Anlage A Ziff. A.2. KmV-RL, Ermittlung der Schutzanforderungen und erforderlicher Maßnahmen

A.2.1. Die Ermittlung der Schutzanforderungen und erforderlicher Maßnahmen soll entsprechend der Vorgehensweise Standard-Absicherung des BSI-Standards 200-2 IT-Grundschutz-Methodik sowie 200-3 Risikoanalyse auf der Basis von IT-Grundschutz — jeweils unter Berücksichtigung des BSI-Standards 200-1 — oder vergleichbaren europäischen oder internationalen Standards (z. B. ISO/IEC 27000-Reihe) erfolgen.

A.2.2. Bei der Festlegung der Schutzanforderungen ist insbesondere zu beachten, dass für die Festlegung bzw. Änderung von Daten, die für die Authentifizierung bzw. Bereitstellung von Authentifizierungsdaten genutzt werden, das Schutzniveau der zu übermittelnden Daten maßgeblich ist.

A.2.3. Bei einer Änderung der Adresse des Berechtigten ist vom Schutzniveau "hoch" hinsichtlich Integrität auszugehen, da diese auch für eine Bereitstellung von Daten mit Schutzniveau "hoch" genutzt wird.

A.2.4.1 Die im Rahmen von Datenaustauschverfahren, welche auf Informationen nach dem BMG bzw. den entsprechenden Regelungen auf Landesebene basieren, erlangte Adresse gilt als sicher, wenn in dem zugrundeliegenden Verfahren eine Identifizierung des Versicherten unter Wahrung eines hohen Schutzanforderungsniveaus erfolgt ist und die Meldung eindeutig dem Versicherten zugeordnet werden kann. 2 Dies gilt insbesondere für an die Krankenkasse nach § 196 Absatz 2 SGB VI weitergeleitete Daten. 3 Ebenso gelten Adressen als sicher, die von den Stellen nach § 35 Absatz 1 Satz 4 SGB I erhoben und übermittelt wurden, sofern keine Anhaltspunkte für eine mögliche Unsicherheit der erhobenen und übermittelten Adresse bestehen.