Gründe

1I. Der bei der beklagten Krankenkasse (KK) versicherte Kläger ist mit seinem Begehren auf Ausstellung einer elektronischen Gesundheitskarte (eGK) ohne Lichtbild bei der Beklagten und in den Vorinstanzen ohne Erfolg geblieben. Das LSG hat zur Begründung seiner Entscheidung - unter Bezugnahme auf die SG-Entscheidung - ausgeführt: Die Verpflichtung zur Nutzung der eGK ergebe sich aus den §§ 15 und 291 SGB V. Gemäß § 291 Abs 1 Satz 1 SGB V stelle die KK für jeden Versicherten eine eGK aus. Sie diene nach § 291 Abs 1 Satz 2 SGB V als Versicherungsnachweis und Mittel zur Abrechnung von Leistungen der gesetzlichen Krankenversicherung und sei nach § 291 Abs 2 Satz 4 SGB V mit einem Lichtbild des Versicherten zu versehen. § 291 Abs 2 Satz 5 SGB V, der Versicherte hiervon ausnehme, deren Mitwirkung bei der Erstellung des Lichtbildes nicht möglich sei, gewähre kein Wahlrecht. Die zugrundeliegenden Regelungen verstießen weder gegen Verfassungs- noch gegen Datenschutzrecht, wie bereits mehrfach höchstrichterlich bestätigt worden sei (Hinweis auf BSG vom 18.11.2014 - B 1 KR 35/13 R - BSGE 117, 224 = SozR 4-2500 § 291a Nr 1; BSG vom 18.12.2018 - B 1 KR 31/17 R - BSGE 127, 181 = SozR 4-2500 § 284 Nr 4; BSG vom 11.11.2019 - B 1 KR 87/18 B - juris). Der Kläger könne auch nicht vor dem Hintergrund der Regelung in § 15 Abs 6 Satz 5 SGB V die erneute Ausstellung einer Ersatzbescheinigung verlangen (Urteil vom 24.9.2020).

2Mit seiner Beschwerde wendet sich der Kläger gegen die Nichtzulassung der Revision im LSG-Urteil.

3II. Die Beschwerde, mit der der Kläger allein die grundsätzliche Bedeutung der Rechtssache geltend macht (§ 160 Abs 2 Nr 1 SGG), ist jedenfalls unbegründet.

41. Grundsätzliche Bedeutung hat eine Rechtssache nur dann, wenn sie eine Rechtsfrage aufwirft, die - über den Einzelfall hinaus - aus Gründen der Rechtseinheit oder der Fortbildung des Rechts einer Klärung durch das Revisionsgericht bedürftig und fähig ist. Hieran fehlt es.

6Im Kern will der Kläger damit wissen, ob Versicherte Anspruch auf Ausstellung einer eGK ohne Lichtbild haben, weil von den KK Systeme mit geheimen Quellcodes zur Datenspeicherung genutzt werden. Zugleich will er damit wissen, ob im Rahmen der Telematikinfrastruktur geheime Quellcodes rechtmäßig eingesetzt werden dürfen.

7a) Die aufgeworfenen Rechtsfragen haben keine grundsätzliche Bedeutung; sie bedürfen keiner Klärung in einem Revisionsverfahren. Das Bedürfnis für die Klärung einer Rechtsfrage in einem Revisionsverfahren fehlt, wenn das BSG die Rechtsfrage zwar nicht unter den dort aufgeworfenen Aspekten ausdrücklich behandelt hat, aber deren Beantwortung einerseits nach der klaren Rechtslage nicht ernsthaft in Zweifel steht (vgl auch BSG vom 4.6.1975 - 11 BA 4/75 - BSGE 40, 40, 42 = SozR 1500 § 160a Nr 4 S 5; BSG vom 19.7.2012 - B 1 KR 65/11 B - SozR 4-1500 § 160a Nr 32 RdNr 17) und verbleibende Restzweifel andererseits aufgrund der dazu ergangenen höchstrichterlichen Rspr im Ergebnis jedenfalls bereits ausgeräumt sind, sodass eine weitere Klärung oder Fortentwicklung des Rechts nicht mehr zu erwarten ist (vgl BSG vom 7.3.2017 - B 2 U 140/16 B - SozR 4-1920 § 52 Nr 18 RdNr 8; BSG vom 19.12.2017 - B 1 KR 17/17 B - juris RdNr 6 mwN). So liegt der Fall hier.

8Der erkennende Senat hat bereits entschieden, dass die aktuellen Regelungen zur eGK mit höherrangigem Recht vereinbar sind (vgl BSG vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2 RdNr 14 ff mwN). § 291 Abs 2 Satz 4 und 5 SGB V (ab dem 20.10.2020: § 291a Abs 5 SGB V) bestimmt: Die eGK ist mit einem Lichtbild des Versicherten zu versehen. Versicherte bis zur Vollendung des 15. Lebensjahres sowie Versicherte, deren Mitwirkung bei der Erstellung des Lichtbildes nicht möglich ist, erhalten eine eGK ohne Lichtbild. Die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der eGK nach Maßgabe der einschlägigen Vorschriften des SGB V ist nach der genannten Rspr des erkennenden Senats - unabhängig davon, ob die DSGVO hierauf anwendbar ist - jedenfalls durch die Ermächtigungen in Art 6 Abs 1 Buchst c und e iVm Abs 3 DSGVO und - soweit besondere Kategorien von Daten iS von Art 9 Abs 1 DSGVO betroffen sind - Art 9 Abs 2 Buchst h und Abs 3 DSGVO gedeckt. Die gesetzlichen Regelungen stehen danach auch mit den Vorgaben zur Gewährleistung von Datensicherheit (Art 5 Abs 1 Buchst f, Art 32, 35, 25 DSGVO) in Einklang (vgl hierzu ausführlich BSG vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2 RdNr 29 ff). Nach dieser Rspr verletzt die gesetzliche Obliegenheit zur Nutzung der eGK die betroffenen Versicherten auch nicht in ihren Grundrechten. Der in der Obliegenheit zur Nutzung der eGK und der Verarbeitung der damit im Zusammenhang stehenden personenbezogenen Daten des Klägers liegende Grundrechtseingriff ist sowohl am Maßstab des nationalen Grundrechts auf informationelle Selbstbestimmung (Art 2 Abs 1 iVm Art 1 Abs 1 GG), als auch am Maßstab der durch die Art 7 und 8 Europäische Grundrechtecharta garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten gerechtfertigt (vgl hierzu im Einzelnen BSG vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2 RdNr 90 ff).

9b) Dass die Beklagte bzw die für die Verarbeitung personenbezogener Daten im Rahmen der Telematikinfrastruktur Verantwortlichen (vgl § 307 SGB V) - nach dem Vortrag des Klägers - zur Datenspeicherung Systeme mit geheimen Quellcodes nutzt und die zugrundeliegenden gesetzlichen Regelungen dies nicht unterbinden, steht dem nicht entgegen. Wie der Senat bereits entschieden hat, gibt die Verfassung nicht detailgenau vor, welche Sicherheitsmaßgaben im Einzelnen geboten sind (BSG vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2 RdNr 102 unter Hinweis auf BVerfG vom 2.3.2010 - 1 BvR 256/08 ua - BVerfGE 125, 260, 326), sondern belässt dem Gesetzgeber insofern einen Einschätzungs-, Wertungs- und Gestaltungsspielraum, der auch Raum lässt, etwa konkurrierende öffentliche und private Interessen zu berücksichtigen (BSG, aaO, unter Hinweis auf BVerfG vom 29.10.1987 - 2 BvR 624/83 ua - BVerfGE 77, 170, 215 f; BVerfG vom 2.7.2018 - 1 BvR 612/12 - juris RdNr 41 mwN). Insofern liegt auch der Rspr des BVerfG zugrunde, dass es keine absolute Datensicherheit gibt und dass allein dieser Umstand die automatisierte Verarbeitung personenbezogener Daten nicht verbietet. Im Ergebnis muss jedoch ein Standard gewährleistet werden, der insbesondere der Sensibilität der betroffenen Daten und dem jeweiligen Gefährdungsrisiko hinreichend Rechnung trägt. Dabei ist sicherzustellen, dass sich dieser Standard - etwa unter Rückgriff auf einfachgesetzliche Rechtsfiguren wie den Stand der Technik (vgl hierzu allgemein Fischer/Ekrot/Müller in Kipker, Cybersecurity, 1. Aufl 2020, Kap 3) - an dem Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt. Hierbei erfolgt auch nach der Rspr des BVerfG eine Überprüfung vor allem am Maßstab des vorhandenen Normengeflechts zur Gewährleistung von Datensicherheit.

10Erforderlich sind gesetzliche Regelungen, die einen ausreichend hohen Sicherheitsstandard in qualifizierter Weise jedenfalls dem Grunde nach normenklar und verbindlich vorgeben. Verfassungsrechtlich geboten sein können weiterhin eine für die Öffentlichkeit transparente Kontrolle unter Einbeziehung unabhängiger Datenschutzbeauftragter sowie ein ausgeglichenes Sanktionensystem, das auch Verstößen gegen die Datensicherheit ein angemessenes Gewicht beimisst (vgl BVerfG vom 2.3.2010 - 1 BvR 256/08 ua - BVerfGE 125, 260, 326 f). Darüber hinaus trifft den Gesetzgeber eine Beobachtungs- und ggf Nachbesserungspflicht (vgl dazu allgemein BVerfG vom 28.5.1993 - 2 BvF 2/90 ua - BVerfGE 88, 203, 309 ff; BVerfG vom 24.1.2012 - 1 BvR 1299/05 - BVerfGE 130, 151, 198 f = juris RdNr 161; BVerfG vom 2.7.2018 - 1 BvR 612/12 - juris RdNr 42, mwN; Isensee in Isensee/Kirchhof, Handbuch des Staatsrechts, Bd IX, 3. Aufl 2011, § 191 RdNr 285 ff), um zB auf sich künftig zeigende Sicherheitslücken zu reagieren (vgl BSG vom 18.11.2014 - B 1 KR 35/13 R - BSGE 117, 224 = SozR 4-2500 § 291a Nr 1, RdNr 34; Kühling/Seidel in Kingreen/Kühling, 1. Aufl 2015, Gesundheitsdatenschutzrecht, S 181). Dem entsprechen die maßgeblichen gesetzlichen Regelungen (vgl BSG vom 20.1.2021 - B 1 KR 7/20 R - BSGE 131, 169 = SozR 4-2500 § 291a Nr 2 RdNr 104 mwN). Der Gesetzgeber ist seiner Beobachtungs- und Nachbesserungspflicht bislang ausreichend nachgekommen (vgl hierzu BSG, aaO, RdNr 105 f mwN). Durch die speziellen datenschutzrechtlichen Rechtsbehelfe nach Art 77 ff DSGVO iVm §§ 81 ff SGB X ist auch eine effektive Kontrolle der Einhaltung der datenschutzrechtlichen Vorgaben durch die Gerichte gewährleistet (vgl BSG, aaO, RdNr 99 f und 111).

11c) Aus dem Vortrag des Klägers ergeben sich keine Anhaltspunkte dafür, dass - orientiert am Entwicklungs- und Erkenntnisstand der aktuellen Fachdiskussion - Systeme mit geheimen Quellcodes nach dem gegenwärtigen Stand der Technik kein vertretbares Sicherheitsniveau gewährleisten könnten und der Gesetzgeber daher insoweit zur Nachbesserung verpflichtet wäre. Zudem wäre der Kläger gehalten, sich bei eventuellen Verstößen gegen diese mittels der datenschutzrechtlichen Rechtsbehelfe zu wehren.

122. Der Senat sieht von einer weiteren Begründung ab (§ 160a Abs 4 Satz 2 Halbsatz 2 SGG).