Tenor 1. Die Klage wird abgewiesen. 2. Der Kläger trägt die Kosten des Verfahrens einschließlich der außergerichtlichen Kosten der Beigeladenen. 3. Die Berufung wird zugelassen. Tatbestand 1 Zwischen den Beteiligten steht eine Honorarkürzung aufgrund der Nichtanbindung des Klägers an die Telematikinfrastruktur (TI) und die damit verbundene Nichtdurchführung des Versichertenstammdaten-Abgleichs im Quartal 1/2019 in Streit. 2 Der Kläger ist als Facharzt für Allgemeinmedizin in S. zur vertragsärztlichen Versorgung zugelassen. 3 Mit Schreiben vom 30.07.2019 teilte der Kläger der Beklagten mit, dass die zur Anbindung an die TI benötigten Komponenten nicht bestellt worden seien. 4 Mit Bescheid vom 16.08.2019 kürzte die Beklagte daraufhin das vertragsärztliche Honorar des Klägers für das Quartal 1/2019 um ein Prozent, somit aufgrund des kürzungsrelevanten GKV-Gesamthonorars in Höhe von insgesamt 42.158,07 EUR um 421,58 EUR. Zur Begründung wurde ausgeführt, der Gesetzgeber habe in den §§ 291 ff. Fünftes Buch Sozialgesetzbuch (SGB V) die Grundlage zur Verpflichtung aller Vertragsärzte zur Anbindung an die TI bis zum 01.01.2019 festgesetzt. Die TI sei gemäß den Vorgaben des Gesetzgebers geschaffen worden, um alle Beteiligten im Gesundheitswesen besser miteinander zu vernetzen. Ziel sei es, einen schnelleren, umfassenderen und effektiveren Zugriff auf medizinische Informationen als bisher zu erhalten, was der Qualität und Wirtschaftlichkeit im Gesundheitswesen zugutekomme. Die TI sei ein geschlossenes Netz, zu dem nur registrierte Nutzer mit elektronischem Ausweis Zugang erhielten. Es solle damit eine Kommunikationsinfrastruktur im Gesundheitswesen zum sicheren Austausch wichtiger medizinischer Daten geschaffen werden. Nach § 291 SGB V umfasse der Personenkreis der Leistungserbringer, für die eine Anbindung an die TI verpflichtend sei, auch die Vertragsärzte. Die Leistungserbringer seien verpflichtet, die notwendigen Voraussetzungen zu schaffen, um die von den Krankenkassen zur Verfügung gestellten Dienste zur Prüfung von Gültigkeit und Aktualität der Versichertendaten nach § 291 Abs. 1, 2 SGB V nutzen zu können. Dazu müsse der Vertragsarzt technisch den VSD-Abgleich durchführen können. Die zur Anwendung an die TI erforderlichen technischen Komponenten zur Herstellung der Funktionsfähigkeit ergäben sich aus § 2 der Anlage 32 Bundesmantelvertrag-Ärzte (BMV-Ä). Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer seien gemäß § 291 Abs. 2b Satz 3 SGB V verpflichtet, den VSD-Abgleich bei jedem ersten Arzt-Patienten-Kontakt im Quartal durchzuführen und dies gegenüber der Beklagten mit den Abrechnungsunterlagen nachzuweisen. Aus § 291 Abs. 2b Satz 14 SGB V folge, dass den an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringern, die diese Prüfung ab dem 01.01.2019 nicht durchführten, die Vergütung vertragsärztliche Leistungen pauschal um ein Prozent solange zu kürzen sei, bis sie die Prüfung durchführten. Davon sei bis zum 30.06.2019 abzusehen, wenn die Leistungserbringer nachwiesen, dass sie bereits vor dem 01.04.2019 die Anschaffung der erforderlichen Ausstattung vertraglich vereinbart hätten. 5 Der Kläger gehöre als Facharzt für Allgemeinmedizin mit einem vollen Versorgungsauftrag zu den Leistungserbringern, deren Anbindung an die TI nach § 291 Abs. 2b Satz 3 SGB V verpflichtend sei. Er habe mit Schreiben vom 26.07.2019 bzw. 30.07.2019 rechtsverbindlich erklärt, die erforderlichen TI-Komponenten nicht bestellt zu haben. Daraus resultiere, dass mangels technischer Gegebenheiten auch der Abgleich der VSD ab dem 01.01.2019 nicht erfolgt sei. Daher werde die Vergütung auf Grundlage des § 291 Abs. 2b SGB V ab dem 01.01.2019 pauschal um ein Prozent gekürzt. Aufgrund der Erklärung, dass die Ausstattung nicht bestellt worden sei, könne auch von der Kürzung der Vergütung nicht bis zum 30.06.2019 abgesehen werden. Die kürzungsrelevante Vergütung sei das GKV-Honorar ohne Labor, ohne Kosten, ohne Wegegebühr und ohne Notfalldienste aus den Notfalldienstpraxen. Der pauschale Abzug betrage somit 421,58 EUR und werde voraussichtlich im nächsten Honorarbescheid für das Quartal 2/2019 belastet. 6 Dagegen legte der Kläger mit Schreiben seines Prozessbevollmächtigten am 20.09.2019 Widerspruch ein. In der Folge führte er zur Begründung aus, die seitens des Gesetzgebers auferlegte Pflicht zur Durchführung des Versichertenstammdaten (VSD)-Abgleichs mit den derzeit von der G. zugelassenen Telematik-Komponenten-Modellen sei für die Leistungserbringer nur unter Verstoß gegen höherrangiges Recht möglich. Die Nutzung der TI-Komponente Konnektor verstoße zumindest in der derzeitigen Form gegen die Vorschriften der Datenschutzgrundverordnung (DSGVO). Zudem führten diese Datenschutzverstöße im Ergebnis zu einem vom Kläger nicht hinzunehmenden, unverhältnismäßigen Eingriff in seine Berufsausübungsfreiheit nach Art. 12 Grundgesetz (GG). 7 Zur technischen Durchführung des VSDM diene die sogenannte TI, bestehend aus zwei Zonen, der sogenannten zentralen Zone einerseits – nämlich der zentralen Vernetzung zwischen allen Beteiligten-, und der sogenannten dezentralen Zone, nämlich der notwendigen technischen Ausstattung und Anbindung des jeweiligen Beteiligten z. B. in der Arztpraxis. Über die dezentrale Zone der TI, nämlich über den in der Arztpraxis zu installierenden Konnektor und das daran angeschlossene Kartenlesegerät, würden die auf der Gesundheitskarte gespeicherten Daten eines jeden Patienten ausgelesen und an die zentrale Zone der TI zum Abgleich mit den bei der Krankenversicherung gespeicherten Daten weitergesandt. Dies stelle eine Datenverarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Neben den eigentlichen Stammdaten des Versicherten würden auch bereits gesundheitsbezogene Daten gespeichert und verarbeitet. Auf der elektronischen Gesundheitskarte werde nach dem „Fachkonzept Versichertenstammdatenmanagement“ der G. und der „Technischen Anlage zur Anlage 4“ ein DMP-Kennzeichen zu bestimmten chronischen Erkrankungen, mithin Gesundheitsdaten, gespeichert. 8 Eine Datenverarbeitung sei im Ansatz rechtlich überhaupt nur zulässig, wenn ein „Verantwortlicher“ der Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO feststehe, denn die Pflichten aus Art. 5 DSGVO setzten zum großen Teil der Datenverarbeitung zeitlich vorgelagerte Maßnahmen voraus. Die datenschutzrechtliche Verantwortlichkeit für die TI sei jedoch ungeklärt bzw. niemand habe sich zu dieser Verantwortung bekannt, geschweige denn die daraus erwachsenden Pflichten erfüllt. Das Pflichtenregime der DSGVO laufe ins Leere, solange sich der Verantwortliche für eine Datenverarbeitung nicht bestimmen lasse. Die Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länger habe am 12.09.2019 einen Beschluss dahingehend gefasst, dass sie zur Frage der datenschutzrechtlichen Verantwortlichkeit innerhalb der TI die Auffassung vertrete, dass die G. für die zentrale Zone der TI datenschutzrechtlich allein verantwortlich und für die dezentrale Zone der TI datenschutzrechtlich mitverantwortlich sei. Ferner mahne sie eine gesetzliche Regelung der Verantwortung der G. für die dezentrale Zone an. Wer weiter „mitverantwortlich“ sei, werde offengelassen. 9 Die fehlende Klärung der datenschutzrechtlichen Verantwortlichkeit stelle einen Verstoß gegen Art. 5 DSGVO und gegen das verfassungsrechtliche Bestimmtheitsgebot dar. Ferner stelle dies einen Verstoß gegen Art. 9 Abs. 2 i) DSGVO, sowie § 22 Abs. 1 Ziff. 1 c), Abs. 2 Bundesdatenschutzgesetz (BDSG) dar. Weiter fehle ein Regelungswerk im Sinne von Art. 26 Abs. 1 Satz 2 DSGVO, aus welchem hervorgehe, wer für die dezentrale Zone die Mitverantwortlichen seien und wer welche Pflicht der DSGVO erfülle. 10 Weiter werde mangels Durchführung einer Sicherheitsbewertung in Form einer sog. Datenschutzfolgenabschätzung („DSFA“) durch die G. gegen Art. 35 DSGVO verstoßen. 11 Ferner würden die Art. 5 Abs. 1 f), Art. 24 Abs. 1 Satz 2, Artikel 32 Abs. 1 d) DSGVO und § 291b Abs. 1 Satz 1 Ziff. 3, Abs. 1a Satz 6 SGB V durch die anfänglichen technischen Vorgaben seitens der G. und des Bundesamtes für Sicherheit der Informationstechnik (BSI) verletzt. Die für die Zertifizierung der TI-Konnektoren entwickelten sog. Schutzprofile, in denen die technischen Vorgaben für die TI-Konnektoren niedergelegt seien, sähen mit der Stufe EAL3 eine zu niedrige Sicherheitsstufe vor. Bei der Verarbeitung von Gesundheitsdaten im Rahmen des VSDM sei mindestens die Sicherheitsstufe EAL4 erforderlich. 12 Auch fehle es entgegen Art. 5 Abs. 1 f), Art. 24 Abs. 1 Satz 2, Art. 32 Abs. 1 d) DSGVO an den gesetzlichen erforderlichen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Bereits jetzt würden nachweislich veraltete, nicht gewartete Open-Source-Softwarebestände in den TI-Konnektoren verwendet, die bekannte Sicherheitsmängel aufwiesen. Das Schutzprofil BSI-CC-PP-0047-2015 weise mehrere Sicherheitsmängel auf (Fernwartungszugang durch das freie Internet mit einfachem Passwort oder PIN, nicht hinreichend sichere Verschlüsselungstechnik, problematischer Schutz der Patientendaten im IT-System der Praxis). 13 Angesichts dieser zahlreichen datenschutzrechtlichen Verstöße könne der jeweilige Arzt nicht verpflichtet werden, an der Datenverarbeitung im Zuge des VSDM als datenschutzrechtlicher „Mitverantwortlicher“ nach Art. 26 DSGVO mitzuwirken und sich so auch der finanziellen Mithaftung für Verstöße auszusetzen. 14 Auch verstoße die derzeitig rechtliche und tatsächliche Umsetzung der gesetzlichen Vorschriften zur elektronischen Gesundheitskarte und zum TI-Konnektor gegen das Grundrecht des Klägers aus Art. 12 GG. Es gebe organisatorische und technische datenschutzrechtliche Verstöße und umfangreiche konkrete Sicherheitsmängel. Der derzeitige Zustand führe bei den Ärzten zu einem datenschutzrechtlich rechtswidrigen Zustand und zu erheblichen Gefährdungen der auf der elektronischen Gesundheitskarte gespeicherten Patientendaten und der im Praxisinformationssystem der Ärzte gespeicherten weiteren Gesundheitsdaten. Der Kläger könne daher nicht zur Teilnahme am VSDM verpflichtet und auch nicht sanktioniert werden. 15 Mit Widerspruchsbescheid vom 11.12.2019 wies die Beklagte den Widerspruch zurück und führte zur Begründung aus, die DSGVO enthalte in Art. 6 Abs. 2 und Art. 9 Abs. 2 Öffnungsklauseln für den nationalen Gesetzgeber, unter anderem im Sozialleistungsbereich sowie im Bereich der Gesundheitsversorgung. Der nationale Gesetzgeber dürfe also insbesondere im SGB eigene bzw. spezifische Regelungen schaffen bzw. diese beibehalten. Das VSDM sei in § 291 Abs. 2b SGB V geregelt. Satz 2 dieser Vorschrift lege den Leistungserbringern grundsätzlich die Pflicht auf, einen VSD-Abgleich unter Nutzung der angebotenen Dienste durchzuführen. Diese Verpflichtung stelle gleichzeitig die gesetzliche Übermittlungsbefugnis der hierfür erforderlichen Daten dar. Nachdem die Datenübermittlung gesetzlich vorgegeben sei, bedürfe es hierfür keiner Patienteneinwilligung. Auch das Sozialgericht (SG) München habe in seinem Beschluss vom 22.03.2019 (Az.: S 38 KA 52/19 ER) ausgeführt, dass ein Verstoß gegen das Datenschutzrecht nicht ersichtlich sei, da die Regelungen zur Ausgestaltung und Verwendung der elektronischen Gesundheitskarte mit höherrangigem Recht, vor allem mit dem Grundrecht des Patienten auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts, vereinbar seien. Hinzu komme, dass die Einhaltung des Datenschutzes auch dadurch sichergestellt sei, dass alle Beschlüsse der Gesellschaft für T. dem Bundesministerium für Gesundheit und soziale Sicherung vorgelegt werden müssten und auch der Bundesbeauftragte für Datenschutz zu beteiligen sei (§ 291b Abs. 4 SGB V). 16 Es entspreche nicht den Tatsachen, dass beim VSDM neben den eigentlichen Stammdaten auch bereits gesundheitsbezogene Daten nach Art. 9 Abs. 1 der DSGVO gespeichert und verarbeitet würden. Gesundheitsbezogene Daten zu chronischen Erkrankungen seien nicht Bestandteil der Daten, die über den VSD-Abgleich abgerufen würden. Es sei lediglich möglich, dass die elektronische Gesundheitskarte über die oben aufgeführten Angaben hieraus auch Angaben zum Nachweis von Wahltarifen nach § 53 SGB V enthalten könne. Bei dem DMP-Programm handele es sich um einen Wahltarif nach § 53 Abs. 3 SGB V. Der Patient könne demnach individuell bestimmen, ob ein Wahltarif gespeichert werden solle. Nach Art. 9 Abs. 2 a) der DSGVO sei es ohnehin zulässig, Gesundheitsdaten zu verarbeiten, sofern die betroffene Person eingewilligt habe. Nachdem die gesetzlichen Grundlagen im Rahmen der TI die Verarbeitung von Gesundheitsdaten nur mit Einwilligung der betroffenen Personen erlaubten, sei den Vorschriften der DSGVO Genüge getan. Die Versicherten könnten die Gesundheitsdaten, die auf der elektronischen Gesundheitskarte gespeichert seien, jederzeit selbst bestimmen und im Zuge dessen festlegen, ob und welche medizinischen Daten auf oder mittels der elektronischen Gesundheitskarte gespeichert würden. Diese könnten die Versicherten auch einsehen und ggf. löschen. Beim Auslesen von gesundheitsbezogenen Daten gelte als weitere Sicherheitsmaßnahme das Zwei-Schlüssel-Prinzip. Zunächst müsse der Versicherte seine Gesundheitskarte in das Kartenterminal einstecken und der Arzt sich durch seinen Heilberufsausweis legitimieren. Anschließend müsse der Versicherte seine persönliche PIN eingeben, ehe die Daten entschlüsselt und gelesen werden könnten. 17 Die DSK habe in ihrem Beschluss vom 12.09.2019 die Auffassung geäußert, dass die G. mitverantwortlich für die dezentrale Zone der TI sei. Die Ärzte seien nach Vortrag des Klägers Mitverantwortliche im Sinne von Art. 26 Abs. 1 DSGVO. Die Verantwortlichkeiten nach der DSGV seien demnach geklärt und anerkannt. Eine nichtvorhandene Vereinbarung nach Artikel 26 Abs. 1 DSGVO führe bei Vorliegen einer gemeinsamen Verantwortlichkeit im Ergebnis dazu, dass jeder der Verantwortlichen für einen etwaigen Gesamtschaden gesamtschuldnerisch hafte. Für den Betroffenen, also den Patienten, habe eine fehlende Vereinbarung keinerlei Auswirkungen. Im Außenverhältnis gelte nach Art. 26 Abs. 3 DSGVO, dass die betroffene Person ihre Rechte im Rahmen der DSGVO bei oder gegenüber jedem einzelnen der Verantwortlichen geltend machen könne. Eine fehlende Vereinbarung führe auch nicht zu einem datenschutzrechtlich rechtswidrigen Zustand für die betroffene Person, also den Patienten, sondern habe ausschließlich Folgen in Bezug auf die Haftung im Innenverhältnis. Der Kläger könne selbst auf den Abschluss einer Vereinbarung hinwirken. Ob und inwieweit eine DSFA erforderlich sei, könne hier nicht geklärt werden, jedoch könne erforderlichenfalls auch hier der Kläger selbst auf eine DSFA hinwirken. Was die Regulierung und Überprüfung der Installation der TI-Konnektoren angehe, habe jeder Verantwortliche selbst für die Sicherheit der Praxis-IT Sorge zu tragen. 18 Etwaige Rechtsverletzungen in Bezug auf eine fehlende Vereinbarung nach Art. 26 Abs. 1 DSGVO, eine fehlende DSFA nach Art. 35 DSGVO oder eine fehlende Regulierung und Überprüfung der Installation der TI-Kollektoren und damit ggf. verbundene Folgen, könnten ohnehin nicht dazu führen, dass der Kläger von der Pflicht zur VSDM entbunden werde. Die Beklagte sei zur Anwendung des geltenden Rechts verpflichtet. Darüber hinaus sei eine Rechtswidrigkeit der zugrundeliegenden Vorschrift betreffend der Verpflichtung zum VSDM nicht ersichtlich und auch nicht dargetan. Der Kläger habe es selbst in der Hand, durch Erfüllung der gesetzlichen Verpflichtungen im Rahmen seiner Stellung als Mitverantwortlicher die von ihm angeführten Verstöße gegen die DSGVO zu beenden und rechtmäßige Zustände herzustellen. 19 Die behaupteten umfangreichen Sicherheitsmängel bei den TI-Komponenten lägen nicht vor. Der Konnektor besitze neben den notwendigen Funktionen eines Routers umfangreiche Sicherheitsfunktionen wie z. B. eine Firewall. Alle eingesetzten TI-Komponenten seien ausreichend geprüft und erfüllten die für die jeweilige Verarbeitungsform erforderlichen datenschutzrechtlichen Anforderungen. Bei etwaigen Sicherheitsmängeln resultierten diese nicht aus der technischen Umsetzung der TI durch die G., sondern durch nicht den gesetzlichen Vorgaben entsprechende Installation und Betrieb der Komponenten. 20 Auch eine Grundrechtsverletzung nach Art. 12 GG liege nicht vor, da bereits kein Eingriff in den Schutzbereich gegeben sei. Selbst wenn man von einem derartigen Eingriff ausgehen würde, sei dieser gerechtfertigt. Die gesetzlich vorgeschriebene Verwendung der TI und der damit verbundenen Verpflichtung zum VSDM könnte lediglich einen Eingriff im Rahmen der Berufsausübung, also der Regelung der Art und Weise der beruflichen Tätigkeit, darstellen. Dabei handele es sich nur um eine geringere Beeinträchtigung des Grundrechts nach Art. 12 GG. Eingriffe in die Berufsausübungsfreiheit seien bereits dann gerechtfertigt, wenn vernünftige Erwägungen des Allgemeinwohls diese zweckmäßig erscheinen ließen. Das Interesse des Klägers eine Nichtanbindung an die TI stehe einer Vielzahl von allgemeinen Interessen entgegen. Insbesondere solle durch das VSDM, das eine Anbindung an die TI voraussetze, der Missbrauch der Inanspruchnahme von Kassenärztlichen Leistungen verhindert werden und damit der Kosteneinsparung und dem Erhalt der finanziellen Stabilität der gesetzlichen Krankenversicherung dienen. Durch die Anbindung an die TI und das VDSM sei es möglich, einen schnelleren, umfassenderen und effektiveren Zugriff auf medizinische Informationen als bisher zu erhalten. Dies trage zur Qualität und Wirtschaftlichkeit der Leistungserbringung in der GKV bei. Der online auszuführende VSD-Abgleich ermögliche es zudem, ungültige sowie als verloren oder gestohlen gemeldete Karten zu identifizieren. Mit dem zu erwartenden Nutzen für die Allgemeinheit sprächen vernünftige Erwägungen des Allgemeinwohls für die Rechtfertigung des Eingriffs. Wie bereits ausgeführt seien im Hinblick auf die Datensicherheit keine Beeinträchtigungen gegeben. Die behaupteten Datenschutzverstöße bzw. Sicherheitsmängel lägen nicht vor. 21 Dagegen hat der Kläger am 13.01.2020 die hier vorliegende Klage zum Sozialgericht Stuttgart erhoben und zur Begründung zunächst seinen Vortrag aus dem Widerspruchverfahren wiederholt und vertieft. 22 Er hat nochmals betont, dass trotz der gesetzlichen Vorgaben aus Art. 5 Abs. 1 DSGVO und trotz des Umstandes, dass über den TI-Konnektor personenbezogene Daten im Zuge des VSDM in erheblichem Umfang verarbeitet würden, sich bislang niemand zum Verantwortlichen für die TI erklärt bzw. zu dieser Verantwortung bekannt habe. Die G. habe diese Forderung bislang nicht anerkannt und auch die Pflichten des Verantwortlichen nicht erfüllt. Die Stellungnahme der Deutschen Datenschutzbehörden mit dem Beschluss vom 12.09.2019 sei nicht verbindlich, die G. ziehe aus diesem Beschluss nicht die notwendigen Schlüsse und habe mit einem Schreiben an den Kläger vom 11.11.2019 ausgeführt, der Beschluss sei bekannt, weise jedoch keine unmittelbare rechtliche Bindungswirkung auf. Da der Umfang der Verantwortung der G. für die dezentrale Zone einer gesetzlichen Regelung bedürfe und davon auszugehen sei, dass eine solche in absehbarer Zeit erfolgen werde, wolle die G. dem inhaltlich nicht vorgreifen. Die fehlende Klärung der datenschutzrechtlichen Verantwortlichkeit stelle nicht nur einen Verstoß gegen Art. 5 DSGVO, sondern auch einen Verstoß gegen das verfassungsrechtliche Bestimmtheitsgebot dar. In der Rechtsprechung seien diese datenschutzrechtlichen Fragen hinsichtlich der TI nicht geklärt. Auch die Entscheidung des SG München verhalte sich dazu nur denkbar kurz. Es liege auch auf der Hand, dass allein durch die Vorlagepflicht an den Bundesbeauftragten für den Datenschutz (BfDI) und das Bundesgesundheitsministerium keine datenschutzrechtliche Konformität sichergestellt werden könne. Die G. sei mit Schreiben der BfDI wiederholt zu einer sogenannten Datenschutzfolgenabschätzung aufgefordert worden, habe diese jedoch auch eineinhalb Jahre nach der Aufforderung und nach Inkrafttreten des DSGVO nicht umgesetzt. 23 Auch habe der Kläger mit Schreiben vom 18.10.2019 die G. aufgefordert, mit ihm eine Vereinbarung zur Klärung und Abgrenzung der Verantwortlichkeiten im Sinne von Art. 26 DSGVO abzuschließen, habe jedoch als Antwort das bereits zitierte Schreiben vom 11.01.2019 erhalten. Damit habe die G. den Abschluss der Vereinbarung abgelehnt. 24 Die fehlende Klärung der datenschutzrechtlichen Verantwortlichkeit stelle auch einen Verstoß gegen Art. 9 Abs. 2 i) DSGVO dar. Gemäß Art. 9 Abs. 1 DSGVO gelte in Bezug auf Gesundheitsdaten ein grundsätzliches Verarbeitungsverbot, allerdings enthalte Art. 9 Abs. 2 i) DSGVO eine Öffnungsklausel für den nationalen Gesetzgeber für Ausnahmeregelungen zum Zwecke der öffentlichen Gesundheit. Davon habe der deutsche Gesetzgeber mit der Regelung in § 22 Abs. 1 Ziff. 1 c), Abs. 2 BDSG Gebrauch gemacht. Die Übermittlungspflicht für die Ärzte nach § 291 Abs. 2b SGB V sei somit an den Voraussetzungen und Anforderungen des Art. 9 Abs. 2 i) DSGVO und § 22 Abs. 1 Ziff. 1 c, Abs. 2 BDSG zu messen. Die Öffnungsklausel erlaube die Verarbeitung von Gesundheitsdaten jedoch nur, wenn und soweit die Datenverarbeitung für die dort angeführten Zwecke erforderlich und angemessen sei und spezifische Maßnahmen zur Wahrung über Rechte und Freiheiten der betroffenen Person vorgesehen würden. Bereits an Letzterem fehle es. 25 Weiter liege ein Verstoß gegen Art. 5 Abs. 1 f), Art. 24 Abs. 1 Satz 2, Art. 32 Abs. 1 d) DSGVO durch nachweisliche Sicherheitsmängel von TI-Komponenten infolge fehlender Verfahren zur regelmäßigen Überprüfung von Bewertung und Validierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung vor. Diverse Beispiele zeigten, dass die in den TI-Konnektoren enthaltene Software nicht im erforderlichen Maß gewartet und durch neuere Versionsstände ausgetauscht werde. Der Hintergrund sei ein fundamentaler systemischer Fehler im Zulassungsverfahren der G., wonach die Zertifizierung nur punktuell erfolge. Dazu werde ein aufwändiges Zertifizierungsverfahren durchlaufen, welches nur Vorgaben zur Planung und Entwicklung einer Software, nicht aber zur anschließenden Wartung, umfasse. Die Software entspreche somit einmal zu einem bestimmten Zeitpunkt in der Vergangenheit dem damals aktuellen technischen Stand, es fehle aber an Anforderungen an die anschließende Wartung. Damit würden auch die Vorgaben aus § 291b Abs. 1 Satz 1 Ziff. 3 und 291b Abs. 1a, 6 SGB V verletzt. Daneben verletze die fehlende Wartung und die fehlenden Vorgaben dafür auch datenschutzrechtliche Vorschriften. 26 Der Kläger hat bekräftigt, dass ein Verstoß gegen Artikel 5 Absatz 1f, Artikel 24 Abs. 1 Satz 2, Artikel 32 Abs. 1d DSGVO infolge fehlerhafter Sicherheitsvorgaben vorliege. Das vom BSI angewandte Prüf- und Zertifizierungssystem sehe für die TI-Konnektoren die Sicherheitsstufe EAL 3 vor. Diese Einstufung sei im Ergebnis zu niedrig und könne nur darauf zurückzuführen sein, dass das BSI bei der Einstufung nicht berücksichtigt habe, dass Gesundheitsdaten verarbeitet würden. Auch sei nicht bedacht worden, dass zwischen dem TI-Konnektor und der Praxisverwaltungssoftware bei der von der G. empfohlenen seriellen Installation (Reihenschaltung) keine weitere Firewall bzw. kein weiterer technischer Schutz bestehe, sodass beim zu prüfenden Schutzniveau nicht nur die unmittelbar im TI-Konnektor verarbeiteten Daten zu berücksichtigen seien, sondern auch sämtliche im IT-System der Arztpraxis gespeicherten Patientendaten. Es könne nicht ausgeschlossen werden, dass ein Hackerangriff über ein kompromittierendes IT-System eines an sich autorisierten TI-Nutzers, wie zum Beispiel einer Krankenversicherung, erfolge oder von der Krankenversicherung aus ein „verseuchter“ Datensatz an den TI-Konnektor der Arztpraxis versandt werde. Soweit die G. darauf hinweise, dass der Konnektor die Schutzfunktion einer Firewall habe und dabei das IT-System der Arztpraxis vor Angriffen von außen schütze, sei dies nicht richtig. Die Schutzfunktion könne allenfalls zum Tragen kommen, wenn der TI Konnektor seriell installiert werde, also im Wege der Reihenschaltung zwischen Praxis-IT-System und Internetzugang. In der Regel geschehe dies nicht, da nach Erhebung der G. in über 90% der Arztpraxen die Konnektoren im sogenannten Parallelbetrieb installiert würden. Auch seien die Firewall-Funktionen im TI-Konnektor mit der Leistungsfähigkeit einer sonstigen aktuellen Firewall mit dem technischen Stand des Jahres 2019 nicht annähernd vergleichbar, sondern entsprächen im technischen Stand einer Firewall von vor mehr als zehn Jahren. Im Ergebnis sei festzuhalten, dass die G. ihren Auftrag als § 291b Abs. 1 Satz 4 SGB V nicht nachkomme, die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sicherzustellen, sondern dass der TI-Konnektor keinen Schutz des Praxisnetzwerks und der dortigen Patientendaten, sondern eine zusätzliche Gefahr dafür darstelle. 27 Mit der fehlenden Regulierung und Überprüfung der Installation der TI-Konnektoren werde derzeit im Zuge des VSDM gegen höherrangiges Recht, nämlich gegen Art. 5 Abs. 1 f), Art. 24 Abs. 1 Satz 2, Art. 32 Abs. 1 DSGVO, verstoßen, sodass der Vertragsarzt nicht verpflichtet werden könne, an einer solchen Datenverarbeitung als datenschutzrechtlich Mitverantwortlicher mitzuwirken. Der Arzt wäre als datenrechtschutzrechtlich Mitverantwortlicher der finanziellen Mithaftung für datenschutzrechtliche Verstöße gemäß Art. 82 Abs. 4 DSGVO sowie dem Bußgeldrisiko nach Art. 83 Abs. 4 a) DSGVO mit einem Bußgeldrahmen von bis zu zwei Prozent des Jahresumsatzes bzw. zehn Millionen Euro ausgesetzt. 28 Die derzeitige rechtliche und tatsächliche Umsetzung der gesetzlichen Vorschriften zur elektronischen Gesundheitskarte und TI-Konnektor verletze das Grundrecht des Klägers aus Art. 12 GG. Daher dürfe er nicht zur Teilnahme daran verpflichtet werden und auch der bislang unterbliebene Anschluss an die TI nicht sanktioniert werden. Die Verpflichtung der Vertragsärzte zur Nutzung des TI-Konnektors und zum Abgleich der auf der elektronischen Gesundheitskarte gespeicherten Daten stelle eine Berufsausübungsregelung dar. Das mit dem VSDM verfolgte Ziel dürfte eine vernünftige Erwägung des Gemeinwohls darstellen. Allerdings fehle es an der notwendigen Erforderlichkeit und Verhältnismäßigkeit. Ein milderes Mittel wäre die Nutzung einer anderen technischen Möglichkeit ohne TI-Konnektor, wie eine Barcode-Scanner-Technologie. Der verfolgte Zweck des Vermeidens von Missbrauch des gesetzlichen Krankenversicherungssystems durch nicht mehr gültige Gesundheitskarten stehe auch mit dem einhergehenden Grundrechtseingriff nicht im Verhältnis, da er den Arzt in einen datenschutzrechtlich rechtswidrigen Zustand zwinge, verbunden mit der Mithaftung und dem Bußgeldrisiko. Ebenfalls stehe das verfolgte Ziel außer Verhältnis zu der sich aus der Verpflichtung ergebenden Risiken für die Patienten bzw. Gesundheitsdaten unter der realen Gefahr der Beeinträchtigung des Praxissystems und der dort gespeicherten Daten. Zwar könne das grundsätzliche Risiko, Opfer eines Hackerangriffs zu werden, unter Umständen im überwiegenden Interesse des Gemeinwohls hinzunehmen sein, dies gelte jedoch nur dann, wenn die verpflichtend zu verwendende technische Ausrüstung bzw. Infrastruktur alle gebotenen technischen Sicherungsmaßnahmen nach Stand der Technik vorsehe, was gerade nicht der Fall sei. Die bewusste Entscheidung vieler Praxen, ihr Praxisverwaltungssystem ans Internet anzuschließen, sei durch die gesetzliche Verpflichtung zum TI-Konnektor nicht mehr möglich, was mit erheblichen Risiken und Nachteilen einhergehe. 29 Nach Vorlage des Referentenentwurfs zum „Patientendatenschutzgesetzes“ (PDSG) hat der Kläger vorgetragen, in den geplanten §§ 306 und 307 SGB V sollten die unzureichenden datenschutzrechtlichen Verantwortlichkeiten innerhalb der TI, insbesondere für die dezentrale Zone der TI und das VSDM, nun geregelt werden. Damit werde nochmals nachgewiesen, dass die derzeitige Datenverarbeitung der TI mangels einer Regelung der datenschutzrechtlichen Verantwortlichkeit unzulässig sei, sodass den Leistungserbringern solange die Installation der TI und die Teilnahme am VSDM wegen Verstoßes gegen höherrangiges Recht nicht abverlangt werden dürfe und damit der Honorarabzug rechtswidrig sei. 30 Nach Erlass des PDSG hat der Kläger ausgeführt, die dortigen Regelungen seien für die hiesige reine Anfechtungsklage schon in zeitlicher Hinsicht irrelevant, da § 307 SGB V n. F. erst zum 20.10.2020 in Kraft getreten sei. § 307 SGB V habe auch nicht nur klarstellenden Charakter, was schon die diametral unterschiedlichen Stellungnahmen der Datenschutzbehörden sowie das Gesetzgebungsverfahren zeigten. Allerdings stellten die vielfachen Nachbesserungen des Gesetzgebers im Bereich des Datenschutzes und der Sicherheitsanforderungen mit dem PDSG den besten Nachweis für die vom Kläger gerügten Defizite dar. 31 Die Qualität der TI und ihrer Komponenten sowie die Sicherheit für die Patientendaten und den Praxisbetrieb seien mangelhaft gewesen, wozu der Kläger auf von ihm eingeholte und vorgelegte Privatgutachten des Diplom-Informatikers Herrn M. vom 10.01.2022 („Erkenntnisse aus der Betriebsauswertung von TI-Konnektoren“) und vom 15.01.2022 („Niveau der Sicherheitszertifizierungen dezentraler TI-Komponenten“) verwiesen hat. Der Umstand der unausgereiften technischen Ausgestaltung sei spätestens im Rahmen der Verhältnismäßigkeitsprüfung von Art. 12 GG relevant, denn der Eingriff in die Berufsausübungsfreiheit stelle sich bei damit verbundenen erheblichen technischen und datenschutzrechtlichen Defiziten ganz anders dar. Die Vorgaben des Bundesverfassungsgerichts zur elektronischen Datenverarbeitung, nämlich, dass der einzuhaltende Sicherheitsmaßstab auf gesetzlicher Ebene festzuhalten sei, während die genaue technische Ausgestaltung bei hinreichend bestimmten Vorgaben auch z. B. einer öffentlichen Körperschaft überlassen werden könne, seien 2019 in § 291b SGB V aF nicht eingehalten worden. Denn die Anforderungen an die Sicherheit eines hochkomplexen IT-Systems mit Zugang zu medizinischen Diagnose- und Behandlungsdaten seien vom Gesetzgeber nicht ansatzweise selbst festgelegt worden, sondern einer privatrechtlichen Gesellschaft, der G., überlassen worden, die die Einhaltung der Regeln auch selbst habe prüfen sollen. 32 Der Kläger beantragt, 33 den Bescheid der Beklagten vom 16.08.2019 in Gestalt des Widerspruchsbescheides vom 11.12.2019 aufzuheben. 34 Die Beklagte beantragt, 35 die Klage abzuweisen. 36 Sie hat vorgetragen, der streitige Honorarabzug sei rechtmäßig. Nach § 291 SGB V umfasse der Personenkreis der Leistungserbringer, für die eine Anbindung an die TI verpflichtend sei, die an der vertragsärztlichen Versorgung teilnehmenden Ärzte. Somit sei auch der Kläger verpflichtet, die notwendigen Voraussetzungen zu schaffen, um die von den Krankenkassen zur Verfügung gestellten Dienste zur Prüfung von Gültigkeit und Aktualität der Versichertendaten nutzen zu können. Dazu gehöre, dass der Vertragsarzt sich technisch in die Lage versetze, den VSD-Abgleich durchführen zu können. Dies bestreite der Kläger auch nicht, sondern wende sich gegen die derzeitige konkrete datenschutzrechtliche und technische Umsetzung durch die G.. 37 Aus § 291 Abs. 2b Satz 14 SGB V folge, dass den an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringern, die die Prüfung ab dem 01.01.2019 nicht durchführten, die Vergütung vertragsärztlicher Leistungen pauschal um ein Prozent gekürzt werde. § 291 Abs. 2b Satz 14 SGB V beinhalte eine gebundene Entscheidung, sodass die Beklagte kein Ermessen habe, von der pauschalen Kürzung des klägerischen Honorars abzusehen. Die Beklagte habe auch keine Normverwerfungskompetenz. Etwaige Verstöße gegen höherrangiges Recht könnten nicht dazu führen, dass die Beklagte von der gesetzlich vorgeschriebenen Honorarkürzung absehe. 38 Die Kammer hat mit Beschluss vom 07.07.2020 die G. GmbH zum Verfahren beigeladen. 39 Die Beigeladene beantragt, 40 die Klage abzuweisen. 41 Sie hat ausgeführt, die Verarbeitung der Daten im Rahmen des VSDM in den Praxen der Leistungserbringer sei zulässig und möglich. Die TI sei bei den Leistungserbringern seit Ende 2016 eingeführt und mittlerweile nahezu flächendeckend etabliert worden. Keiner der deutschlandweit zuständigen Landesdatenschutzbeauftragten oder die Bundesdatenschutzbeauftragte hätten seit 2016 datenschutzrechtliche Bedenken gegen das VSDM oder gar aufsichtsrechtliche Maßnahmen angekündigt oder geltend gemacht. 42 Die §§ 291, 291 a SGV stünden mit höherrangigem Recht im Einklang. Die Einwände des Klägers seien im Übrigen nur insoweit relevant, als er meine, einer gemeinsamen Verantwortung i.S.d. Art. 26 DSGVO zu unterliegen und daraus ein Recht zur Verweigerung des TI-Anschlusses ableite. Die datenschutzrechtliche Verantwortlichkeit in der TI sei keineswegs ungeklärt oder ungeregelt. Die datenschutzrechtliche Verantwortlichkeit ergebe sich abschließend aus dem Bereich, in dem die Datenverarbeitung erfolge. Die Fachanwendungen, Komponenten und Dienste der TI würden entsprechend den gesetzlichen Vorgaben, was auch die DSGVO umfasse, spezifiziert. Der Gesetzgeber habe im Gesetz zum Schutz elektronischer Patientendaten in der TI nunmehr in § 307 SGB V n. F. klarstellend geregelt, dass in der dezentralen Zone die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur in der Verantwortung desjenigen liege, der diese Komponenten für die Zwecke der Authentifizierung und zur sicheren Verarbeitung über die zentrale Infrastruktur nutze. Im gesicherten Netz sei nach § 307 Abs. 3 SGB V der Anbieter des gesicherten Netzes verantwortlich für die Übertragung der personenbezogenen Daten. Nach § 307 Abs. 5 SGB V seien schließlich die Krankenkassen im Versichertenstammdatendienst für die Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten, verantwortlich. 43 Die Veröffentlichung der G. dahingehend, dass die Frage ihrer Mitverantwortlichkeit nach DSGVO zwischen den Behörden in Klärung sei, habe ihren Grund ausschließlich darin gehabt, dass keine ausdrückliche gesetzliche Zuweisung existiert habe und man daher unterschiedliche Ansichten habe vertreten können, wobei die G. für sich ein klares Bild dazu gehabt habe und dies nunmehr auch ausdrücklich gesetzlich geregelt sei. Die Ausführungen des Klägers zur ungeklärten datenschutzrechtlichen Verantwortlichkeit entbehrten damit jeder Grundlage, da es eine klare Zuweisung der Aufgaben vor dem PDSG gegeben habe und dies nun klarstellend in § 307 Abs. 1 bis Abs. 4 SGB V verankert sei. 44 Eine datenschutzrechtliche Mitverantwortung nach Art. 26 DSGVO der G. liege nicht vor. Diese setze voraus, dass beide Parteien über Zweck und Mittel gemeinsam entscheiden würden. Die G. habe die gesetzliche Verpflichtung, die funktionalen und technischen Vorgaben zu erstellen und Inhalt und Struktur der Datensätze für Bereitstellung und Nutzung festzulegen, somit Aufgaben vornehmlich technischer und organisatorischer Natur. Auch wenn die G. damit in begrenztem Umfang Entscheidungen über die Mittel der Datenverarbeitung treffen müsse, seien diese technischen und organisatorischen Rahmenvorgaben nicht ausreichend. Auch entscheide die G. insbesondere nicht über die Zwecke im Umgang mit den Daten bzw. benötige die Daten nicht, um eigene Aufgaben zu erfüllen. Der Zweck der Datenverarbeitung ergebe sich stattdessen aus dem Gesetz. Die Festlegungen der G. würden durch das Bundesamt für Sicherheit in der Informationstechnik sowie des Bundesbeauftragten für Datenschutz und Informationsfreiheit geprüft und beeinflusst. Das System der DSGVO habe schon vor dem PDSG eine datenschutzkonforme Verantwortungszuordnung in der TI ermöglicht, sodass es keinen ungeregelten und rechtswidrigen Zustand gegeben habe. Die Subsumtion habe sich bei einem komplexen technischen Sachverhalt indes herausfordernd darstellen können, sodass die Klarstellung des PDSG hilfreich gewesen sei. Dies allein begründe aber kein „Abwehrrecht“ des Klägers. Selbst wenn das PDSG keine Klarstellung gewesen sei, sondern die Verantwortung neu zugewiesen worden sei, ändere dies nichts daran, dass die G. nach Art. 4 Abs. 7 DSGVO nicht Verantwortliche gewesen sei. Im Übrigen führe der Anschluss an das System der TI nicht zu einer vom Kläger angenommenen „automatischen“ Mithaftung, da er nach Art. 82 DSGVO nur für von ihm selbst vorgenommene Datenverarbeitungen hafte bzw. ihm die Exkulpation nach Art. 82 Abs. 3 DSGVO offen stünde. Ein Eingriff in die Berufsfreiheit des Klägers liege damit nicht vor. 45 Da es sich um Datenverarbeitungsvorgänge von Alleinverantwortlichen in der jeweiligen Zone handele, sei eine Datenschutzfolgenabschätzung für den jeweiligen Bereich zu erstellen. Gemäß der Gesetzesbegründung des PDSG sei dies in den meisten Arztpraxen aber nicht notwendig. 46 Dem Erfordernis der Sicherheit der Verarbeitung nach Art. 32 DSGVO werde Genüge getan. Nach § 291b Abs. 1a Satz 5 f. SGB V werde der Nachweis der Sicherheit nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik durch eine Sicherheitszertifizierung erbracht. Die entsprechend vom Bundesamt für Sicherheit in der Informationstechnik entwickelten Schutzprofile würden fortlaufend überarbeitet und stellten detailliert die Sicherheit der Informationsverarbeitung durch den Konnektor sicher. Gegenstand der Sicherheitszertifizierung sei auch ein Schwachstellenmanagement. Mit dem Einsatz der durch die G. zugelassenen und durch das Bundesamt für Sicherheit in der Informationstechnik zertifizierten Komponenten erfülle ein Leistungserbringer seine Verpflichtung nach Art. 32 DSGVO zur Ergreifung von geeigneten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hinsichtlich den einzelnen Kritikpunkten des Klägers wie die Sicherheitsstufe EAL3, der Schutz der Patientendaten, der Qualität der Dienstleister bei der Installation der TI vor Ort etc. wird auf Bl. 514 f. der Gerichtsakte verwiesen. 47 Im Übrigen führe die bloße Möglichkeit einzelner Sicherheitsmängel – deren Vorliegen von der G. bestritten werde – nicht zu dem Recht, den gesetzlich vorgeschriebenen Anschluss an die TI zu verweigern, sondern nur zu einer Pflicht des Gesetzgebers zur Beobachtung und zur etwaigen Behebung von zu Tage tretenden Mängeln. 48 Hinsichtlich der weiteren Einzelheiten des Sach- und Streitstandes wird auf die Gerichts- sowie auf die Verwaltungsakte verwiesen. Entscheidungsgründe 49 Die Kammer hat in der Besetzung mit zwei ehrenamtlichen Richtern aus den Kreisen der Vertragsärzte und Vertragspsychotherapeuten entschieden, weil es sich um eine Angelegenheit der Vertragsärzte und Vertragspsychotherapeuten im Sinne des § 12 Abs. 3 Satz 2 Sozialgerichtsgesetz (SGG) handelt. I. 50 Die zum örtlich und sachlich zuständigen Sozialgericht Stuttgart erhobene Anfechtungsklage ist nach § 54 Abs. 1 Satz 1 1. Alt. SGG zulässig, aber unbegründet. Der angefochtene Bescheid der Beklagten vom 16.08.2019 in Gestalt des Widerspruchsbescheides vom 11.12.2019 ist rechtmäßig; die dort niedergelegte Kürzung des vertragsärztlichen Honorars des Klägers um 421,58 EUR im Quartal 1/2019 ist nicht zu beanstanden. 51 Rechtsgrundlage für die streitige Honorarkürzung ist § 291 Abs. 2b Satz 14 SGB V in der Fassung vom 06.05.2019 (im Folgenden: SGB V aF, nunmehr in § 291b Abs. 5 Satz 1 SGB V geregelt). Denn entscheidend ist im Rahmen einer isolierten Anfechtungsklage - im Sinne einer „Faustregel“ ( Söhngen in: Schlegel/Voelzke, jurisPK-SGG, 1. Aufl., § 54 SGG (Stand: 30.06.2020), Rdnr. 49 ) - grundsätzlich der Zeitpunkt der letzten Behördenentscheidung, also der Zeitpunkt des Widerspruchsbescheides vom 11.12.2019. Die Frage der Rückwirkung der Vorschriften der §§ 291 Abs. 2b Satz 3, Satz 14 SGB aF stellt sich hier nicht, da dies wortgleich bereits auch in § 291 Abs. 2b Satz 3, Satz 14 SGB V in der Fassung vom 11.12.2018 und damit im streitgegenständlichen Quartal 1/2019 geregelt war. 1. 52 Die Honorarkürzung nach § 291 Abs. 2b Satz 3, Satz 14 SGB V aF ist rechtmäßig. 53 Die Krankenkassen stellen für jeden Versicherten eine elektronische Gesundheitskarte aus, die dem Versicherungsnachweis und der Abrechnung mit den Leistungserbringern dient (§ 291 Abs. 1 Satz 1, 2 SGB V aF) und nach § 291 Abs. 2 Satz 1 SGB V aF folgende Angaben enthält: Die Bezeichnung der ausstellenden Krankenkasse, einschließlich eines Kennzeichens für die Kassenärztliche Vereinigung, in deren Bezirk der Versicherte seinen Wohnsitz hat (Nr. 1), den Familiennamen und Vornamen des Versicherten (Nr. 2), das Geburtsdatum des Versicherten (Nr. 3), das Geschlecht des Versicherten (Nr. 4), die Anschrift des Versicherten (Nr. 5), die Krankenversichertennummer des Versicherten (Nr. 6), den Versichertenstatus, für die Personengruppen nach § 264 Abs. 2 den Status der auftragsweisen Betreuung (Nr. 7), den Zuzahlungsstatus des Versicherten (Nr. 8), den Tag des Beginns des Versicherungsschutzes (Nr. 9), bei befristeter Gültigkeit der elektronischen Gesundheitskarte das Datum des Fristablaufs (Nr. 10). Daneben können die in § 291 Abs. 2 Satz 2 SGB V aF genannten weiteren Daten enthalten sein. 54 Nach § 291 Abs. 2b Satz 3 SGB V aF prüfen die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Einrichtungen und Zahnärzte bei der erstmaligen Inanspruchnahme ihrer Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse durch Nutzung der Dienste nach § 291 Abs. 2b Satz 1 SGB V aF. Dabei handelt es sich um Dienste, die die Krankenkassen anzubieten haben, mit denen die Leistungserbringer die Gültigkeit und die Aktualität der Daten nach Absatz 1 und 2 bei den Krankenkassen online überprüfen und auf der elektronischen Gesundheitskarte aktualisieren können (§ 291 Abs. 2b Satz 1 SGB V aF). Diese Dienste müssen auch ohne Netzanbindung an die Praxisverwaltungssysteme der Leistungserbringer online genutzt werden können (§ 291 Abs. 2b Satz 2 SGB V aF). Dazu ermöglichen sie den Online-Abgleich und die Online-Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten nach Absatz 1 und 2 mit den bei der Krankenkasse vorliegenden aktuellen Daten (§ 291 Abs. 2b Satz 4 SGB V aF). Die Prüfungspflicht besteht ab dem Zeitpunkt, ab dem die Dienste nach Satz 1 sowie die Anbindung an die Telematikinfrastruktur zur Verfügung stehen und die Vereinbarungen nach § 291a Absatz 7a und 7b geschlossen sind (§ 291 Abs. 2b Satz 5 SGB V aF). Die Mitteilung der durchgeführten Prüfung ist Bestandteil der an die Kassenärztliche oder Kassenzahnärztliche Vereinigung zu übermittelnden Abrechnungsunterlagen nach § 295 (§ 291 Abs. 2b Satz 12 SGB V aF). Den an der vertragsärztlichen Versorgung teilnehmenden Ärzten, Einrichtungen und Zahnärzten, die die Prüfung nach Satz 3 ab dem 01.01.2019 nicht durchführen, ist die Vergütung vertragsärztlicher Leistungen pauschal um ein Prozent so lange zu kürzen, bis sie die Prüfung nach Satz 3 durchführen (§ 291 Abs. 2b Satz 14 SGB V aF). Das Bundesministerium für Gesundheit kann die Frist nach Satz 14 durch Rechtsverordnung mit Zustimmung des Bundesrates verlängern (§ 291 Abs. 2b Satz 15 SGB V aF). Von der Kürzung nach Satz 14 ist bis zum 30.06.2019 abzusehen, wenn der an der vertragsärztlichen Versorgung teilnehmende Arzt oder Zahnarzt oder die an der vertragsärztlichen Versorgung teilnehmende Einrichtung gegenüber der jeweils zuständigen Kassenärztlichen Vereinigung nachweist, bereits vor dem 01.04.2019 die Anschaffung der für die Prüfung nach Satz 3 erforderlichen Ausstattung vertraglich vereinbart zu haben (§ 291 Abs. 2b Satz 16 SGB V aF). 55 Der Kläger hat den Online-Abgleich der auf der elektronischen Gesundheitskarte befindlichen Versichertendaten i. S. d. § 291 Abs. 2b Satz 3 SGB V aF seiner Patienten im Quartal 1/2019 nicht durchgeführt und ist an die TI nicht angeschlossen. Seine Vergütung war dementsprechend durch die Beklagte in Höhe von einem Prozent seines Honorars im Quartal 1/2019 zu kürzen (§ 291 Abs. 2b Satz 14 SGB V aF); Berechnungsfehler sind dabei weder vorgetragen noch ersichtlich. 2. 56 §§ 291 Abs. 2b Satz 3, Satz 14 SGB V aF sind nicht wegen Verstoßes gegen höherrangiges Recht nichtig. 57 Der Kläger argumentiert zunächst mit Verstößen gegen die DSGVO. Insofern kann mit der Rechtsprechung des Bundessozialgerichts dahin gestellt bleiben, ob diese unmittelbar oder über § 35 Abs. 2 Satz 2 Erstes Buch Sozialgesetzbuch (SGB I) entsprechend Anwendung findet (vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 25 f .), denn § 291 Abs. 2b Satz 3, Satz 14 SGB V aF stehen mit den Vorgaben der DSGVO auch bei deren unmittelbarer Anwendung als höherrangigem Recht in Einklang. 58 Konkret geht es im vorliegenden Verfahren für das Quartal 1/2019 um die Durchführung des Online-VSD-Abgleichs, also einer Abfrage der von den Krankenkassen gemäß § 284 Abs. 1 Satz 1 Nr. 2 SGB V auf der elektronischen Gesundheitskarte gespeicherten Daten (§ 291 Abs. 2 SGB V aF) sowie gegebenenfalls deren Aktualisierung. Dazu werden die Informationen auf der elektronischen Gesundheitskarte beim erstmaligen Arztbesuch des Versicherten im Quartal online unter Nutzung der TI mit den Informationen abgeglichen, die bei der Krankenkasse hinterlegt sind. Stimmen die Angaben nicht überein, werden veraltete Daten auf der elektronischen Gesundheitskarte überschrieben. Hierbei handelt es sich um einen überschaubaren Datenverarbeitungsprozess der Daten, die zuvor bereits von den Krankenkassen erhoben worden sind und die auf die elektronische Gesundheitskarte übertragen werden. Es geht nicht um Daten, die durch den Vertragsarzt erhoben werden ( Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 32 ). 59 Die Verarbeitung dieser personenbezogenen Daten bei Einlesen und Abgleich der elektronischen Gesundheitskarte durch den Kläger ist nach Art. 6 Abs. 1 DSGVO zulässig. Art. 6 Abs. 1 Satz 1 DSGVO erlaubt die Verarbeitung personenbezogener Daten u. a. dann, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Buchst c und e).Für die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer wie den Kläger sind die Überprüfung der Leistungspflicht der Krankenkasse unter Nutzung der elektronischen Gesundheitskarte und der von der Krankenkasse zur Verfügung gestellten Dienste einschließlich der Online-Abgleich und ggf. die Online-Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten in § 291 Abs. 2b Satz 3, Satz 4 SGB V aF verpflichtend angeordnet (Art. 6 Abs. 1 Satz 1 c DSGVO). Die Verarbeitung der auf Daten erfolgt gemäß Art 6 Abs. 1 e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (vgl. zum Vorstehenden BSG, Urteil vom 20.01.2021, Az. B 1 KR7/20 R, juris, Rdnr. 30 f. ). 60 Einschlägig für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der elektronischen Gesundheitskarte sind die nationalen Vorschriften der § 35 Abs. 2 Satz 1 SGB I, § 67a Abs. 1 und § 67b Abs. 1 SGB X, § 15 Abs. 2 und §§ 284, 291, 291a, 291b SGB V aF. Aus ihnen ergibt sich auch der von Art. 6 Abs. 3 Satz 2 DSGVO geforderte Zweck der Datenverarbeitung. Die elektronische Gesundheitskarte dient mit den in § 291 Abs. 2 SGB V aF genannten Angaben dem Nachweis der Berechtigung zur Inanspruchnahme von Leistungen im Rahmen der vertragsärztlichen Versorgung (Versicherungsnachweis). Sie erschwert dadurch den Leistungsmissbrauch und dient der Abrechnung mit den Leistungserbringern, was der finanziellen Stabilität der gesetzlichen Krankenversicherung zugutekommt ( BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 30 - 45 ). Der von dem Kläger durchzuführende VSD-Abgleich ermöglicht es, die Aktualität und Zuordnung der elektronischen Gesundheitskarte zum jeweiligen Karteninhaber zu überprüfen, und damit ungültige sowie als verloren oder gestohlen gemeldete Karten zu identifizieren, um so Missbrauch zu verhindern ( BT-Drs. 17/2170, S. 38 ). Weiter dient die Aktualisierung bzw. Berichtigung von auf der Karte gespeicherten Daten auch dem Wirtschaftlichkeitsgebot ( BSG, Urteil vom 18.11.2014, Az. B 1 KR 35/13 R, juris, Rdnr. 27 ). Ein im öffentlichen Interesse liegendes Ziel liegt damit vor. 61 Die mit dem VSD-Abgleich verbundene Datenverarbeitung wahrt auch den Grundsatz der Verhältnismäßigkeit nach Art. 6 Abs. 3 Satz 4 DSGVO (vgl. dazu BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 47 f. ). 62 Die Verarbeitung der Daten beim VSD-Abgleich ist auch mit Art. 9 DSGVO vereinbar. Soweit dabei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO grundsätzlich nicht verarbeitet werden dürfen, liegt hier eine Ausnahmevorschrift nach Art. 9 Abs. 2 h DSGVO vor, denn die Verarbeitung ist für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage der §§ 67a Abs. 1 Satz 2, 67b Abs. 1 Satz 2 SGB X, 291 f. SGB V aF erforderlich (s. dazu, auch zur Erforderlichkeit, BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 66 f.). 63 Der Kläger hat hier insbesondere Verstöße gegen die seiner Ansicht nach unzureichende Sicherheit der Datenverarbeitung und damit gegen Art. 5 Abs. 1 f, Art. 32 DSGVO, die angeblich ungeklärte Verantwortlichkeit der Datenverarbeitung und fragliche Mitverantwortung der G. nach Art. 26 DSGVO (Verstoß gegen Art. 5 Abs. 1, 2 und Art. 24 Abs. 1 DSGVO) sowie die fehlende Datenschutzfolgenabwägung nach Art. 35 DSGVO geltend gemacht. a) 64 Ein Verstoß gegen den Grundsatz der angemessenen Sicherheit der Datenverarbeitung nach Art. 5 Abs. 1 f DSGVO ist nicht ersichtlich. Es muss eine angemessene Sicherheit personenbezogener Daten gewährleistet werden, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dazu gehört auch, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Wie das Bundessozialgericht erneut ausdrücklich festgestellt hat, kann es eine absolute Datensicherheit jedoch nicht geben. Insofern werden die zu ergreifenden Sicherheitsmaßnahmen durch den in Art. 24 DSGVO zum Ausdruck kommenden Verhältnismäßigkeitsgrundsatz beschränkt ( BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 76 m. w. N. ). Dabei verfolgt die DSGVO einen risikobasierten Ansatz. Abhängig vom spezifischen Risiko der Datenverarbeitung und dessen Eintrittswahrscheinlichkeit hat der jeweils Verantwortliche die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Näher konkretisiert werden diese allgemeinen Vorgaben in Art. 25, 32 und 35 DSGVO. 65 Nach Art. 32 Abs. 1 DSGVO sind der Verantwortliche und der Auftragsverarbeiter verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mögliche Maßnahmen sind dabei u. a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. 66 Diese Anforderungen werden hier erfüllt. Denn auch vor Inkrafttreten des PDSG enthielt § 291b SGB V aF Vorschriften zur TI, durch die die beispielhaft aufgezählten Sicherheitsvorgaben der DSGVO im Einzelnen hinreichend umgesetzt und konkretisiert werden. Zentrale und koordinierende Aufgaben wies der Gesetzgeber hierbei der Gesellschaft für T., der G., zu (§ 291a Abs. 7 Satz 1, Satz 2 SGB V aF - in der Fassung vom 20.11.2019). Zum Zeitpunkt der Widerspruchsentscheidung am 11.12.2019 bildeten die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene eine Gesellschaft für T. nach Maßgabe des § 291b SGB V aF, die die Regelungen zur Telematikinfrastruktur trifft sowie deren Aufbau und Betrieb übernimmt (§ 291a Abs. 7 Satz 1, Satz 2 SGB V aF).Die Bundesrepublik Deutschland nimmt in der G. die Stellung einer Mehrheitsgesellschafterin mit 51 Prozent der Gesellschaftsanteile ein. Die Gesellschaft fasst ihre Beschlüsse grundsätzlich mit einfacher Mehrheit (§ 291b Abs. 4 Satz 1 Nr. 1, Nr. 2 SGB V aF). Insofern hat die Bundesrepublik, vertreten durch das Bundesministerium für Gesundheit, wesentlichen Einfluss auf den Entscheidungsprozess. 67 Im Rahmen der Aufgaben hat die G. nach § 291b Abs. 1 Satz 1 SGB V aF 68 1. die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen, 69 2. Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen, 70 3. Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen, 71 4. die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und 72 5. Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung 73 a) der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und 74 b) der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3. 75 Die G. ist damit gesetzlich verpflichtet, Vorgaben für die Datensicherheit beim Betrieb der TI zu erstellen und deren Umsetzung zu überwachen. Dass die G. ihren Aufgaben ordnungsgemäß nachkommt, wird auch dadurch gewährleistet, dass sie in deutlichem Umfang der Kontrolle durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterliegt und auch der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu beteiligen ist: So muss die G. nach § 291b Abs. 1 Satz 3 SGB V aF, soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt werden, diese im Einvernehmen mit dem BSI treffen. Die Gesellschaft für T. hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen (§ 291b Abs. 1 Satz 4 SGB V aF). Bei der Zulassung von Komponenten und Diensten der TI durch die G. ist der Nachweis der Sicherheit nach den Vorgaben des BSI durch eine Sicherheitszertifizierung zu erbringen. Das BSI entwickelt und veröffentlich dazu geeignete Prüfvorschriften. Näheres zum Zulassungsverfahren und zu den Prüfkriterien wird von der G. in Abstimmung mit dem BSI beschlossen (§ 291b Abs. 1a Satz 5 - 7 SGB V aF). Vor Beschlussfassung der G. zu den Regelungen, dem Aufbau und dem Betrieb der TI ist dem BfDI und dem BSI Gelegenheit zur Stellungnahme zu geben, wenn Belange des Datenschutzes oder der Datensicherheit berührt sind (§ 291b Abs. 4 Satz 2 SGB V aF; vgl. auch den Hinweis darauf bei SG München, Beschluss vom 22.03.2019, Az. S 38 KA 52/19 ER, juris, Rdnr. 24 ). Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der TI ausgeht, ist die G. in Abstimmung mit dem BSI befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die G. zu melden. Die G. hat die ihr gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der TI führen können oder bereits geführt haben, unverzüglich an das BSI zu melden, und kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur TI sperren oder den weiteren Zugang zur TI nur unter der Bedingung gestatten, dass die von der G. angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden (§ 291b Abs. 6 SGB V aF). Nach § 291b Abs. 7 SGB V aF kann die G. für Komponenten und Dienste, die die TI nutzen, aber außerhalb der TI betrieben werden, in Abstimmung mit dem BSI solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der TI zu gewährleisten. Die G. legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Nach § 291b Abs. 8 Satz 1 SGB V aF legt die G. dem BSI auf Verlangen die folgenden Unterlagen und Informationen vor: 76 1. die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation, 77 2. eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und 78 3. sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen. 79 Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das BSI der G. verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen; die G. wiederum ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen (§ 291b Abs. 8 Satz 2, Satz 3 SGB V aF). 80 Im Ergebnis wird so eine kontinuierliche Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben durch die G. und die Anbieter von Diensten und Anwendungen im Rahmen der TI hinreichend gewährleistet (vgl. Art 32 Abs. 1 Buchst d DSGVO). Die enge Einbindung des BSI in den gesamten Verfahrensablauf beim Ausbau und Betrieb der TI sichert zudem die durch Art. 32 Abs. 1 DSGVO angeordnete Berücksichtigung des Stands der Technik (vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 87 ). 81 Der Gesetzgeber hat damit nach den Vorgaben der DSGVO hinreichend Vorkehrungen zur Gewährleistung der Datensicherheit im Zusammenhang mit der elektronischen Gesundheitskarte und der TI getroffen; dass nunmehr mit dem PDSG weitere Spezifizierungen und Verschärfungen in punkto Datenschutz und Datensicherheit erfolgt sind, beweist entgegen der Ansicht des Klägers nicht, dass die §§ 291 f. SGB V aF im hier streitigen Quartal gegen Art. 5 Abs. 1 f, Art. 32 DSGVO verstießen, sondern dass der Gesetzgeber seiner Beobachtungs- und Nachbesserungspflicht nachgekommen ist, auf sich in der Praxis zeigende Sicherheitslücken zu reagieren ( BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 101; Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 33 ). Wie bereits ausgeführt, ist eine absolute Datensicherheit weder möglich, noch im Sinne der DSGVO erforderlich. b) 82 Weiter liegt entgegen der Ansicht des Klägers kein Verstoß gegen Art. 5 Abs.1, Abs. 2, 24, 26 Abs. 1 Satz 2 DSGVO wegen der ungeklärten Verantwortlichkeit in der dezentralen Zone der TI im Quartal 1/2019 vor, sodass auch sein Vortrag zu etwaigen Haftungsproblematiken nicht relevant ist. Dem Kläger ist zwar zuzugeben, dass eine ausdrückliche gesetzliche Regelung (auf mitgliedstaatlicher Ebene) mit § 307 SGB V nF erst mit Geltung ab dem 20.10.2020 und damit nach dem hier streitigen Quartal mit dem PDSG geschaffen wurde ( Gesetzesentwurf der Bundesregierung, BT-Drs. 19/18793, S. 100 : „Zur Klarstellung der Rollen der Beteiligten…“) und die Rechtslage hinsichtlich der Frage des Verantwortlichen im Quartal 1/2019 strittig war (vgl. dazu Beschluss der DSK vom 12.09.2019; Tätigkeitsbericht des BfDI 2017-2018, S. 59; Tätigkeitsbericht des BfDI 2019, S. 26; Stellungnahme des Bundesrates, 20.05.2020, BT-Drs. 19/19365, S. 4 f ). 83 Es ist nicht ersichtlich, dass die maßgeblichen Regelungen in §§ 291 Abs. 2b Satz 3, Satz 14 SGB V aF rechtwidrig wären, weil dort keine explizite Festlegung der Verantwortlichkeiten erfolgt. Eine solche Benennung der Verantwortlichkeit im Recht der Mitgliedstaaten ist nach Art. 4 Nr. 7 DSGVO zwar unter bestimmten Voraussetzungen möglich, aber nicht erforderlich. 84 Im Übrigen ist auch kein Verstoß gegen den Bestimmtheitsgrundsatz wegen fehlender Bestimmbarkeit des Verantwortlichen ersichtlich. Denn anhand der Regelungen der DSGVO ist der Verantwortliche festgelegt und bestimmbar. In Art. 4 Nr. 7 DSGVO wird festgelegt, dass Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Die Pflichten des Verantwortlichen ergeben sich u. a. aus Art. 24 DSGVO. 85 Legen nach Art. 26 Abs. 1 Satz 1 DSGVO zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche für eine Verarbeitung. Mittel der Datenverarbeitung sind die organisatorischen und technischen Mittel, mit denen die Datenverarbeitung durchgeführt wird. Darunter fallen die für die Datenverarbeitung genutzte Hard- und Software und der Einsatz von Personal. Das wesentliche Merkmal ist jedoch die Entscheidungsbefugnis über den Zweck, d. h. über das Ob, Wofür und Wieweit einer Datenverarbeitung ( Kühling/Buchner/Hartung, 2. Aufl. 2018, DS-GVO Art. 4 Nr. 7, Rdnr. 13 ). Eine gemeinsame Verantwortlichkeit ist danach nicht gegeben, wenn zwei Verantwortliche gemeinsam etwa nur die Mittel festlegen ( Gola DS-GVO/Gola, 2. Aufl. 2018, DS-GVO Art. 4, Rdnr. 51 ). 86 Für gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO werden konkrete technische Einflussnahmen oder eine eigene unmittelbare Nutzung der Ergebnisse der Datenverarbeitung nicht verlangt. Ausreichend sind eine gewisse Kausalität, die Einflussnahme auf die Tätigkeit und insbesondere übereinstimmende Interessen an der Datenverarbeitung ( Kühling/Buchner/Hartung, 3. Aufl. 2020, DS-GVO Art. 26, Rdnr. 37 , unter Hinweis auf EuGH, Urteil vom 10.7.2018, Az. C-25/17, ZD 2018, 469 – Z.J. ) bzw. eine gewisse Mitwirkung an der Entscheidung über Zweck oder Mittel der Datenverarbeitung und dass bei der Datenverarbeitung übereinstimmende Eigeninteressen verfolgt werden ( EuGH, Urteil vom 29.7.2019, Az. C-40/17, ZD 2019, 455 – F. ID ). 87 Eine entsprechende Entscheidungsgewalt der G. ist allenfalls bei den Mitteln der Datenverarbeitung ersichtlich, da sie die von den Herstellern entwickelten TI-Komponenten spezifiziert und zulässt sowie den Betrieb koordiniert. Entscheidungen über den Zweck, über das Ob, Wofür und Wieweit einer Datenverarbeitung, trifft die G. jedoch nicht. Eine bloß organisatorische und koordinierende Hoheit kann eine Verantwortlichkeit nur insoweit indizieren, als die operative handelnde Person im Eigeninteresse tätig wird. Die G. hat jedoch kein Eigeninteresse an der Verarbeitung der Versichertenstammdaten in der dezentralen Zone, sondern erfüllt nur ihre gesetzlichen Aufgaben (so auch Gutachterliche Stellungnahme des Prof. Dr. Heckmann für den Ausschuss für Gesundheit des Deutschen Bundestags, Ausschuss-Drs. 19(14)164(25) ). c) 88 Ein Verstoß gegen Art. 35 Abs. 1 Satz 1 DSGVO mit der etwaigen Folge einer Haftungsproblematik des Klägers ist ebenfalls nicht ersichtlich. § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verhält sich zur Frage einer Datenschutz-Folgenabschätzung nicht. 89 Art. 35 Abs. 1 Satz 1 DSGVO verpflichtet den Verantwortlichen für den Fall, dass eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgenabschätzung). 90 Dass die Verarbeitung der Daten anhand einer Risikoprognose – hinsichtlich der genannten vier Attribute - im Rahmen des VSD-Abgleichs in der Praxis des Klägers voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist für die Kammer nicht ersichtlich. Zudem ist der in Erwägungsgrund 91 der DSGVO genannte Sonderfall einschlägig, wonach u. a. der Berufsstand des Arztes privilegiert wird: Sofern die Verarbeitung personenbezogene Daten von Patienten betrifft sowie durch einen einzelnen Verantwortlichen erfolgt, soll sie nicht als umfangreich und damit riskant gelten (vgl. Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO, Art. 35, Rdnr. 10 ). Eine umfangreiche Verarbeitung von Gesundheitsdaten ist zu verneinen (wie auch in den meisten anderen Arztpraxen; vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 84 ). 3. 91 § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verstößt auch nicht gegen Verfassungsrecht. In Betracht kommt allein ein Verstoß gegen die Berufsausübungsfreiheit des Klägers aus Art. 12 Abs. 1 GG. Durch Art. 12 Abs. 1 GG ist dem Einzelnen das Recht gewährt, jede Tätigkeit, für die er sich geeignet glaubt, als Beruf zu ergreifen und zur Grundlage seiner Lebensführung zu machen. Die Vorschrift konkretisiert das Grundrecht auf freie Entfaltung der Persönlichkeit im Bereich der individuellen Leistung und Existenzerhaltung und zielt auf eine möglichst unreglementierte berufliche Betätigung ab. Sie formuliert ein einheitliches Grundrecht der Berufsfreiheit, dessen verschiedene Gewährleistungen allerdings insofern Bedeutung haben, als an die Einschränkungen der Berufswahl höhere Anforderungen gestellt werden als an die Einschränkung der Berufsausübung ( BVerfG, Beschluss vom 20.03.2001, Az. 1 BvR 491/96, juris, Rdnr. 36 f .). Hier kommt, da es nicht zum Zugang zum Beruf geht, allein die Berufsausübungsfreiheit in Betracht. 92 Eine Einschränkung der Berufsausübungsfreiheit des Klägers kann hier nur darin liegen, dass er in § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verpflichtet wird, den Abgleich der VSD über die TI durchzuführen und andernfalls ein einprozentiger Honorarabzug im Quartal durchgeführt wird. Derartige Berufsausübungsregelungen sind zulässig, wenn sie auf einer gesetzlichen Grundlage beruhen (Art. 12 Abs. 1 Satz 2 GG), wenn sie durch vernünftige Gründe des Gemeinwohls gerechtfertigt sind, die gewählten Mittel zur Erreichung des verfolgten Zwecks geeignet und erforderlich sind und die durch sie bewirkte Grundrechtsbeschränkung dem Betroffenen zumutbar ist ( BVerfG, Nichtannahmebeschluss vom 10.04.2000, Az. 1 BvR 422/00, juris, Rdnr. 21, m. w. N .). 93 Diese Voraussetzungen liegen hier zur Überzeugung der Kammer vor (so im Ergebnis auch Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 33 f .) 94 Eine gesetzliche Grundlage der Verpflichtung des Klägers liegt vor. Der vom Gesetzgeber verfolgte Zweck - die Verhinderung von Missbrauch der elektronischen Gesundheitskarten durch Dienste, mit denen die Leistungserbringer die Gültigkeit und Aktualität der Daten nach den bei den Krankenkassen online überprüfen und auf der elektronischen Gesundheitskarte aktualisieren können, und damit letztlich der Erhalt der finanziellen Stabilität der gesetzlichen Krankenversicherung ( BSG, Urteil vom 20.01.2020, Az. B 1 KR 7/20 R, juris, Rdnr. 98 ) - ist als legitim anzusehen; die Durchführung des VSD-Abgleichs ist dafür auch geeignet und erforderlich. Ob die vom Kläger vorgeschlagene Möglichkeit eines Abgleichs mit Barcode-Scanner-Technologie als milderes Mittel anzusehen ist, kann hier dahinstehen; die Kammer geht unter Berücksichtigung der Einschätzungsprärogative des Gesetzgebers davon aus, dass dies jedenfalls nicht gleich wirksam ist, zumal die (teils noch in Planung befindlichen) weiteren Aufgaben der TI so nicht verwirklicht werden könnten. 95 Der Eingriff ist auch verhältnismäßig im engeren Sinne. Die Sicherung der finanziellen Stabilität und damit der Funktionsfähigkeit der gesetzlichen Krankenversicherung ist ein Gemeinwohlbelang von hohem Rang (vgl. BVerfGE 68, 193, 218 ). Zur Verwirklichung dieses Ziels darf der Gesetzgeber gerade auch die Leistungserbringer innerhalb der vertragsärztlichen Versorgung in die Pflicht nehmen, denen andererseits besondere Vorteile durch die Einbeziehung in das öffentlich-rechtliche System des Vertragsarztrechts erwachsen. Im Rahmen ihrer Einbeziehung unterliegen sie in erhöhtem Maße der Einwirkung sozialstaatlicher Gesetzgebung, durch die zur Sicherung der finanziellen Stabilität in das System regulierend eingegriffen wird (vgl. BVerfGE 68, 193, 221 ). 96 Entgegen des Vortrags des Klägers wird er nicht „in einen datenschutzrechtlich rechtswidrigen Zustand, verbunden mit der Mithaftung und dem Bußgeldrisiko“ gezwungen, sondern die angegriffenen Regelungen stehen grundsätzlich im Einklang mit der DSGVO (s. o.). Auch wenn die vom Kläger geltend gemachten Sicherheitsrisiken für die Verarbeitung von Patienten- bzw. Gesundheitsdaten im Einzelfall z. B. aufgrund eines Hacker-Angriffs nicht jederzeit ausgeschlossen werden können, liegt auch der Rechtsprechung des BVerfG zugrunde, dass es keine absolute Datensicherheit gibt und dass allein dieser Umstand die automatisierte Verarbeitung personenbezogener Daten nicht verbietet, solange ein Standard gewährleistet wird, der der Sensibilität der betroffenen Daten und dem jeweiligen Gefährdungsrisiko Rechnung trägt, und sich an dem Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt ( BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 102 m. w. N. ). Insofern überwiegt hier das öffentliche Interesse an der Verhinderung von Missbrauch der Gesundheitskarte und letztlich an der Funktionsfähigkeit der gesetzlichen Krankenversicherung; den Gesetzgeber trifft eine Beobachtungspflicht und gegebenenfalls die Pflicht zur Nachbesserung bei in der Praxis zu Tage tretenden Sicherheitslücken hinsichtlich des Datenschutzes. II. 97 Die Klage war daher mit der Kostenfolge aus § 197a SGG i.V.m. §§ 154 Abs. 1, 159 Satz 2, 162 Abs. 3 Verwaltungsgerichtsordnung abzuweisen. Der Kläger als unterliegender Teil trägt die Kosten des Verfahrens. Da die Beigeladene einen Antrag gestellt und damit ein Prozessrisiko übernommen hat, entspricht es der Billigkeit, dass der Kläger auch ihre Kosten zu erstatten hat. III. 98 Aufgrund der grundsätzlichen Bedeutung des Rechtsstreits wird die Berufung gemäß § 144 Abs. 2 Nr. 1 SGG zugelassen. Gründe 49 Die Kammer hat in der Besetzung mit zwei ehrenamtlichen Richtern aus den Kreisen der Vertragsärzte und Vertragspsychotherapeuten entschieden, weil es sich um eine Angelegenheit der Vertragsärzte und Vertragspsychotherapeuten im Sinne des § 12 Abs. 3 Satz 2 Sozialgerichtsgesetz (SGG) handelt. I. 50 Die zum örtlich und sachlich zuständigen Sozialgericht Stuttgart erhobene Anfechtungsklage ist nach § 54 Abs. 1 Satz 1 1. Alt. SGG zulässig, aber unbegründet. Der angefochtene Bescheid der Beklagten vom 16.08.2019 in Gestalt des Widerspruchsbescheides vom 11.12.2019 ist rechtmäßig; die dort niedergelegte Kürzung des vertragsärztlichen Honorars des Klägers um 421,58 EUR im Quartal 1/2019 ist nicht zu beanstanden. 51 Rechtsgrundlage für die streitige Honorarkürzung ist § 291 Abs. 2b Satz 14 SGB V in der Fassung vom 06.05.2019 (im Folgenden: SGB V aF, nunmehr in § 291b Abs. 5 Satz 1 SGB V geregelt). Denn entscheidend ist im Rahmen einer isolierten Anfechtungsklage - im Sinne einer „Faustregel“ ( Söhngen in: Schlegel/Voelzke, jurisPK-SGG, 1. Aufl., § 54 SGG (Stand: 30.06.2020), Rdnr. 49 ) - grundsätzlich der Zeitpunkt der letzten Behördenentscheidung, also der Zeitpunkt des Widerspruchsbescheides vom 11.12.2019. Die Frage der Rückwirkung der Vorschriften der §§ 291 Abs. 2b Satz 3, Satz 14 SGB aF stellt sich hier nicht, da dies wortgleich bereits auch in § 291 Abs. 2b Satz 3, Satz 14 SGB V in der Fassung vom 11.12.2018 und damit im streitgegenständlichen Quartal 1/2019 geregelt war. 1. 52 Die Honorarkürzung nach § 291 Abs. 2b Satz 3, Satz 14 SGB V aF ist rechtmäßig. 53 Die Krankenkassen stellen für jeden Versicherten eine elektronische Gesundheitskarte aus, die dem Versicherungsnachweis und der Abrechnung mit den Leistungserbringern dient (§ 291 Abs. 1 Satz 1, 2 SGB V aF) und nach § 291 Abs. 2 Satz 1 SGB V aF folgende Angaben enthält: Die Bezeichnung der ausstellenden Krankenkasse, einschließlich eines Kennzeichens für die Kassenärztliche Vereinigung, in deren Bezirk der Versicherte seinen Wohnsitz hat (Nr. 1), den Familiennamen und Vornamen des Versicherten (Nr. 2), das Geburtsdatum des Versicherten (Nr. 3), das Geschlecht des Versicherten (Nr. 4), die Anschrift des Versicherten (Nr. 5), die Krankenversichertennummer des Versicherten (Nr. 6), den Versichertenstatus, für die Personengruppen nach § 264 Abs. 2 den Status der auftragsweisen Betreuung (Nr. 7), den Zuzahlungsstatus des Versicherten (Nr. 8), den Tag des Beginns des Versicherungsschutzes (Nr. 9), bei befristeter Gültigkeit der elektronischen Gesundheitskarte das Datum des Fristablaufs (Nr. 10). Daneben können die in § 291 Abs. 2 Satz 2 SGB V aF genannten weiteren Daten enthalten sein. 54 Nach § 291 Abs. 2b Satz 3 SGB V aF prüfen die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Einrichtungen und Zahnärzte bei der erstmaligen Inanspruchnahme ihrer Leistungen durch einen Versicherten im Quartal die Leistungspflicht der Krankenkasse durch Nutzung der Dienste nach § 291 Abs. 2b Satz 1 SGB V aF. Dabei handelt es sich um Dienste, die die Krankenkassen anzubieten haben, mit denen die Leistungserbringer die Gültigkeit und die Aktualität der Daten nach Absatz 1 und 2 bei den Krankenkassen online überprüfen und auf der elektronischen Gesundheitskarte aktualisieren können (§ 291 Abs. 2b Satz 1 SGB V aF). Diese Dienste müssen auch ohne Netzanbindung an die Praxisverwaltungssysteme der Leistungserbringer online genutzt werden können (§ 291 Abs. 2b Satz 2 SGB V aF). Dazu ermöglichen sie den Online-Abgleich und die Online-Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten nach Absatz 1 und 2 mit den bei der Krankenkasse vorliegenden aktuellen Daten (§ 291 Abs. 2b Satz 4 SGB V aF). Die Prüfungspflicht besteht ab dem Zeitpunkt, ab dem die Dienste nach Satz 1 sowie die Anbindung an die Telematikinfrastruktur zur Verfügung stehen und die Vereinbarungen nach § 291a Absatz 7a und 7b geschlossen sind (§ 291 Abs. 2b Satz 5 SGB V aF). Die Mitteilung der durchgeführten Prüfung ist Bestandteil der an die Kassenärztliche oder Kassenzahnärztliche Vereinigung zu übermittelnden Abrechnungsunterlagen nach § 295 (§ 291 Abs. 2b Satz 12 SGB V aF). Den an der vertragsärztlichen Versorgung teilnehmenden Ärzten, Einrichtungen und Zahnärzten, die die Prüfung nach Satz 3 ab dem 01.01.2019 nicht durchführen, ist die Vergütung vertragsärztlicher Leistungen pauschal um ein Prozent so lange zu kürzen, bis sie die Prüfung nach Satz 3 durchführen (§ 291 Abs. 2b Satz 14 SGB V aF). Das Bundesministerium für Gesundheit kann die Frist nach Satz 14 durch Rechtsverordnung mit Zustimmung des Bundesrates verlängern (§ 291 Abs. 2b Satz 15 SGB V aF). Von der Kürzung nach Satz 14 ist bis zum 30.06.2019 abzusehen, wenn der an der vertragsärztlichen Versorgung teilnehmende Arzt oder Zahnarzt oder die an der vertragsärztlichen Versorgung teilnehmende Einrichtung gegenüber der jeweils zuständigen Kassenärztlichen Vereinigung nachweist, bereits vor dem 01.04.2019 die Anschaffung der für die Prüfung nach Satz 3 erforderlichen Ausstattung vertraglich vereinbart zu haben (§ 291 Abs. 2b Satz 16 SGB V aF). 55 Der Kläger hat den Online-Abgleich der auf der elektronischen Gesundheitskarte befindlichen Versichertendaten i. S. d. § 291 Abs. 2b Satz 3 SGB V aF seiner Patienten im Quartal 1/2019 nicht durchgeführt und ist an die TI nicht angeschlossen. Seine Vergütung war dementsprechend durch die Beklagte in Höhe von einem Prozent seines Honorars im Quartal 1/2019 zu kürzen (§ 291 Abs. 2b Satz 14 SGB V aF); Berechnungsfehler sind dabei weder vorgetragen noch ersichtlich. 2. 56 §§ 291 Abs. 2b Satz 3, Satz 14 SGB V aF sind nicht wegen Verstoßes gegen höherrangiges Recht nichtig. 57 Der Kläger argumentiert zunächst mit Verstößen gegen die DSGVO. Insofern kann mit der Rechtsprechung des Bundessozialgerichts dahin gestellt bleiben, ob diese unmittelbar oder über § 35 Abs. 2 Satz 2 Erstes Buch Sozialgesetzbuch (SGB I) entsprechend Anwendung findet (vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 25 f .), denn § 291 Abs. 2b Satz 3, Satz 14 SGB V aF stehen mit den Vorgaben der DSGVO auch bei deren unmittelbarer Anwendung als höherrangigem Recht in Einklang. 58 Konkret geht es im vorliegenden Verfahren für das Quartal 1/2019 um die Durchführung des Online-VSD-Abgleichs, also einer Abfrage der von den Krankenkassen gemäß § 284 Abs. 1 Satz 1 Nr. 2 SGB V auf der elektronischen Gesundheitskarte gespeicherten Daten (§ 291 Abs. 2 SGB V aF) sowie gegebenenfalls deren Aktualisierung. Dazu werden die Informationen auf der elektronischen Gesundheitskarte beim erstmaligen Arztbesuch des Versicherten im Quartal online unter Nutzung der TI mit den Informationen abgeglichen, die bei der Krankenkasse hinterlegt sind. Stimmen die Angaben nicht überein, werden veraltete Daten auf der elektronischen Gesundheitskarte überschrieben. Hierbei handelt es sich um einen überschaubaren Datenverarbeitungsprozess der Daten, die zuvor bereits von den Krankenkassen erhoben worden sind und die auf die elektronische Gesundheitskarte übertragen werden. Es geht nicht um Daten, die durch den Vertragsarzt erhoben werden ( Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 32 ). 59 Die Verarbeitung dieser personenbezogenen Daten bei Einlesen und Abgleich der elektronischen Gesundheitskarte durch den Kläger ist nach Art. 6 Abs. 1 DSGVO zulässig. Art. 6 Abs. 1 Satz 1 DSGVO erlaubt die Verarbeitung personenbezogener Daten u. a. dann, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Buchst c und e).Für die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer wie den Kläger sind die Überprüfung der Leistungspflicht der Krankenkasse unter Nutzung der elektronischen Gesundheitskarte und der von der Krankenkasse zur Verfügung gestellten Dienste einschließlich der Online-Abgleich und ggf. die Online-Aktualisierung der auf der elektronischen Gesundheitskarte gespeicherten Daten in § 291 Abs. 2b Satz 3, Satz 4 SGB V aF verpflichtend angeordnet (Art. 6 Abs. 1 Satz 1 c DSGVO). Die Verarbeitung der auf Daten erfolgt gemäß Art 6 Abs. 1 e DSGVO zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (vgl. zum Vorstehenden BSG, Urteil vom 20.01.2021, Az. B 1 KR7/20 R, juris, Rdnr. 30 f. ). 60 Einschlägig für die Verarbeitung der personenbezogenen Daten im Zusammenhang mit der elektronischen Gesundheitskarte sind die nationalen Vorschriften der § 35 Abs. 2 Satz 1 SGB I, § 67a Abs. 1 und § 67b Abs. 1 SGB X, § 15 Abs. 2 und §§ 284, 291, 291a, 291b SGB V aF. Aus ihnen ergibt sich auch der von Art. 6 Abs. 3 Satz 2 DSGVO geforderte Zweck der Datenverarbeitung. Die elektronische Gesundheitskarte dient mit den in § 291 Abs. 2 SGB V aF genannten Angaben dem Nachweis der Berechtigung zur Inanspruchnahme von Leistungen im Rahmen der vertragsärztlichen Versorgung (Versicherungsnachweis). Sie erschwert dadurch den Leistungsmissbrauch und dient der Abrechnung mit den Leistungserbringern, was der finanziellen Stabilität der gesetzlichen Krankenversicherung zugutekommt ( BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 30 - 45 ). Der von dem Kläger durchzuführende VSD-Abgleich ermöglicht es, die Aktualität und Zuordnung der elektronischen Gesundheitskarte zum jeweiligen Karteninhaber zu überprüfen, und damit ungültige sowie als verloren oder gestohlen gemeldete Karten zu identifizieren, um so Missbrauch zu verhindern ( BT-Drs. 17/2170, S. 38 ). Weiter dient die Aktualisierung bzw. Berichtigung von auf der Karte gespeicherten Daten auch dem Wirtschaftlichkeitsgebot ( BSG, Urteil vom 18.11.2014, Az. B 1 KR 35/13 R, juris, Rdnr. 27 ). Ein im öffentlichen Interesse liegendes Ziel liegt damit vor. 61 Die mit dem VSD-Abgleich verbundene Datenverarbeitung wahrt auch den Grundsatz der Verhältnismäßigkeit nach Art. 6 Abs. 3 Satz 4 DSGVO (vgl. dazu BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 47 f. ). 62 Die Verarbeitung der Daten beim VSD-Abgleich ist auch mit Art. 9 DSGVO vereinbar. Soweit dabei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO grundsätzlich nicht verarbeitet werden dürfen, liegt hier eine Ausnahmevorschrift nach Art. 9 Abs. 2 h DSGVO vor, denn die Verarbeitung ist für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage der §§ 67a Abs. 1 Satz 2, 67b Abs. 1 Satz 2 SGB X, 291 f. SGB V aF erforderlich (s. dazu, auch zur Erforderlichkeit, BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 66 f.). 63 Der Kläger hat hier insbesondere Verstöße gegen die seiner Ansicht nach unzureichende Sicherheit der Datenverarbeitung und damit gegen Art. 5 Abs. 1 f, Art. 32 DSGVO, die angeblich ungeklärte Verantwortlichkeit der Datenverarbeitung und fragliche Mitverantwortung der G. nach Art. 26 DSGVO (Verstoß gegen Art. 5 Abs. 1, 2 und Art. 24 Abs. 1 DSGVO) sowie die fehlende Datenschutzfolgenabwägung nach Art. 35 DSGVO geltend gemacht. a) 64 Ein Verstoß gegen den Grundsatz der angemessenen Sicherheit der Datenverarbeitung nach Art. 5 Abs. 1 f DSGVO ist nicht ersichtlich. Es muss eine angemessene Sicherheit personenbezogener Daten gewährleistet werden, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Dazu gehört auch, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Wie das Bundessozialgericht erneut ausdrücklich festgestellt hat, kann es eine absolute Datensicherheit jedoch nicht geben. Insofern werden die zu ergreifenden Sicherheitsmaßnahmen durch den in Art. 24 DSGVO zum Ausdruck kommenden Verhältnismäßigkeitsgrundsatz beschränkt ( BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 76 m. w. N. ). Dabei verfolgt die DSGVO einen risikobasierten Ansatz. Abhängig vom spezifischen Risiko der Datenverarbeitung und dessen Eintrittswahrscheinlichkeit hat der jeweils Verantwortliche die erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Näher konkretisiert werden diese allgemeinen Vorgaben in Art. 25, 32 und 35 DSGVO. 65 Nach Art. 32 Abs. 1 DSGVO sind der Verantwortliche und der Auftragsverarbeiter verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mögliche Maßnahmen sind dabei u. a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. 66 Diese Anforderungen werden hier erfüllt. Denn auch vor Inkrafttreten des PDSG enthielt § 291b SGB V aF Vorschriften zur TI, durch die die beispielhaft aufgezählten Sicherheitsvorgaben der DSGVO im Einzelnen hinreichend umgesetzt und konkretisiert werden. Zentrale und koordinierende Aufgaben wies der Gesetzgeber hierbei der Gesellschaft für T., der G., zu (§ 291a Abs. 7 Satz 1, Satz 2 SGB V aF - in der Fassung vom 20.11.2019). Zum Zeitpunkt der Widerspruchsentscheidung am 11.12.2019 bildeten die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene eine Gesellschaft für T. nach Maßgabe des § 291b SGB V aF, die die Regelungen zur Telematikinfrastruktur trifft sowie deren Aufbau und Betrieb übernimmt (§ 291a Abs. 7 Satz 1, Satz 2 SGB V aF).Die Bundesrepublik Deutschland nimmt in der G. die Stellung einer Mehrheitsgesellschafterin mit 51 Prozent der Gesellschaftsanteile ein. Die Gesellschaft fasst ihre Beschlüsse grundsätzlich mit einfacher Mehrheit (§ 291b Abs. 4 Satz 1 Nr. 1, Nr. 2 SGB V aF). Insofern hat die Bundesrepublik, vertreten durch das Bundesministerium für Gesundheit, wesentlichen Einfluss auf den Entscheidungsprozess. 67 Im Rahmen der Aufgaben hat die G. nach § 291b Abs. 1 Satz 1 SGB V aF 68 1. die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen, 69 2. Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen, 70 3. Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen, 71 4. die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und 72 5. Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung 73 a) der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und 74 b) der Steuerung der Zugriffe auf Daten nach § 291a Absatz 2 und 3. 75 Die G. ist damit gesetzlich verpflichtet, Vorgaben für die Datensicherheit beim Betrieb der TI zu erstellen und deren Umsetzung zu überwachen. Dass die G. ihren Aufgaben ordnungsgemäß nachkommt, wird auch dadurch gewährleistet, dass sie in deutlichem Umfang der Kontrolle durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterliegt und auch der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu beteiligen ist: So muss die G. nach § 291b Abs. 1 Satz 3 SGB V aF, soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt werden, diese im Einvernehmen mit dem BSI treffen. Die Gesellschaft für T. hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen (§ 291b Abs. 1 Satz 4 SGB V aF). Bei der Zulassung von Komponenten und Diensten der TI durch die G. ist der Nachweis der Sicherheit nach den Vorgaben des BSI durch eine Sicherheitszertifizierung zu erbringen. Das BSI entwickelt und veröffentlich dazu geeignete Prüfvorschriften. Näheres zum Zulassungsverfahren und zu den Prüfkriterien wird von der G. in Abstimmung mit dem BSI beschlossen (§ 291b Abs. 1a Satz 5 - 7 SGB V aF). Vor Beschlussfassung der G. zu den Regelungen, dem Aufbau und dem Betrieb der TI ist dem BfDI und dem BSI Gelegenheit zur Stellungnahme zu geben, wenn Belange des Datenschutzes oder der Datensicherheit berührt sind (§ 291b Abs. 4 Satz 2 SGB V aF; vgl. auch den Hinweis darauf bei SG München, Beschluss vom 22.03.2019, Az. S 38 KA 52/19 ER, juris, Rdnr. 24 ). Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der TI ausgeht, ist die G. in Abstimmung mit dem BSI befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die G. zu melden. Die G. hat die ihr gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der TI führen können oder bereits geführt haben, unverzüglich an das BSI zu melden, und kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur TI sperren oder den weiteren Zugang zur TI nur unter der Bedingung gestatten, dass die von der G. angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden (§ 291b Abs. 6 SGB V aF). Nach § 291b Abs. 7 SGB V aF kann die G. für Komponenten und Dienste, die die TI nutzen, aber außerhalb der TI betrieben werden, in Abstimmung mit dem BSI solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der TI zu gewährleisten. Die G. legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Nach § 291b Abs. 8 Satz 1 SGB V aF legt die G. dem BSI auf Verlangen die folgenden Unterlagen und Informationen vor: 76 1. die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation, 77 2. eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und 78 3. sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen. 79 Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das BSI der G. verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen; die G. wiederum ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen (§ 291b Abs. 8 Satz 2, Satz 3 SGB V aF). 80 Im Ergebnis wird so eine kontinuierliche Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben durch die G. und die Anbieter von Diensten und Anwendungen im Rahmen der TI hinreichend gewährleistet (vgl. Art 32 Abs. 1 Buchst d DSGVO). Die enge Einbindung des BSI in den gesamten Verfahrensablauf beim Ausbau und Betrieb der TI sichert zudem die durch Art. 32 Abs. 1 DSGVO angeordnete Berücksichtigung des Stands der Technik (vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 87 ). 81 Der Gesetzgeber hat damit nach den Vorgaben der DSGVO hinreichend Vorkehrungen zur Gewährleistung der Datensicherheit im Zusammenhang mit der elektronischen Gesundheitskarte und der TI getroffen; dass nunmehr mit dem PDSG weitere Spezifizierungen und Verschärfungen in punkto Datenschutz und Datensicherheit erfolgt sind, beweist entgegen der Ansicht des Klägers nicht, dass die §§ 291 f. SGB V aF im hier streitigen Quartal gegen Art. 5 Abs. 1 f, Art. 32 DSGVO verstießen, sondern dass der Gesetzgeber seiner Beobachtungs- und Nachbesserungspflicht nachgekommen ist, auf sich in der Praxis zeigende Sicherheitslücken zu reagieren ( BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 101; Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 33 ). Wie bereits ausgeführt, ist eine absolute Datensicherheit weder möglich, noch im Sinne der DSGVO erforderlich. b) 82 Weiter liegt entgegen der Ansicht des Klägers kein Verstoß gegen Art. 5 Abs.1, Abs. 2, 24, 26 Abs. 1 Satz 2 DSGVO wegen der ungeklärten Verantwortlichkeit in der dezentralen Zone der TI im Quartal 1/2019 vor, sodass auch sein Vortrag zu etwaigen Haftungsproblematiken nicht relevant ist. Dem Kläger ist zwar zuzugeben, dass eine ausdrückliche gesetzliche Regelung (auf mitgliedstaatlicher Ebene) mit § 307 SGB V nF erst mit Geltung ab dem 20.10.2020 und damit nach dem hier streitigen Quartal mit dem PDSG geschaffen wurde ( Gesetzesentwurf der Bundesregierung, BT-Drs. 19/18793, S. 100 : „Zur Klarstellung der Rollen der Beteiligten…“) und die Rechtslage hinsichtlich der Frage des Verantwortlichen im Quartal 1/2019 strittig war (vgl. dazu Beschluss der DSK vom 12.09.2019; Tätigkeitsbericht des BfDI 2017-2018, S. 59; Tätigkeitsbericht des BfDI 2019, S. 26; Stellungnahme des Bundesrates, 20.05.2020, BT-Drs. 19/19365, S. 4 f ). 83 Es ist nicht ersichtlich, dass die maßgeblichen Regelungen in §§ 291 Abs. 2b Satz 3, Satz 14 SGB V aF rechtwidrig wären, weil dort keine explizite Festlegung der Verantwortlichkeiten erfolgt. Eine solche Benennung der Verantwortlichkeit im Recht der Mitgliedstaaten ist nach Art. 4 Nr. 7 DSGVO zwar unter bestimmten Voraussetzungen möglich, aber nicht erforderlich. 84 Im Übrigen ist auch kein Verstoß gegen den Bestimmtheitsgrundsatz wegen fehlender Bestimmbarkeit des Verantwortlichen ersichtlich. Denn anhand der Regelungen der DSGVO ist der Verantwortliche festgelegt und bestimmbar. In Art. 4 Nr. 7 DSGVO wird festgelegt, dass Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Die Pflichten des Verantwortlichen ergeben sich u. a. aus Art. 24 DSGVO. 85 Legen nach Art. 26 Abs. 1 Satz 1 DSGVO zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche für eine Verarbeitung. Mittel der Datenverarbeitung sind die organisatorischen und technischen Mittel, mit denen die Datenverarbeitung durchgeführt wird. Darunter fallen die für die Datenverarbeitung genutzte Hard- und Software und der Einsatz von Personal. Das wesentliche Merkmal ist jedoch die Entscheidungsbefugnis über den Zweck, d. h. über das Ob, Wofür und Wieweit einer Datenverarbeitung ( Kühling/Buchner/Hartung, 2. Aufl. 2018, DS-GVO Art. 4 Nr. 7, Rdnr. 13 ). Eine gemeinsame Verantwortlichkeit ist danach nicht gegeben, wenn zwei Verantwortliche gemeinsam etwa nur die Mittel festlegen ( Gola DS-GVO/Gola, 2. Aufl. 2018, DS-GVO Art. 4, Rdnr. 51 ). 86 Für gemeinsam Verantwortliche i. S. d. Art. 26 DSGVO werden konkrete technische Einflussnahmen oder eine eigene unmittelbare Nutzung der Ergebnisse der Datenverarbeitung nicht verlangt. Ausreichend sind eine gewisse Kausalität, die Einflussnahme auf die Tätigkeit und insbesondere übereinstimmende Interessen an der Datenverarbeitung ( Kühling/Buchner/Hartung, 3. Aufl. 2020, DS-GVO Art. 26, Rdnr. 37 , unter Hinweis auf EuGH, Urteil vom 10.7.2018, Az. C-25/17, ZD 2018, 469 – Z.J. ) bzw. eine gewisse Mitwirkung an der Entscheidung über Zweck oder Mittel der Datenverarbeitung und dass bei der Datenverarbeitung übereinstimmende Eigeninteressen verfolgt werden ( EuGH, Urteil vom 29.7.2019, Az. C-40/17, ZD 2019, 455 – F. ID ). 87 Eine entsprechende Entscheidungsgewalt der G. ist allenfalls bei den Mitteln der Datenverarbeitung ersichtlich, da sie die von den Herstellern entwickelten TI-Komponenten spezifiziert und zulässt sowie den Betrieb koordiniert. Entscheidungen über den Zweck, über das Ob, Wofür und Wieweit einer Datenverarbeitung, trifft die G. jedoch nicht. Eine bloß organisatorische und koordinierende Hoheit kann eine Verantwortlichkeit nur insoweit indizieren, als die operative handelnde Person im Eigeninteresse tätig wird. Die G. hat jedoch kein Eigeninteresse an der Verarbeitung der Versichertenstammdaten in der dezentralen Zone, sondern erfüllt nur ihre gesetzlichen Aufgaben (so auch Gutachterliche Stellungnahme des Prof. Dr. Heckmann für den Ausschuss für Gesundheit des Deutschen Bundestags, Ausschuss-Drs. 19(14)164(25) ). c) 88 Ein Verstoß gegen Art. 35 Abs. 1 Satz 1 DSGVO mit der etwaigen Folge einer Haftungsproblematik des Klägers ist ebenfalls nicht ersichtlich. § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verhält sich zur Frage einer Datenschutz-Folgenabschätzung nicht. 89 Art. 35 Abs. 1 Satz 1 DSGVO verpflichtet den Verantwortlichen für den Fall, dass eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgenabschätzung). 90 Dass die Verarbeitung der Daten anhand einer Risikoprognose – hinsichtlich der genannten vier Attribute - im Rahmen des VSD-Abgleichs in der Praxis des Klägers voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist für die Kammer nicht ersichtlich. Zudem ist der in Erwägungsgrund 91 der DSGVO genannte Sonderfall einschlägig, wonach u. a. der Berufsstand des Arztes privilegiert wird: Sofern die Verarbeitung personenbezogene Daten von Patienten betrifft sowie durch einen einzelnen Verantwortlichen erfolgt, soll sie nicht als umfangreich und damit riskant gelten (vgl. Kühling/Buchner/Jandt, 3. Aufl. 2020, DS-GVO, Art. 35, Rdnr. 10 ). Eine umfangreiche Verarbeitung von Gesundheitsdaten ist zu verneinen (wie auch in den meisten anderen Arztpraxen; vgl. BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 84 ). 3. 91 § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verstößt auch nicht gegen Verfassungsrecht. In Betracht kommt allein ein Verstoß gegen die Berufsausübungsfreiheit des Klägers aus Art. 12 Abs. 1 GG. Durch Art. 12 Abs. 1 GG ist dem Einzelnen das Recht gewährt, jede Tätigkeit, für die er sich geeignet glaubt, als Beruf zu ergreifen und zur Grundlage seiner Lebensführung zu machen. Die Vorschrift konkretisiert das Grundrecht auf freie Entfaltung der Persönlichkeit im Bereich der individuellen Leistung und Existenzerhaltung und zielt auf eine möglichst unreglementierte berufliche Betätigung ab. Sie formuliert ein einheitliches Grundrecht der Berufsfreiheit, dessen verschiedene Gewährleistungen allerdings insofern Bedeutung haben, als an die Einschränkungen der Berufswahl höhere Anforderungen gestellt werden als an die Einschränkung der Berufsausübung ( BVerfG, Beschluss vom 20.03.2001, Az. 1 BvR 491/96, juris, Rdnr. 36 f .). Hier kommt, da es nicht zum Zugang zum Beruf geht, allein die Berufsausübungsfreiheit in Betracht. 92 Eine Einschränkung der Berufsausübungsfreiheit des Klägers kann hier nur darin liegen, dass er in § 291 Abs. 2b Satz 3, Satz 14 SGB V aF verpflichtet wird, den Abgleich der VSD über die TI durchzuführen und andernfalls ein einprozentiger Honorarabzug im Quartal durchgeführt wird. Derartige Berufsausübungsregelungen sind zulässig, wenn sie auf einer gesetzlichen Grundlage beruhen (Art. 12 Abs. 1 Satz 2 GG), wenn sie durch vernünftige Gründe des Gemeinwohls gerechtfertigt sind, die gewählten Mittel zur Erreichung des verfolgten Zwecks geeignet und erforderlich sind und die durch sie bewirkte Grundrechtsbeschränkung dem Betroffenen zumutbar ist ( BVerfG, Nichtannahmebeschluss vom 10.04.2000, Az. 1 BvR 422/00, juris, Rdnr. 21, m. w. N .). 93 Diese Voraussetzungen liegen hier zur Überzeugung der Kammer vor (so im Ergebnis auch Landessozialgericht Niedersachsen-Bremen, Beschluss vom 17.03.2021, Az. L 3 KA 63/20 B ER, juris, Rdnr. 33 f .) 94 Eine gesetzliche Grundlage der Verpflichtung des Klägers liegt vor. Der vom Gesetzgeber verfolgte Zweck - die Verhinderung von Missbrauch der elektronischen Gesundheitskarten durch Dienste, mit denen die Leistungserbringer die Gültigkeit und Aktualität der Daten nach den bei den Krankenkassen online überprüfen und auf der elektronischen Gesundheitskarte aktualisieren können, und damit letztlich der Erhalt der finanziellen Stabilität der gesetzlichen Krankenversicherung ( BSG, Urteil vom 20.01.2020, Az. B 1 KR 7/20 R, juris, Rdnr. 98 ) - ist als legitim anzusehen; die Durchführung des VSD-Abgleichs ist dafür auch geeignet und erforderlich. Ob die vom Kläger vorgeschlagene Möglichkeit eines Abgleichs mit Barcode-Scanner-Technologie als milderes Mittel anzusehen ist, kann hier dahinstehen; die Kammer geht unter Berücksichtigung der Einschätzungsprärogative des Gesetzgebers davon aus, dass dies jedenfalls nicht gleich wirksam ist, zumal die (teils noch in Planung befindlichen) weiteren Aufgaben der TI so nicht verwirklicht werden könnten. 95 Der Eingriff ist auch verhältnismäßig im engeren Sinne. Die Sicherung der finanziellen Stabilität und damit der Funktionsfähigkeit der gesetzlichen Krankenversicherung ist ein Gemeinwohlbelang von hohem Rang (vgl. BVerfGE 68, 193, 218 ). Zur Verwirklichung dieses Ziels darf der Gesetzgeber gerade auch die Leistungserbringer innerhalb der vertragsärztlichen Versorgung in die Pflicht nehmen, denen andererseits besondere Vorteile durch die Einbeziehung in das öffentlich-rechtliche System des Vertragsarztrechts erwachsen. Im Rahmen ihrer Einbeziehung unterliegen sie in erhöhtem Maße der Einwirkung sozialstaatlicher Gesetzgebung, durch die zur Sicherung der finanziellen Stabilität in das System regulierend eingegriffen wird (vgl. BVerfGE 68, 193, 221 ). 96 Entgegen des Vortrags des Klägers wird er nicht „in einen datenschutzrechtlich rechtswidrigen Zustand, verbunden mit der Mithaftung und dem Bußgeldrisiko“ gezwungen, sondern die angegriffenen Regelungen stehen grundsätzlich im Einklang mit der DSGVO (s. o.). Auch wenn die vom Kläger geltend gemachten Sicherheitsrisiken für die Verarbeitung von Patienten- bzw. Gesundheitsdaten im Einzelfall z. B. aufgrund eines Hacker-Angriffs nicht jederzeit ausgeschlossen werden können, liegt auch der Rechtsprechung des BVerfG zugrunde, dass es keine absolute Datensicherheit gibt und dass allein dieser Umstand die automatisierte Verarbeitung personenbezogener Daten nicht verbietet, solange ein Standard gewährleistet wird, der der Sensibilität der betroffenen Daten und dem jeweiligen Gefährdungsrisiko Rechnung trägt, und sich an dem Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt ( BSG, Urteil vom 20.01.2021, Az. B 1 KR 7/20 R, juris, Rdnr. 102 m. w. N. ). Insofern überwiegt hier das öffentliche Interesse an der Verhinderung von Missbrauch der Gesundheitskarte und letztlich an der Funktionsfähigkeit der gesetzlichen Krankenversicherung; den Gesetzgeber trifft eine Beobachtungspflicht und gegebenenfalls die Pflicht zur Nachbesserung bei in der Praxis zu Tage tretenden Sicherheitslücken hinsichtlich des Datenschutzes. II. 97 Die Klage war daher mit der Kostenfolge aus § 197a SGG i.V.m. §§ 154 Abs. 1, 159 Satz 2, 162 Abs. 3 Verwaltungsgerichtsordnung abzuweisen. Der Kläger als unterliegender Teil trägt die Kosten des Verfahrens. Da die Beigeladene einen Antrag gestellt und damit ein Prozessrisiko übernommen hat, entspricht es der Billigkeit, dass der Kläger auch ihre Kosten zu erstatten hat. III. 98 Aufgrund der grundsätzlichen Bedeutung des Rechtsstreits wird die Berufung gemäß § 144 Abs. 2 Nr. 1 SGG zugelassen.

S 24 KA 166/20

Zitationsnetzwerk