiserhebung berufen (vgl § 161 Abs 4 SGG). Unabhängig davon liegen auch nach dem Vortrag der Klägerin keine substantiierten Hinweise auf ein systemisches Versagen der TI in der frühen Phase ihrer Einrichtung vor. Es ergeben sich keine Anhaltspunkte, dass die Aufsichtsbehörden konkreten Hinweisen auf Datenschutzverstöße oder Sicherheitsmängel systematisch nicht nachgegangen sind oder diese über längere Zeiträume nicht abgestellt haben. Dies gilt auch, soweit sich die Klägerin auf eine durch den BfDI angenommene Datenschutzverletzung iS des Art 4 Nr 12 DS-GVO aufgrund eines Vorfalls beim Einsatz und der Speicherung innerhalb des TI-Konnektor-Geräts beruft. Selbst wiederholt aufgetretene Störungen im anlaufenden Betrieb der TI begründen kein systemisches Versagen und stehen der Verpflichtung zur Anbindung nicht entgegen.

535. Die der Verpflichtung zur Einbindung in die TI und Durchführung des Online-Abgleichs der Versichertenstammdaten zugrunde liegenden Rechtsvorschriften sowie die daran anknüpfende Sanktionierung der Honorarkürzung nach § 291 Abs 2b Satz 3 und 14 SGB V aF verstoßen weder gegen Verfassungsrecht noch gegen die GRCh. Es liegt weder ein Verstoß gegen die Berufsausübungsfreiheit der Klägerin aus Art 12 Abs 1 Satz 2 GG vor (dazu a), noch kann die Klägerin einen höheren Schutz aus der GRCh beanspruchen (dazu b).

54Das BVerfG prüft innerstaatliches Recht und dessen Anwendung grundsätzlich auch dann am Maßstab der Grundrechte des Grundgesetzes, wenn es im Anwendungsbereich des Unionsrechts liegt, dabei aber durch dieses - wie hier (vgl EuGH Urteil vom 28.4.2022 - C-319/20 - NVwZ 2022, 945, 946 RdNr 57; EuGH Urteil vom 5.12.2023 - C-683/21 - DB 2023, 3007, 3011 RdNr 65) - nicht vollständig determiniert ist. Das schließt nicht aus, dass daneben im Einzelfall auch die GRCh Geltung beanspruchen kann (vgl BVerfG Beschluss vom 6.11.2019 - 1 BvR 276/17 - BVerfGE 152, 216, 233 RdNr 42 ff - Recht auf Vergessen II).

55a) Die Klägerin ist weder durch die einprozentige Honorarkürzung noch durch die Pflicht zur Anbindung an die TI in ihrer Berufsausübungsfreiheit aus Art 12 Abs 1 Satz 2 GG verletzt. In beiden Maßnahmen nach § 291 Abs 2b Satz 3 und 14 SGB V aF liegen Einschränkungen ihrer Berufsausübungsfreiheit. Eine Berufsausübungsregelung ist zulässig, wenn sie auf einer gesetzlichen Grundlage beruht (Art 12 Abs 1 Satz 2 GG), wenn sie durch vernünftige Gründe des Gemeinwohls gerechtfertigt ist, die gewählten Mittel zur Erreichung des verfolgten Zwecks geeignet und erforderlich sind und die durch sie bewirkte Grundrechtsbeschränkung dem Betroffenen zumutbar ist (vgl BVerfG Beschluss vom 10.4.2000 - 1 BvR 422/00 - SozR 3-2500 § 295 Nr 2 S 13). Eingriffszweck und Eingriffsintensität müssen stets in einem angemessenen Verhältnis stehen (vgl BVerfG Beschluss vom 20.3.2001 - 1 BvR 491/96 - BVerfGE 103, 172, 183 = SozR 3-5520 § 25 Nr 4 S 26). Dies ist hier der Fall.

56aa) Die Verpflichtung der Klägerin zur Anbindung an die TI und Durchführung des Online-Abgleichs der Versichertenstammdaten erfolgen mit dem legitimen Zweck, durch die Identifizierung ungültiger, verlorener oder gestohlen gemeldeter Karten Leistungsmissbrauch zu verhindern (s bereits oben RdNr 35). Die Aktualisierung bzw Berichtigung der auf der Karte gespeicherten Daten dient dem Wirtschaftlichkeitsgebot (vgl BSG Urteil vom 18.11.2014 - B 1 KR 35/13 R - BSGE 117, 224 = SozR 4-2500 § 291a Nr 1, RdNr 27) und der finanziellen Stabilität der GKV, somit einem überragend wichtigem Gemeinschaftsgut (vgl BVerfG Beschluss vom 13.9.2005 - 2 BvF 2/03 - BVerfGE 114, 196, 248 = SozR 4-2500 § 266 Nr 9 RdNr 139; BSG Urteil vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2, RdNr 44 mwN). Die Anbindung der Vertragsärzte als Akteure in der TI dient einer effektiven automatisierten Organisation des Gesundheitssystems der GKV und vermeidet kosten- und zeitintensive Einzelüberprüfungen des Versichertenstatus von Patienten. Zur Verwirklichung des Ziels der Sicherung der finanziellen Stabilität der GKV darf der Gesetzgeber innerhalb der vertragsärztlichen Versorgung die Vertragsärzte als Leistungserbringer in die Pflicht nehmen. Ihnen erwachsen besondere, auch wirtschaftliche Vorteile durch die Einbeziehung in das öffentlich-rechtliche System des Vertragsarztrechts. Im Rahmen ihrer Einbeziehung unterliegen sie in erhöhtem Maße der Einwirkung sozialstaatlicher Gesetzgebung, durch die zur Sicherung der finanziellen Stabilität in das System regulierend eingegriffen wird (vgl BVerfG Beschluss vom 10.4.2000 - 1 BvR 422/00 - SozR 3-2500 § 295 Nr 2 S 13). Die für die Klägerin normierte Verpflichtung zur Anbindung an die TI und die Durchführung des Online-Abgleichs der Versichertenstammdaten ist zur Erreichung des verfolgten Ziels geeignet und erforderlich. Insbesondere ist die Datenverarbeitung in diesem Zusammenhang notwendig, um den legitimen Zweck weitgehend automatisierter Abläufe in der Organisation des Gesundheitssystems mit verschiedenen Akteuren in der TI zu erreichen. Die sog Barcode-Lösung ist kein gleich oder besser geeignetes Mittel, das den Online-Abgleich der Versichertenstammdaten entbehrlich machen könnte (s bereits oben RdNr 35). Die Kürzung des Honorars der Vertragsärzte um ein Prozent bei unterbliebener Anbindung dient als notwendige Maßnahme, um möglichst zeitnah eine vollständige TI in der GKV unter Beteiligung der Vertragsärzte zu verwirklichen.

57bb) Sowohl die Verpflichtung zur Anbindung an die TI und Durchführung des Online-Abgleichs der Versichertenstammdaten als auch der einprozentige Honorarabzug bei Nichtbeachtung der Verpflichtung sind zumutbare Beschränkungen. Dem stehen nicht die von der Klägerin geltend gemachten Haftungsrisiken im Rahmen ihrer Verantwortlichkeit für die Datenverarbeitung entgegen (zur Verantwortlichkeit mit den entsprechenden Pflichten vgl bereits oben RdNr 27 ff und RdNr 38 ff). Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde (Art 82 Abs 2 Satz 1 DS-GVO). Im Falle einer gemeinsamen Verantwortlichkeit haften die Verantwortlichen jeweils für den gesamten Schaden (Art 82 Abs 4 DS-GVO). Nach Art 82 Abs 3 DS-GVO kann sich die Klägerin als Verantwortliche für die dezentralen TI-Komponenten iS des Art 4 Nr 7 DS-GVO exkulpieren. Nach der Rechtsprechung des EuGH hängt die Haftung des Verantwortlichen vom Vorliegen eines ihm anzulastenden Verschuldens ab, das - widerleglich - vermutet wird, wenn er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist (vgl EuGH Urteil vom 21.12.2023 - C-667/21 - EuZW 2024, 270, 277 RdNr 103). In diesem Zusammenhang ist der Verantwortliche verpflichtet, die Risiken einer Verletzung des Schutzes personenbezogener Daten einzudämmen und nicht jede Verletzung zu verhindern (vgl EuGH Urteil vom 25.1.2024 - C-687/21 - EuZW 2024, 278, 280 RdNr 39 mwN). Überdies muss eine Person, die von dem Verantwortlichen Schadensersatz nach Art 82 Abs 1 DS-GVO verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist (vgl EuGH Urteil vom 25.1.2024 - C-687/21 - EuZW 2024, 278, 282 RdNr 61). Für die Verhängung einer Geldbuße ist Voraussetzung der Nachweis eines schuldhaften Verstoßes (vgl Art 83 Abs 2 Satz 2 Buchst b, Abs 3 DS-GVO; hierzu EuGH Urteil vom 5.12.2023 - C-683/21 - DB 2023, 3007, 3012 RdNr 71 ff, 80). Das Risiko, von der Verhängung von Bußgeldern nach Art 83 DS-GVO betroffen zu sein, ist daher für die Klägerin eher gering.

58Im Ergebnis ist das öffentliche Interesse der Verhinderung von Leistungsmissbrauch der elektronischen Gesundheitskarte, der Einhaltung des Wirtschaftlichkeitsgebots und der Sicherung der finanziellen Stabilität der GKV als überragend wichtiges Gemeinschaftsgut (s dazu RdNr 56) höher zu bewerten als die Beschränkungen der Klägerin durch § 291 Abs 2b Satz 3 und 14 SGB V aF mit den aufgezeigten Haftungs- und Bußgeldrisiken als datenschutzrechtlich Verantwortliche iS des Art 4 Nr 7 DS-GVO für die dezentralen TI-Konnektoren.

59b) Einen höheren Grundrechtschutz kann die Klägerin nicht aus der GRCh beanspruchen, in der Annahme, dass hier die "Durchführung des Rechts der Union" nach Art 51 Abs 1 Satz 1 GRCh in Frage steht. Belässt das Unionsrecht den Mitgliedstaaten für die Umsetzung des Unionsrechts Gestaltungsspielräume - wie hier durch Öffnungsklauseln in der DS-GVO, die den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche - strengere oder einschränkende - nationale Vorschriften vorzusehen (vgl EuGH Urteil vom 28.4.2022 - C-319/20 - NVwZ 2022, 945, 946 RdNr 57; EuGH Urteil vom 5.12.2023 - C-683/21 - DB 2023, 3007, 3011 RdNr 65) - geht das BVerfG davon aus, dass durch eine Prüfung am Maßstab der Grundrechte des GG das Schutzniveau der GRCh, wie sie vom EuGH ausgelegt wird, in der Regel mitgewährleistet ist (vgl BVerfG Beschluss vom 6.11.2019 - 1 BvR 16/13 - BVerfGE 152, 152, 175 RdNr 55 - Recht auf Vergessen I).

60Diese Regel gilt nur dann nicht, wenn konkrete und hinreichende Anhaltspunkte dafür vorliegen, dass das für den jeweiligen Kontext maßgebliche Schutzniveau der GRCh durch eine ausschließliche Anwendung der deutschen Grundrechte beeinträchtigt sein könnte. Diese müssen sich aus dem Wortlaut und Regelungszusammenhang des Fachrechts ergeben. Solche Anhaltspunkte liegen insbesondere dann vor, wenn und soweit sich das im Einzelfall maßgebliche Schutzniveau aus Rechten der GRCh herleitet, die keine Entsprechung im Grundgesetz in seiner Auslegung durch die Rechtsprechung haben (vgl BVerfG Beschluss vom 6.11.2019 - 1 BvR 16/13 - BVerfGE 152, 152, 181 RdNr 69 - Recht auf Vergessen I).

61Das ist vorliegend nicht der Fall. Aus dem hier anzuwenden Normenkonzept der DS-GVO und der zulässigen nationalen Festlegung der Umstände von besonderen Verarbeitungssituationen (§§ 291 ff SGB V aF) ergeben sich keine Anhaltspunkte, dass die durch Art 15 Abs 1 GRCh geschützte Berufsfreiheit bzw die durch Art 16 GRCh geschützte unternehmerische Freiheit (vgl Jarass, GRCh, 4. Aufl 2021, Art 15 RdNr 4, Art 16 RdNr 4, 20 mwN) der Klägerin in diesem Kontext einen höheren Grundrechtsschutz gewährten als die in Art 12 Abs 1 GG statuierte Berufsfreiheit (zum Prüfmaßstab bei Eingriffen in die unternehmerische Freiheit von Art 16 GRCh vgl EuGH Urteil vom 22.1.2013 - C-283/11 - EuZW 2013, 347, 349 RdNr 47 ff; EuGH Urteil vom 17.10.2013 - C-101/12 - juris RdNr 27 ff). Im Übrigen hat sich die Klägerin in diesem Rechtsstreit nicht auf den Schutz aus der GRCh berufen.

626. Eine Vorlage an den EuGH nach Art 267 Abs 3 AEUV ist nicht geboten. Die Anwendung der DS-GVO und der Unionsgrundrechte werfen keine Fragen auf, die nicht schon aus sich heraus klar oder durch die Rechtsprechung des EuGH hinreichend geklärt sind (zu den Anforderungen vgl nur EuGH Urteil vom 6.10.2021 - C-561/19 - C.I.L.F.I.T.-Doktrin - ABl EU 2021 Nr C 481, 11). Solche Einwände hat die Klägerin auch nicht erhoben.