umwelt-online: SGB V - Gesetzliche Krankenversicherung (12)

zurück

§ 303 Ergänzende Regelungen ^{14a 17c 19e 20f 20k 20n}

(1) Die Landesverbände der Krankenkassen und die Verbände der Ersatzkassen können mit den Leistungserbringern oder ihren Verbänden vereinbaren, dass

1. der Umfang der zu übermittelnden Abrechnungsbelege eingeschränkt,
2. bei der Abrechnung von Leistungen von einzelnen Angaben ganz oder teilweise abgesehen

wird, wenn dadurch eine ordnungsgemäße Abrechnung und die Erfüllung der gesetzlichen Aufgaben der Krankenkassen nicht gefährdet werden.

(2) Die Krankenkassen können zur Vorbereitung und Kontrolle der Umsetzung der Vereinbarungen nach § 84, zur Vorbereitung der Prüfungen nach den § 112 Absatz 2 Satz 1 Nummer 2 und § 113 sowie zur Vorbereitung der Unterrichtung der Versicherten nach § 305 Arbeitsgemeinschaften nach § 219 mit der Verarbeitung mit Ausnahme des Erhebens von der dafür erforderlichen Daten beauftragen. Die den Arbeitsgemeinschaften übermittelten versichertenbezogenen Daten sind vor der Übermittlung zu anonymisieren. Die Identifikation des Versicherten durch die Krankenkasse ist dabei zu ermöglichen; sie ist zulässig, soweit sie für die in Satz 1 genannten Zwecke erforderlich ist. § 286 gilt entsprechend.

(3) Werden die den Krankenkassen nach § 291a Absatz 2 Nummer 1 bis 10, § 295 Abs. 1 und 2, § 300 Abs. 1, § 301 Absatz 1 und 4, §§ 301a und 302 Abs. 1 zu übermittelnden Daten nicht im Wege elektronischer Datenübertragung oder maschinell verwertbar auf Datenträgern übermittelt, haben die Krankenkassen die Daten nachzuerfassen. Erfolgt die nicht maschinell verwertbare Datenübermittlung aus Gründen, die der Leistungserbringer zu vertreten hat, haben die Krankenkassen die mit der Nacherfassung verbundenen Kosten den betroffenen Leistungserbringern durch eine pauschale Rechnungskürzung in Höhe von bis zu 5 vom Hundert des Rechnungsbetrages in Rechnung zu stellen. Für die Angabe der Diagnosen nach § 295 Abs. 1 gilt Satz 1 ab dem Zeitpunkt der Inkraftsetzung der überarbeiteten Zehnten Fassung des Schlüssels gemäß § 295 Abs. 1 Satz 3.

(4) Sofern Datenübermittlungen zu Diagnosen nach den §§ 295 und 295a fehlerhaft oder unvollständig sind, ist eine erneute Übermittlung in korrigierter oder ergänzter Form nur im Falle technischer Übermittlungs- oder formaler Datenfehler zulässig. Eine nachträgliche Änderung oder Ergänzung von Diagnosedaten insbesondere auch auf Grund von Prüfungen gemäß den § § 106 bis 106c, Unterrichtungen nach § 106d Absatz 3 Satz 2 und Anträgen nach § 106d Absatz 4 ist unzulässig. Das Nähere regeln die Vertragspartner nach § 82 Absatz 1 Satz 1.

Zweiter Titel
Datentransparenz
(vgl. DatentransparenzV)

§ 303a Wahrnehmung der Aufgaben der Datentransparenz; Verordnungsermächtigung ^{11e 19k 24b}

(1) Die Aufgaben der Datentransparenz werden von öffentlichen Stellen des Bundes als Vertrauensstelle nach § 303c und als Forschungsdatenzentrum nach § 303d sowie vom Spitzenverband Bund der Krankenkassen als Datensammelstelle wahrgenommen. Das Bundesministerium für Gesundheit bestimmt im Benehmen mit dem Bundesministerium für Bildung und Forschung durch Rechtsverordnung ohne Zustimmung des Bundesrates zur Wahrnehmung der Aufgaben der Datentransparenz eine öffentliche Stelle des Bundes als Vertrauensstelle nach § 303c und eine öffentliche Stelle des Bundes als Forschungsdatenzentrum nach § 303d.

(2) Die Vertrauensstelle und das Forschungsdatenzentrum sind räumlich, organisatorisch und personell eigenständig zu führen. Sie unterstehen der Rechtsaufsicht des Bundesministeriums für Gesundheit.

(3) Die jeweiligen Kosten, die den öffentlichen Stellen nach Absatz 1 durch die Wahrnehmung der Aufgaben der Datentransparenz entstehen, tragen die Krankenkassen und Pflegekassen jeweils nach der Zahl ihrer Mitglieder.

(4) In der Rechtsverordnung nach Absatz 1 Satz 2 ist auch das Nähere zu regeln

1. zu spezifischen Festlegungen zu Art und Umfang der nach § 303b Absatz 1 Satz 1 zu übermittelnden Daten,
2. zur Datenverarbeitung durch den Spitzenverband Bund der Krankenkassen nach § 303b Absatz 2 und 3 Satz 1 und 2,
3. zum Verfahren der Pseudonymisierung der Versichertendaten nach § 303c Absatz 1 und 2 und zum Verfahren der Übermittlung der Pseudonyme an das Forschungsdatenzentrum nach § 303c Absatz 3 durch die Vertrauensstelle,
4. zur Wahrnehmung der Aufgaben nach § 303d Absatz 1 einschließlich der Reihenfolge der Bearbeitung von Anträgen nach Dringlichkeit und § 303e einschließlich der Bereitstellung von Einzeldatensätzen nach § 303e Absatz 4 durch das Forschungsdatenzentrum,
5. zur Evaluation und Weiterentwicklung der Datentransparenz,
6. zur Erstattung der Kosten nach Absatz 3 einschließlich der zu zahlenden Vorschüsse.

§ 303b Datenzusammenführung und -übermittlung; Verordnungsermächtigung ^{11e 14a 19k 19l 24b}

(1) Für die in § 303e Absatz 2 genannten Zwecke übermitteln die Krankenkassen und die Pflegekassen bis spätestens zehn Wochen nach Quartalsende an den Spitzenverband Bund der Krankenkassen als Datensammelstelle für jeden Versicherten jeweils in Verbindung mit einem Versichertenpseudonym, das eine kassenübergreifende eindeutige Identifizierung im Berichtszeitraum erlaubt (Lieferpseudonym),

1. Angaben zu Alter, Geschlecht und Wohnort,
2. Angaben zum Versicherungsverhältnis,
3. die Kosten- und Leistungsdaten nach den §§ 295, 295a, 295b, 300, 301, 301a und 302 sowie nach § 105 des Elften Buches
4. Angaben zum Vitalstatus, Grad der Pflegebedürftigkeit nach § 15 des Elften Buches und zum Sterbedatum und
5. Angaben zu den abrechnenden Leistungserbringern.

Im Rahmen der Datenübermittlung nach Satz 1 übermitteln die Krankenkassen und Pflegekassen jeweils diejenigen in Satz 1 genannten Daten, die ihnen für das jeweils vergangene Kalenderquartal und für die diesem vergangenen Kalenderquartal vorangegangenen drei Kalenderquartale vorliegen. Das Forschungsdatenzentrum löscht die nach Satz 1 übermittelten Daten zu einem Kalenderquartal, sobald ihnen nach Satz 1 erneut Daten zu diesem Kalenderquartal übermittelt werden. Abweichend von Satz 3 dürfen Daten zu einem Kalenderquartal, zu dem erneut Daten übermittelt wurden, durch Nutzungsberechtigte und durch das Forschungsdatenzentrum weiterhin verarbeitet werden, wenn die Daten einem Nutzungsberechtigten bereits auf dessen Antrag hin nach § 303e zugänglich gemacht wurden und die Verarbeitung im Rahmen dieses Antrags erfolgt. Das Nähere zur technischen Ausgestaltung der Datenübermittlung regelt der Spitzenverband Bund der Krankenkassen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates zu bestimmen, dass die Datenübermittlung nach Satz 1, abweichend von Satz 1, zu einem anderen Zeitpunkt zu erfolgen hat. Die Datenübermittlung nach Satz 1 erfolgt erstmals für das erste Kalenderquartal des Jahres 2025.

(2) Der Spitzenverband Bund der Krankenkassen führt die Daten nach Absatz 1 zusammen, prüft die Daten auf Vollständigkeit, Plausibilität und Konsistenz und klärt Auffälligkeiten jeweils mit der die Daten liefernden Stelle.

(3) Der Spitzenverband Bund der Krankenkassen übermittelt

1. an das Forschungsdatenzentrum nach § 303d die Daten nach Absatz 1 ohne das Lieferpseudonym, wobei jeder einem Lieferpseudonym zuzuordnende Einzeldatensatz mit einer Arbeitsnummer gekennzeichnet wird,
2. an die Vertrauensstelle nach § 303c eine Liste mit den Lieferpseudonymen einschließlich der Arbeitsnummern, die zu den nach Nummer 1 übermittelten Einzeldatensätzen für das jeweilige Lieferpseudonym gehören.

Die Angaben zu den Leistungserbringern sind vor der Übermittlung an das Forschungsdatenzentrum zu pseudonymisieren. Das Nähere zur technischen Ausgestaltung der Datenübermittlung nach Satz 1 vereinbart der Spitzenverband Bund der Krankenkassen mit den nach § 303a Absatz 1 Satz 2 bestimmten Stellen.

(4) Der Spitzenverband Bund der Krankenkassen kann eine Arbeitsgemeinschaft nach § 219 mit der Durchführung der Aufgaben nach den Absätzen 1 bis 3 beauftragen.

§ 303c Vertrauensstelle ^{11e 19e 19k 24b}

(1) Die Vertrauensstelle überführt die ihr nach § 303b Absatz 3 Satz 1 Nummer 2 übermittelten Lieferpseudonyme nach einem einheitlich anzuwendenden Verfahren nach Absatz 2 in periodenübergreifende Pseudonyme.

(2) Die Vertrauensstelle hat im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein schlüsselabhängiges Verfahren zur Pseudonymisierung festzulegen, das dem jeweiligen Stand der Technik und Wissenschaft entspricht. Das Verfahren zur Pseudonymisierung ist so zu gestalten, dass für das jeweilige Lieferpseudonym eines jeden Versicherten periodenübergreifend immer das gleiche Pseudonym erstellt wird, aus dem Pseudonym aber nicht auf das Lieferpseudonym oder die Identität des Versicherten geschlossen werden kann.

(3) Die Vertrauensstelle hat die Liste der Pseudonyme dem Forschungsdatenzentrum mit den Arbeitsnummern zu übermitteln. Nach der Übermittlung dieser Liste an das Forschungsdatenzentrum hat sie die diesen Pseudonymen zugrunde liegenden Lieferpseudonyme und Arbeitsnummern sowie die Pseudonyme zu löschen.

"(4) Die Vertrauensstelle wirkt bei der Verknüpfung und Verarbeitung von Gesundheitsdaten nach § 4 des Gesundheitsdatennutzungsgesetzes mit. Sie ist befugt, die für diesen Zweck erforderlichen Daten zu verarbeiten.

§ 303d Forschungsdatenzentrum ^{11e 19e 19k 19l 24b}

(1) Das Forschungsdatenzentrum hat folgende Aufgaben:

1. die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach § 303b Absatz 3 und § 303c Absatz 3 für die Auswertung für Zwecke nach § 303e Absatz 2 aufzubereiten,
2. Qualitätssicherungen der Daten vorzunehmen,
3. Anträge auf Datennutzung zu prüfen,
4. die für Zwecke nach § 303e Absatz 2 beantragten Daten den Nutzungsberechtigten nach § 303e zugänglich zu machen,
5. das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren,
6. ein öffentliches Antragsregister mit Informationen zu den antragstellenden Nutzungsberechtigten, zu den Vorhaben, für die Daten beantragt wurden, und deren Ergebnissen aufzubauen und zu pflegen,
7. die Verfahren der Datentransparenz zu evaluieren und weiterzuentwickeln,
8. Nutzungsberechtigte nach § 303e Absatz 1 zu beraten,
9. Schulungsmöglichkeiten für Nutzungsberechtigte anzubieten,
10. die wissenschaftliche Erschließung der Daten zu fördern und
11. die Daten im Rahmen der Mitwirkung bei der Verknüpfung und Verarbeitung von Gesundheitsdaten nach § 4 des Gesundheitsdatennutzungsgesetzes zu verarbeiten.

(2) Das Forschungsdatenzentrum richtet im Benehmen mit dem Bundesministerium für Gesundheit und dem Bundesministerium für Bildung und Forschung einen Arbeitskreis zur Sekundärnutzung von Versorgungsdaten nach § 303e Absatz 1 ein. Der Arbeitskreis wirkt beratend an der Ausgestaltung, Weiterentwicklung und Evaluation des Datenzugangs mit.

An dem Arbeitskreis nach Satz 1 sind zu beteiligen:

1. die maßgeblichen Verbände der Selbstverwaltung im Gesundheitswesen und in der Pflege,
2. Institutionen der Gesundheits- und Versorgungsforschung, Bundes- und Landesbehörden,
3. maßgebliche Bundesorganisationen für die Wahrnehmung der Interessen von Patientinnen und Patienten und der Selbsthilfe chronisch kranker Menschen sowie von Menschen mit Behinderung und
4. die auf Bundesebene maßgeblichen Organisationen für die Wahrnehmung der Interessen und der Selbsthilfe pflegebedürftiger und behinderter Menschen nach § 118 des Elften Buches.

(3) Das Forschungsdatenzentrum hat die versichertenbezogenen Einzeldatensätze spätestens nach 100 Jahren zu löschen.

§ 303e Datenverarbeitung ^{11e 13g 15i 19e 19k 24b}

(1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 2 bis 6 den in Satz 2 genannten Nutzungsberechtigten auf Antrag zugänglich. Nutzungsberechtigt sind natürliche und juristische Personen im Anwendungsbereich der Verordnung (EU) 2016/679, soweit diese nach Absatz 2 zur Verarbeitung der Daten berechtigt sind.

(2) Die dem Forschungsdatenzentrum übermittelten Daten dürfen von den Nutzungsberechtigten verarbeitet werden, soweit dies für folgende Zwecke erforderlich ist:

1. Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,
2. Verbesserung der Qualität der Versorgung sowie Verbesserung der Sicherheitsstandards der Prävention, Versorgung und Pflege,
3. Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung oder Pflegestrukturplanungsempfehlungen nach § 8a Absatz 4 des Elften Buches,
4. wissenschaftliche Forschung zu Fragestellungen aus den Bereichen Gesundheit und Pflege, Analysen des Versorgungsgeschehens, sowie Grundlagenforschung im Bereich der Lebenswissenschaften,
5. Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Kranken- und Pflegeversicherung,
6. Analysen zur Wirksamkeit sektorenübergreifender Versorgungsformen sowie zur Wirksamkeit von Einzelverträgen der Kranken- und Pflegekassen,
7. Wahrnehmung von Aufgaben der Gesundheitsberichterstattung, anderer Berichtspflichten des Bundes nach diesem oder dem Elften Buch und der amtlichen Statistik sowie Berichtspflichten der Länder,
8. Wahrnehmung gesetzlicher Aufgaben in den Bereichen öffentliche Gesundheit und Epidemiologie,
9. Entwicklung, Weiterentwicklung und Überwachung der Sicherheit von Arzneimitteln, Medizinprodukten, Untersuchungs- und Behandlungsmethoden, Hilfs- und Heilmitteln, digitalen Gesundheits- und Pflegeanwendungen sowie Systemen der Künstlichen Intelligenz im Gesundheitswesen einschließlich des Trainings, der Validierung und des Testens dieser Systeme der Künstlichen Intelligenz oder
10. Nutzenbewertung von Arzneimitteln, Medizinprodukten, Untersuchungs- und Behandlungsmethoden, Hilfs- und Heilmitteln sowie digitalen Gesundheits- und Pflegeanwendungen, Verhandlung von Vergütungsbeträgen oder Festlegung von Höchstbeträgen und Schwellenwerten nach § 134 sowie Vereinbarung oder Festsetzung von Erstattungsbeträgen von Arzneimitteln nach § 130b.

(3) Das Forschungsdatenzentrum macht einem Nutzungsberechtigten auf Antrag Daten zugänglich, wenn die Voraussetzungen nach Absatz 2 erfüllt sind. In dem Antrag hat der antragstellende Nutzungsberechtigte nachvollziehbar darzulegen, dass Umfang und Struktur der beantragten Daten geeignet und erforderlich sind, um die angestrebten Zwecke nach Absatz 2 zu erfüllen. Das Forschungsdatenzentrum kann einen Antrag dem Arbeitskreis nach § 303d Absatz 2 mit einer Bitte um Stellungnahme zu der Plausibilität des Antrags innerhalb von höchstens vier Wochen vorlegen. Liegen die Voraussetzungen nach Absatz 2 vor, übermittelt das Forschungsdatenzentrum dem antragstellenden Nutzungsberechtigten die entsprechend den Anforderungen des Nutzungsberechtigten ausgewählten Daten anonymisiert und aggregiert. Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch anonymisierte und aggregierte Daten mit kleinen Fallzahlen übermitteln, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass ein nach Absatz 2 zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens, die Übermittlung dieser Daten erfordert.

(3a) Das Forschungsdatenzentrum lehnt einen Antrag nach Absatz 3 ab, wenn

1. durch das Zugänglichmachen der beantragten Daten ein unangemessenes Risiko für die öffentliche Sicherheit und Ordnung oder den Schutz personenbezogener Daten entstehen würde und dieses Risiko nicht durch Auflagen und weitere Maßnahmen ausreichend minimiert werden kann,
2. der begründete Verdacht besteht, die Daten könnten für einen anderen Zweck als die in Absatz 2 genannten Zwecke verarbeitet werden,
3. die Bearbeitung eines oder mehrerer Anträge des gleichen Nutzungsberechtigten die Kapazitäten des Forschungsdatenzentrums unverhältnismäßig bindet und dadurch die Arbeitsfähigkeit des Forschungsdatenzentrums gefährdet.

Die Nutzung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten ist insbesondere für folgende Zwecke verboten:

1. Entscheidungen hinsichtlich des Abschlusses oder der Ausgestaltung eines Versicherungsvertrags mit Bezug auf eine natürliche Person oder eine Gruppe natürlicher Personen,
2. Treffen von Entscheidungen zum Nachteil einer natürlichen Person auf der Grundlage ihrer elektronischen Gesundheitsdaten,
3. Entwicklung von Produkten oder Dienstleistungen, die Einzelpersonen oder der Gesellschaft insgesamt schaden können, insbesondere illegale Drogen, alkoholische Getränke und Tabakerzeugnisse,
4. Nutzung der Daten für Marktforschung, Werbung und Vertriebstätigkeiten für Arzneimittel, Medizinprodukte und sonstige Produkte.

(4) Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch pseudonymisierte Einzeldatensätze bereitstellen, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach Absatz 2 zulässigen Nutzungszweck, insbesondere für die Durchführung eines Forschungsvorhabens, erforderlich ist. Das Forschungsdatenzentrum stellt einem Nutzungsberechtigten die pseudonymisierten Einzeldatensätze ohne Sichtbarmachung der Pseudonyme mit einer temporären Arbeitsnummer für die Verarbeitung unter Kontrolle des Forschungsdatenzentrums bereit, soweit

1. gewährleistet ist, dass diese Daten nur solchen Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, und
2. durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann.

Personen, die nicht der Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, können pseudonymisierte Einzeldatensätze nach Satz 2 bereitgestellt werden, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet wurden. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes gilt entsprechend.

(4a) Das Forschungsdatenzentrum kann entsprechend den Anforderungen der Nutzungsberechtigten die in Absatz 4 genannten pseudonymisierten Einzeldatensätze mit pseudonymisierten Daten von gesetzlich geregelten medizinischen Registern, die unter Bundesverwaltung stehen, verknüpfen und die so verknüpften Datensätze einem Nutzungsberechtigten für die in Absatz 2 Nummer 4 genannten Zwecke bereitstellen. Eine Verknüpfung nach Satz 1 ist nur zulässig, soweit

1. die Voraussetzungen nach den Absätzen 4 und 5 erfüllt sind,
2. die Verknüpfung für die zu untersuchende Forschungsfrage erforderlich ist,
3. der Nutzungsberechtigte dem Forschungsdatenzentrum nachweist, dass die zu verknüpfenden Daten des gesetzlich geregelten medizinischen Registers von dem Nutzungsberechtigten entsprechend den anwendbaren rechtlichen Anforderungen für den jeweiligen in Absatz 2 Nummer 4 genannten Zweck verarbeitet werden dürfen, und
4. schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden oder das öffentliche Interesse an der wissenschaftlichen Forschung das Geheimhaltungsinteresse der betroffenen Person überwiegt und das spezifische Re-Identifikationsrisiko in Bezug auf die zu verknüpfenden Daten bewertet und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen minimiert worden ist.

Das Bundesministerium für Gesundheit wird im Benehmen mit dem Bundesministerium für Bildung und Forschung ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates das Nähere zu regeln

1. zu dem technischen Verfahren zur Verknüpfung der Daten, einschließlich der hierfür erforderlichen Datenverarbeitung, und
2. zu der Auswahl jener gesetzlich geregelten medizinischen Register, deren Daten nach Satz 1 verknüpft werden dürfen.

(5) Die Nutzungsberechtigten dürfen die nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten

1. nur für die Zwecke nutzen, für die sie zugänglich gemacht werden,
2. nicht an Dritte weitergeben, es sei denn, das Forschungsdatenzentrum genehmigt auf Antrag eine Bereitstellung der beantragten Daten an einen Dritten im Rahmen eines nach Absatz 2 zulässigen Nutzungszwecks.

Die Nutzungsberechtigten haben bei der Verarbeitung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. Wird ein Bezug zu Personen, Leistungserbringern oder Leistungsträgern unbeabsichtigt hergestellt, so ist dies dem Forschungsdatenzentrum unverzüglich zu melden. Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt.

(5a) Ergeben sich konkrete Anhaltspunkte dafür, dass Antragstellende oder Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entspricht, kann das Forschungsdatenzentrum diese Anhaltspunkte der zuständigen Datenschutzaufsichtsbehörde und dem Arbeitskreis zur Sekundärnutzung nach § 303d Absatz 2 zur Stellungnahme mit Fristsetzung von zehn Arbeitstagen vorlegen. Darüber ist der Antragsteller oder Nutzungsberechtigte zu informieren. Während dieser Frist ruht der Zugang des Antragstellenden oder Nutzungsberechtigten zu den Daten des Forschungsdatenzentrums.

(6) Stellt die zuständige Datenschutzaufsichtsbehörde fest, dass Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den diesbezüglichen Auflagen des Forschungsdatenzentrums entspricht, und hat sie wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen, informiert sie das Forschungsdatenzentrum. In diesem Fall schließt das Forschungsdatenzentrum den Nutzungsberechtigten für einen Zeitraum von bis zu zwei Jahren vom Datenzugang aus.

§ 303f Gebührenregelung; Verordnungsermächtigung ^{11e 19k 24b}

(1) Das Forschungsdatenzentrum erhebt von den Nutzungsberechtigten nach § 303e Absatz 1 Gebühren und Auslagen für individuell zurechenbare öffentliche Leistungen nach § 303d zur Deckung des Verwaltungsaufwandes. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Die Krankenkassen, die Pflegekassen, ihre Verbände, der Spitzenverband Bund der Krankenkassen sowie das Bundesministerium für Gesundheit als Aufsichtsbehörde sind von der Zahlung der Gebühren befreit.

(2) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Das Bundesministerium für Gesundheit kann die Ermächtigung durch Rechtsverordnung auf die öffentliche Stelle, die vom Bundesministerium für Gesundheit nach § 303a Absatz 1 als Forschungsdatenzentrum nach § 303d bestimmt ist, übertragen.

Dritter Abschnitt
Datenlöschung, Auskunftspflicht

§ 304 Aufbewahrung von Daten bei Krankenkassen, Kassenärztlichen Vereinigungen und Geschäftsstellen der Prüfungsausschüsse ^{14a 15c 19e 19i 19k 19m 20f 21m 22k}

(1) Die für Aufgaben der gesetzlichen Krankenversicherung bei Krankenkassen, Kassenärztlichen Vereinigungen und Geschäftsstellen der Prüfungsausschüsse gespeicherten Sozialdaten sind nach folgender Maßgabe zu löschen:

1. die Daten nach, den §§ 292, 295 Absatz 1a, 1b und 2 sowie Daten, die für die Prüfungsausschüsse und ihre Geschäftsstellen für die Prüfungen nach den §§ 106 bis 106c erforderlich sind, spätestens nach zehn Jahren,
2. die die Daten, die auf Grund der nach § 266 Absatz 8 Satz 1 erlassenen Rechtsverordnung für die Durchführung des Risikostrukturausgleichs nach den §§ 266 und 267 erforderlich sind, spätestens nach den in der Rechtsverordnung genannten Fristen.

Die Aufbewahrungsfristen beginnen mit dem Ende des Geschäftsjahres, in dem die Leistungen gewährt oder abgerechnet wurden. Die Krankenkassen können für Zwecke der Krankenversicherung Leistungsdaten länger aufbewahren, wenn sichergestellt ist, dass ein Bezug zum Arzt und Versicherten nicht mehr herstellbar ist. Die Löschfristen gelten nicht für den Nachweis über die Erfüllung der Meldepflicht nach § 36 des Implantateregistergesetzes, dessen Speicherung für die Erfüllung der Meldepflicht nach § 17 Absatz 2 des Implantateregistergesetzes erforderlich ist. Dieser Nachweis ist unverzüglich zu löschen, sobald die Registerstelle des Implantateregisters Deutschland die Krankenkasse über die Anonymisierung des Registerdatensatzes der oder des Versicherten unterrichtet hat.

(2) Im Falle des Wechsels der Krankenkasse ist die bisher zuständige Krankenkasse verpflichtet, den Nachweis über die Erfüllung der Meldepflicht nach § 36 des Implantateregistergesetzes an die neue Krankenkasse zu übermitteln sowie Arbeitsunfähigkeitsdaten, die der bisher zuständigen Krankenkasse für Zeiten nach dem Ende der Versicherung übermittelt werden, der neuen Krankenkasse zu übermitteln sowie die für die Fortführung der Versicherung erforderlichen Angaben nach den § § 288 und 292 der neuen Krankenkasse zu übermitteln.

(3) Für die Aufbewahrung der Kranken- und sonstigen Berechtigungsscheine für die Inanspruchnahme von Leistungen einschließlich der Verordnungsblätter für Arznei-, Verband-, Heil- und Hilfsmittel gilt § 84 Absatz 6 des Zehnten Buches.

§ 305 Auskünfte an Versicherte ^{11e 15b 17c 19a 19e 20k 22f 24}

(1) Die Krankenkassen unterrichten die Versicherten auf deren Antrag über die in Anspruch genommenen Leistungen und deren Kosten. Auf Verlangen der Versicherten und mit deren ausdrücklicher Einwilligung sollen die Krankenkassen an Dritte, die die Versicherten benannt haben, Daten nach Satz 1 auch elektronisch übermitteln. Zur Erfüllung ihrer Pflichten nach § 350 Absatz 1 haben die Krankenkassen Daten über die von diesem Versicherten in Anspruch genommenen Leistungen an Anbieter elektronischer Patientenakten zu übermitteln, soweit der Versicherte gegenüber der Krankenkasse nicht widersprochen hat. Bei der Übermittlung an Anbieter elektronischer Patientenakten oder anderer persönlicher elektronischer Gesundheitsakten muss sichergestellt werden, dass die Daten nach Satz 1 nicht ohne ausdrückliche Einwilligung der Versicherten von Dritten eingesehen werden können. Zum Schutz vor unbefugter Kenntnisnahme der Daten der Versicherten, insbesondere zur sicheren Identifizierung des Versicherten und des Dritten nach den Sätzen 2 und 3 sowie zur sicheren Datenübertragung, ist die Richtlinie nach § 217f Absatz 4b entsprechend anzuwenden. Auf Antrag der Versicherten haben die Krankenkassen abweichend von § 303 Absatz 4 Diagnosedaten, die ihnen nach den §§ 295 und 295a übermittelt wurden und deren Unrichtigkeit durch einen ärztlichen Nachweis belegt wird, in berichtigter Form bei der Unterrichtung nach Satz 1 und bei der Übermittlung nach den Sätzen 2 und 3 zu verwenden. Den Antrag nach Satz 6 haben die Krankenkassen innerhalb von vier Wochen nach Erhalt des Antrags zu bescheiden. Die für die Unterrichtung nach Satz 1 und für die Übermittlung nach den Sätzen 2 und 3 erforderlichen Daten dürfen ausschließlich für diese Zwecke verarbeitet werden. Eine Mitteilung an die Leistungserbringer über die Unterrichtung des Versicherten und die Übermittlung der Daten ist nicht zulässig. Die Krankenkassen können in ihrer Satzung das Nähere über das Verfahren der Unterrichtung nach Satz 1 und über die Übermittlung nach den Sätzen 2 und 3 regeln.

(2) Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Einrichtungen und medizinischen Versorgungszentren haben die Versicherten auf Verlangen in verständlicher Form entweder schriftlich oder elektronisch, direkt im Anschluss an die Behandlung oder mindestens quartalsweise spätestens vier Wochen nach Ablauf des Quartals, in dem die Leistungen in Anspruch genommen worden sind, über die zu Lasten der Krankenkassen erbrachten Leistungen und deren vorläufige Kosten (Patientenquittung) zu unterrichten. Satz 1 gilt auch für die vertragszahnärztliche Versorgung. Der Versicherte erstattet für eine quartalsweise schriftliche Unterrichtung nach Satz 1 eine Aufwandspauschale in Höhe von 1 Euro zuzüglich Versandkosten. Das Nähere regelt die Kassenärztliche Bundesvereinigung. Die Krankenhäuser unterrichten die Versicherten auf Verlangenin verständlicher Form entweder schriftlich oder elektronisch innerhalb von vier Wochen nach Abschluss der Krankenhausbehandlung über die erbrachten Leistungen und die dafür von den Krankenkassen zu zahlenden Entgelte. Das Nähere regelt der Spitzenverband Bund der Krankenkassen und die Deutsche Krankenhausgesellschaft durch Vertrag.

(3) Die Krankenkassen informieren ihre Versicherten auf Verlangen umfassend über in der gesetzlichen Krankenversicherung zugelassene Leistungserbringer einschließlich medizinische Versorgungszentren und Leistungserbringer in der besonderen Versorgung sowie über die verordnungsfähigen Leistungen und Bezugsquellen, einschließlich der Informationen nach § 73 Abs. 8, § 127 Absatz 3 und 5. Sie informieren ihre Versicherten auch über die Möglichkeit, die Terminservicestellen der Kassenärztlichen Vereinigungen zur Erfüllung der in § 75 Absatz 1a Satz 3 genannten Aufgaben in Anspruch zu nehmen. Die Krankenkasse hat Versicherte vor deren Entscheidung über die Teilnahme an besonderen Versorgungsformen in Wahltarifen nach § 53 Abs. 3 umfassend über darin erbrachte Leistungen und die beteiligten Leistungserbringer zu informieren. § 69 Absatz 1 Satz 3 gilt entsprechend.

§ 305a Beratung der Vertragsärzte ^{15b 17c 19e 20f}

Die Kassenärztlichen Vereinigungen beraten in erforderlichen Fällen die Vertragsärzte auf der Grundlage von Übersichten über die von ihnen im Zeitraum eines Jahres oder in einem kürzeren Zeitraum erbrachten, verordneten oder veranlassten Leistungen über Fragen der Wirtschaftlichkeit. Ergänzend können die Vertragsärzte den Kassenärztlichen Vereinigungen die Daten über die von ihnen verordneten Leistungen nicht versichertenbezogen übermitteln, die Kassenärztlichen Vereinigungen können diese Daten für ihre Beratung des Vertragsarztes auswerten und auf der Grundlage dieser Daten erstellte vergleichende Übersichten den Vertragsärzten nicht arztbezogen zur Verfügung stellen. Die Vertragsärzte und die Kassenärztlichen Vereinigungen dürfen die Daten nach Satz 2 nur für im Sozialgesetzbuch bestimmte Zwecke verarbeiten. Ist gesetzlich oder durch Vereinbarung nach § 130a Abs. 8 nichts anderes bestimmt, dürfen Vertragsärzte Daten über von ihnen verordnete Arzneimittel nur solchen Stellen übermitteln, die sich verpflichten, die Daten ausschließlich als Nachweis für die in einer Kassenärztlichen Vereinigung oder einer Region mit mindestens jeweils 300.000 Einwohnern oder mit jeweils mindestens 1.300 Ärzten insgesamt in Anspruch genommenen Leistungen zu verarbeiten; eine Verarbeitung dieser Daten mit regionaler Differenzierung innerhalb einer Kassenärztlichen Vereinigung, für einzelne Vertragsärzte oder Einrichtungen sowie für einzelne Apotheken ist unzulässig. Satz 4 gilt auch für die Übermittlung von Daten über die nach diesem Buch verordnungsfähigen Arzneimittel durch Apotheken, den Großhandel, Krankenkassen sowie deren Rechenzentren. Abweichend von Satz 4 dürfen Leistungserbringer und Krankenkassen Daten über verordnete Arzneimittel in vertraglichen Versorgungsformen nach den § § 63, 73b, 137f oder 140a nutzen.

§ 305b Veröffentlichung der Jahresrechnungsergebnisse ^{11e 12a}

Die Krankenkassen, mit Ausnahme der landwirtschaftlichen Krankenkasse, veröffentlichen im elektronischen Bundesanzeiger sowie auf der eigenen Internetpräsenz zum 30. November des dem Berichtsjahr folgenden Jahres die wesentlichen Ergebnisse ihrer Rechnungslegung in einer für die Versicherten verständlichen Weise. Die Satzung hat weitere Arten der Veröffentlichung zu regeln, die sicherstellen, dass alle Versicherten der Krankenkasse davon Kenntnis erlangen können. Zu veröffentlichen sind insbesondere Angaben zur Entwicklung der Zahl der Mitglieder und Versicherten, zur Höhe und Struktur der Einnahmen, zur Höhe und Struktur der Ausgaben sowie zur Vermögenssituation. Ausgaben für Prävention und Gesundheitsförderung sowie Verwaltungsausgaben sind gesondert auszuweisen. Das Nähere zu den zu veröffentlichenden Angaben wird in der Allgemeinen Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung geregelt.

Elftes Kapitel ^20k
Telematikinfrastruktur

Erster Abschnitt ^20k
Anforderungen an die Telematikinfrastruktur

§ 306 Telematikinfrastruktur ^{20k 21h 24}

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1. Eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung, zur elektronischen Signatur, zur Verschlüsselung sowie Entschlüsselung und zur sicheren Verarbeitung von Daten in der zentralen Infrastruktur,
2. geeignet ist
   1. für die Nutzung weiterer Dienste und Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
   2. für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.

Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1. eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2. eine zentrale Infrastruktur bestehend aus
   1. sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
   2. einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3. eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne von Absatz 2 Nummer 3 sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

§ 307 Datenschutzrechtliche Verantwortlichkeiten ^{20k 21h 21l 24c 24e}

(1) Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden. Die Verantwortlichkeit nach Satz 1 erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten. Für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 durch Verantwortliche nach Satz 1 erfolgt in der Anlage 2 zu diesem Gesetz eine Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 der Verordnung (EU) 2016/679. Soweit eine Datenschutz-Folgenabschätzung nach Satz 3 erfolgt, gilt für die Verantwortlichen nach Satz 1 Artikel 35 Absatz 1 bis 7 der Verordnung (EU) 2016/679 sowie § 38 Absatz 1 Satz 2 des Bundesdatenschutzgesetzes nicht.

(2) Der Betrieb der durch die Gesellschaft für Telematik spezifizierten und zugelassenen Zugangsdienste nach § 306 Absatz 2 Nummer 2 Buchstabe a liegt in der Verantwortung des jeweiligen Anbieters des Zugangsdienstes. Der Anbieter eines Zugangsdienstes darf personenbezogene Daten der Versicherten ausschließlich für Zwecke des Aufbaus und des Betriebs seines Zugangsdienstes verarbeiten. § 3 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes ist entsprechend anzuwenden.

(3) Die Gesellschaft für Telematik erteilt einen Auftrag nach § 323 Absatz 2 Satz 1 zum alleinverantwortlichen Betrieb des gesicherten Netzes nach § 306 Absatz 2 Nummer 2 Buchstabe b, einschließlich der für den Betrieb notwendigen Dienste. Der Anbieter des gesicherten Netzes ist innerhalb des gesicherten Netzes verantwortlich für die Übertragung von personenbezogenen Daten, insbesondere von Gesundheitsdaten der Versicherten, zwischen Leistungserbringern, Kostenträgern sowie Versicherten und für die Übertragung im Rahmen der Anwendungen der elektronischen Gesundheitskarte. Der Anbieter des gesicherten Netzes darf die Daten ausschließlich zum Zweck der Datenübertragung verarbeiten. § 3 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes ist entsprechend anzuwenden.

(4) Der Betrieb der Dienste der Anwendungsinfrastruktur nach § 306 Absatz 2 Nummer 3 erfolgt durch den jeweiligen Anbieter. Die Anbieter sind für die Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten der Versicherten, zum Zweck der Nutzung des jeweiligen Dienstes der Anwendungsinfrastruktur verantwortlich.

(5) Die Gesellschaft für Telematik ist Verantwortliche für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben nach § 311 Absatz 1 die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist. Die Gesellschaft für Telematik richtet für die Betroffenen eine koordinierende Stelle ein. Die koordinierende Stelle erteilt den Betroffenen allgemeine Informationen zur Telematikinfrastruktur sowie Auskunft über Zuständigkeiten innerhalb der Telematikinfrastruktur, insbesondere zur datenschutzrechtlichen Verantwortlichkeit nach dieser Vorschrift.

§ 308 Vorrang von technischen Schutzmaßnahmen ^20k

(1) Die Rechte der betroffenen Person nach den Artikeln 12 bis 22 der Verordnung (EU) 2016/679 sind gegenüber den Verantwortlichen nach § 307 ausgeschlossen, soweit diese Rechte von dem Verantwortlichen nach § 307 und dessen Auftragsverarbeiter nicht oder nur unter Umgehung von Schutzmechanismen wie insbesondere der Verschlüsselung oder der Anonymisierung gewährleistet werden können. Ist es einem Verantwortlichen nach § 307 nur unter Umgehung von Schutzmechanismen wie insbesondere der Verschlüsselung oder der Anonymisierung, die eine Kenntnisnahme oder Identifizierung ausschließen, möglich, Rechte der betroffenen Person zu befriedigen, so ist der Verantwortliche nicht verpflichtet, zur bloßen Einhaltung datenschutzrechtlicher Betroffenenrechte zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten oder Sicherheitsvorkehrungen aufzuheben.

(2) Absatz 1 gilt nicht, wenn die Datenverarbeitung unrechtmäßig ist oder berechtigte Zweifel an der behaupteten Unmöglichkeit nach Absatz 1 bestehen.

§ 309 Protokollierung ^{20k 24}

(1) Die Verantwortlichen nach § 307 haben durch geeignete technische Maßnahmen sicherzustellen, dass für Zwecke der Datenschutzkontrolle bei Anwendungen nach den § § 327 und 334 Absatz 1 nachträglich für den Zeitraum der regelmäßigen dreijährigen Verjährungsfrist nach § 195 des Bürgerlichen Gesetzbuchs die Zugriffe und die versuchten Zugriffe auf personenbezogene Daten der Versicherten in diesen Anwendungen überprüft werden können und festgestellt werden kann, ob, von wem und welche Daten des Versicherten in dieser Anwendung verarbeitet worden sind.

(2) Eine Verwendung der Protokolldaten nach Absatz 1 für andere als die dort genannten Zwecke ist unzulässig.

(3) Die Protokolldaten sind nach Ablauf der in Absatz 1 genannten Frist unverzüglich zu löschen.

(4) Die Verantwortlichen nach § 307 haben durch geeignete technische Maßnahmen in den Anwendungen nach den §§ 327 und 334 Absatz 1 sicherzustellen, dass ab dem 1. Januar 2030 die Zugriffe und die versuchten Zugriffe auf personenbezogene Daten der Versicherten personenbeziehbar protokolliert werden.

Zweiter Abschnitt ^20k
Gesellschaft für Telematik

Erster Titel ^20k
Aufgaben, Verfassung und Finanzierung der Gesellschaft für Telematik

§ 310 Gesellschaft für Telematik ^20k

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in § 306 Absatz 1 Satz 1 genannten Spitzenorganisationen sind Gesellschafter der Gesellschaft für Telematik.

(2) Die Geschäftsanteile entfallen

1. zu 51 Prozent auf die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit,
2. zu 24,5 Prozent auf den Spitzenverband Bund der Krankenkassen und
3. zu 24,5 Prozent auf die anderen in § 306 Absatz 1 Satz 1 genannten Spitzenorganisationen.

(3) Die Gesellschafter können den Beitritt weiterer Spitzenorganisationen der Leistungserbringer auf Bundesebene und des Verbandes der Privaten Krankenversicherung auf deren Wunsch beschließen. Im Fall eines Beitritts sind die Geschäftsanteile innerhalb der Gruppen der Kostenträger und Leistungserbringer entsprechend anzupassen.

(4) Unbeschadet zwingender gesetzlicher Mehrheitserfordernisse entscheiden die Gesellschafter mit der einfachen Mehrheit der sich aus den Geschäftsanteilen ergebenden Stimmen.

§ 311 Aufgaben der Gesellschaft für Telematik ^{20k 20p 21h 22k 24}

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1. zur Schaffung der Telematikinfrastruktur:
   1. Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
   2. Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
   3. Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
   4. Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
   5. Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
      aa) der Zugriffsberechtigungen nach dem Fünften Abschnitt und
      bb) der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2. Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3. Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4. Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5. Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6. Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7. Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8. Errichtung eines Kompetenzzentrums für Interoperabilität im Gesundheitswesen,
9. Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10. Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 10 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11. Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes,
12. Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3,
13. Planung, Durchführung und Unterstützung der Erprobungs- und Einführungsphasen von Anwendungen und
14. Unterstützung der Träger der gesetzlichen Unfallversicherung mit Maßnahmen, damit Leistungserbringer und Träger der gesetzlichen Unfallversicherung die Telematikinfrastruktur zur Erfüllung ihrer Aufgaben nach den §§ 27 und 27a des Siebten Buches nutzen können,
15. Unterstützung sowie Koordinierung der Weiterentwicklung und der Zurverfügungstellung der elektronischen Arbeitsunfähigkeitsmeldung nach § 295,
16. die kontinuierliche konzeptionelle Weiterentwicklung der elektronischen Patientenakte hin zu einem persönlichen Gesundheitsdatenraum, der eine datenschutzkonforme und sichere Verarbeitung strukturierter Gesundheitsdaten ermöglicht und
17. Unterstützung bei der Umsetzung und Fortschreibung der Digitalisierungsstrategie des Bundesministeriums für Gesundheit.

Bei der Gesellschaft für Telematik unmittelbar für die Erfüllung der Aufgabe nach Satz 1 Nummer 14 entstehende Kosten werden von den Trägern der gesetzlichen Unfallversicherung getragen. Die Träger der gesetzlichen Unfallversicherung legen die Einzelheiten der Kostenerstattung im Einvernehmen mit der Gesellschaft für Telematik fest.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Gesellschaft für Telematik legt die Rahmenbedingungen zu den Inhalten und für die Nutzung der sicheren Verfahren nach Satz 1 fest und veröffentlicht diese auf ihrer Internetseite. Nach § 324 zugelassene Anbieter eines sicheren Verfahrens nach Satz 1 sind verpflichtet, die für ihr Verfahren geltenden Rahmenbedingungen nach Satz 7 in ihrem jeweils aktuellen Stand den Nutzern des sicheren Verfahrens bekannt zu machen und als Voraussetzung für die Nutzung des sicheren Verfahrens zu vereinbaren. Sofern ein Nutzer die Vereinbarung nach Satz 8 ablehnt oder diese annimmt, aber gegen Bestimmungen der Rahmenbedingungen nach Satz 7 verstößt, hat die Gesellschaft für Telematik das Recht, den Zugang des Nutzers zu dem betroffenen sicheren Übermittlungsverfahren zu sperren. Der Anbieter des betroffenen Dienstes für das sichere Verfahren hat die Gesellschaft für Telematik bei der Sperrung des Zugangs des Nutzers nach Satz 9 zu unterstützen. Die Gesellschaft für Telematik trifft die Rahmenbedingungen nach Satz 7 im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(8) Die Gesellschaft für Telematik hat bei der Entscheidung über grundlegende Maßnahmen, die die Schaffung und den Aufbau der Telematikinfrastruktur betreffen, jeweils die voraussichtlichen Gesamtkosten für die Umsetzung der Maßnahmen im Gesundheitswesen und auch in der Pflege zu ermitteln, zu berücksichtigen und nachprüfbar zu dokumentieren.

(9) Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen nach Absatz 1 Satz 1 Nummer 8 nimmt die in § 385 und in der auf Grund des § 385 Absatz 1 Satz 1 erlassenen Rechtsverordnung sowie die in § 14a Absatz 1 Satz 1 des Infektionsschutzgesetzes genannten Aufgaben wahr.

§ 312 Aufträge an die Gesellschaft für Telematik ^{20k 21h 22k 24}

(1) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgaben nach § 311

1. bis zum 30. Juni 2020 die Maßnahmen durchzuführen, die erforderlich sind, damit vertragsärztliche elektronische Verordnungen für apothekenpflichtige Arzneimittel elektronisch nach § 360 Absatz 1 übermittelt werden können,
2. bis zum 30. September 2023 die Maßnahmen durchzuführen, die erforderlich sind, damit vertragsärztliche elektronische Verordnungen für Betäubungsmittel sowie für Arzneimittel nach § 3a Absatz 1 Satz 1 der Arzneimittelverschreibungsverordnung elektronisch nach § 360 Absatz 1 übermittelt werden können,
3. bis zum 30. Juni 2021 die Maßnahmen durchzuführen, die erforderlich sind, damit Informationen zur vertragsärztlichen Verordnung nach den Nummern 1 oder 2 mit Informationen über das auf der Grundlage der vertragsärztlichen Verordnung nach den Nummern 1 oder 2 abgegebene Arzneimittel, soweit technisch möglich dessen Chargennummer und, falls auf der Verordnung angegeben, dessen Dosierung den Versicherten elektronisch verfügbar gemacht werden können (Dispensierinformationen) und die Maßnahmen durchzuführen, die erforderlich sind, damit Abgabeinformationen zu elektronischen Verordnungen nach den Nummern 7, 12, 13 und 16 den Versicherten elektronisch verfügbar gemacht werden können,
4. bis zum 1. Oktober 2021 die Maßnahmen durchzuführen, die erforderlich sind, damit sichere Übermittlungsverfahren nach § 311 Absatz 6 einen Sofortnachrichtendienst zur Kommunikation zwischen Leistungserbringern umfassen,
5. bis zum 31. Oktober 2021 die Maßnahmen durchzuführen, die erforderlich sind, damit der elektronische Mediktionsplan nach § 334 Absatz 1 Satz 2 Nummer 4 gemäß § 358 in Verbindung mit § 359 Absatz 2 ab dem 1. Oktober 2024 in einer eigenständigen Anwendung innerhalb der Telematikinfrastruktur genutzt werden kann, die nicht auf der elektronischen Gesundheitskarte gespeichert wird,
6. bis zum 1. Dezember 2021 die Maßnahmen durchzuführen, die erforderlich sind, damit zugriffsberechtigte Leistungserbringer mittels der elektronischen Gesundheitskarte sowie entsprechend den Zugriffsvoraussetzungen nach § 361 Absatz 2 auf elektronische Verordnungen zugreifen können,
7. bis zum 1. März 2024 die Maßnahmen durchzuführen, die erforderlich sind, damit vertragsärztliche elektronische Verordnungen von digitalen Gesundheitsanwendungen durch Ärzte, Zahnärzte und Psychotherapeuten ab dem 1. Januar 2025 elektronisch nach § 360 Absatz 1 übermittelt werden können,
8. bis zum 1. April 2023 die Maßnahmen durchzuführen, die erforderlich sind, um digitale Identitäten zur Verfügung zu stellen durch
   1. die Krankenkassen für ihre Versicherten nach § 291 Absatz 8 und
   2. die Stellen nach § 340 Absatz 1 Satz 1 Nummer 1 für die zugriffsberechtigten Leistungserbringer,
9. die Maßnahmen durchzuführen, die erforderlich sind, damit der in Nummer 4 definierte Dienst auch zur Kommunikation zwischen Versicherten und Leistungserbringern auch soweit sie nach dem Siebten Buch tätig werden beziehungsweise Versicherten und Krankenkassen oder Unfallversicherungsträgern genutzt werden kann,
10. bis zum 30. Juni 2022 die Maßnahmen durchzuführen, die erforderlich sind, damit Anbieter ab dem 1. Januar 2023 Komponenten und Dienste zur Verfügung stellen können, die eine sichere, wirtschaftliche, skalierbare, stationäre und mobile Zugangsmöglichkeit zur Telematikinfrastruktur ermöglichen,
11. . bis zum 30. Juni 2022 die Maßnahmen durchzuführen, die erforderlich sind, damit Komponenten gemäß § 306 Absatz 2 Nummer 1, die das Lesen von in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmitteln, insbesondere von Karten und Ausweisen gemäß den §§ 291 und 340, ermöglichen, eine kontaktlose Schnittstelle unterstützen,
12. bis zum 1. Oktober 2024 die Maßnahmen durchzuführen, die erforderlich sind, damit vertragsärztliche elektronische Verordnungen von häuslicher Krankenpflege nach § 37 sowie außerklinischer Intensivpflege nach § 37c elektronisch nach § 360 Absatz 1 übermittelt werden können,
13. bis zum 1. Juli 2026 die Maßnahmen durchzuführen, die erforderlich sind, damit vertragsärztliche elektronische Verordnungen von Soziotherapien nach § 37a durch Ärzte und Psychotherapeuten elektronisch nach § 360 Absatz 1 übermittelt werden können,
14. bis zum 1. Juli 2023 die Maßnahmen durchzuführen, die erforderlich sind, damit der Spitzenverband Bund der Krankenkassen, Deutsche Verbindungsstelle Krankenversicherung - Ausland, seine Aufgaben nach § 219d Absatz 6 Satz 1 erfüllen und den Betrieb der nationalen eHealth-Kontaktstelle zu diesem Zeitpunkt aufnehmen kann; dazu sind im Benehmen mit dem Spitzenverband Bund der Krankenkassen, Deutsche Verbindungsstelle Krankenversicherung - Ausland, und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit insbesondere diejenigen Festlegungen zum Aufbau und Betrieb der nationalen eHealth-Kontaktstelle nach § 219d Absatz 6 Satz 1 zu treffen, die im Rahmen des grenzüberschreitenden Austauschs von Gesundheitsdaten Fragen der Datensicherheit und des Datenschutzes berühren,
15. bis zum 1. Oktober 2023 die Maßnahmen durchzuführen, die erforderlich sind, damit die sicheren Übermittlungsverfahren nach § 311 Absatz 6 auch den Austausch von medizinischen Daten in Form von Text, Dateien, Ton und Bild, auch als Konferenz mit mehr als zwei Beteiligten, ermöglichen,
16. bis zum 1. Januar 2025 die Maßnahmen durchzuführen, die erforderlich sind, damit vertragsärztliche elektronische Verordnungen nach § 360 Absatz 7 Satz 1 ab dem 1. Januar 2027 elektronisch nach § 360 Absatz 1 übermittelt werden können,
17. die Maßnahmen durchzuführen, die erforderlich sind, damit eine Übermittlung und Speicherung von Daten aus einer digitalen Gesundheitsanwendung in die elektronische Patientenakte der Versicherten nach § 341 Absatz 2 Nummer 9 unter Verwendung eines Pseudonyms erfolgen kann und
18. die Maßnahmen durchzuführen, die erforderlich sind, um die gesetzlichen Maßnahmen umzusetzen, die infolge des Vorschlags nach Absatz 10 getroffen werden.

Bei der Durchführung der Maßnahmen nach Satz 1 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Verfahren schrittweise auf sonstige in der ärztlichen Versorgung verordnungsfähige Leistungen und auf Verordnungen ohne direkten Kontakt zwischen den Ärzten oder den Zahnärzten und den Versicherten ausgedehnt werden sollen. Bei der Durchführung der Maßnahmen nach Satz 1 Nummer 2 sind darüber hinaus die Vorgaben der Betäubungsmittel-Verschreibungsverordnung und entsprechende Vorgaben des Betäubungsmittelgesetzes in der jeweils geltenden Fassung zu beachten.

(2) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgaben nach § 311 Absatz 1 Nummer 1 bis zum 15. Oktober 2020 die Voraussetzungen dafür zu schaffen, dass Pflegeeinrichtungen nach dem Elften Buch und Leistungserbringer, die Leistungen nach den §§ 24g, 37 , 37b, 37c, 39a Absatz 1 und § 39c erbringen, sowie Zugriffsberechtigte nach § 352 Nummer 9 bis 18 die Telematikinfrastruktur nutzen können.

(3) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgaben nach § 311 Absatz 1 Nummer 1 die Voraussetzungen dafür zu schaffen, dass Zugriffsberechtigte nach § 359 Absatz 1 Daten nach § 334 Absatz 1 Satz 2 Nummer 4 und 5 nutzen können.

(4) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgabenzuweisung nach § 311 Absatz 1 Nummer 10 bis zum 30. Juni 2021 die entsprechenden Komponenten der Telematikinfrastruktur anzubieten.

(5) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgabenzuweisung nach § 311 Absatz 1 Nummer 1 die Maßnahmen durchzuführen, damit Überweisungen in elektronischer Form übermittelt werden können.

(6) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgabenzuweisung nach § 311 Absatz 1 Nummer 1 die Maßnahmen durchzuführen, die erforderlich sind, damit das Auslesen der Protokolldaten gemäß § 309 Absatz 1 und der Daten in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 2, 3 und 6 mittels einer Benutzeroberfläche eines geeigneten Endgeräts erfolgen kann. Dabei ist ein technisches Verfahren vorzusehen, das zur Authentifizierung einen hohen Sicherheitsstandard gewährleistet. Abweichend von Satz 2 kann der Versicherte nach umfassender Information durch den für die jeweilige Anwendung datenschutzrechtlich Verantwortlichen über die Besonderheiten des Verfahrens in die Nutzung eines Authentifizierungsverfahrens einwilligen, das einem anderen angemessenen Sicherheitsniveau entspricht. Die Anforderungen an die Sicherheit und Interoperabilität solcher alternativer Authentifizierungsverfahren werden von der Gesellschaft für Telematik festgelegt. Die Festlegung erfolgt hinsichtlich der Anforderungen an die Sicherheit und den Datenschutz im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Satz 1 gilt nicht für Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind.

(7) Bei den Maßnahmen nach Absatz 1 Satz 1 Nummer 1, 2, 12, 13 und 16 hat die Gesellschaft für Telematik auch Verfahren festzulegen oder die technischen Voraussetzungen dafür zu schaffen, dass Versicherte Daten ihrer elektronischen Verordnungen nach § 360 Absatz 2, 5, 6 oder Absatz 7 vor einer Inanspruchnahme der jeweils verordneten Leistungen, soweit erforderlich, elektronisch ihrer Krankenkasse zur Bewilligung übermitteln können.

(8) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgaben nach § 311 Absatz 1 bis zum 1. Januar 2024 die Voraussetzungen dafür zu schaffen, dass die in § 380 Absatz 2 genannten Leistungserbringer die Telematikinfrastruktur nutzen und ihre Zugriffsrechte nach § 352 Nummer 14 und 15 sowie nach § 361 Absatz 1 Satz 1 Nummer 5 ausüben können.

(9) Die Gesellschaft für Telematik legt zu den Verfahren nach Absatz 1 Satz 1 Nummer 6 im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bis zum 31. Dezember 2021 Einzelheiten zu dem Bestätigungsverfahren fest und veröffentlicht diese Einzelheiten. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den nach Absatz 1 Satz 1 Nummer 6 bestätigten Anwendungen auf ihrer Internetseite.

(10) Der Spitzenverband Bund der Krankenkassen prüft unter Beteiligung des Bundesministeriums für Gesundheit und des Bundesministeriums für Arbeit und Soziales, ob und unter welchen Voraussetzungen die Aushändigung der ärztlichen Bescheinigung über das Bestehen der Arbeitsunfähigkeit einschließlich der Ausfertigung zum Nachweis gegenüber dem Arbeitgeber (Arbeitgeberausfertigung) durch ein geeignetes elektronisches Äquivalent dazu mit gleich hohem Beweiswert in der elektronischen Patientenakte abgelöst werden kann, und legt dazu einen Vorschlag vor. Dabei sind neben den inhaltlichen auch die verfahrensmäßigen Voraussetzungen in rechtlicher und tatsächlicher Hinsicht zu berücksichtigen. Bei der Erstellung des Vorschlags ist der Gesellschaft für Telematik, der Kassenärztlichen Bundesvereinigung sowie den Spitzenorganisationen der Arbeitgeber und der Arbeitnehmer Gelegenheit zur Stellungnahme zu geben. Das Bundesministerium für Gesundheit kann dem Spitzenverband Bund der Krankenkassen im Einvernehmen mit dem Bundesministerium für Arbeit und Soziales eine Frist für die Erarbeitung des Vorschlags setzen. Der Vorschlag ist durch das Bundesministerium für Gesundheit im Einvernehmen mit dem Bundesministerium für Arbeit und Soziales zu genehmigen.

(11) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgabe nach § 311 Absatz 1 Satz 1 Nummer 16 dem Bundesministerium für Gesundheit spätestens am 1. Juli 2026 ein Umsetzungskonzept vorzulegen.

(12) Soweit die Gesellschaft für Telematik im Rahmen ihrer Aufgabenerfüllung nach § 311 Absatz 1 öffentlich-rechtliche Verträge abschließt, gelten die Vorschriften des Bürgerlichen Gesetzbuchs entsprechend.

§ 313 Elektronischer Verzeichnisdienst der Telematikinfrastruktur ^{20k 21h 24}

(1) Die Gesellschaft für Telematik betreibt den elektronischen Verzeichnisdienst der Telematikinfrastruktur. Sie kann Dritte mit dem Betrieb beauftragen. Der elektronische Verzeichnisdienst kann die Daten enthalten, die erforderlich sind für die Suche, Identifikation und Adressierung von

1. Leistungserbringern,
2. organisatorischen Einheiten von Leistungserbringern und
3. allen anderen angeschlossenen Nutzern von Anwendungen und Diensten der Telematikinfrastruktur.

Die Daten nach Satz 3 umfassen den Namen, die Adressdaten, technische Adressierungsdaten, die eindeutige Identifikationsnummer, das Fachgebiet und den öffentlichen Teil der technischen Identität des Nutzers. Die Daten von Versicherten sind nicht Teil des Verzeichnisdienstes. Die in Satz 4 genannten Daten können von den in Satz 3 genannten Personen und Einheiten in eigener Verantwortung um weitere spezifische Daten zur besseren Information über die Eigenschaften und Leistungsangebote dieser Personen und Einheiten ergänzt werden. Die zusätzlichen Daten nach Satz 6 müssen den vom Verzeichnisdienst vorgegebenen Datenkategorien, Standards und Strukturen entsprechen.

(2) Für jeden Nutzer wird im Verzeichnisdienst nach Absatz 1 eine Identifikationsnummer vergeben. Bei der Vergabe ist sicherzustellen, dass der Bezug der Identifikationsnummer zu dem jeweiligen Nutzer nach ihrer Struktur eineindeutig hergestellt werden kann.

(3) Der Verzeichnisdienst darf ausschließlich zum Zwecke der Suche, Identifikation und Adressierung der in Absatz 1 Satz 3 genannten Nutzer im Rahmen der Nutzung von Anwendungen und Diensten der Telematikinfrastruktur sowie durch die Gesellschaft für Telematik für Prüfmaßnahmen zur Sicherstellung der Ziele nach Absatz 4 Satz 1, insbesondere hinsichtlich der Korrektheit und Verwendbarkeit der Daten des Verzeichnisdienstes, verwendet werden. Daten des Verzeichnisdienstes dürfen im Rahmen der Nutzung eines sicheren Übermittlungsverfahrens nach § 311 Absatz 6 ohne vorherige ausdrückliche Einwilligung der Nutzer nicht für die Versendung von Nachrichten zum Zwecke der Werbung genutzt werden. Ergebnisse der Prüfmaßnahmen nach Satz 1, insbesondere Fehler und Auffälligkeiten der Daten des Verzeichnisdienstes, können von der Gesellschaft für Telematik ausgewertet und den in Absatz 5 Satz 1 genannten dateneinliefernden Stellen mitgeteilt werden. Für jeden Nutzer wird im Verzeichnisdienst vermerkt, welche Anwendungen und Dienste adressiert werden können.

(4) Die Gesellschaft für Telematik hat durch geeignete organisatorische Maßnahmen und nach dem aktuellen Stand der Technik sicherzustellen, dass die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit sowie ein einheitlicher Qualitätsstandard der Daten gewährleistet wird. Dazu legt sie die Vorgaben für die Datenübermittlung durch die in Absatz 5 Satz 1 benannten Stellen in einer verbindlichen Richtlinie fest.

(5) Die Landesärztekammern, die Landeszahnärztekammern, die Kassenärztlichen Vereinigungen, die Kassenzahnärztlichen Vereinigungen, die Apothekerkammern der Länder, die Psychotherapeutenkammern, die Deutsche Krankenhausgesellschaft und die von den Ländern nach § 340 sowie von der Gesellschaft für Telematik nach § 315 Absatz 1 bestimmten Stellen übermitteln fortlaufend in einem automatisierten Verfahren die bei ihnen vorliegenden, im elektronischen Verzeichnisdienst nach Absatz 1 zu speichernden aktuellen Daten der Nutzer nach Absatz 1 Satz 3 an den Verzeichnisdienst der Telematikinfrastruktur. Die in Satz 1 Genannten oder ein von ihnen beauftragter Dritter können oder kann der Gesellschaft für Telematik die für die Suche, Identifikation und Adressierung erforderlichen Daten über ein von ihnen für ihre Mitgliederverwaltung betriebenes standardbasiertes System zur Verwaltung von Identitäten und Zugriffsrechten zur Verfügung stellen. Nutzer nach Absatz 1 Satz 3, die Anwendungen und Dienste der Telematikinfrastruktur nutzen und deren Daten nach Absatz 1 Satz 3 nicht bei den in Satz 1 Genannten oder einer sie vertretenden Organisation vorliegen, übermitteln fortlaufend die aktuellen Daten nach Absatz 1 Satz 3 an die Gesellschaft für Telematik, die sie in einem automatisierten Verfahren im Verzeichnisdienst speichert. Die Verpflichtung nach den Sätzen 1 und 2 gilt ab dem 1. Dezember 2020.

(6) Die örtlich zuständige Kassenärztliche Vereinigung hat die für den Anschluss an die Telematikinfrastruktur erforderlichen Identifikationsmerkmale nach Absatz 1 für Eigeneinrichtungen der Krankenkassen nach § 140 zu vergeben. Satz 1 gilt auch für niedergelassene Ärzte und Psychotherapeuten, die nicht bereits auf Grund anderer Vorschriften entsprechende Identifikationsmerkmale erhalten können. Die örtlich zuständige Ärztekammer oder die örtlich zuständige Psychotherapeutenkammer stellen der Kassenärztlichen Vereinigung die für die Wahrnehmung der Aufgaben nach den Sätzen 1 und 2 notwendigen Informationen zur Verfügung und informieren die zuständige Kassenärztliche Vereinigung unverzüglich über für die Vergabe der Arztnummer und der im Bundesmantelvertrag für Ärzte vorgesehenen Betriebsstättennummer relevante Änderungen.

(7) Bei den Maßnahmen nach Absatz 1 Satz 1 Nummer 1, 2, 12, 13 und 16 hat die Gesellschaft für Telematik auch Verfahren festzulegen oder die technischen Voraussetzungen dafür zu schaffen, dass Versicherte Daten ihrer elektronischen Verordnungen nach § 360 Absatz 2, 5, 6 oder Absatz 7 vor einer Inanspruchnahme der jeweils verordneten Leistungen, soweit erforderlich, elektronisch ihrer Krankenkasse zur Bewilligung übermitteln können.

(8) Die Gesellschaft für Telematik hat im Rahmen ihrer Aufgaben nach § 311 Absatz 1 bis zum 1. Januar 2024 die Voraussetzungen dafür zu schaffen, dass die in § 380 Absatz 2 genannten Leistungserbringer die Telematikinfrastruktur nutzen und ihre Zugriffsrechte nach § 352 Nummer 14 und 15 sowie nach § 361 Absatz 1 Satz 1 Nummer 5 ausüben können.

(9) Die Gesellschaft für Telematik legt zu den Verfahren nach Absatz 1 Satz 1 Nummer 6 im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bis zum 31. Dezember 2021 Einzelheiten zu dem Bestätigungsverfahren fest und veröffentlicht diese Einzelheiten. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den nach Absatz 1 Satz 1 Nummer 6 bestätigten Anwendungen auf ihrer Internetseite.

§ 314 Informationspflichten der Gesellschaft für Telematik ^{20k 24}

Die Gesellschaft für Telematik ist verpflichtet, auf ihrer Internetseite und in analogem Format Informationen für die Versicherten in präziser, transparenter, verständlicher, leicht zugänglicher und barrierefreier Form zur Verfügung zu stellen über

1. die Struktur und die Funktionsweise der Telematikinfrastruktur,
2. die grundlegenden Anwendungsfälle und Funktionalitäten der elektronischen Patientenakte,
3. die Rechte der Versicherten im Umgang mit Daten in der elektronischen Patientenakte,
4. den besonderen Schutz von Gesundheitsdaten nach der Verordnung (EU) 2016/679,
5. Art und Umfang der Zugriffsrechte zugriffsberechtigter Personen nach dem Vierten Abschnitt sowie die Zwecke der Verarbeitung von Daten in der elektronischen Patientenakte durch diese zugriffsberechtigten Personen,
6. die Datenverarbeitungsvorgänge bei der Übermittlung von Daten in die elektronische Patientenakte und bei der Erhebung und Verarbeitung von Daten aus der elektronischen Patientenakte durch zugriffsberechtigte Personen,
7. die Benennung der Verantwortlichen für die Daten im Hinblick auf die verschiedenen Datenverarbeitungsvorgänge,
8. die Pflichten der datenschutzrechtlich Verantwortlichen und die Rechte des Versicherten gegenüber den datenschutzrechtlich Verantwortlichen nach der Verordnung (EU) 2016/679,
9. die Maßnahmen zur Datensicherheit und
10. die Aufgaben der koordinierenden Stelle gemäß § 307 Absatz 5 Satz 2 und 3.

Für Informationen nach Satz 1, die die elektronische Patientenakte betreffen, hat die Gesellschaft für Telematik das hierzu durch den Spitzenverband Bund der Krankenkassen im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach § 343 erstellte Informationsmaterial zu nutzen.

§ 315 Verbindlichkeit der Beschlüsse der Gesellschaft für Telematik ^20k

(1) Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und die Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich. Beschlüsse der Gesellschaft für Telematik über die Zuständigkeit für die Bereitstellung von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen gelten auch für die Apothekerkammern der Länder, soweit diese Zuständigkeit nicht durch Bundes- oder Landesrecht geregelt ist.

(2) Vor der Beschlussfassung hat die Gesellschaft für Telematik der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind.

§ 316 Finanzierung der Gesellschaft für Telematik; Verordnungsermächtigung ^{20k 21h}
(Verordnung zur Anpassung des Betrags zur Finanzierung der Gesellschaft für Telematik siehe =>)

(1) Zur Finanzierung der Gesellschaft für Telematik zahlt der Spitzenverband Bund der Krankenkassen an die Gesellschaft für Telematik jährlich einen Betrag in Höhe von 1,50 Euro je Mitglied der gesetzlichen Krankenversicherung. Das Bundesministerium für Gesundheit kann entsprechend dem Mittelbedarf der Gesellschaft für Telematik unter Beachtung des Gebotes der Wirtschaftlichkeit durch Rechtsverordnung ohne Zustimmung des Bundesrates einen von Satz 1 abweichenden Betrag je Mitglied der gesetzlichen Krankenversicherung festsetzen.

(2) Die Zahlungen nach Absatz 1 sind quartalsweise, spätestens drei Wochen vor Beginn des jeweiligen Quartals, zu leisten.

Zweiter Titel ^20k
Beirat der Gesellschaft für Telematik

§ 317 Beirat der Gesellschaft für Telematik ^20k

(1) Die Gesellschaft für Telematik hat einen Beirat einzurichten. Der Beirat hat eine Vorsitzende oder einen Vorsitzenden. Der Beirat besteht aus

1. vier Vertretern der Länder,
2. vier Vertretern der Organisationen, die für die Wahrnehmung der Interessen der Patienten, der Pflegebedürftigen und der Selbsthilfe chronisch Kranker und behinderter Menschen maßgeblich sind,
3. drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen,
4. drei Vertretern der Wissenschaft,
5. einem Vertreter der Spitzenorganisation, die für die Wahrnehmung der Interessen der an der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblich ist,
6. einem Vertreter aus dem Bereich der Hochschulmedizin,
7. je einem Vertreter der Vereinigungen der Träger der Pflegeeinrichtungen auf Bundesebene und der Verbände der Pflegeberufe auf Bundesebene,
8. der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit,
9. der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten.

(2) Die Mitglieder nach Absatz 1 Satz 3 Nummer 1 werden von den Ländern benannt.

Die Mitglieder nach Absatz 1 Satz 3 Nummer 2 bis 5 und 7 werden von der Gesellschafterversammlung der Gesellschaft für Telematik benannt. Der Vertreter nach Absatz 1 Satz 3 Nummer 6 wird durch das Bundesministerium für Gesundheit im Einvernehmen mit dem Bundesministerium für Bildung und Forschung benannt.

(3) Die Gesellschafterversammlung der Gesellschaft für Telematik kann Vertreter weiterer Gruppen und Bundesbehörden sowie bis zu fünf unabhängige Experten als Mitglieder des Beirats berufen.

(4) Jeweils ein Vertreter für jeden Gesellschafter sowie die Geschäftsführung der Gesellschaft für Telematik können an den Sitzungen des Beirats teilnehmen. Die oder der Vorsitzende des Beirats oder bei deren oder dessen Verhinderung die zur Stellvertretung berechtigte Person kann an den Gesellschafterversammlungen der Gesellschaft für Telematik teilnehmen.

(5) Der Beirat gibt sich eine Geschäftsordnung.

§ 318 Aufgaben des Beirats ^20k

(1) Der Beirat hat die Gesellschaft für Telematik in fachlichen Belangen zu beraten. Er vertritt die Interessen der im Beirat Vertretenen gegenüber der Gesellschaft für Telematik und fördert den fachlichen Austausch zwischen der Gesellschaft für Telematik und den im Beirat Vertretenen.

(2) Der Beirat ist vor der Beschlussfassung der Gesellschafterversammlung der Gesellschaft für Telematik zu Angelegenheiten von grundsätzlicher Bedeutung zu hören. Er kann hierzu vor der Beschlussfassung innerhalb von zwei Wochen nach Erhalt der erforderlichen Informationen und Unterlagen schriftlich Stellung nehmen. Auf Verlangen des Beirats ist dessen Stellungnahme auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen.

(3) Der Beirat kann der Gesellschafterversammlung der Gesellschaft für Telematik Angelegenheiten von grundsätzlicher Bedeutung zur Befassung vorlegen.

(4) Zu Angelegenheiten von grundsätzlicher Bedeutung gehören insbesondere

1. Fachkonzepte zu Anwendungen der elektronischen Gesundheitskarte,
2. Planungen und Konzepte für die Erprobung und den Betrieb der Telematikinfrastruktur sowie
3. Konzepte zur Evaluation von Erprobungsphasen und Anwendungen.

(5) Um dem Beirat die Wahrnehmung seiner Aufgaben nach den Absätzen 1 bis 3 zu ermöglichen, hat die Gesellschaft für Telematik dem Beirat alle hierzu erforderlichen Informationen und Unterlagen in für die Beiratsmitglieder verständlicher Form zur Verfügung zu stellen. Die Informationen und Unterlagen sind so rechtzeitig zur Verfügung zu stellen, dass der Beirat sich mit ihnen inhaltlich befassen und innerhalb der Frist nach Absatz 2 Satz 2 Stellung nehmen kann.

(6) Die Gesellschaft für Telematik prüft die Stellungnahmen des Beirats nach den Absätzen 2 und 3 fachlich. Das Ergebnis der Prüfung, einschließlich Aussagen darüber, inwieweit sie die Empfehlungen des Beirats berücksichtigt, teilt sie dem Beirat schriftlich mit. Die Gesellschafterversammlung ist ebenfalls über das Ergebnis der Prüfung zu unterrichten.

§ 318a Digitalbeirat der Gesellschaft für Telematik ²⁴

(1) Die Gesellschaft für Telematik hat bis zum 30. Juni 2024 einen Digitalbeirat einzurichten. Dem Digitalbeirat gehören das Bundesamt für Sicherheit in der Informationstechnik und die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an. Die Gesellschafterversammlung der Gesellschaft für Telematik kann weitere Mitglieder berufen. Bei der Besetzung des Digitalbeirats sind insbesondere auch medizinische und ethische Perspektiven zu berücksichtigen.

(2) Der Digitalbeirat gibt sich eine Geschäftsordnung, die der Genehmigung durch die Gesellschafterversammlung der Gesellschaft für Telematik bedarf.

(3) Der Digitalbeirat berät die Gesellschaft für Telematik laufend zu Belangen des Datenschutzes und der Datensicherheit sowie zur Nutzerfreundlichkeit der Telematikinfrastruktur und ihrer Anwendungen. Er ist vor der Beschlussfassung der Gesellschafterversammlung der Gesellschaft für Telematik zu Angelegenheiten nach Satz 1 zu hören. § 318 Absatz 2 Satz 2 und Absatz 3, 5 und 6 gelten entsprechend.

§ 318b Evaluierung ²⁴

Das Bundesministerium für Gesundheit evaluiert bis zum 30. Juni 2025, inwiefern die Herstellung des Benehmens mit dem Bundesamt für Sicherheit in der Informationstechnik und mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie die Beratung durch den Digitalbeirat nach § 318a Absatz 3 Satz 1 zu ausgewogenen Entscheidungen bei den Festlegungen der Gesellschaft für Telematik hinsichtlich Datenschutz, Datensicherheit und Nutzerfreundlichkeit der Anwendungen beigetragen haben.

Dritter Titel ^20k
Schlichtungsstelle der Gesellschaft für Telematik

§ 319 Schlichtungsstelle der Gesellschaft für Telematik ^20k

(1) Bei der Gesellschaft für Telematik ist eine Schlichtungsstelle einzurichten. Die Schlichtungsstelle wird tätig, soweit dies gesetzlich bestimmt ist.

(2) Die Gesellschaft für Telematik ist verpflichtet, der Schlichtungsstelle nach deren Vorgaben unverzüglich zuzuarbeiten.

(3) Die Schlichtungsstelle gibt sich eine Geschäftsordnung.

§ 320 Zusammensetzung der Schlichtungsstelle; Finanzierung ^20k

(1) Die Schlichtungsstelle besteht aus einer oder einem unparteiischen Vorsitzenden und zwei weiteren Mitgliedern. Die Amtsdauer der Mitglieder der Schlichtungsstelle beträgt zwei Jahre. Die Wiederbenennung ist zulässig.

(2) Über die unparteiische Vorsitzende oder den unparteiischen Vorsitzenden der Schlichtungsstelle sollen sich die Gesellschafter der Gesellschaft für Telematik einigen. Das Bundesministerium für Gesundheit kann hierfür eine angemessene Frist setzen. Kommt bis zum Ablauf der Frist keine Einigung zustande, benennt das Bundesministerium für Gesundheit den Vorsitzenden oder die Vorsitzende.

(3) Der Spitzenverband Bund der Krankenkassen benennt einen Vertreter als Mitglied der Schlichtungsstelle. Die übrigen in § 306 Absatz 1 genannten Spitzenorganisationen benennen einen gemeinsamen Vertreter als Mitglied der Schlichtungsstelle.

(4) Die in § 306 Absatz 1 genannten Spitzenorganisationen tragen die Kosten für die von ihnen benannten Vertreter jeweils selbst. Die Kosten für den Vorsitzenden sowie die sonstigen Kosten der Schlichtungsstelle werden aus den Finanzmitteln der Gesellschaft für Telematik finanziert.

§ 321 Beschlussfassung der Schlichtungsstelle ^20k

(1) Jedes Mitglied der Schlichtungsstelle hat eine Stimme. Eine Stimmenthaltung ist nicht zulässig.

(2) Die Schlichtungsstelle entscheidet mit einfacher Stimmenmehrheit.

§ 322 Rechtsaufsicht des Bundesministeriums für Gesundheit über die Schlichtungsstelle ^20k

(1) Die Entscheidung der Schlichtungsstelle ist dem Bundesministerium für Gesundheit zur Prüfung vorzulegen.

(2) Bei der Prüfung der Entscheidung hat das Bundesministerium für Gesundheit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Gelegenheit zur Stellungnahme zu geben. Das Bundesministerium für Gesundheit setzt für die Stellungnahme eine angemessene Frist.

(3) Das Bundesministerium für Gesundheit kann die Entscheidung, soweit sie gegen Gesetz oder sonstiges Recht verstößt, innerhalb von einem Monat beanstanden. Werden die Beanstandungen nicht innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist behoben, so kann das Bundesministerium für Gesundheit anstelle der Schlichtungsstelle entscheiden.

(4) Die Gesellschaft für Telematik ist verpflichtet, dem Bundesministerium für Gesundheit zur Vorbereitung seiner Entscheidung unverzüglich nach dessen Weisungen zuzuarbeiten.

(5) Die Entscheidungen nach den Absätzen 1 und 3 Satz 2 sind für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich.

Dritter Abschnitt ^20k
Betrieb der Telematikinfrastruktur

§ 323 Betriebsleistungen ^{20k 21h}

(1) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik nach Maßgabe des § 306 Absatz 3 festzulegenden Rahmenbedingungen zu erbringen.

(2) Zur Durchführung des Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen. Sind nach § 311 Absatz 5 einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig; § 311 Absatz 7 gilt entsprechend. Bei der Vergabe von Aufträgen für den Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder der Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, kann die Gesellschaft für Telematik festlegen, dass sie als Anbieter auftritt und einzelne Komponenten und Dienste der zentralen Infrastruktur selbst betreibt. In diesen Fällen sind die Funktionsfähigkeit und Interoperabilität der Komponenten und Dienste durch die Gesellschaft für Telematik sicherzustellen. Wenn die Gesellschaft für Telematik Komponenten und Dienste selbst betreibt, ist die Sicherheit der Komponenten und Dienste durch ein externes Sicherheitsgutachten nachzuweisen. Dabei ist nachzuweisen, dass die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Komponenten und Dienste sichergestellt wird. Die Festlegung der Prüfverfahren für das externe Sicherheitsgutachten erfolgt durch das Bundesamt für Sicherheit in der Informationstechnik. Die Auswahl des Sicherheitsgutachters erfolgt im Rahmen des Prüfverfahrens durch die Gesellschaft für Telematik. Das externe Sicherheitsgutachten muss dem Bundesamt für Sicherheit in der Informationstechnik zur Prüfung vorgelegt und durch dieses bestätigt werden. Erst mit der Bestätigung des externen Sicherheitsgutachtens durch das Bundesamt für Sicherheit in der Informationstechnik dürfen die Komponenten und Dienste durch die Gesellschaft für Telematik zur Verfügung gestellt werden.

§ 324 Zulassung von Anbietern von Betriebsleistungen ^20k

(1) Anbieter von Betriebsleistungen haben einen Anspruch auf Zulassung, wenn

1. die zu verwendenden Komponenten und Dienste nach Maßgabe von § 311 Absatz 6 und § 325 zugelassen sind,
2. der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistungen gewährleistet sind und
3. der Anbieter sich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.

Die Zulassung kann mit Nebenbestimmungen versehen werden.

(2) Die Gesellschaft für Telematik kann die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Funktionalität, Interoperabilität und des notwendigen Sicherheitsniveaus erforderlich ist.

(3) Die Gesellschaft für Telematik oder die von ihr beauftragten Organisationen veröffentlicht oder veröffentlichen

1. die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Absatz 1 Satz 1 Nummer 2 erfüllt sein müssen sowie
2. eine Liste mit den zugelassenen Anbietern.

§ 325 Zulassung von Komponenten und Diensten der Telematikinfrastruktur ^{20k 24}

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach den im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik entwickelten Vorgaben, die auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen sind. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

§ 326 Verbot der Nutzung der Telematikinfrastruktur ohne Zulassung oder Bestätigung ^{20k 21h}

Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Telematikinfrastruktur müssen über die nach § 323 Absatz 2 und § 325 Absatz 1 erforderliche Zulassung oder über die nach § 327 Absatz 2 Satz 1 erforderliche Bestätigung verfügen, bevor sie die Telematikinfrastruktur nutzen.

§ 327 Nutzung von Diensten der Telematikinfrastruktur durch weitere Dienste und Anwendungen; Bestätigungsverfahren ^{20k 21h 24}

(1) Für weitere Anwendungen und Dienste, die außerhalb der Telematikinfrastruktur nach § 306 Absatz 2 betrieben und angeboten werden, dürfen nach § 325 zugelassene Dienste der Telematikinfrastruktur nur verwendet werden, wenn

1. es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2. die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die
3. im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten, und
4. bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a von Diensten der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter eines Dienstes oder einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters eines Dienstes oder einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Diensten und Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für weitere Dienste oder Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

§ 328 Gebühren und Auslagen; Verordnungsermächtigung ^{20k 22c}

(1) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen nach den §§ 324, 325 und 327, auch in Verbindung mit § 311 Absatz 6 Satz 5, § 362a Satz 1 und § 362b, Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen.

(2) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen.

Vierter Abschnitt ^20k
Überwachung von Funktionsfähigkeit und Sicherheit

§ 329 Maßnahmen zur Abwehr von Gefahren für die Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur ^20k

(1) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik verpflichtet, unverzüglich die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr entsprechend dem Stand der Technik zu treffen. Die Gesellschaft für Telematik informiert das Bundesamt für Sicherheit in der Informationstechnik unverzüglich über die Gefahr und die getroffenen Maßnahmen.

(2) Anbieter von nach § 311 Absatz 6 sowie § 325 zugelassenen Komponenten oder Diensten und Anbieter von Anwendungen für nach § 327 bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Komponenten oder Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit dieser Komponenten oder Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur oder wesentlicher Teile führen können oder bereits geführt haben.

(3) Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden. Die Gesellschaft für Telematik kann Anbietern, die eine Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, zur Beseitigung oder Vermeidung von Störungen nach Absatz 2 verbindliche Anweisungen erteilen.

(4) Die Gesellschaft für Telematik hat die ihr nach Absatz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

(5) Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Absatz 4 zu informieren.

§ 330 Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse der Telematikinfrastruktur ^20k

(1) Die Gesellschaft für Telematik sowie die gemäß § 307 verantwortlichen Anbieter, die eine Zulassung für Komponenten oder Dienste nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu treffen und fortlaufend zu aktualisieren. Dabei ist der jeweilige Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Telematikinfrastruktur insgesamt oder von solchen Diensten der Telematikinfrastruktur steht, die durch Störungen verursacht werden können.

(2) Die Gesellschaft für Telematik hat mindestens alle zwei Jahre über die Erfüllung der Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur geeignete Nachweise zu erbringen. Der Nachweis kann jeweils insbesondere durch Audits, Prüfungen oder Zertifizierungen erfolgen, die von geeigneten und unabhängigen externen Stellen durchgeführt werden.

(3) Die Gesellschaft für Telematik informiert das Bundesministerium für Gesundheit und das Bundesamt für Sicherheit in der Informationstechnik in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Absatz 2. Die Gesellschaft für Telematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder Inhabern einer Bestätigung nach § 327 geeignete Nachweise zur Erfüllung ihrer Pflichten nach Absatz 1 verlangen.

(4) Die Meldepflichten nach Artikel 33 der Verordnung (EU) 2016/679 bleiben unberührt.

§ 331 Maßnahmen zur Überwachung des Betriebs zur Gewährleistung der Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur ^{20k 21h 24}

(1) Die Gesellschaft für Telematik hat ab dem 1. Januar 2021 für Komponenten und Dienste der Telematikinfrastruktur sowie für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs zu treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Gesellschaft für Telematik kann zur Erfüllung ihrer Aufgaben nach Satz 1 die entsprechenden Komponenten und Dienste untersuchen. Sie kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers oder Anbieters der betroffenen Komponenten oder Dienste dem nicht entgegenstehen.

(2) Die Gesellschaft für Telematik legt fest, welche näheren Angaben ihr die Anbieter der Komponenten und Dienste offenzulegen haben, damit die Überwachung nach Absatz 1 durchgeführt werden kann.

(3) Die Verpflichtung der Gesellschaft für Telematik nach § 330 Absatz 1 Satz 1, zur Vermeidung von Störungen angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst auch den Einsatz von geeigneten Systemen zur Erkennung von Störungen und Angriffen. Der Einsatz der Systeme erfolgt im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik.

(4) Die Gesellschaft für Telematik darf die für den Einsatz der Systeme nach Absatz 3 erforderlichen Daten, einschließlich personenbezogener Daten, verarbeiten. Die im Rahmen des Einsatzes dieser Systeme verarbeiteten Daten sind unverzüglich zu löschen, wenn sie für die Vermeidung von Störungen nach § 330 Absatz 1 Satz 1 nicht mehr erforderlich sind, spätestens jedoch nach zehn Jahren.

(5) Die Gesellschaft für Telematik darf, soweit es für die Durchführung der Maßnahmen nach Absatz 1 und im Rahmen der Vorkehrungen nach Absatz 3 erforderlich ist, die für den Zugriff auf Anwendungen der Telematikinfrastruktur nach § 334 Absatz 1 Satz 2, auf Anwendungen zur Überprüfung und Aktualisierung von Angaben nach § 291b und auf sichere Verfahren zur Übermittlung medizinischer Daten nach § 311 Absatz 6 erforderlichen Komponenten zur Identifikation und Authentifizierung im Rahmen von hierzu erstellten Prüfnutzeridentitäten nutzen. Die Nutzung darf ausschließlich für Prüfzwecke erfolgen und die Einzelheiten sind im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit festzulegen. Es muss dabei technisch und organisatorisch gewährleistet sein, dass ein Zugriff auf personenbezogene Daten von Nutzern der Telematikinfrastruktur ausgeschlossen ist, die keine Prüfnutzeridentitäten verwenden. Die Prüfnutzeridentitäten dürfen von höchstens sieben, nach dem Sicherheitsüberprüfungsgesetz überprüf ten Mitarbeitern der Gesellschaft für Telematik genutzt werden. Die Zugriffe nach Satz 1 müssen protokolliert und jährlich oder auf Anforderung der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgelegt werden. Die Protokolldaten müssen enthalten, durch wen und zu welchem Zweck die Komponenten nach Satz 1 eingesetzt wurden und sind für drei Jahre zu speichern. Die nach Satz 1 erforderlichen Komponenten sind der Gesellschaft für Telematik auf Verlangen durch die jeweils für die Ausgabe zuständige Stelle gegen Kostenerstattung zur Verfügung zu stellen.

(6) Die für die Aufgaben nach dem Zehnten und diesem Kapitel beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik pauschal in Höhe der Kosten für zehn Vollzeitäquivalente zu erstatten. Zusätzlich werden die Kosten des Bundesamts für Sicherheit in der Informationstechnik für erforderliche Unterstützungsleistungen Dritter durch die Gesellschaft für Telematik in Höhe der tatsächlich anfallenden Kosten erstattet. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung für Unterstützungsleistungen nach Satz 2 im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

§ 332 Anforderungen an die Wartung von Diensten ^{20k 24}

(1) Dienstleister, die mit der Herstellung und der Wartung des Anschlusses von informationstechnischen Systemen an die Telematikinfrastruktur einschließlich der Wartung hierfür benötigter Komponenten sowie der Anbindung an Dienste der Telematikinfrastruktur beauftragt werden, müssen besondere Sorgfalt bei der Herstellung und Wartung des Anschlusses an die Telematikinfrastruktur walten lassen und über die notwendige Fachkunde verfügen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme und Komponenten zu gewährleisten.

(2) Die Erfüllung der Anforderungen nach Absatz 1 muss den Auftraggebern der in Absatz 1 genannten Dienstleistungen auf Verlangen auf geeignete Weise nachgewiesen werden.

(3) Zur Erfüllung der Anforderungen nach Absatz 1 und des Nachweises nach Absatz 2 können die maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene den von ihnen vertretenen Leistungserbringern in Abstimmung mit der Gesellschaft für Telematik Hinweise geben. Der Gesellschaft für Telematik obliegt hierbei die Beachtung der notwendigen sicherheitstechnischen und betrieblichen Voraussetzungen zur Wahrung der Sicherheit und Funktionsfähigkeit der Telematikinfrastruktur.

§ 332a Unzulässige Beschränkungen durch Anbieter und Hersteller informationstechnischer Systeme für die vertragsärztliche Versorgung, die vertragszahnärztliche Versorgung, die pflegerische Versorgung, für Krankenhäuser und Apotheken sowie für Vorsorgeeinrichtungen und Rehabilitationseinrichtungen ^22k

(1) Die Anbieter und Hersteller informationstechnischer Systeme für die vertragsärztliche Versorgung, die vertragszahnärztliche Versorgung, die pflegerische Versorgung sowie für Krankenhäuser, Apotheken, Vorsorgeeeinrichtungen und Rehabilitationseinrichtungen stellen die diskriminierungsfreie Einbindung aller Komponenten und Dienste sicher, die von der Gesellschaft für Telematik nach § 325 Absatz 2 und 3 zugelassen sind und die zur Erfüllung gesetzlicher Pflichten bei der Nutzung von Anwendungen der Telematikinfrastruktur erforderlich sind, soweit Schnittstellen vorgegeben oder festgelegt sind. Eine Beschränkung der Einbindung auf bestimmte Hersteller und Anbieter ist unzulässig.

(2) Die Einbindung der Komponenten und Dienste nach Absatz 1 erfolgt ohne zusätzliche Kosten für die Nutzer der informationstechnischen Systeme. Direkte oder indirekte Kosten im Zusammenhang mit der Wahl eines Herstellers oder Anbieters sind unzulässig.

(3) Die Verpflichtungen aus Absatz 1 sind spätestens bis zum 29. Dezember 2023 umzusetzen.

§ 332b Rahmenvereinbarungen mit Anbietern und Herstellern informationstechnischer Systeme ^22k

Die Kassenärztlichen Bundesvereinigungen können für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer Rahmenvereinbarungen mit den Anbietern und Herstellern informationstechnischer Systeme für die vertragsärztliche und vertragszahnärztliche Versorgung zu Leistungspflichten, Vertragsstrafen, Preisen, Laufzeiten und Kündigungsfristen abschließen.

§ 333 Überprüfung durch das Bundesamt für Sicherheit in der Informationstechnik ^{20k 21h}

(1) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen unverzüglich, spätestens aber innerhalb von zwei Wochen vor:

1. die Zulassungen nach § 311 Absatz 6 sowie den §§ 324 und 325 und Bestätigungen nach § 327 einschließlich der zugrunde gelegten Dokumentation,
2. eine Aufstellung der nach den §§ 329 bis 331 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3. sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderliche Informationen.

(2) Ergibt die Bewertung der in Absatz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen.

(3) Die Gesellschaft für Telematik ist befugt, Anbietern von zugelassenen Diensten und bestätigten Anwendungen nach § 311 Absatz 6 sowie nach den § § 325 und 327 verbindliche Anweisungen zur Beseitigung der Sicherheitsmängel zu erteilen, die von der Gesellschaft für Telematik oder vom Bundesamt für Sicherheit in der Informationstechnik festgestellt wurden.

(4) Die dem Bundesamt für Sicherheit in der Informationstechnik entstandenen Kosten der Überprüfung trägt der Anbieter von zugelassenen Diensten und bestätigten Anwendungen nach § 311 Absatz 6 sowie den § § 325 und 327, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten

Fünfter Abschnitt ^20k
Anwendungen der Telematikinfrastruktur

Erster Titel ^20k
Allgemeine Vorschriften

§ 334 Anwendungen der Telematikinfrastruktur ^{20k 21e 21h 22k 24}

(1) Die Anwendungen der Telematikinfrastruktur dienen der Verbesserung der Wirtschaftlichkeit, der Qualität und der Transparenz der Versorgung. Anwendungen sind:

1. die elektronische Patientenakte nach § 341,
2. Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende,
3. Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen nach § 1827 des Bürgerlichen Gesetzbuchs,
4. der Medikationsplan nach § 31a einschließlich Daten zur Prüfung der Arzneimitteltherapiesicherheit (elektronischer Medikationsplan),
5. medizinische Daten, soweit sie für die Notfallversorgung erforderlich sind (elektronische Notfalldaten),
6. elektronische Verordnungen,
7. die elektronische Patientenkurzakte nach § 358 und
8. die elektronische Rechnung nach § 359a.

(2) Die Anwendungen nach Absatz 1 Satz 2 Nummer 1 bis 5 werden von der elektronischen Gesundheitskarte unterstützt. Ab der Zurverfügungstellung der elektronischen Patientenakte gemäß § 342 Absatz 1 Satz 2 wird die Anwendung nach Absatz 1 Satz 2 Nummer 4 gemäß § 358 Absatz 8 technisch in die Anwendung nach Absatz 1 Satz 2 Nummer 1 überführt. Die Anwendung nach Absatz 1 Satz 2 Nummer 7 wird innerhalb der im Wege der Rechtsverordnung gemäß § 342 Absatz 2b festzulegenden Frist in der Anwendung nach Absatz 1 Satz 2 Nummer 1 gespeichert und in dieser Anwendung gemäß § 341 Absatz 2 Nummer 1 Buchstabe c bereitgestellt. Ab dem im Wege der Rechtsverordnung nach § 342 Absatz 2b festzulegenden Zeitpunkt werden die Anwendungen nach Absatz 1 Satz 2 Nummer 2 und 3 gemäß § 356 Absatz 3 und § 357 Absatz 4 in die Anwendung nach Absatz 1 Satz 2 Nummer 1 überführt und in dieser Anwendung gemäß § 341 Absatz 2 Nummer 7 gespeichert.

(3) Die Gesellschaft für Telematik kann über die in Absatz 1 genannten Anwendungen hinaus bereits Festlegungen und Maßnahmen zu zusätzlichen Anwendungen der Telematikinfrastruktur treffen, die insbesondere dem weiteren Ausbau des elektronischen Austausches von Befunden, Diagnosen, Therapieempfehlungen, Behandlungsberichten, Formularen, Erklärungen und Unterlagen dienen. Die Zulassung gemäß § 325 Absatz 1 darf erst erfolgen, wenn die insoweit erforderlichen gesetzlichen Rahmenbedingungen, wie insbesondere die Bestimmung als Anwendung der Telematikinfrastruktur in Absatz 1 sowie die Zugriffsberechtigungen auf Daten der Anwendung, in Kraft getreten sind.

(4) Beim Bundesinstitut für Arzneimittel und Medizinprodukte wird zum 1. Januar 2021 eine Meldestelle für die Nutzer von Anwendungen nach Absatz 1 eingerichtet, die versorgungsrelevante Fehlerkonstellationen bei der Nutzung dieser Anwendungen im medizinischen Versorgungsalltag in nicht personenbezogener Form erfasst und systematisch bewertet. Das Bundesinstitut für Arzneimittel und Medizinprodukte übermittelt seine Bewertung der Gesellschaft für Telematik, die diese bei der Weiterentwicklung der Anwendungen nach Absatz 1 zu berücksichtigen hat.

§ 335 Diskriminierungsverbot ^{20k 24}

(1) Von Versicherten darf der Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 nicht verlangt werden.

(2) Mit den Versicherten darf nicht vereinbart werden, den Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 anderen als den in den §§ 352, 356 Absatz 1, in § 357 Absatz 1, § 359 Absatz 1, § 361 Absatz 2 Satz 1 und § 363 genannten Personen oder zu anderen als den dort genannten Zwecken, einschließlich der Abrechnung der zum Zweck der Versorgung erbrachten Leistungen, zu gestatten.

(Gültig bis 14.01.2025)
(3) Die Versicherten dürfen nicht bevorzugt oder benachteiligt werden, weil sie einen Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 bewirkt oder verweigert haben.

(Gültig ab 15.01.2025)
(3) Die Versicherten dürfen weder bevorzugt noch benachteiligt werden, weil sie der Einrichtung einer elektronischen Patientenakte nach § 342 Absatz 1 Satz 2 und § 344 Absatz 3 widersprochen, einen Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 im Wege der Einwilligung nach § 339 Absatz 1a und § 353 Absatz 3 bis 6 erlaubt oder im Wege eines Widerspruchs nach § 337 Absatz 3, § 339 Absatz 1 und § 353 Absatz 1 und 2 verweigert oder ihre weiteren Rechte nach § 337 oder ihre Betroffenenrechte gemäß der Verordnung (EU) 2016/679 ausgeübt haben.

§ 336 Zugriffsrechte der Versicherten ^{20k 21h 22k 24}

(1) Jeder Versicherte ist berechtigt, auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 bis 4, 6 und 7 mittels seiner elektronischen Gesundheitskarte oder seiner digitalen Identität nach § 291 Absatz 8 barrierefrei zuzugreifen, wenn er sich für diesen Zugriff jeweils durch ein geeignetes technisches Verfahren authentifiziert hat. Die für ein geeignetes technisches Verfahren nach Satz 1 erforderliche Identifizierung der Versicherten kann auch in einer Apotheke durchgeführt werden. Satz 1 gilt nicht für den Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind.

(2) Jeder Versicherte ist berechtigt, auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 und 6 auch ohne den Einsatz seiner elektronischen Gesundheitskarte mittels eines geeigneten sicheren technischen Verfahrens zuzugreifen, wenn

1. der Versicherte nach umfassender Information durch den für die jeweilige Anwendung datenschutzrechtlich Verantwortlichen über die Besonderheiten eines Zugriffs ohne den Einsatz der elektronischen Gesundheitskarte gegenüber dem datenschutzrechtlich Verantwortlichen schriftlich oder elektronisch erklärt hat, dieses Zugriffsverfahren auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 und 6 nutzen zu wollen, und
2. der Versicherte sich für diesen Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 und 6 jeweils durch ein geeignetes sicheres technisches Verfahren, das einen hohen Sicherheitsstandard gewährleistet, authentifiziert hat.

Abweichend von Satz 1 kann der Versicherte nach umfassender Information durch den für die jeweilige Anwendung datenschutzrechtlich Verantwortlichen über die Besonderheiten des Verfahrens in die Nutzung eines Authentifizierungsverfahrens einwilligen, das einem anderen angemessenen Sicherheitsniveau entspricht. Die Anforderungen an die Sicherheit und Interoperabilität solcher alternativer Authentifizierungsverfahren werden von der Gesellschaft für Telematik festgelegt. Die Festlegung erfolgt hinsichtlich der Anforderungen an die Sicherheit und den Datenschutz im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Die für ein geeignetes sicheres technisches Verfahren nach Satz 1 erforderliche Identifizierung der Versicherten kann auch in einer Apotheke durchgeführt werden.

(3) Jeder Versicherte ist berechtigt, Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4 und 5, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind, bei einem Leistungserbringer einzusehen, der mittels seines elektronischen Heilberufsausweises nach Maßgabe des § 339 Absatz 3 zugreift.

(4) Der Zugriff eines Versicherten auf Daten in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 6 durch das geeignete technische Verfahren nach Absatz 1 mittels der elektronischen Gesundheitskarte oder seiner digitalen Identität nach § 291 Absatz 8 darf erst erfolgen, wenn

1. die elektronische Gesundheitskarte des Versicherten oder deren persönliche Identifikationsnummer (PIN) mit einem sicheren Verfahren persönlich an den Versicherten zugestellt wurde oder
2. eine Übergabe der elektronischen Gesundheitskarte oder deren PIN in einer Geschäftsstelle der Krankenkasse erfolgt ist, oder
3. eine nachträgliche, sichere Identifikation des Versicherten und seiner bereits ausgegebenen elektronischen Gesundheitskarte erfolgt ist; die nachträgliche sichere Identifikation kann mit einer digitalen Identität nach § 291 Absatz 8 Satz 1 mit einem der elektronischen Gesundheitskarte entsprechendem Vertrauensniveau erfolgen, oder
4. die elektronische Gesundheitskarte des Versicherten oder deren PIN mit einem sicheren Verfahren persönlich an den in einer Vorsorgevollmacht benannten Vertreter oder den in einer Bestellungsurkunde benannten Betreuer zugestellt wurde und diese Vorsorgevollmacht oder Bestellungsurkunde der Krankenkasse vorliegt.

(5) Soweit ein technisches Verfahren unter Einsatz der digitalen Identität des Versicherten nach Absatz 1 oder ein technisches Verfahren ohne Einsatz der elektronischen Gesundheitskarte nach den Absatz 2 für den Zugriff auf Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 6 genutzt wird, ist eine einmalige sichere Identifikation des Versicherten notwendig, die einen hohen Sicherheitsstandard gewährleistet. Dafür kann eine elektronische Gesundheitskarte genutzt werden, die den Anforderungen an eine sichere Identifikation nach Absatz 4 genügt.

(6) Der Spitzenverband Bund der Krankenkassen kann im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in der Richtlinie nach § 217f Absatz 4b Satz 1 abweichend von Absatz 4 zusätzliche Maßnahmen festlegen, wenn dies auf Grund des Gefährdungspotentials erforderlich ist.

(7) Die Gesellschaft für Telematik legt bis zum 30. Juni 2023 im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die erforderlichen technischen Vorgaben für die Identifizierung der Versicherten nach Absatz 1 Satz 2 und Absatz 2 Satz 5 fest. Die Gesellschaft für Telematik kann den Apotheken Dienste zur Durchführung der Identifizierung der Versicherten zur Verfügung stellen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates das Nähere zu regeln zu der Durchführung der Identifizierung der Versicherten sowie der Vergütung und Abrechnung der Apotheken für die Durchführung der Identifizierung der Versicherten.

(Gültig bis 14.01.2025)
§ 337 Recht der Versicherten auf Verarbeitung von Daten sowie auf Erteilung von Zugriffsberechtigungen auf Daten  ^{20k 21h 24}

(Gültig ab 15.01.2025)
§ 337 Recht der Versicherten auf Verarbeitung von Daten sowie auf Erteilung und Verwehrung von Zugriffsberechtigungen auf Daten   ^{20k 21h 24}

(1) Jeder Versicherte ist berechtigt, Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1, 4 und 5 auszulesen und zu übermitteln sowie Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1, soweit es sich um Daten nach § 341 Absatz 2 Nummer 1 Buchstabe b, Nummer 3, 4, 6, 7 und 16 handelt, und Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 2 und 3 zu verarbeiten. Satz 1 findet keine Anwendung auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4 und 5, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind.

(2) Der Versicherte ist berechtigt, Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 bis 7 eigenständig zu löschen sowie den Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 bis 5 und 7 zu beschränken sowie diese Beschränkung aufzuheben. Satz 1 findet keine Anwendung auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4 und 5, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind. Im Übrigen müssen Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 bis 7 auf Verlangen der Versicherten durch die nach Maßgabe der §§ 352, 356, 357, 359 und 361 insoweit Zugriffsberechtigten gelöscht werden. Soweit es sich um Datensätze und Informationsobjekte handelt, die als Anwendungsfälle der elektronischen Patientenakte gemäß § 342 Absatz 2a bis 2c gesamthaft und zusammenhängend verarbeitet werden, kann der jeweilige Anwendungsfall nur in seiner Gesamtheit gelöscht werden.

(Gültig bis 14.01.2025)
(3) Der Versicherte ist berechtigt, gemäß § 339 Zugriffsberechtigungen auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 zu erteilen.

(Gültig ab 15.01.2025)
(3) Die Versicherten sind jederzeit berechtigt, gemäß § 353 Absatz 1 und 2 dem Zugriff auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1, 4, 5 und 7 zu widersprechen und gemäß § 353 Absatz 3 bis 6 im Wege der Einwilligung Zugriffsberechtigungen auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 und 6 zu erteilen. Satz 1 findet keine Anwendung auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4, 5 und 7, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind. Die Erteilung von Zugriffsberechtigungen auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 2 und 3, auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1, soweit es sich um Daten nach § 341 Absatz 2 Nummer 7 Buchstabe a und b und Nummer 16 handelt, sowie auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4 und 5, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind, erfolgt nach Maßgabe der §§ 356, 357 und 359.

§ 338 Komponenten zur Wahrnehmung der Versichertenrechte ^{20k 21h 24}

(1) Die Gesellschaft für Telematik hat den Versicherten eine barrierefreie Komponente zur Verfügung zu stellen, die an einem stationären Endgerät den Versicherten das Auslesen der Daten und Protokolldaten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 6 ermöglicht. Hierbei hat die Gesellschaft für Telematik technische Verfahren vorzusehen, die zur Authentifizierung einen hohen Sicherheitsstandard gewährleisten.

(2) Die Gesellschaft für Telematik kann die Krankenkassen bei der Erfüllung der Aufgaben nach § 342 Absatz 7, soweit es um die Bereitstellung von barrierefreien Komponenten für stationäre Endgeräte geht, unterstützen.

§ 339 Voraussetzungen für den Zugriff von Leistungserbringern und anderen zugriffsberechtigten Personen ^{20k 21h 24}

(Gültig bis 14.01.2025)
(1) Zugriffsberechtigte Leistungserbringer und andere zugriffsberechtigte Personen dürfen nach Maßgabe der §§ 352, 356, 357 und 359 auf personenbezogene Daten, insbesondere Gesundheitsdaten, der Versicherten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 und 7 zugreifen, soweit die Versicherten hierzu ihre vorherige Einwilligung erteilt haben. Hierzu bedarf es einer eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe.

(Gültig ab 15.01.2025)
(1) Zugriffsberechtigte nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, dürfen für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich nach Maßgabe der §§ 352 und 359 im zeitlichen Zusammenhang mit der Behandlung auf personenbezogene Daten, insbesondere auf Gesundheitsdaten der Versicherten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1, 4, 5 und 7 zugreifen, soweit die Versicherten dem nicht widersprochen haben; dies gilt nicht für Daten in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 4 und 5, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind. Der Zugriff auf Daten des Versicherten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 2 bis 5 und auf Daten nach § 341 Absatz 2 Nummer 7 Buchstabe a und b und Nummer 16 ist nach Maßgabe der §§ 356, 357 und 359 zulässig; dies gilt für Daten in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 4 und 5 nur, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind. Der Nachweis des zeitlichen Zusammenhangs mit der Behandlung erfolgt mittels der elektronischen Gesundheitskarte oder der digitalen Identität der Versicherten nach § 291 Absatz 8 Satz 1.

(1a) Zugriffsberechtigte nach § 352 Satz 1 Nummer 16 bis 18, auch in Verbindung mit Satz 2, dürfen nach Maßgabe der §§ 352 und 359 auf personenbezogene Daten, insbesondere auf Gesundheitsdaten der Versicherten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1, 4, 5 und 7 zugreifen, soweit die Versicherten hierzu ihre Einwilligung erteilt haben. Die Zugriffsvoraussetzungen nach den §§ 356 und 357 bleiben unberührt.

(2) Zugriffsberechtigte Leistungserbringer und andere zugriffsberechtigte Personen dürfen nach Maßgabe des § 361 auf personenbezogene Daten, insbesondere Gesundheitsdaten, der Versicherten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 6 zugreifen.

(3) Auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 bis 5 und 7 dürfen zugriffsberechtigte Leistungserbringer nach den § § 352, 356 Absatz 1, § 357 Absatz 1 und § 359 Absatz 1 mittels der elektronischen Gesundheitskarte oder der digitalen Identität der Versicherten nach § 291 Absatz 8 Satz 1 nur mit einem ihrer Berufszugehörigkeit entsprechenden elektronischen Heilberufsausweis oder mit einer digitalen Identität nach § 340 Absatz 6 in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen zugreifen. Es ist nachprüfbar elektronisch zu protokollieren, wer auf die Daten zugegriffen hat und auf welche Daten zugegriffen wurde.

(4) Abweichend von Absatz 3 dürfen zugriffsberechtigte Leistungserbringer zur Versorgung der Versicherten ohne den Einsatz der elektronischen Gesundheitskarte oder der digitalen Identität der Versicherten nach § 291 Absatz 8 Satz 1 und unabhängig von einem zeitlichen Zusammenhang mit der Behandlung auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 zugreifen, wenn die Versicherten diese Zugriffsberechtigung über die Benutzeroberfläche eines geeigneten Endgeräts erteilt haben.

(5) Die in den §§ 352, 356 Absatz 1, § 357 Absatz 1 und § 359 Absatz 1 genannten zugriffsberechtigten Personen, die nicht über einen elektronischen Heilberufsausweis verfügen, dürfen auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 bis 5 und 7 mittels der elektronischen Gesundheitskarte oder mit einer digitalen Identität der Versicherten nach § 291 Absatz 8 Satz 1 oder gemäß Absatz 4 nur zugreifen, wenn sie für diesen Zugriff von einer Person autorisiert werden, die über einen ihrer Berufszugehörigkeit entsprechenden elektronischen Heilberufsausweis oder eine digitale Identität nach § 340 Absatz 6 verfügt. Es ist nachprüfbar elektronisch zu protokollieren, wer auf welche Daten zugegriffen hat und von welcher Person die zugreifende Person für den Zugriff autorisiert wurde.

(6) Der elektronische Heilberufsausweis muss über eine Möglichkeit zur sicheren Authentifizierung und zur Erstellung qualifizierter elektronischer Signaturen verfügen.

§ 340 Ausgabe von elektronischen Heilberufs- und Berufsausweisen sowie von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen ^{20k 21h 22k 24}

(1) Die Länder bestimmen

1. die Stellen, die für die Ausgabe elektronischer Heilberufsausweise und elektronischer Berufsausweise zuständig sind und
2. die Stellen, die bestätigen, dass eine Person
   1. befugt ist,
      aa) einen der in den §§ 352, 356, 357, 359 und 361 erfassten Berufe im Geltungsbereich dieses Gesetzes auszuüben oder
      bb) die Berufsbezeichnung im Geltungsbereich dieses Gesetzes zu führen, wenn für einen der in den §§ 352, 356, 357, 359 und 361 genannten Berufe lediglich das Führen der Berufsbezeichnung geschützt ist oder
   2. zu den weiteren zugriffsberechtigten Personen nach den §§ 352, 356, 357, 359 und 361 gehört,
3. die Stellen, die für die Ausgabe der Komponenten zur Authentifizierung von Leistungserbringerinstitutionen an Angehörige der Berufsgruppen nach Nummer 2 Buchstabe a Doppelbuchstabe bb und Buchstabe b zuständig sind und
4. die Stellen, die bestätigen, dass eine Leistungserbringerinstitution berechtigt ist, eine Komponente zur Authentifizierung nach Nummer 3 zu erhalten.

Berechtigt im Sinne von Satz 1 Nummer 4 sind Leistungserbringerinstitutionen, mit denen nach diesem Buch oder nach dem Elften Buch Verträge zur Leistungserbringung bestehen; bis die Stellen und das Verfahren eingerichtet sind, jedoch längstens bis zum 30. Juni 2023, kann der Nachweis der Berechtigung einer Leistungserbringerinstitution auch gegenüber den Stellen nach Satz 1 Nummer 3 durch Vorlage des Vertrages zur Leistungserbringung oder durch Vorlage einer Bestätigung der vertragsschließenden Kasse oder eines Landesverbandes der vertragsschließenden Kasse erbracht werden.

(2) Abweichend von einer Bestimmung durch die Länder nach Absatz 1 kann für die Betriebe der Handwerke nach den Nummern 33 bis 37 der Anlage A zur Handwerksordnung die Zuständigkeit nach Absatz 1 Satz 1 auf der Grundlage von § 91 Absatz 1 der Handwerksordnung auf die Handwerkskammern übertragen werden.

(3) Die Länder können zur Wahrnehmung der Aufgaben nach Absatz 1 Satz 1 gemeinsame Stellen bestimmen. Die nach Absatz 1 Satz 1 Nummer 2 und 4 jeweils zuständige Stelle hat der nach Absatz 1 Satz 1 Nummer 1 und 3 zuständigen Stelle die Daten, die für die Ausgabe elektronischer Heilberufsausweise, elektronischer Berufsausweise und von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen erforderlich sind, auf Anforderung zu übermitteln. Entfällt die Befugnis zur Ausübung des Berufs, zum Führen der Berufsbezeichnung, die Zugehörigkeit zu den in den §§ 352, 356, 357, 359 und 361 genannten Zugriffsberechtigten oder die Berechtigung zum Erhalt einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen nach Absatz 1 Satz 1 Nummer 3, so hat die jeweilige Stelle nach Absatz 1 Satz 1 Nummer 2 und 4 die herausgebende Stelle darüber in Kenntnis zu setzen; die herausgebende Stelle hat unverzüglich die Sperrung der Authentifizierungsfunktion des elektronischen Heilberufs- oder Berufsausweises oder der Komponente zur Authentifizierung von Leistungserbringerinstitutionen zu veranlassen.

(4) Sofern die Zuständigkeit für die Ausgabe elektronischer Heilberufs- und Berufsausweise sowie für die Ausgabe von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen nicht durch Bundes- oder Landesrecht geregelt ist, kann die Gesellschaft für Telematik geeignete Stellen für die Ausgabe bestimmen oder die Ausgabe selbst übernehmen.

(5) Komponenten zur Authentifizierung von Leistungserbringerinstitutionen dürfen nur an Leistungserbringerinstitutionen ausgegeben werden, denen ein Leistungserbringer, der Inhaber eines elektronischen Heilberufs- oder Berufsausweises ist, zugeordnet werden kann.

(6) Spätestens ab dem 1. Januar 2025 haben die Stellen nach Absatz 1 Satz 1 Nummer 1 sowie den Absätzen 2 und 4 ergänzend zu den Heilberufs- und Berufsausweisen auf Verlangen des Leistungserbringers eine digitale Identität für das Gesundheitswesen zur Verfügung zu stellen, die nicht an eine Chipkarte gebunden ist.

(7) Spätestens ab dem 1. Januar 2025 haben die Stellen nach Absatz 1 Satz 1 Nummer 3 sowie den Absätzen 2 und 4 ergänzend zu den Komponenten zur Authentifizierung von Leistungserbringerinstitutionen auf Verlangen der Leistungserbringerinstitution eine digitale Identität für das Gesundheitswesen zur Verfügung zu stellen, die nicht an eine Chipkarte gebunden ist.

(8) Die Gesellschaft für Telematik legt die jeweiligen Anforderungen an die Sicherheit und Interoperabilität der digitalen Identitäten nach den Absätzen 6 und 7 fest. Die Festlegung der Anforderungen an die Sicherheit und den Datenschutz erfolgt dabei im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragen für den Datenschutz und die Informationsfreiheit auf Basis der jeweils gültigen Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik und unter Berücksichtigung der notwendigen Vertrauensniveaus der unterstützten Anwendungen. Eine digitale Identität kann über verschiedene Ausprägungen mit verschiedenen Sicherheits- und Vertrauensniveaus verfügen. Das Sicherheits- und Vertrauensniveau der Ausprägung einer digitalen Identität muss mindestens dem Schutzbedarf der Anwendung entsprechen, bei der diese eingesetzt wird.

Zweiter Titel ^20k
Elektronische Patientenakte

§ 341 Elektronische Patientenakte ^{20k 21h 22k 23b1 24}

(1) Die elektronische Patientenakte ist eine versichertengeführte elektronische Akte, die den Versicherten von den Krankenkassen gemäß § 342 zur Verfügung gestellt wird. Die Nutzung ist für die Versicherten freiwillig. Mit ihr sollen den Versicherten Informationen, insbesondere zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten, für eine einrichtungs-, fach- und sektorenübergreifende Nutzung für Zwecke der Gesundheitsversorgung, insbesondere zur gezielten Unterstützung von Anamnese, Befunderhebung und Behandlung, barrierefrei elektronisch bereitgestellt werden. Die Versicherten- und Widerspruchsrechte im Hinblick auf die elektronische Patientenakte nach Satz 1 können ab Vollendung des 15. Lebensjahres ausgeübt werden.

(2) Es besteht die Möglichkeit zur Einstellung folgender Daten in die elektronische Patientenakte:

1. medizinische Informationen über den Versicherten für eine einrichtungsübergreifende, fachübergreifende und sektorenübergreifende Nutzung, insbesondere
   1. Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen,
   2. Daten des elektronischen Medikationsplans nach § 334 Absatz 1 Satz 2 Nummer 4,
   3. Daten der elektronischen Patientenkurzakte nach § 334 Absatz 1 Satz 2 Nummer 7 mit Daten der elektronischen Notfalldaten nach § 334 Absatz 1 Satz 2 Nummer 5,
   4. Daten in elektronischen Briefen zwischen den an der Versorgung der Versicherten teilnehmenden Ärzten und Einrichtungen (elektronische Arztbriefe),
2. Daten zum Nachweis der regelmäßigen Inanspruchnahme zahnärztlicher Vorsorgeuntersuchungen gemäß § 55 Absatz 1 in Verbindung mit § 92 Absatz 1 Satz 2 Nummer 2 (elektronisches Zahn-Bonusheft),
3. Daten gemäß der nach § 92 Absatz 1 Satz 2 Nummer 3 und Absatz 4 in Verbindung mit § 26 beschlossenen Richtlinie des Gemeinsamen Bundesausschusses zur Früherkennung von Krankheiten bei Kindern (elektronisches Untersuchungsheft für Kinder),
4. Daten gemäß der nach § 92 Absatz 1 Satz 2 Nummer 4 in Verbindung mit den §§ 24c bis 24f beschlossenen Richtlinie des Gemeinsamen Bundesausschusses über die ärztliche Betreuung während der Schwangerschaft und nach der Entbindung (elektronischer Mutterpass) sowie Daten, die sich aus der Versorgung der Versicherten mit Hebammenhilfe ergeben,
5. Daten der Impfdokumentation nach § 22 des Infektionsschutzgesetzes (elektronische Impfdokumentation),
6. Gesundheitsdaten, die durch den Versicherten zur Verfügung gestellt werden,
7. Daten zu Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von
   1. Erklärungen zur Organ- und Gewebespende nach § 334 Absatz 1 Satz 2 Nummer 2,
   2. Vorsorgevollmachten oder Patientenverfügungen nach § 334 Absatz 1 Satz 2 Nummer 3,
8. bei den Krankenkassen gespeicherte Daten über die in Anspruch genommenen Leistungen des Versicherten,
9. Daten des Versicherten aus digitalen Gesundheitsanwendungen des Versicherten nach § 33a,
10. Daten zur pflegerischen Versorgung des Versicherten nach den §§ 24g, 37, 37b, 37c, 39a, 39c und der Haus- oder Heimpflege nach § 44 des Siebten Buches und der Pflege nach dem Elften Buch,
11. Verordnungsdaten elektronischer Verordnungen nach § 360 und Dispensierinformationen,
12. die nach § 73 Absatz 2 Satz 1 Nummer 9 ausgestellte Bescheinigung über eine Arbeitsunfähigkeit,
13. sonstige von den Leistungserbringern für den Versicherten bereitgestellte Daten, insbesondere Daten, die sich aus der Teilnahme des Versicherten an strukturierten Behandlungsprogrammen bei chronischen Krankheiten gemäß § 137f ergeben,
14. Daten der Heilbehandlung und Rehabilitation nach § 27 Absatz 1 des Siebten Buches,
15. elektronische Abschriften der Patientenakte nach § 630g Absatz 2 Satz 1 des Bürgerlichen Gesetzbuchs und
16. Daten zu Erklärungen zur Organ- und Gewebespende.

(3) Die für die elektronische Patientenakte erforderlichen Komponenten und Dienste werden auf Antrag des jeweiligen Anbieters der Komponenten und Dienste nach § 325 von der Gesellschaft für Telematik zugelassen.

(4) Die Krankenkassen, die ihren Versicherten eine elektronische Patientenakte zur Verfügung stellen, sind gemäß § 307 Absatz 4 die für die Verarbeitung der Daten zum Zweck der Nutzung der elektronischen Patientenakte Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679. § 307 Absatz 1 bis 3 bleibt unberührt. Unbeschadet ihrer Verantwortlichkeit nach Satz 1 können die Krankenkassen mit der Zurverfügungstellung von elektronischen Patientenakten für ihre Versicherten Anbieter von elektronischen Patientenakten als Auftragsverarbeiter beauftragen.

(5) Die Telematikinfrastruktur darf nur für solche nach § 325 zugelassenen elektronischen Patientenakten verwendet werden, die von einer Krankenkasse, von Unternehmen der privaten Krankenversicherung oder von den sonstigen Einrichtungen gemäß § 362 Absatz 1 angeboten werden.

(6) Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben gegenüber der jeweils zuständigen Kassenärztlichen Vereinigung oder Kassenzahnärztlichen Vereinigung nachzuweisen, dass sie über die für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Dienste verfügen. Wird der Nachweis nicht bis zum 30. Juni 2021 erbracht, ist die Vergütung vertragsärztlicher Leistungen pauschal um 1 Prozent zu kürzen; die Vergütung ist so lange zu kürzen, bis der Nachweis gegenüber der Kassenärztlichen Vereinigung erbracht ist. Das Bundesministerium für Gesundheit kann die Frist nach Satz 1 durch Rechtsverordnung mit Zustimmung des Bundesrates verlängern. Die Kürzungsregelung nach Satz 2 findet im Fall, dass bereits eine Kürzung der Vergütung nach § 291b Absatz 5 erfolgt, keine Anwendung. Die Kassenärztliche Bundesvereinigung und die Kassenzahnärztliche Bundesvereinigung berichten zum Ende eines jeden Quartals über den Anteil der an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer, deren Vergütung vertragsärztlicher Leistungen gemäß Satz 2 gekürzt wurde. Die dafür notwendigen Informationen erhalten sie von den für die Durchführung der Kürzung nach Satz 2 jeweils zuständigen Kassenärztlichen Vereinigungen und Kassenzahnärztlichen Vereinigungen.

(7) Die Krankenhäuser haben sich bis zum 1. Januar 2021 mit den für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Diensten auszustatten und sich an die Telematikinfrastruktur nach § 306 anzuschließen. Soweit Krankenhäuser ihrer Verpflichtung zum Anschluss an die Telematikinfrastruktur nach Satz 1 nicht nachkommen, sind § 5 Absatz 3e Satz 1 des Krankenhausentgeltgesetzes oder § 5 Absatz 5 der Bundespflegesatzverordnung anzuwenden. Die Kürzungsregelung nach Satz 2 findet im Fall, dass bereits eine Kürzung der Vergütung nach § 291b Absatz 5 erfolgt, keine Anwendung.

Erster Untertitel ^20k
Angebot und Einrichtung der elektronischen Patientenakte

§ 342 Angebot und Nutzung der elektronischen Patientenakte ^{20k 21h 22k 24}

(1) Die Krankenkassen sind bis zum 14. Januar 2025 verpflichtet, jedem Versicherten auf Antrag und mit seiner Einwilligung eine nach § 325 Absatz 1 von der Gesellschaft für Telematik zugelassene elektronische Patientenakte zur Verfügung zu stellen, die den Anforderungen gemäß Absatz 2 Nummer 1 Buchstabe a bis f und n bis r und Nummer 3 entspricht. Ab dem 15. Januar 2025 sind die Krankenkassen verpflichtet, jedem Versicherten, der nach vorheriger Information gemäß § 343 der Einrichtung einer elektronischen Patientenakte gegenüber der Krankenkasse nicht innerhalb einer Frist von sechs Wochen widersprochen hat, eine nach § 325 Absatz 1 von der Gesellschaft für Telematik zugelassene elektronische Patientenakte zur Verfügung zu stellen, die jeweils rechtzeitig den Anforderungen gemäß Absatz 2 Nummer 1 Buchstabe a, b, g bis v, Nummer 2 bis 4 sowie gemäß den Absätzen 2a bis 2c entspricht.

(2) Die elektronische Patientenakte muss technisch insbesondere gewährleisten, dass

1. mit der Bereitstellung nach Maßgabe des Absatzes 1 Satz 1 oder Satz 2
   1. die Daten nach § 341 Absatz 2 Nummer 1, 6 bis 9, 11, 12 und 15 barrierefrei zur Verfügung gestellt werden können;
   2. die Versicherten über eine Benutzeroberfläche eines geeigneten Endgeräts ihre Rechte gemäß den §§ 336 und 337 barrierefrei wahrnehmen können;
   3. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 in den Zugriff sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte barrierefrei erteilen können;
   4. die Versicherten, die nicht gemäß § 336 die Benutzeroberfläche eines geeigneten Endgeräts nutzen, den Zugriffsberechtigten nach § 352 in der Umgebung der Zugriffsberechtigten eine Einwilligung in den Zugriff mindestens auf Kategorien von Dokumenten und Datensätzen, insbesondere auf medizinische Fachgebietskategorien, erteilen können;
   5. durch eine entsprechende technische Voreinstellung die Dauer der Zugriffsberechtigung durch zugriffsberechtigte Leistungserbringer standardmäßig auf eine Woche beschränkt ist;
   6. die Versicherten die Dauer der Zugriffsberechtigungen selbst festlegen können, wobei die Mindestdauer einen Tag beträgt und auch unbefristete Zugriffsberechtigungen vergeben werden können;
   7. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts gegenüber der Krankenkasse sowohl der Übermittlung und Speicherung von Daten nach § 350 in die elektronische Patientenakte als auch nach § 344 Absatz 3 einer bereitgestellten elektronischen Patientenakte widersprechen können;
   8. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts gegenüber einzelnen Zugriffsberechtigten nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, dem Zugriff auf Daten der elektronischen Patientenakte barrierefrei widersprechen können; der Widerspruch muss sowohl auf alle Daten der elektronischen Patientenakte insgesamt als auch lediglich auf Datensätze und Informationsobjekte, die gesamthaft und zusammenhängend gemäß den Absätzen 2a, 2b oder 2c in der elektronischen Patientenakte verarbeitet werden (Anwendungsfälle der elektronischen Patientenakte), beschränkt werden können;
   9. die Versicherten, die nicht gemäß § 336 die Benutzeroberfläche eines geeigneten Endgeräts nutzen, bei der Ombudsstelle nach § 342a einen Widerspruch gegenüber einzelnen Zugriffsberechtigten nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, gegen den Zugriff auf Daten der elektronischen Patientenakte insgesamt erklären können; die Möglichkeit, gemäß § 347 Absatz 1 und 3 in der Umgebung der Zugriffsberechtigten einen Widerspruch gegen die Übermittlung und Speicherung von Daten in die elektronische Patientenakte zu erklären, bleibt unberührt;
   10. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts eine Einwilligung gegenüber einzelnen Zugriffsberechtigten nach § 352 Satz 1 Nummer 16 bis 18, auch in Verbindung mit Satz 2, in den Zugriff auf Daten in der elektronischen Patientenakte barrierefrei erteilen können; die Einwilligung muss sowohl lediglich auf Datensätze und Informationsobjekte, die gemäß den Absätzen 2a, 2b oder 2c als Anwendungsfälle der elektronischen Patientenakte in der elektronischen Patientenakte verarbeitet werden, als auch auf alle Daten der elektronischen Patientenakte insgesamt erstreckt werden können;
   11. die Versicherten, die nicht gemäß § 336 die Benutzeroberfläche eines geeigneten Endgeräts nutzen, eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 Satz 1 Nummer 16 bis 18, auch in Verbindung mit Satz 2, in der Umgebung der Zugriffsberechtigten in den Zugriff auf die Daten der elektronischen Patientenakte insgesamt erteilen können;
   12. durch eine entsprechende technische Voreinstellung die Dauer der Zugriffsberechtigung durch zugriffsberechtigte Leistungserbringer nach § 352 Satz 1 Nummer 1 bis 4 und 7 bis 15, auch in Verbindung mit Satz 2, standardmäßig auf 90 Tage beschränkt ist, und die Dauer der Zugriffsberechtigung durch zugriffsberechtigte Leistungserbringer nach § 352 Satz 1 Nummer 5, 6 und 16 bis 19, auch in Verbindung mit Satz 2, durch eine entsprechende technische Voreinstellung standardmäßig auf drei Tage beschränkt ist;
   13. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts die Dauer der Zugriffsberechtigungen selbst festlegen können, wobei die Mindestdauer einen Tag beträgt und auch unbefristete Zugriffsberechtigungen vergeben werden können;
   14. den Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts die Protokolldaten gemäß § 309 Absatz 1 in präziser, transparenter, verständlicher, auswertbarer und leicht zugänglicher Form und in einer klaren und einfachen Sprache sowie barrierefrei bereitgestellt werden;
   15. bei einem Wechsel der Krankenkasse die Daten nach § 341 Absatz 2 Nummer 1 bis 16 aus der bisherigen elektronischen Patientenakte in der elektronischen Patientenakte der gewählten Krankenkasse zur Verfügung gestellt werden können;
   16. von den Versicherten bestimmte Vertreter die Rechte nach den Buchstaben b, c, f, g, h, j, m, n, s, t, u und v wahrnehmen können;
   17. die Versicherten bei ihrem Zugriff auf die elektronische Patientenakte mittels der Benutzeroberfläche eines geeigneten Endgeräts vor dem Löschen von Daten in der elektronischen Patientenakte auf die Möglichkeit, den Zugriff auf Daten zu beschränken, sowie auf die möglichen Folgen einer Löschung und einer Beschränkung des Zugriffs hingewiesen werden;
   18. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts auf Informationen des Nationalen Gesundheitsportals nach § 395 barrierefrei zugreifen können;
   19. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts der Verarbeitung von Anwendungsfällen der elektronischen Patientenakte gemäß den Absätzen 2a, 2b oder 2c in ihrer elektronischen Patientenakte einzeln widersprechen oder einen entsprechenden Widerspruch barrierefrei widerrufen können; bei einem Widerspruch ist der jeweilige Anwendungsfall der elektronischen Patientenakte einschließlich aller darin gespeicherten Daten unverzüglich und vollständig zu löschen; soweit in den jeweiligen Anwendungsfällen der elektronischen Patientenakte Daten verarbeitet werden, die automatisiert aus Diensten der Anwendungen der Telematikinfrastruktur in die elektronische Patientenakte übermittelt und dort gespeichert werden, sind diese im Fall eines Widerspruchs gegen den jeweiligen Anwendungsfall jeweils von der vollständigen Löschung ausgenommen;
   20. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts jeweils der Übermittlung und Speicherung von Daten aus Diensten der Anwendungen der Telematikinfrastruktur in der elektronischen Patientenakte barrierefrei widersprechen oder einen entsprechenden Widerspruch barrierefrei widerrufen können; bei einem Widerspruch ist die Übermittlung entsprechender Daten in die elektronische Patientenakte technisch zu unterbinden und sind die entsprechenden Daten unverzüglich und vollständig in der elektronischen Patientenakte zu löschen;
   21. die Versicherten, die nicht gemäß § 336 die Benutzeroberfläche eines geeigneten Endgeräts nutzen, ihre Rechte nach den Buchstaben s und t bei der Ombudsstelle nach § 342a wahrnehmen können;
   22. die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts die Verarbeitung sowohl von spezifischen Dokumenten oder Datensätzen als auch von Gruppen von Dokumenten gemäß § 337 Absatz 2 so beschränken können, dass diese nur durch den Versicherten verarbeitbar sind, und
2. zusätzlich spätestens ab dem Zeitpunkt, zu dem die elektronische Patientenakte gemäß Absatz 1 Satz 2 zur Verfügung steht, die Versicherten den Sofortnachrichtendienst mit Leistungserbringern und mit Krankenkassen als sicheres Übermittlungsverfahren nach § 311 Absatz 6 über die Benutzeroberfläche nach Nummer 1 Buchstabe b nutzen können und
3. zusätzlich spätestens sechs Monate, nachdem das dafür bestimmte Register zur Verfügung steht, die Versicherten mittels der Benutzeroberfläche eines geeigneten Endgeräts und unter Nutzung der elektronischen Gesundheitskarte oder einer digitalen Identität der Versicherten nach § 291 Absatz 8 die Abgabe, Änderung sowie den Widerruf einer elektronischen Erklärung zur Organ- und Gewebespende in dem Register vornehmen können, und
4. zusätzlich spätestens sechs Monate nach Bereitstellung der elektronischen Patientenakte gemäß Absatz 1 Satz 2 Daten, die in der elektronischen Patientenakte gespeichert sind, nach § 363 zu Forschungszwecken bereitgestellt werden können und
5. bis 8 (aufgehoben)

(2a) Zusätzlich zu den Vorgaben und Festlegungen nach Absatz 2 muss die nach Absatz 1 Satz 2 bereitgestellte elektronische Patientenakte technisch insbesondere gewährleisten, dass

1. spätestens ab dem Zeitpunkt, zu dem die elektronische Patientenakte gemäß Absatz 1 Satz 2 zur Verfügung steht, zur digitalen Unterstützung des Medikationsprozesses des Versicherten
   1. Daten nach § 341 Absatz 2 Nummer 11 zu arzneimittelbezogenen Verordnungsdaten und Dispensierinformationen zur Darstellung der aktuell verordneten Medikation sowie Daten zu frei verkäuflichen Arzneimitteln und Nahrungsergänzungsmitteln in semantisch und syntaktisch interoperabler Form in einem Informationsobjekt gemäß § 355 genutzt werden können und die Erstellung und Aktualisierung des elektronischen Medikationsplans nach § 341 Absatz 2 Nummer 1 Buchstabe b unterstützen;
   2. Daten des elektronischen Medikationsplans nach § 341 Absatz 2 Nummer 1 Buchstabe b in einem Informationsobjekt gemäß § 355 in semantisch und syntaktisch interoperabler Form in der elektronischen Patientenakte zur Verfügung gestellt werden können und Ergänzungen durch den Versicherten nach § 337 Absatz 1 Satz 1 vorgenommen werden können;
   3. Daten zur Prüfung der Arzneimitteltherapiesicherheit nach § 334 Absatz 1 Satz 2 Nummer 4 in einem Informationsobjekt gemäß § 355 in semantisch und syntaktisch interoperabler Form zur Verfügung gestellt werden können und die Nutzung der Daten nach Buchstabe a sowie die Erstellung und Aktualisierung des elektronischen Medikationsplans nach Buchstabe b unterstützen können;
   4. die Versicherten oder durch sie bestimmte Vertreter über die Benutzeroberfläche eines geeigneten Endgeräts einen Widerspruch gegenüber Zugriffsberechtigten nach § 352 gegen die Übermittlung und Speicherung von Daten des Versicherten nach Buchstabe a, b und c insgesamt barrierefrei erklären können und
2. zusätzlich, sobald die hierfür erforderlichen Voraussetzungen vorliegen,
   1. Daten der elektronischen Patientenkurzakte nach § 341 Absatz 2 Nummer 1 Buchstabe c als Informationsobjekt gemäß den Festlegungen nach § 355 in semantisch und syntaktisch interoperabler Form zur Verfügung gestellt werden können;
   2. Daten zu Laborbefunden nach § 341 Absatz 2 Nummer 1 Buchstabe a als Informationsobjekt gemäß den Festlegungen nach § 355 in semantisch und syntaktisch interoperabler Form zur Verfügung gestellt werden können;
   3. Daten zu Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen nach § 341 Absatz 2 Nummer 7 Buchstabe a und b als Informationsobjekte gemäß den Festlegungen nach § 355 in semantisch und syntaktisch interoperabler Form zur Verfügung gestellt werden können;
   4. Versicherte oder durch sie bestimmte Vertreter die Rechte gemäß Nummer 1 Buchstabe d auch für Daten aus Informationsobjekten nach den Buchstaben a, b, c, und e wahrnehmen können, und
   5. Daten zu Erklärungen zur Organ- und Gewebespende nach § 341 Absatz 2 Nummer 16 als Informationsobjekt gemäß den Festlegungen nach § 355 in semantisch und syntaktisch interoperabler Form zur Verfügung gestellt werden können.

(2b) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates das Nähere zu Umfang und Nutzung der Anwendungsfälle der elektronischen Patientenakte, die Fristen für die Umsetzung der Vorgaben in Absatz 2a Nummer 2 Buchstabe a, b, c und e sowie in § 351 Absatz 2 und darüber hinaus weitere Informationsobjekte und sonstige Daten nach § 341 Absatz 2 Nummer 1 Buchstabe a und d, Nummer 10, 13, 14 und 16 festzulegen sowie Fristen festzulegen, innerhalb derer die elektronische Patientenakte technisch gewährleisten muss, dass

1. die weiteren Informationsobjekte nach § 341 Absatz 2 Nummer 1 Buchstabe a und d, Nummer 10, 13, 14 und 16 zur Verfügung gestellt und gemäß den Vorgaben und Festlegungen nach Absatz 2 genutzt werden können und
2. die Versicherten oder durch sie bestimmte Vertreter über die Benutzeroberfläche eines geeigneten Endgeräts einen Widerspruch gegenüber Zugriffsberechtigten nach § 352 gegen die Übermittlung und Speicherung der in Nummer 1 genannten Informationsobjekte barrierefrei erklären können.

(2c) Sobald die Festlegungen nach § 355 zu den Informationsobjekten nach § 341 Absatz 2 Nummer 2 bis 5 vorliegen und in der vertragsärztlichen Versorgung, in der vertragszahnärztlichen Versorgung sowie in zugelassenen Krankenhäusern in den informationstechnischen Systemen, die zur Verarbeitung von personenbezogenen Patientendaten eingesetzt werden, elektronisch verarbeitet werden können, haben die Krankenkassen sicherzustellen, dass zusätzlich die Informationsobjekte zu diesen Daten in der elektronischen Patientenakte nach Absatz 2 elektronisch verarbeitet werden können. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Frist festzulegen, innerhalb derer die elektronische Patientenakte technisch gewährleisten muss, dass

1. Daten nach § 341 Absatz 2 Nummer 2 bis 5 als Informationsobjekte zur Verfügung gestellt und gemäß den Vorgaben und Festlegungen nach Absatz 2 genutzt werden können und
2. die Versicherten oder durch sie bestimmte Vertreter über die Benutzeroberfläche eines geeigneten Endgeräts einen Widerspruch gegenüber Zugriffsberechtigten nach § 352 gegen die Übermittlung und Speicherung der in Nummer 1 genannten Informationsobjekte und Daten barrierefrei erklären können.

(3) Jede Krankenkasse richtet eine Ombudsstelle gemäß § 342a ein.

(4) Die Krankenkasse hat sicherzustellen, dass die Anbieter die nach § 325 Absatz 1 zugelassenen Komponenten und Dienste der elektronischen Patientenakte laufend in der Weise weiterentwickeln, dass die elektronische Patientenakte dem jeweils aktuellen Stand der Technik und den jeweils aktuellen Festlegungen der Gesellschaft für Telematik nach § 354 entspricht.

(5) Bis alle Krankenkassen ihren jeweiligen Verpflichtungen nach den Absätzen 1, 2 und 4 nachgekommen sind, prüft der Spitzenverband Bund der Krankenkassen jährlich zum Stichtag 1. Januar eines Jahres, erstmals zum 1. Januar 2021, ob die Krankenkassen ihren Versicherten eine von der Gesellschaft für Telematik zugelassene elektronische Patientenakte nach Maßgabe der Absätze 1, 2 und 4 zur Verfügung gestellt haben. Ist eine Krankenkasse ihrer jeweiligen Verpflichtung nach den Absätzen 1, 2 und 4 nicht nachgekommen, so stellt der Spitzenverband Bund der Krankenkassen dies durch Bescheid fest. In dem Bescheid ist die betroffene Krankenkasse über die Sanktionierung gemäß § 270 Absatz 3 zu informieren. Klagen gegen den Bescheid haben keine aufschiebende Wirkung. Der Spitzenverband Bund der Krankenkassen teilt dem Bundesamt für Soziale Sicherung erstmals bis zum 15. Januar 2021 mit, welche Krankenkassen ihrer Verpflichtung nach Absatz 1 nicht nachgekommen sind. Die Mitteilung nach Satz 5 erfolgt jeweils zum 15. Januar des Jahres, an dem der Spitzenverband Bund der Krankenkassen durch Bescheid festgestellt hat, dass eine Krankenkasse ihrer jeweiligen Verpflichtung nach den Absätzen 1, 2 und 4 nicht nachgekommen ist. Der Spitzenverband Bund der Krankenkassen veröffentlicht ab dem 1. Januar 2021 eine Übersicht derjenigen Krankenkassen, die ihren Versicherten eine von der Gesellschaft für Telematik zugelassene elektronische Patientenakte nach Maßgabe der Absätze 1, 2 und 4 zur Verfügung stellen, auf seiner Internetseite. Die Übersicht ist laufend zu aktualisieren.

(6) Die Krankenkassen dürfen von ihnen genutzte Komponenten und Dienste der elektronischen Patientenakte Unternehmen der privaten Krankenversicherung oder den sonstigen Einrichtungen gemäß § 362 Absatz 1 zur Verfügung stellen und in deren Auftrag betreiben. Soweit auch der Betrieb der elektronischen Patientenakte für das Unternehmen der privaten Krankenversicherung oder der sonstigen Einrichtung gemäß § 362 Absatz 1 erfolgt, sind geeignete technische und organisatorische Maßnahmen zur sicheren Trennung der Datenbestände zu treffen. Die Entwicklungs- und Betriebskosten für die elektronische Patientenakte sind dem Unternehmen der privaten Krankenversicherung oder der sonstigen Einrichtung gemäß § 362 Absatz 1 in angemessener Höhe anteilig in Rechnung zu stellen.

(7) Die Krankenkassen sind verpflichtet, spätestens bis zum 1. Januar 2022 sicherzustellen, dass Versicherte in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 ihre Rechte gemäß § 336 Absatz 1 und 2 und § 337 Absatz 1 bis 3 sowie das Auslesen der Protokolldaten in den Anwendungen barrierefrei mittels einer Benutzeroberfläche sowohl eines geeigneten mobilen Endgeräts als auch eines geeigneten stationären Endgeräts entsprechend der Anforderungen gemäß Absatz 2 wahrnehmen können. Dabei sind technische Verfahren vorzusehen, die zur Authentifizierung einen hohen Sicherheitsstandard gewährleisten.

(8) Die Krankenkassen können in der elektronischen Patientenakte gemäß Absatz 1 Satz 2 technisch ermöglichen, dass Versicherte über die Benutzeroberfläche eines geeigneten Endgeräts Daten aus tragbaren elektronischen Geräten der Versicherten (Wearables) in die elektronische Patientenakte nach § 341 Absatz 2 Nummer 6 übermitteln und dort speichern können.

§ 342a Ombudsstellen ²⁴

(1) Jede Krankenkasse richtet eine Ombudsstelle ein. Die Versicherten können sich mit ihren Anliegen im Zusammenhang mit der elektronischen Patientenakte an die Ombudsstelle ihrer Krankenkasse wenden. Die Ombudsstellen beraten die Versicherten bei allen Fragen und Problemen bei der Nutzung der elektronischen Patientenakte. Sie informieren insbesondere über das Verfahren bei der Beantragung der elektronischen Patientenakte nach § 342 Absatz 1 Satz 1, das Verfahren zur Bereitstellung der elektronischen Patientenakte und der Erklärung des Widerspruchs nach § 342 Absatz 1 Satz 2, über Rechte und Ansprüche der Versicherten nach diesem Titel sowie über die Funktionsweise und die möglichen Inhalte der elektronischen Patientenakte. Zusätzlich informieren die Ombudsstellen über die Möglichkeit zum Erhalt der Protokolldaten nach Absatz 5.

(2) Die Ombudsstellen haben Widersprüche der Versicherten gegen die Anwendungsfälle der elektronischen Patientenakte nach § 353 Absatz 1 entgegenzunehmen und technisch zu gewährleisten, dass der Widerspruch in der elektronischen Patientenakte nach § 342 Absatz 1 Satz 2 durchgesetzt wird.

(3) Die Ombudsstellen haben Widersprüche der Versicherten gegen den Zugriff durch einzelne Zugriffsberechtigte nach § 353 Absatz 2 entgegenzunehmen und technisch zu gewährleisten, dass der Widerspruch bezogen auf den jeweiligen Zugriffsberechtigten in der elektronischen Patientenakte nach § 342 Absatz 1 Satz 2 durchgesetzt wird.

(4) Die Ombudsstellen haben Widersprüche der Versicherten gegen die Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken nach § 363 Absatz 5 entgegenzunehmen und technisch zu gewährleisten, dass der Widerspruch in der elektronischen Patientenakte nach § 342 Absatz 1 Satz 2 durchgesetzt wird.

(5) Die Ombudsstellen stellen den Versicherten auf Antrag unverzüglich die in § 309 Absatz 1 genannten Protokolldaten der elektronischen Patientenakte nach § 342 Absatz 1 Satz 2 zur Verfügung.

(6) Zur Unterstützung der Ombudsstellen bei der Erfüllung ihrer Verpflichtungen nach den Absätzen 2 bis 5 legt der Spitzenverband Bund der Krankenkassen zur verbindlichen Nutzung jeweils geeignete einheitliche Verfahren fest. Der Spitzenverband Bund der Krankenkassen legt das Verfahren im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Zur Erfüllung ihrer Verpflichtung nach den Absätzen 2 bis 5 können die Ombudsstellen der Krankenkassen eine übergreifende gemeinsame Stelle bestimmen.

(8) Der für die Erfüllung der Verpflichtungen nach den Absätzen 2 bis 4 erforderliche Zugriff der Ombudsstelle auf die elektronische Patientenakte des Versicherten ist für andere als die dort genannten Zwecke unzulässig. Der für die Erfüllung der Verpflichtungen nach Absatz 5 erforderliche Zugriff der Ombudsstelle ist auf die Protokolldaten der elektronischen Patientenakte des Versicherten beschränkt. Die Zugriffe der Ombudsstelle werden protokolliert.

§ 343 Informationspflichten der Krankenkassen ^{20k 21h 24 24a}

(Gültig bis 14.01.2025)
(1) Die Krankenkassen haben den Versicherten, bevor sie ihnen gemäß § 342 Absatz 1 Satz 1 eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Das Informationsmaterial enthält insbesondere Informationen über

1. den jeweiligen Anbieter der von der Krankenkasse zur Verfügung gestellten elektronischen Patientenakte,
2. die Funktionsweise der elektronischen Patientenakte, einschließlich der Art der in ihr zu verarbeitenden Daten gemäß § 341 Absatz 2,
3. die Freiwilligkeit der Einrichtung der elektronischen Patientenakte und das Recht auf jederzeitige teilweise oder vollständige Löschung,
4. das Erfordernis der vorherigen Einwilligung in die Datenverarbeitung in der elektronischen Patientenakte gegenüber Krankenkassen, Anbietern und Leistungserbringern sowie die Möglichkeit des Widerrufs der Einwilligung,
5. die für den Zweck der Einrichtung der elektronischen Patientenakte erforderliche Datenverarbeitung durch die Krankenkassen und die Anbieter gemäß § 344 Absatz 1,
6. den Anspruch gemäß § 337 auf selbständige Speicherung und Löschung von Daten in der elektronischen Patientenakte und über die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte einschließlich des Hinweises, dass die Krankenkassen keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten haben,
7. den Anspruch auf Übertragung von bei der Krankenkasse gespeicherten Daten in die elektronische Patientenakte nach § 350 Absatz 1 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
8. den Anspruch auf Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Leistungserbringer nach den §§ 347 bis 349 und die Verarbeitung dieser Daten durch die Leistungserbringer, Krankenkassen und Anbieter in der elektronischen Patientenakte,
9. den Anspruch auf Übertragung von Daten aus elektronischen Gesundheitsakten in die elektronische Patientenakte nach § 351 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
10. die Voraussetzungen für den Zugriff von Leistungserbringern auf Daten in der elektronischen Patientenakte nach § 352 und die Verarbeitung dieser Daten durch den Leistungserbringer,
11. die Möglichkeit, bei der Datenverarbeitung nach Nummer 10 beim Leistungserbringer durch technische Zugriffsfreigabe in die konkrete Datenverarbeitung einzuwilligen,
12. die fehlende Möglichkeit, vor dem 1. Januar 2022 die Einwilligung sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte nach § 342 Absatz 2 Nummer 2 Buchstabe b zu beschränken,
13. die fehlende Möglichkeit, die Einwilligung mittels der dezentralen Infrastruktur der Leistungserbringer auf spezifische Dokumente und Datensätze zu beschränken,
14. das Angebot von zusätzlichen Anwendungen nach § 345 Absatz 1 und über deren Funktionsweise einschließlich der Art der in ihr zu verarbeitenden Daten, den Speicherort und die Zugriffsrechte,
15. die sichere Nutzung von Komponenten, die den Zugriff der Versicherten auf die elektronische Patientenakte über eine Benutzeroberfläche geeigneter Endgeräte ermöglichen,
16. die Möglichkeit und die Voraussetzungen, gemäß § 363 Daten der elektronischen Patientenakte freiwillig für die in § 303e Absatz 2 Nummer 2, 4, 5 und 7 aufgeführten Forschungszwecke freizugeben,
17. die Rechte der Versicherten gegenüber der Krankenkasse als dem für die Datenverarbeitung Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679,
18. die Möglichkeit, den Zugriff von Leistungserbringern nach Nummer 10 auf Daten in der elektronischen Patientenakte nach § 352 auch Ärzten, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, und Fachärzten für Arbeitsmedizin sowie Ärzten, die über die Zusatzbezeichnung "Betriebsmedizin" verfügen, zu erteilen,
19. die Möglichkeit, ab dem 1. Januar 2022 über die Benutzeroberfläche eines geeigneten Endgeräts einem Vertreter die Befugnis zu erteilen, die Rechte des Versicherten im Rahmen der Führung seiner elektronischen Patientenakte innerhalb der erteilten Vertretungsbefugnis wahrzunehmen,
20. mögliche versorgungsrelevante Folgen, die daraus resultieren können, dass der Versicherte von seinen Rechten Gebrauch macht, sich gegen die Nutzung einer elektronischen Patientenakte zu entscheiden, Zugriffe auf Daten der elektronischen Patientenakte nicht zu erteilen oder Daten der elektronischen Patientenakte zu löschen und
21. die Möglichkeit für die Versicherten, ab dem 1. Januar 2023 Daten aus ihren digitalen Gesundheitsanwendungen nach § 33a mit ihrer Einwilligung vom Hersteller einer solchen Anwendung über den Anbieter der elektronischen Patientenakte in ihre elektronische Patientenakte zu übermitteln.

(1a) Die Krankenkassen haben den Versicherten, bevor sie ihnen eine elektronische Patientenakte gemäß § 342 Absatz 1 Satz 2 zur Verfügung stellen, umfassendes und geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Die Informationen müssen über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, über die Übermittlung von Daten in die elektronische Patientenakte und über die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und über die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Das Informationsmaterial muss insbesondere Informationen enthalten über

1. den individuellen Nutzen und Mehrwert der elektronischen Patientenakte für die Versorgung des Versicherten, der dadurch entsteht, dass
   1. er die elektronische Patientenakte nutzt,
   2. die ihn behandelnden Zugriffsberechtigten nach § 352 auf Daten der elektronischen Patientenakte zugreifen können und
   3. die Daten der elektronischen Patientenakte möglichst vollständig gespeichert und für die ihn behandelnden Zugriffsberechtigten nach § 352 möglichst vollständig einsehbar sind,
2. die Gewährleistung, dass der Versicherte weder bevorzugt noch benachteiligt wird, wenn er von seinen Widerspruchs-, Einwilligungs-, Lösch- und Beschränkungsrechten Gebrauch macht, mit Ausnahme des Verzichts auf Nutzen und Mehrwert der elektronischen Patientenakte,
3. den jeweiligen Anbieter der von der Krankenkasse zur Verfügung gestellten elektronischen Patientenakte,
4. die Funktionsweise der elektronischen Patientenakte, einschließlich der Art der in ihr zu verarbeitenden Daten gemäß § 341 Absatz 2,
5. die selbstbestimmte und eigenverantwortliche Nutzung der elektronischen Patientenakte durch Versicherte ab Vollendung des 15. Lebensjahres, insbesondere über
   1. das Recht, der Bereitstellung zu widersprechen,
   2. das Recht, auch nach einem erfolgten Widerspruch gegen die Bereitstellung zu einem späteren Zeitpunkt die Einrichtung der elektronischen Patientenakte zu beantragen und
   3. das Recht auf jederzeitige teilweise oder vollständige Löschung von Daten der elektronischen Patientenakte,
6. die Möglichkeit, die elektronische Patientenakte auch ohne eine Benutzeroberfläche eines eigenen Endgerätes zu nutzen sowie die Möglichkeit, nach § 342a Absatz 5 die Zurverfügungstellung der Protokolldaten der elektronischen Patientenakte bei der Ombudsstelle gemäß § 342a Absatz 1 zu beantragen,
7. die Möglichkeit des Widerspruchs gegen die Datenverarbeitung in der elektronischen Patientenakte gegenüber Krankenkassen und Anbietern der elektronischen Patientenakte sowie die Möglichkeit des Widerrufs des Widerspruchs,
8. die für den Zweck der Einrichtung der elektronischen Patientenakte erforderliche Datenverarbeitung durch die Krankenkassen und die Anbieter der elektronischen Patientenakte gemäß § 344 Absatz 1 und die Löschung der elektronischen Patientenakte nach § 344 Absatz 6,
9. das Recht gemäß § 337 auf selbstständige Speicherung, Löschung und Beschränkung des Zugriffs beziehungsweise auf Aufhebung einer Beschränkung des Zugriffs auf Daten in der elektronischen Patientenakte sowie Informationen über die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter der elektronischen Patientenakte in der elektronischen Patientenakte einschließlich des Hinweises, dass die Krankenkassen keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten haben,
10. die Übermittlung von bei der Krankenkasse gespeicherten Daten in die elektronische Patientenakte nach § 350 Absatz 1 sowie über die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter der elektronischen Patientenakte in der elektronischen Patientenakte, die Möglichkeit des Widerspruchs gegen diese Übermittlung sowie die Möglichkeit des Widerrufs des Widerspruchs,
11. die Möglichkeit, den Zugriff von Zugriffsberechtigten nach § 352 Satz 1 Nummer 16 bis 18, auch in Verbindung mit Satz 2, auf Daten in der elektronischen Patientenakte insgesamt oder alternativ lediglich auf Daten, die gemäß § 342 Absatz 2a, 2b und 2c als Anwendungsfälle in der elektronischen Patientenakte verarbeitet werden können, zu erteilen sowie über das Erfordernis der vorherigen Einwilligung in die damit verbundene Datenverarbeitung gemäß § 339 Absatz 1a,
12. die Übermittlung von Daten nach den §§ 346 bis 349 in die elektronische Patientenakte,
13. die Möglichkeit des Widerspruchs gegen die Übermittlung von Daten in die elektronische Patientenakte nach § 346 Absatz 2, § 347 Absatz 1 und 2, § 348 Absatz 1 und 3 und § 349 Absatz 2, insbesondere die Möglichkeit des Widerspruchs gegen die Übermittlung von Daten, deren Bekanntwerden Anlass zu Diskriminierung oder Stigmatisierung des Versicherten geben kann, insbesondere zu sexuell übertragbaren Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen, sowie die Möglichkeit des Widerrufs des Widerspruchs,
14. die Möglichkeit, die Übermittlung und Speicherung von Daten nach § 347 Absatz 4, § 348 Absatz 4 und § 349 Absatz 3 und 4 zu verlangen, sowie über das Erfordernis der vorherigen Einwilligung in die Übermittlung und Speicherung von Ergebnissen genetischer Untersuchungen oder Analysen im Sinne des Gendiagnostikgesetzes in die elektronische Patientenakte gemäß § 347 Absatz 1 Satz 3, auch in Verbindung mit § 347 Absatz 3 Satz 5, § 348 Absatz 2 Satz 2, Absatz 3 Satz 6 oder § 349 Absatz 2 Satz 6,
15. den Zugriff auf Daten in der elektronischen Patientenakte gemäß § 339 Absatz 1 durch Leistungserbringer nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2,
16. die Möglichkeit des Widerspruchs gegen den Zugriff auf Daten in der elektronischen Patientenakte gemäß § 339 Absatz 1 durch Leistungserbringer nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, sowie die Möglichkeit des Widerrufs des Widerspruchs,
17. den Anspruch auf Übermittlung und Speicherung von Daten in die elektronische Patientenakte durch die Krankenkasse gemäß § 350 Absatz 4,
18. die Ombudsstellen nach § 342a Absatz 1 und die Möglichkeit, neben der Ausübung über die Benutzeroberfläche eines Endgeräts, Widersprüche gemäß § 342a Absatz 2, 3 und 4 auch gegenüber der Ombudsstelle erklären zu können,
19. das Angebot von zusätzlichen Anwendungen nach § 345 Absatz 1 und über deren Funktionsweise einschließlich der Art der in den Anwendungen zu verarbeitenden Daten, über den Speicherort der Daten und über die Zugriffsrechte,
20. die sichere Nutzung von Komponenten, die den Zugriff der Versicherten auf die elektronische Patientenakte über eine Benutzeroberfläche geeigneter Endgeräte ermöglichen,
21. die Voraussetzungen zur Weitergabe von Daten der elektronischen Patientenakte gemäß § 363 und die Möglichkeit des Widerspruchs gegen diese Datenweitergabe,
22. die Rechte der Versicherten gegenüber der Krankenkasse als dem für die Datenverarbeitung Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679,
23. die Möglichkeit, über die Benutzeroberfläche eines geeigneten Endgeräts einem Vertreter die Befugnis zu erteilen, die Rechte des Versicherten im Rahmen der Führung seiner elektronischen Patientenakte innerhalb der erteilten Vertretungsbefugnis wahrzunehmen, und
24. die Möglichkeit für die Versicherten, nach Ablauf der hierzu im Wege der Rechtsverordnung nach § 342 Absatz 2b festzulegenden Frist Daten aus ihren digitalen Gesundheitsanwendungen nach § 33a mit ihrer Einwilligung vom Hersteller einer solchen Anwendung über den Anbieter der elektronischen Patientenakte in ihre elektronische Patientenakte oder aus der digitalen Gesundheitsanwendung in ihre elektronische Patientenakte zu übermitteln.

(Gültig bis 14.01.2025)
(2) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 1 hat der Spitzenverband Bund der Krankenkassen im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit spätestens bis zum 30. November 2020 geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.

(3) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 1a hat der Spitzenverband Bund der Krankenkassen im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit spätestens acht Monate vor dem in § 342 Absatz 1 Satz 2 genannten Datum geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.

(4) Die Krankenkassen haben den Versicherten, bevor Daten gemäß § 342 Absatz 2a, 2b und 2c als Anwendungsfälle in der elektronischen Patientenakte verarbeitet werden, umfassendes und geeignetes Informationsmaterial über den jeweiligen Anwendungsfall in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Die Informationen müssen über alle relevanten Umstände der Datenverarbeitung im Zusammenhang mit dem jeweiligen Anwendungsfall, über die Übermittlung der zugehörigen Daten in die elektronische Patientenakte und über die Möglichkeit des Widerspruchs gegen die Verarbeitung von Daten als Anwendungsfall durch Leistungserbringer, welcher über die Benutzeroberfläche eines Endgeräts oder gegenüber der Ombudsstelle gemäß § 342a Absatz 2 erklärt werden kann, informieren.

(5) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 4 hat der Spitzenverband Bund der Krankenkassen im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit spätestens drei Monate vor dem gemäß der Rechtsverordnung nach § 342 Absatz 2b und 2c jeweils hierzu festgelegten Datum geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.

(Gültig bis 14.01.2025)
§ 344 Einwilligung der Versicherten und Zulässigkeit der Datenverarbeitung durch die Krankenkassen und Anbieter der elektronischen Patientenakte ^{20k 24}

(Gültig ab 15.01.2025)
§ 344 Widerspruch der Versicherten und Zulässigkeit der Datenverarbeitung durch die Krankenkassen und die Anbieter der elektronischen Patientenakte ^{20k 24}

(Gültig bis 14.01.2025)
(1) Hat der Versicherte nach vorheriger Information gemäß § 343 gegenüber der Krankenkasse in die Einrichtung der elektronischen Patientenakte eingewilligt, so dürfen die Krankenkasse, der Anbieter der elektronischen Patientenakte sowie der Anbieter von einzelnen Diensten und Komponenten der elektronischen Patientenakte die zum Zweck der Einrichtung erforderlichen administrativen personenbezogenen Daten verarbeiten. Die Krankenkasse darf versichertenbezogene Daten über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte übermitteln.

(Gültig ab 15.01.2025)
(1) Hat der Versicherte nach vorheriger Information gemäß § 343 der Einrichtung einer elektronischen Patientenakte gegenüber der Krankenkasse nicht innerhalb einer Frist von sechs Wochen widersprochen, stellt die Krankenkasse dem Versicherten eine elektronische Patientenakte bereit. Die Krankenkasse, der Anbieter der elektronischen Patientenakte sowie die Anbieter von einzelnen Diensten und Komponenten der elektronischen Patientenakte dürfen die zum Zweck der Einrichtung erforderlichen administrativen personenbezogenen Daten verarbeiten. Die Krankenkasse darf versichertenbezogene Daten über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte übermitteln.

(2) Macht der Versicherte nach vorheriger Information gemäß § 343 (gültig bis 14.01.2025 von seinen Ansprüchen gemäß den §§ 347 bis 351) (gültig ab 15.01.2025 von seinen in § 343 Absatz 1a Nummer 14 genannten Rechten und Ansprüchen) Gebrauch, dürfen auf Grund der Einwilligung des Versicherten die Krankenkassen, der Anbieter der elektronischen Patientenakte und die Anbieter von einzelnen Diensten und Komponenten der elektronischen Patientenakte die zu diesem Zweck übermittelten personenbezogenen Daten speichern. Die Kenntnisnahme der Daten und der Zugriff auf die Daten nach den §§ 347 bis 351 ist nicht zulässig.

(Gültig ab 15.01.2025)
(2a) Macht der Versicherte nach vorheriger Information gemäß § 343 von seinen in § 343 Absatz 1a Nummer 13 und in § 350 genannten Rechten zum Widerspruch gegen die Übermittlung und Speicherung von Daten in die elektronische Patientenakte keinen Gebrauch, dürfen die Krankenkassen, der Anbieter der elektronischen Patientenakte und die Anbieter von einzelnen Diensten und Komponenten der elektronischen Patientenakte die übermittelten personenbezogenen Daten speichern. Eine Kenntnisnahme der Daten und ein Zugriff auf die Daten nach den §§ 347 bis 351 durch die Krankenkassen, den Anbieter der elektronischen Patientenakte oder die Anbieter von einzelnen Diensten und Komponenten der elektronischen Patientenakte ist nicht zulässig.

(Gültig bis 14.01.2025)
(3) Auf Verlangen des Versicherten gegenüber der Krankenkasse hat der Anbieter auf Veranlassung der Krankenkasse die elektronische Patientenakte vollständig zu löschen.

(Gültig ab 15.01.2025)
(3) Die Versicherten können einer bereitgestellten elektronischen Patientenakte gemäß Absatz 1 auch jederzeit nach Einrichtung widersprechen. Der Widerspruch kann gegenüber der Krankenkasse erklärt werden oder über eine Benutzeroberfläche eines geeigneten Endgeräts erfolgen. Die Krankenkasse hat den Versicherten umfassend darüber zu informieren, dass nach einem erfolgten Widerspruch die elektronische Patientenakte einschließlich aller darin gespeicherten Daten gelöscht wird und diese Daten auch bei einer erneuten Einrichtung auf Verlangen nach Absatz 5 nicht wiederhergestellt werden können. Macht der Versicherte von seinem Widerspruch gegen die bereitgestellte elektronische Patientenakte Gebrauch, hat der Anbieter auf Veranlassung der Krankenkasse die elektronische Patientenakte unverzüglich und vollständig zu löschen.

(4) Sofern es für die Durchsetzung von datenschutzrechtlichen Ansprüchen der Versicherten gegenüber den für die Verarbeitung von Daten in der elektronischen Patientenakte Verantwortlichen notwendig ist, sind die in § 352 genannten Leistungserbringer verpflichtet, die Verantwortlichen bei der Umsetzung zu unterstützen.

(Gültig ab 15.01.2025)
(5) Versicherte, die der Einrichtung einer elektronischen Patientenakte widersprochen haben, können nach dem Widerspruch jederzeit die Einrichtung der elektronischen Patientenakte gegenüber der Krankenkasse verlangen. Satz 1 gilt auch bei einem Wechsel der Krankenkasse.

(Gültig ab 15.01.2025)
(6) Die Krankenkasse hat zwölf Monate nach Kenntnis des Todes eines Versicherten dessen elektronische Patientenakte zu löschen, es sei denn, es werden entgegenstehende berechtigte Interessen Dritter geltend gemacht und nachgewiesen.

§ 345 Angebot und Nutzung zusätzlicher Inhalte und Anwendungen ^20k

(1) Versicherte können den Krankenkassen Daten aus der elektronischen Patientenakte zum Zweck der Nutzung zusätzlicher von den Krankenkassen angebotener Anwendungen zur Verfügung stellen. Die Krankenkassen dürfen die Daten nach Satz 1 zu diesem Zweck verarbeiten, soweit die Versicherten hierzu ihre vorherige Einwilligung erteilt haben. Diese zusätzlichen Anwendungen der Krankenkassen dürfen die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der nach § 325 zugelassenen elektronischen Patientenakte nicht beeinträchtigen. Die Krankenkassen müssen die erforderlichen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit der zusätzlichen Anwendungen ergreifen.

(2) Die Zurverfügungstellung von Daten nach Absatz 1 ist nur nach Erhalt des Informationsmaterials nach § 343 Absatz 1 zulässig. § 335 Absatz 3 gilt entsprechend.

Zweiter Untertitel ^20k
Nutzung der elektronischen Patientenakte durch den Versicherten

§ 346 Unterstützung bei der elektronischen Patientenakte ^{20k 24}

(1) Ärzte, Zahnärzte und Psychotherapeuten, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassen Krankenhäusern tätig sind, haben auf der Grundlage der Informationspflichten der Krankenkassen nach § 343 die Versicherten (auf deren Verlangen gültig ab 15.01.2025 nach Maßgabe der §§ 347 bis 349) bei der Verarbeitung medizinischer Daten in der elektronischen Patientenakte ausschließlich im aktuellen Behandlungskontext zu unterstützen. Die Unterstützungsleistung nach Satz 1 umfasst die Übermittlung von medizinischen Daten in die elektronische Patientenakte und ist ausschließlich auf medizinische Daten aus der konkreten aktuellen Behandlung beschränkt. § 630c Absatz 4 des Bürgerlichen Gesetzbuchs bleibt unberührt. Die in Satz 1 genannten Ärzte, Zahnärzte, Psychotherapeuten, Einrichtungen und zugelassenen Krankenhäuser können Aufgaben in diesem Zusammenhang, soweit diese übertragbar sind, auf Personen übertragen, die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf bei ihnen tätig sind.

(2) (Gültig bis 14.01.2025 Auf Verlangen der Versicherten haben Apotheker bei der Abgabe eines Arzneimittels die Versicherten bei der Verarbeitung arzneimittelbezogener Daten in der elektronischen Patientenakte zu unterstützen.)(Gültig ab 15.01.2025 Apotheker haben bei der Abgabe eines Arzneimittels die Versicherten bei der Verarbeitung arzneimittelbezogener Daten in der elektronischen Patientenakte zu unterstützen und nach Maßgabe des § 339 Absatz 1 Daten des Versicherten nach § 341 Absatz 2 Nummer 1 Buchstabe b und Nummer 11 in der elektronischen Patientenakte zu speichern, soweit diese nicht gemäß § 360 Absatz 14 in der elektronischen Patientenakte gespeichert sind und soweit die Versicherten dem Zugriff der Apotheker auf die elektronische Patientenakte und der Übermittlung und Speicherung dieser Daten in die elektronische Patientenakte nicht gemäß § 353 Absatz 1 oder 2 widersprochen haben.) Apotheker können Aufgaben in diesem Zusammenhang auf zum pharmazeutischen Personal der Apotheke gehörende Personen übertragen.

(3) Ärzte, Zahnärzte und Psychotherapeuten, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassen Krankenhäusern tätig sind, haben auf der Grundlage der Informationspflichten der Krankenkassen nach § 343 die Versicherten (auf deren Verlangen gültig ab 15.01.2025 nach Maßgabe der §§ 347 bis 349) bei der erstmaligen Befüllung der elektronischen Patientenakte ausschließlich im aktuellen Behandlungskontext zu unterstützen. Die Unterstützungsleistung nach Satz 1 umfasst die Übermittlung von medizinischen Daten in die elektronische Patientenakte und ist ausschließlich auf medizinische Daten aus der konkreten aktuellen Behandlung beschränkt. Die in Satz 1 genannten Leistungserbringer können Aufgaben in diesem Zusammenhang, soweit diese übertragbar sind, auf Personen übertragen, die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf bei ihnen oder in an der vertragsärztlichen Versorgung teilnehmenden Einrichtungen oder in zugelassenen Krankenhäusern tätig sind.

(4) Für Leistungen nach Absatz 2 zur Unterstützung der Versicherten bei der Verarbeitung arzneimittelbezogener Daten in der elektronischen Patientenakte erhalten Apotheken eine zusätzliche Vergütung. Das Nähere zu den Abrechnungsvoraussetzungen für Leistungen der Apotheken nach Absatz 2 vereinbaren der Spitzenverband Bund der Krankenkassen und die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene mit Wirkung zum 1. Januar 2021. Kommt eine Vereinbarung nach Satz 2 ganz oder teilweise nicht zustande, gilt § 129 Absatz 8.

(Gültig bis 14.01.2025)
(5) Für Leistungen nach Absatz 3 erhalten die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer sowie Krankenhäuser ab dem 1. Januar 2021 über einen Zeitraum von zwölf Monaten eine einmalige Vergütung je Erstbefüllung in Höhe von 10 Euro.

(Gültig bis 14.01.2025)
(6) Die Leistungen nach Absatz 3 dürfen im Rahmen der gesetzlichen Krankenversicherung je Versichertem und elektronischer Patientenakte insgesamt nur einmal erbracht und abgerechnet werden. Das Nähere zu den Abrechnungsvoraussetzungen und -verfahren für Leistungen nach Absatz 3 vereinbaren der Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Bundesvereinigungen sowie die Deutsche Krankenhausgesellschaft mit Wirkung zum 1. Januar 2021. Die Vereinbarung stellt sicher, dass nur eine einmalige Abrechnung der Vergütung für die Leistungen nach Absatz 3 möglich ist.

(Gültig ab 15.01.2025)
(5) Die Leistungen nach Absatz 3 dürfen im Rahmen der gesetzlichen Krankenversicherung je Versichertem und elektronischer Patientenakte insgesamt nur einmal erbracht und nur einmal von Ärzten, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassen Krankenhäusern tätig sind und im Schwerpunkt die aktuelle ärztliche Behandlung des Versicherten übernehmen, abgerechnet werden. Das Nähere zu den Abrechnungsvoraussetzungen und -verfahren für Leistungen nach Absatz 3 vereinbaren der Spitzenverband Bund der Krankenkassen, die Kassenärztlichen Bundesvereinigungen sowie die Deutsche Krankenhausgesellschaft mit Wirkung zum Zeitpunkt der Zurverfügungstellung der elektronischen Patientenakte nach § 342 Absatz 1 Satz 2. Die Vereinbarung stellt sicher, dass nur eine einmalige Abrechnung der Vergütung für die Leistungen nach Absatz 3 möglich ist.

(Gültig bis 14.01.2025)
§ 347 Anspruch der Versicherten auf Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Leistungserbringer ^{20k 24}

(1) Versicherte haben Anspruch auf Übermittlung von Daten nach § 341 Absatz 2 Nummer 1 bis 5 und 10 bis 13 in die elektronische Patientenakte und dortige Speicherung, soweit diese Daten im Rahmen der vertragsärztlichen Versorgung bei der Behandlung des Versicherten durch die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer elektronisch verarbeitet werden und soweit andere Rechtsvorschriften nicht entgegenstehen. Die in § 342 Absatz 1 und 2 geregelten Fristen bleiben unberührt.

(2) Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben

1. die Versicherten im Rahmen der vertragsärztlichen Versorgung über den Anspruch nach Absatz 1 zu informieren und
2. die Daten nach Absatz 1 auf Verlangen des Versicherten in die elektronische Patientenakte nach § 341 zu übermitteln und dort zu speichern.

(Gültig ab 15.01.2025)
§ 347 Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Leistungserbringer ^{20k 24}

(1) Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben nach Maßgabe der §§ 346 und 339 Absatz 1 Daten des Versicherten, die gemäß § 342 Absatz 2a, 2b und 2c als Anwendungsfälle in der elektronischen Patientenakte verarbeitet werden können, in die elektronische Patientenakte zu übermitteln und dort zu speichern. Die Verpflichtung nach Satz 1 gilt, soweit

1. diese Daten im Rahmen der vertragsärztlichen Versorgung bei der konkreten aktuellen Behandlung des Versicherten von den an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringern erhoben und in semantisch und syntaktisch interoperabler Form verarbeitet werden und
2. der Versicherte weder dem Zugriff der Leistungserbringer nach Satz 1 auf die Daten in der elektronischen Patientenakte insgesamt noch dem Anwendungsfall gemäß § 353 Absatz 1 oder 2 widersprochen hat.

Abweichend von Satz 1 ist die Übermittlung und Speicherung von Ergebnissen genetischer Untersuchungen oder Analysen im Sinne des Gendiagnostikgesetzes in die elektronische Patientenakte nur durch die verantwortliche ärztliche Person und mit ausdrücklicher und schriftlich oder in elektronischer Form vorliegender Einwilligung des Versicherten zulässig. Die nach Satz 1 verpflichteten Leistungserbringer haben die Versicherten vor der Übermittlung und Speicherung von Daten des Versicherten, deren Bekanntwerden Anlass zu Diskriminierung oder Stigmatisierung des Versicherten geben kann, insbesondere zu sexuell übertragbaren Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen, in die elektronische Patientenakte auf das Recht zum Widerspruch gegen die Übermittlung und Speicherung der Daten in die elektronische Patientenakte hinzuweisen. Einen daraufhin erklärten Widerspruch des Versicherten haben die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer nachprüfbar in ihrer Behandlungsdokumentation zu protokollieren. Die in § 342 geregelten Fristen bleiben unberührt.

(2) Ferner haben die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer folgende Daten in die elektronische Patientenakte zu übermitteln und dort zu speichern:

1. Daten zu Laborbefunden,
2. Befundberichte aus bildgebender Diagnostik,
3. Befundberichte aus invasiven oder chirurgischen sowie aus nichtinvasiven oder konservativen Maßnahmen und
4. elektronische Arztbriefe gemäß § 341 Absatz 2 Nummer 1 Buchstabe d.

Die Verpflichtung nach Satz 1 gilt, soweit die Daten im Rahmen der konkreten aktuellen Behandlung durch die Leistungserbringer erhoben und elektronisch verarbeitet wurden und nicht bereits nach Absatz 1 in die elektronische Patientenakte zu übermitteln und dort zu speichern sind. Darüber hinaus können die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer Daten nach Satz 1 Nummer 1 bis 4 aus vorangegangenen Behandlungen in die elektronische Patientenakte übermitteln und dort speichern, soweit diese durch den Leistungserbringer erhoben und elektronisch verarbeitet wurden und das aus Sicht des Leistungserbringers für die Versorgung des Versicherten erforderlich ist.

(3) Eine Übermittlung und Speicherung der Daten nach Absatz 2 ist nur zulässig, soweit der Versicherte dem Zugriff der Leistungserbringer nach Absatz 1 Satz 1 auf die Daten in der elektronischen Patientenakte insgesamt gemäß § 353 Absatz 2 nicht widersprochen hat. Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben die Versicherten in der Behandlung darüber zu informieren, welche Daten nach Absatz 2 in die elektronische Patientenakte übermittelt und dort gespeichert werden. Erklärt der Versicherte daraufhin seinen Widerspruch, hat der Leistungserbringer diesen nachprüfbar in seiner Behandlungsdokumentation zu protokollieren. Die Übermittlung und Speicherung nach Absatz 2 ist nur zulässig, soweit andere Rechtsvorschriften der Übermittlung und Speicherung nicht entgegenstehen. Absatz 1 Satz 3 bis 5 gilt entsprechend. Darüber hinaus haben Leistungserbringer die Versicherten vor der Übermittlung und Speicherung von Daten des Versicherten in die elektronische Patientenakte, deren Bekanntwerden Anlass zu Diskriminierung oder Stigmatisierung des Versicherten geben kann, insbesondere zu sexuell übertragbaren Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen, auf die Möglichkeit, die Verarbeitung dieser Daten zu beschränken, hinzuweisen. Absatz 1 Satz 6 gilt entsprechend.

(4) Über die Verpflichtung nach Absatz 1 Satz 1 und Absatz 2 Satz 1 hinaus haben die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer auf Verlangen der Versicherten Daten der Versicherten nach § 341 Absatz 2 Nummer 1 bis 5, 10 bis 14 und 16 in die elektronische Patientenakte zu übermitteln und dort zu speichern, soweit diese Daten in der konkreten aktuellen Behandlung durch die Leistungserbringer erhoben und elektronisch verarbeitet werden. Eine Übermittlung und Speicherung der Daten nach Satz 1 ist nur zulässig, soweit der Versicherte abweichend von § 339 Absatz 1 in die Übermittlung und Speicherung dieser Daten eingewilligt hat. Die Leistungserbringer haben nachprüfbar in ihrer Behandlungsdokumentation zu protokollieren, dass der Versicherte seine Einwilligung erteilt hat. Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben die Versicherten über den Anspruch nach Satz 1 zu informieren. Die Verpflichtung nach Satz 1 gilt, soweit andere Rechtsvorschriften der Übermittlung und Speicherung nicht entgegenstehen.

(5) Auf Verlangen des Versicherten haben die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer elektronische Abschriften der Patientenakte nach § 630g Absatz 2 Satz 1 des Bürgerlichen Gesetzbuchs in die elektronische Patientenakte zu übermitteln und dort gemäß § 341 Absatz 2 Nummer 15 zu speichern. Absatz 4 Satz 2, 3 und 5 gilt entsprechend.

(Gültig bis 14.01.2025)
§ 348 Anspruch der Versicherten auf Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Krankenhäuser ^{20k 24}

(1) Versicherte haben Anspruch auf Übermittlung von Daten nach § 341 Absatz 2 Nummer 1 bis 5, 10, 11 und 13 in die elektronische Patientenakte und dortige Speicherung, soweit diese Daten im Rahmen der Krankenhausbehandlung des Versicherten elektronisch erhoben wurden und soweit andere Rechtsvorschriften nicht entgegenstehen. Die in § 342 Absatz 1 und 2 geregelten Fristen bleiben unberührt.

(2) Die Leistungserbringer in den zugelassenen Krankenhäusern haben

1. die Versicherten über den Anspruch nach Absatz 1 zu informieren und
2. die Daten nach Absatz 1 auf Verlangen des Versicherten in die elektronische Patientenakte nach § 341 zu übermitteln und dort zu speichern.

(Gültig ab 15.01.2025)
§ 348 Übertragung von Behandlungsdaten in die elektronische Patientenakte durch zugelassene Krankenhäuser ^{20k 24}

(1) Die Leistungserbringer in zugelassenen Krankenhäusern haben nach Maßgabe der §§ 346 und 339 Absatz 1 Daten des Versicherten, die gemäß § 342 Absatz 2a, 2b und 2c als Anwendungsfälle in der elektronischen Patientenakte verarbeitet werden können, in die elektronische Patientenakte zu übermitteln und dort zu speichern.

(2) Die Verpflichtung nach Absatz 1 gilt, soweit

1. diese Daten im Rahmen der Krankenhausbehandlung bei der konkreten aktuellen Behandlung des Versicherten von den Leistungserbringern in zugelassenen Krankenhäusern erhoben und in semantisch und syntaktisch interoperabler Form verarbeitet werden und
2. der Versicherte weder dem Zugriff der Leistungserbringer nach Absatz 1 auf die Daten in der elektronischen Patientenakte insgesamt noch dem Anwendungsfall gemäß § 353 Absatz 1 oder 2 widersprochen hat.

§ 347 Absatz 1 Satz 3 bis 6 gilt entsprechend.

(3) Über die Verpflichtung nach Absatz 1 Satz 1 hinaus haben die Leistungserbringer in zugelassenen Krankenhäusern Daten nach § 347 Absatz 2 Satz 1 Nummer 1 bis 3 und Entlassbriefe in die elektronische Patientenakte zu übermitteln und dort zu speichern, soweit diese Daten

1. im Rahmen der Krankenhausbehandlung des Versicherten durch die Leistungserbringer in zugelassenen Krankenhäusern erhoben und elektronisch verarbeitet werden und
2. nicht bereits nach Absatz 1 in die elektronische Patientenakte zu übermitteln und dort zu speichern sind.

Darüber hinaus können die Leistungserbringer in zugelassenen Krankenhäusern Daten nach Satz 1 aus vorangegangenen Behandlungen in die elektronische Patientenakte übermitteln und dort speichern, soweit diese durch den Leistungserbringer erhoben und elektronisch verarbeitet wurden und das aus Sicht des Leistungserbringers für die Versorgung des Versicherten erforderlich ist. Eine Übermittlung und Speicherung der Daten nach den Sätzen 1 und 2 ist nur zulässig, soweit der Versicherte dem Zugriff der Leistungserbringer nach Satz 1 auf die Daten in der elektronischen Patientenakte insgesamt gemäß § 353 Absatz 2 nicht widersprochen hat. Die Leistungserbringer in zugelassenen Krankenhäusern haben die Versicherten in der Behandlung darüber zu informieren, welche Daten in die elektronische Patientenakte übermittelt und dort gespeichert werden sollten. Erklärt der Versicherte daraufhin seinen Widerspruch, hat der Leistungserbringer diesen nachprüfbar in seiner Behandlungsdokumentation zu protokollieren. Die Übermittlung und Speicherung der Daten nach den Sätzen 1 und 2 ist nur zulässig, soweit andere Rechtsvorschriften der Übermittlung und Speicherung nicht entgegenstehen. § 347 Absatz 1 Satz 3 bis 5 gilt entsprechend. Darüber hinaus haben Leistungserbringer die Versicherten vor der Übermittlung und Speicherung von Daten des Versicherten in die elektronische Patientenakte, deren Bekanntwerden Anlass zu Diskriminierung oder Stigmatisierung des Versicherten geben kann, insbesondere zu sexuell übertragbaren Infektionen, psychischen Erkrankungen und Schwangerschaftsabbrüchen, auf die Möglichkeit, die Verarbeitung dieser Daten zu beschränken, hinzuweisen. § 347 Absatz 1 Satz 6 gilt entsprechend.

(4) Über die Verpflichtung nach den Absätzen 1 und 2 hinaus haben die Leistungserbringer in zugelassenen Krankenhäusern auf Verlangen der Versicherten Daten der Versicherten nach § 341 Absatz 2 Nummer 1 bis 5, 10 bis 14 und 16 in die elektronische Patientenakte zu übermitteln und dort zu speichern, soweit diese Daten im Rahmen der Krankenhausbehandlung des Versicherten durch die Leistungserbringer in zugelassenen Krankenhäusern erhoben und elektronisch verarbeitet werden. Eine Übermittlung und Speicherung der Daten nach Satz 1 ist nur zulässig, soweit der Versicherte abweichend von § 339 Absatz 1 in die Übermittlung und Speicherung dieser Daten eingewilligt hat. Die Leistungserbringer in zugelassenen Krankenhäusern haben nachprüfbar in ihrer Behandlungsdokumentation zu protokollieren, dass der Versicherte seine Einwilligung erteilt hat. Die Leistungserbringer in zugelassenen Krankenhäusern haben die Versicherten über den Anspruch nach Satz 1 zu informieren. Die Verpflichtung nach Satz 1 gilt, soweit andere Rechtsvorschriften der Übermittlung und Speicherung nicht entgegenstehen.

(5) Auf Verlangen des Versicherten haben die Leistungserbringer in zugelassenen Krankenhäusern elektronische Abschriften der Patientenakte nach § 630g Absatz 2 Satz 1 des Bürgerlichen Gesetzbuchs in die elektronische Patientenakte zu übermitteln und dort gemäß § 341 Absatz 2 Nummer 15 zu speichern.

(Gültig bis 14.01.2025)
§ 349 Anspruch der Versicherten auf Übertragung von Daten aus Anwendungen der Telematikinfrastruktur nach § 334 und von elektronischen Arztbriefen in die elektronische Patientenakte ^{20k 21h 24}

(1) Über die in den §§ 347 und 348 geregelten Ansprüche hinaus haben Versicherte einen Anspruch auf Übermittlung von Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 2 bis 6 und von elektronischen Arztbriefen nach § 383 Absatz 2 in die elektronische Patientenakte und dortige Speicherung gegen Personen, die

1. nach § 352 zum Zugriff auf die elektronische Patientenakte berechtigt sind und
2. Daten des Versicherten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 2 bis 6 und § 383 verarbeiten.

Die in § 342 Absatz 1 und 2 geregelten Fristen bleiben unberührt.

(2) Nach Absatz 1 verpflichtete Personen haben

1. die Versicherten über den Anspruch nach Absatz 1 zu informieren und
2. die verarbeiteten Daten nach Absatz 1 auf Verlangen des Versicherten in die elektronische Patientenakte nach § 341 zu übermitteln und dort zu speichern.

(3) Ändern sich Daten nach § 334 Absatz 1 Satz 2 Nummer 4, 5 und 7 und werden diese Daten in der elektronischen Patientenakte verfügbar gemacht, haben Versicherte einen Anspruch auf Speicherung der geänderten Daten in der elektronischen Patientenakte. Der Anspruch richtet sich gegen den Leistungserbringer, der die Änderung der Daten nach § 334 Absatz 1 Satz 2 Nummer 4, 5 oder 7 vorgenommen hat.

(4) Nach Absatz 3 verpflichtete Leistungserbringer haben

1. die Versicherten über den Anspruch nach Absatz 3 zu informieren und
2. die geänderten Daten auf Verlangen des Versicherten in die elektronische Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe b und c einzustellen.

(Gültig ab 15.01.2025)
§ 349 Übertragung von Daten in die elektronische Patientenakte durch weitere Zugriffsberechtigte; Anspruch der Versicherten auf Übertragung des elektronischen Medikationsplans und der elektronischen Notfalldaten in die elektronische Patientenakte ^{20k 21h 24}

(1) Über die in § 346 Absatz 2, in den §§ 347 und 348 genannten Leistungserbringer hinaus können weitere Zugriffsberechtigte nach Maßgabe der Absätze 2 bis 4 und § 352 Daten des Versicherten in die elektronische Patientenakte übermitteln und dort speichern, soweit sie an die Telematikinfrastruktur angeschlossen sind.

(2) Zugriffsberechtigte nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, können Daten der Anwendungsfälle gemäß § 342 Absatz 2a, 2b und 2c, Daten nach § 347 Absatz 2 Satz 1 Nummer 1 bis 4 sowie Daten nach § 341 Absatz 2 Nummer 1 Buchstabe b und c und Nummer 10 und 11 in die elektronische Patientenakte übermitteln und dort speichern, soweit diese Daten im Rahmen der konkreten aktuellen Behandlung des Versicherten durch die Zugriffsberechtigten erhoben und elektronisch verarbeitet werden. Darüber hinaus können die Zugriffsberechtigten die Daten nach Satz 1 aus vorangegangenen Behandlungen in die elektronische Patientenakte übermitteln und dort speichern, soweit diese durch den Zugriffsberechtigten erhoben und elektronisch verarbeitet wurden und das aus Sicht des Zugriffsberechtigten für die Versorgung des Versicherten erforderlich ist. Eine Übermittlung und Speicherung der Daten nach den Sätzen 1 und 2 ist nur zulässig, soweit der Versicherte dem Zugriff der Leistungserbringer nach Satz 1 auf die Daten in der elektronischen Patientenakte insgesamt gemäß § 353 Absatz 2 nicht widersprochen hat. Die Zugriffsberechtigten haben die Versicherten darüber zu informieren, welche Daten in die elektronische Patientenakte übermittelt und dort gespeichert werden sollten. Erklärt der Versicherte daraufhin seinen Widerspruch, so hat der Zugriffsberechtigte nach Satz 1 diesen nachprüfbar in seiner Behandlungsdokumentation zu protokollieren. Die Übermittlung und Speicherung der Daten nach den Sätzen 1 und 2 ist nur zulässig, soweit andere Rechtsvorschriften der Übermittlung und Speicherung nicht entgegenstehen. § 347 Absatz 1 Satz 3 bis 6 gilt entsprechend.

(3) Zugriffsberechtigte nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, haben auf Verlangen der Versicherten Daten der Versicherten nach § 341 Absatz 2 Nummer 1 bis 5, 10 bis 14 und 16 in die elektronische Patientenakte zu übermitteln und dort zu speichern, soweit diese Daten im Rahmen der konkreten aktuellen Behandlung des Versicherten durch diese Zugriffsberechtigten erhoben und elektronisch verarbeitet werden. Eine Übermittlung und Speicherung der Daten nach Satz 1 ist nur zulässig, soweit der Versicherte abweichend von § 339 Absatz 1 in die Übermittlung und Speicherung dieser Daten eingewilligt hat. Die Zugriffsberechtigten haben nachprüfbar in ihrer Behandlungsdokumentation zu protokollieren, dass der Versicherte seine Einwilligung erteilt hat. Die Zugriffsberechtigten haben die Versicherten über den Anspruch nach Satz 1 zu informieren. Die Verpflichtung nach Satz 1 gilt, soweit andere Rechtsvorschriften der Übermittlung und Speicherung nicht entgegenstehen.

(4) Zugriffsberechtigte nach § 352 Satz 1 Nummer 16 bis 18, auch in Verbindung mit Satz 2, haben auf Verlangen der Versicherten Daten der Anwendungsfälle gemäß § 342 Absatz 2a, 2b und 2c sowie Daten der Versicherten nach § 341 Absatz 2 Nummer 1 bis 5, 10 bis 14 und 16 in die elektronische Patientenakte zu übermitteln und dort zu speichern, soweit diese Daten im Rahmen der konkreten aktuellen Behandlung des Versicherten durch diese Zugriffsberechtigten erhoben und elektronisch verarbeitet werden. Eine Übermittlung und Speicherung der Daten nach Satz 1 ist nur zulässig, soweit der Versicherte nach Maßgabe des § 339 Absatz 1a in den Zugriff eingewilligt hat. Die Zugriffsberechtigten haben die Versicherten über den Anspruch nach Satz 1 zu informieren. Die Verpflichtung nach Satz 1 gilt, soweit andere Rechtsvorschriften der Übermittlung und Speicherung nicht entgegenstehen.

(5) Ändern sich Daten in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 4 und 5 und werden diese Daten in der elektronischen Patientenakte verfügbar gemacht, haben Versicherte einen Anspruch auf Speicherung der geänderten Daten in der elektronischen Patientenakte. Der Anspruch richtet sich gegen den Leistungserbringer, der die Änderung der Daten in der Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4 oder 5 vorgenommen hat.

(6) Nach Absatz 5 verpflichtete Leistungserbringer haben

1. die Versicherten über den Anspruch nach Absatz 5 zu informieren und
2. die geänderten Daten auf Verlangen des Versicherten in die elektronische Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe b und c zu übermitteln und dort zu speichern.

(7) Sobald der elektronische Medikationsplan nicht mehr auf der elektronischen Gesundheitskarte, sondern nach § 358 Absatz 8 in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe b gespeichert wird, gilt der Anspruch des Versicherten nach Absatz 5 nur noch für Daten in der Anwendung nach § 334 Absatz 1 Satz 2 Nummer 5.

§ 350 Übertragung von bei der Krankenkasse gespeicherten Daten in die elektronische Patientenakte ^{20k 24}

(Gültig bis 14.01.2025)
(1) Versicherte haben ab dem 1. Januar 2022 einen Anspruch darauf, dass die Krankenkasse Daten des Versicherten nach § 341 Absatz 2 Nummer 8 über die bei ihr in Anspruch genommenen Leistungen über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte nach § 341 übermittelt und dort speichert.

(Gültig ab 15.01.2025)
(1) Hat der Versicherte nach vorheriger Information gemäß § 343 der Übermittlung und Speicherung seiner Daten nach § 341 Absatz 2 Nummer 8 gegenüber der Krankenkasse nicht widersprochen, hat die Krankenkasse Daten über die bei ihr in Anspruch genommenen Leistungen über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte zu übermitteln und zu speichern. Die Versicherten können der Übermittlung und Speicherung von Daten in der Folge jederzeit widersprechen. Der Widerspruch kann gegenüber der Krankenkasse oder über eine Benutzeroberfläche eines geeigneten Endgeräts erklärt werden.

(2) Das Nähere zu Inhalt und Struktur der relevanten Datensätze haben der Spitzenverband Bund der Krankenkassen und die Kassenärztliche Bundesvereinigung im Benehmen mit der Kassenzahnärztlichen Bundesvereinigung, der Bundesärztekammer, der Bundeszahnärztekammer und der Deutschen Krankenhausgesellschaft bis zum 31. Dezember 2020 zu vereinbaren. Dabei ist sicherzustellen, dass in der elektronischen Patientenakte erkennbar ist, dass es sich um Daten der Krankenkassen handelt.

(Gültig bis 14.01.2025)
(3) Die Krankenkasse hat die Versicherten

1. über den Anspruch nach Absatz 1 umfassend und leicht verständlich zu informieren und
2. darüber aufzuklären, dass die Übermittlung der Daten über den Anbieter der elektronischen Patientenakte erfolgt und nur auf Antrag der Versicherten gegenüber der Krankenkasse zulässig ist.

(Gültig ab 15.01.2025)
(3) Die Krankenkasse hat die Versicherten

1. über die Möglichkeit des Widerspruchs nach Absatz 1 umfassend und leicht verständlich zu informieren und
2. darüber aufzuklären, dass die Übermittlung der Daten über den Anbieter der elektronischen Patientenakte erfolgt.

(4) Auf Verlangen der Versicherten hat die Krankenkasse, abweichend von § 303 Absatz 4, Diagnosedaten, die ihr nach den §§ 295 und 295a übermittelt wurden und deren Unrichtigkeit durch einen ärztlichen Nachweis bestätigt wird, in berichtigter Form über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte des Versicherten zu übermitteln und dort zu speichern.

§ 350a Anspruch der Versicherten auf Digitalisierung von in Papierform vorliegenden medizinischen Informationen; Übertragung in die elektronische Patientenakte ²⁴

(1) Versicherte haben ab der Zurverfügungstellung der elektronischen Patientenakte gemäß § 342 Absatz 1 Satz 2 einen Anspruch darauf, dass die Krankenkassen auf ihren Antrag und mit ihrer Einwilligung in Papierform vorliegende medizinische Informationen gemäß § 341 Absatz 2 Nummer 1 Buchstabe a und d digitalisieren und über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte übermitteln und speichern. Der Anspruch nach Satz 1 kann je Versicherten zweimal innerhalb eines Zeitraumes von 24 Monaten geltend gemacht werden und ist jeweils auf zehn Dokumente begrenzt. Die Krankenkassen und die Anbieter der elektronischen Patientenakte haben die bei ihnen nach Satz 1 gespeicherten Daten unmittelbar nach der Übermittlung und Speicherung in der elektronischen Patientenakte zu löschen.

(2) Die Krankenkassen legen das Nähere zum Verfahren nach Absatz 1 fest. Zur Erfüllung ihrer Verpflichtung nach Absatz 1 können die Krankenkassen eine übergreifende gemeinsame Stelle bestimmen.

(3) Die Krankenkassen haben die Versicherten über den Anspruch und das Verfahren nach Absatz 1 umfassend und leicht verständlich zu informieren. Sie haben darüber aufzuklären, dass die Übermittlung der Daten über den Anbieter der elektronischen Patientenakte und nur auf Antrag der Versicherten erfolgt. Sofern die Krankenkassen eine übergreifende gemeinsame Stelle nach Absatz 2 Satz 2 bestimmen, haben sie über die Verarbeitung dieser Daten durch diese Stelle aufzuklären.

(4) Der Spitzenverband Bund der Krankenkassen berichtet dem Bundesministerium für Gesundheit zum 1. April 2026 über den Umfang der Nutzung des Anspruchs nach Absatz 1.

§ 351 Übertragung von Daten aus Anwendungen nach § 33a in die elektronische Patientenakte; Bereitstellung von Daten der elektronischen Patientenakte im grenzübergreifenden Austausch ^{20k 21h 24}

(1) Die Krankenkasse hat sicherzustellen, dass Daten der Versicherten in digitalen Gesundheitsanwendungen nach § 33a mit Einwilligung der Versicherten vom Hersteller einer digitalen Gesundheitsanwendung nach § 33a über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte der Versicherten nach § 341 Absatz 2 Nummer 9 übermittelt und dort gespeichert werden können.

(2) Die Krankenkasse hat innerhalb der im Wege der Rechtsverordnung nach § 342 Absatz 2b hierzu festzulegenden Frist sicherzustellen, dass

1. Daten aus der elektronischen Patientenakte mit Einwilligung der Versicherten vom Hersteller einer digitalen Gesundheitsanwendung in digitalen Gesundheitsanwendungen verarbeitet werden können und
2. Daten der elektronischen Patientenkurzakte nach § 341 Absatz 2 Nummer 1 Buchstabe c mit Einwilligung der Versicherten zur Unterstützung einer konkreten Behandlung des Versicherten in einem anderen Mitgliedstaat der Europäischen Union durch die jeweilige nationale eHealth-Kontaktstelle gemäß § 359 Absatz 4 über den Anbieter der elektronischen Patientenakte verarbeitet werden können.

(3) Abweichend von Absatz 2 Nummer 2 können die Krankenkassen zum Zweck der Erprobung des grenzüberschreitenden Austauschs von Gesundheitsdaten auch vor der Festlegung einer Frist gemäß der Rechtsverordnung nach § 342 Absatz 2b Daten der elektronischen Patientenakte gemäß Absatz 2 Nummer 2 verarbeiten.

(4) Die Ausgabe der Komponenten zur Authentifizierung der Hersteller digitaler Gesundheitsanwendungen nach § 33a erfolgt durch die Gesellschaft für Telematik. Das Bundesinstitut für Arzneimittel und Medizinprodukte bestätigt, dass ein Hersteller digitaler Gesundheitsanwendungen nach § 33a berechtigt ist, eine Komponente nach Satz 1 zu erhalten.

Dritter Untertitel ^20k
Zugriff von Leistungserbringern auf Daten in der elektronischen Patientenakte

§ 352 Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer und andere zugriffsberechtigte Personen ^{20k 20p 21h 24}

Auf die Daten in der elektronischen Patientenakte nach § 341 Absatz 1 Satz 1 dürfen (mit Einwilligung der Versicherten nach § 339 gültig ab 15.01.2025, nach Maßgabe des § 339 Absatz 1 und 1a,) ausschließlich folgende Personen zugreifen:

1. Ärzte, die zur Versorgung der Versicherten in deren Behandlung eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten nach § 341 Absatz 2 ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
2. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 1 auch Personen,
   1. die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind
      aa) bei Ärzten nach Nummer 1,
      bb) in einem Krankenhaus oder
      cc) in einer Vorsorge- oder Rehabilitationseinrichtung nach § 107 Absatz 2 oder in einer Rehabilitationseinrichtung nach § 15 Absatz 2 des Sechsten Buches oder bei einem Leistungserbringer der Heilbehandlung einschließlich medizinischer Rehabilitation nach § 26 Absatz 1 Satz 1 des Siebten Buches oder in der Haus- oder Heimpflege nach § 44 des Siebten Buches und
   2. deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und unter Aufsicht eines Arztes erfolgt;
3. Zahnärzte, die zur Versorgung der Versicherten in deren Behandlung eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten nach § 341 Absatz 2 ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
4. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 3 auch Personen,
   1. die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind
      aa) bei Zahnärzten nach Nummer 3,
      bb) in einem Krankenhaus oder
      cc) in einer Vorsorge- oder Rehabilitationseinrichtung nach § 107 Absatz 2 oder in einer Rehabilitationseinrichtung nach § 15 Absatz 2 des Sechsten Buches oder bei einem Leistungserbringer der Heilbehandlung einschließlich medizinischer Rehabilitation nach § 26 Absatz 1 Satz 1 des Siebten Buches oder in der Haus- oder Heimpflege nach § 44 des Siebten Buches und
   2. deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht eines Zahnarztes erfolgt;
5. Apotheker mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten nach § 341 Absatz 2 Nummer 1, 3 bis 11 sowie die Verarbeitung von Daten nach § 341 Absatz 2 Nummer 1 Buchstabe b und Nummer 5 und 11 ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
6. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 5 auch zum pharmazeutischen Personal der Apotheke gehörende Personen, deren Zugriff
   1. im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und
   2. unter Aufsicht eines Apothekers erfolgt, soweit nach apothekenrechtlichen Vorschriften eine Beaufsichtigung der mit dem Zugriff verbundenen pharmazeutischen Tätigkeit vorgeschrieben ist;
7. Psychotherapeuten, die in die Behandlung der Versicherten eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten nach § § 341 Absatz 2 ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
8. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 7 auch Personen,
   1. die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind
      aa) bei Psychotherapeuten nach Nummer 7,
      bb) in einem Krankenhaus,
      cc) Der bisherige Doppelbuchstabe cc wird Doppelbuchstabe dd.
      dd) in einer Vorsorge- oder Rehabilitationseinrichtung nach § 107 Absatz 2 oder in einer Rehabilitationseinrichtung nach § 15 Absatz 2 des Sechsten Buches oder bei einem Leistungserbringer der Heilbehandlung einschließlich medizinischer Rehabilitation nach § 26 Absatz 1 Satz 1 des Siebten Buches oder in der Haus- oder Heimpflege nach § 44 des Siebten Buches und
   2. deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und deren Zugriff unter Aufsicht eines Psychotherapeuten erfolgt;
9. Gesundheits- und Krankenpfleger sowie Gesundheits- und Kinderkrankenpfleger, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind, mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten nach § 341 Absatz 2 Nummer 1 bis 11 sowie die Verarbeitung von Daten nach § 341 Absatz 2 Nummer 10, die sich aus der pflegerischen Versorgung ergeben, ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
10. Altenpfleger, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind, mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten nach § 341 Absatz 2 Nummer 1 bis 11 sowie die Verarbeitung von Daten nach § 341 Absatz 2 Nummer 10, die sich aus der pflegerischen Versorgung ergeben, ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
11. Pflegefachfrauen und Pflegefachmänner, die in die medizinische und pflegerische Versorgung der Versicherten eingebunden sind, mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten nach § 341 Absatz 2 Nummer 1 bis 11 sowie die Verarbeitung von Daten nach § 341 Absatz 2 Nummer 10, die sich aus der pflegerischen Versorgung ergeben, ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
12. im Rahmen der jeweiligen Zugriffsberechtigung nach den Nummern 9 bis 11, soweit deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und unter Aufsicht eines Zugriffsberechtigten nach den Nummern 9 bis 11 erfolgt,
    1. Personen, die erfolgreich eine landesrechtlich geregelte Assistenz- oder Helferausbildung in der Pflege von mindestens einjähriger Dauer abgeschlossen haben,
    2. Personen, die erfolgreich eine landesrechtlich geregelte Ausbildung in der Krankenpflegehilfe oder in der Altenpflegehilfe von mindestens einjähriger Dauer abgeschlossen haben,
    3. Personen, denen auf der Grundlage des Krankenpflegegesetzes vom 4. Juni 1985 (BGBl. I S. 893) in der bis zum 31. Dezember 2003 geltenden Fassung eine Erlaubnis als Krankenpflegehelferin oder Krankenpflegehelfer erteilt worden ist;
13. Hebammen, die nach § 134a Absatz 2 zur Leistungserbringung zugelassen oder im Rahmen eines Anstellungsverhältnisses tätig und in die Versorgung der Versicherten eingebunden sind, mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten nach § 341 Absatz 2 Nummer 1, 3 bis 11 sowie die Verarbeitung von Daten nach § 341 Absatz 2 Nummer 3 und 4, die sich aus der Versorgung mit Hebammenhilfe ergeben, ermöglicht, soweit dies für die Versorgung des Versicherten erforderlich ist;
14. Heilmittelerbringer, die nach § 124 Absatz 1 zur Leistungserbringung zugelassen sind und die zur Versorgung des Versicherten in dessen Behandlung eingebunden sind, mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten nach § 341 Absatz 2 Nummer 1, 3, 4, 6 bis 11 sowie die Verarbeitung von Daten nach § 341 Absatz 2 Nummer 1 Buchstabe a, die sich aus der Behandlung durch den jeweiligen Heilmittelerbringer ergeben, ermöglicht, soweit dies für die Versorgung des Versicherten erforderlich ist;
15. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 14 auch Personen,
    1. die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind,
       aa) bei Personen nach Nummer 14 oder
       bb) in einem Krankenhaus und
    2. deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und unter Aufsicht eines Zugriffsberechtigten nach Nummer 14 erfolgt;
16. Ärzte, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, mit einem Zugriff, der die Verarbeitung von Daten nach § 341 Absatz 2 ermöglicht, soweit diese Datenverarbeitung erforderlich ist für die Erfüllung von Aufgaben, die der für den Öffentlichen Gesundheitsdienst zuständigen Behörde zugewiesen sind;
17. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 16 auch Personen, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, soweit der Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht eines Arztes erfolgt;
18. Fachärzte für Arbeitsmedizin und Ärzte, die über die Zusatzbezeichnung "Betriebsmedizin" verfügen (Betriebsärzte), außerhalb einer Tätigkeit nach Nummer 1, mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten nach § 341 Absatz 2 sowie die Verarbeitung von Daten nach § 341 Absatz 2 Nummer 5 ermöglicht;
19. Notfallsanitäter, die in die medizinische oder pflegerische Versorgung der Versicherten eingebunden sind, mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten nach § 341 Absatz 2 Nummer 1, 3 bis 11 sowie die Verarbeitung von Daten nach § 341 Absatz 2 Nummer 1 Buchstabe a, die sich aus der Notfallbehandlung des Versicherten ergeben und durch den Notfallsanitäter elektronisch erhoben wurden, ermöglicht, soweit dies für die Versorgung des Versicherten erforderlich ist.

Die Zugriffsrechte nach Satz 1 gelten auch, soweit die jeweiligen Zugriffsberechtigten nach dem Siebten Buch tätig werden.

(Gültig bis 14.01.2025)
§ 353 Erteilung der Einwilligung ^{20k 24}

(1) Die Versicherten erteilen die nach § 352 erforderliche Einwilligung in den Zugriff auf Daten der elektronischen Patientenakte nach § 341. Hierzu bedarf es einer eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe über die Benutzeroberfläche eines geeigneten Endgeräts.

(2) Abweichend von Absatz 1 können die Versicherten die Einwilligung auch gegenüber einem nach § 352 zugriffsberechtigten Leistungserbringer unter Nutzung der dezentralen Infrastruktur der Leistungserbringer erteilen. Hierzu bedarf es

1. einer eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe und
2. vor der Einwilligung in einen konkreten Datenzugriff einer Information der Versicherten durch den betreffenden Leistungserbringer über die fehlende Möglichkeit der Beschränkung der Zugriffsrechte nach § 342 Absatz 2 Nummer 2 Buchstabe b und die Bedeutung der Zugriffsberechtigung auf Kategorien von Dokumenten und Datensätzen nach § 342 Absatz 2 Nummer 2 Buchstabe c.

(Gültig ab 15.01.2025)
§ 353 Erklärung des Widerspruchs; Erteilung der Einwilligung ^{20k 24}

(1) Die Versicherten können der Verarbeitung von Daten, die gemäß § 342 Absatz 2a, 2b und 2c als Anwendungsfälle in der elektronischen Patientenakte verarbeitet werden können, insgesamt widersprechen. Der Widerspruch erfolgt über die Benutzeroberfläche eines geeigneten Endgeräts oder durch Erklärung gegenüber der Ombudsstelle nach § 342a. Ferner können Versicherte dem Zugriff auf Daten, die gemäß § 342 Absatz 2a, 2b und 2c als Anwendungsfälle in der elektronischen Patientenakte verarbeitet werden können, durch einzelne Zugriffsberechtigte nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, widersprechen. Der Widerspruch kann abweichend von Satz 2 nur über die Benutzeroberfläche eines geeigneten Endgeräts erfolgen. Der Widerspruch gilt bis auf Widerruf.

(2) Versicherte können dem Zugriff auf Daten der elektronischen Patientenakte insgesamt durch einzelne Zugriffsberechtigte nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, widersprechen. Der Widerspruch erfolgt über die Benutzeroberfläche eines geeigneten Endgeräts oder durch Erklärung gegenüber der Ombudsstelle nach § 342a. Der Widerspruch gilt bis auf Widerruf.

(3) Soweit die Versicherten nicht nach Absatz 1 oder Absatz 2 widersprochen haben, erteilen sie die nach § 347 Absatz 1 Satz 3, auch in Verbindung mit § 347 Absatz 3 Satz 5, § 348 Absatz 2 Satz 2, Absatz 3 Satz 6 oder § 349 Absatz 2 Satz 6, erforderliche ausdrückliche Einwilligung in die Übermittlung und Speicherung von Ergebnissen genetischer Untersuchungen oder Analysen im Sinne des Gendiagnostikgesetzes in die elektronische Patientenakte gegenüber der verantwortlichen ärztlichen Person schriftlich oder in elektronischer Form.

(4) Die Versicherten erteilen die Einwilligung in den Zugriff auf Daten in der elektronischen Patientenakte durch einzelne Zugriffsberechtigte nach § 352 Satz 1 Nummer 16 bis 18, auch in Verbindung mit Satz 2 über die Benutzeroberfläche eines geeigneten Endgeräts. Eine nach Satz 1 erteilte Einwilligung kann sich entweder auf den Zugriff auf Daten in der elektronischen Patientenakte insgesamt oder lediglich auf Daten, die gemäß § 342 Absatz 2a, 2b und 2c als Anwendungsfälle in der elektronischen Patientenakte verarbeitet werden können, erstrecken.

(5) Abweichend von Absatz 4 können die Versicherten die Einwilligung auch gegenüber einem nach § 352 Satz 1 Nummer 16 bis 18, auch in Verbindung mit Satz 2, Zugriffsberechtigten in der Umgebung des Zugriffsberechtigten erteilen. Die Einwilligung erfolgt in der Umgebung des Zugriffsberechtigten mittels der elektronischen Gesundheitskarte oder der digitalen Identität der Versicherten nach § 291 Absatz 8 Satz 1. Eine nach diesem Absatz erteilte Einwilligung kann sich abweichend von Absatz 4 Satz 2 nur auf den Zugriff auf Daten in der elektronischen Patientenakte insgesamt erstrecken. Hierüber hat der Zugriffsberechtigte den Versicherten zu informieren. Die Einwilligung haben die Zugriffsberechtigten nachprüfbar in ihrer Behandlungsdokumentation zu protokollieren.

(6) Soweit die Versicherten nicht nach Absatz 2 dem Zugriff auf Daten in der elektronischen Patientenakte insgesamt widersprochen haben, erteilen sie die Einwilligung in die Übermittlung und Speicherung von Daten in die elektronische Patientenakte gemäß § 347 Absatz 4, § 348 Absatz 4 und § 349 Absatz 3 durch Zugriffsberechtigte nach § 352 Satz 1 Nummer 1 bis 15 und 19, auch in Verbindung mit Satz 2, in der Umgebung der Zugriffsberechtigten.

Vierter Untertitel ^20k
Festlegungen für technische Voraussetzungen und semantische und syntaktische Interoperabilität von Daten

§ 354 Festlegungen der Gesellschaft für Telematik für die elektronische Patientenakte ^{20k 21h 24}

(1) Die Gesellschaft für Telematik hat im Rahmen der Erfüllung ihrer Aufgaben nach den §§ 311 und 312 jeweils nach dem Stand der Technik auch die erforderlichen technischen und organisatorischen Verfahren festzulegen oder technischen Voraussetzungen zu schaffen dafür, dass

1. in einer elektronischen Patientenakte Daten nach § 341 Absatz 2 barrierefrei zur Verfügung gestellt und durch die Versicherten nach den §§ 336 und 337 und die Zugriffsberechtigten nach § 352, auch in Verbindung mit § 129 Absatz 5h Satz 2 Nummer 4, barrierefrei verarbeitet werden können,
2. die Versicherten für die elektronische Patientenakte Daten barrierefrei zur Verfügung stellen können und diese Daten in der elektronischen Patientenakte barrierefrei verarbeitet werden können,
3. die Versicherten Daten, die in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 9 sowie nach § 345 gespeichert sind, barrierefrei elektronisch an ihre Krankenkasse übermitteln können,
4. bei der Zulassung der Komponenten und Dienste der elektronischen Patientenakte nach § 325 sichergestellt wird, dass den Versicherten von den Anbietern der elektronischen Patientenakte Dienste zur Erteilung von technischen Zugriffsfreigaben gegenüber den in § 352 genannten Leistungserbringern barrierefrei zur Verfügung gestellt werden,
5. die Ombudsstellen nach § 342a Widersprüche von Versicherten gemäß § 342a Absatz 2 bis 4 technisch durchsetzen können und Versicherten die Protokolldaten der elektronischen Patientenakte gemäß § 342a Absatz 5 zur Verfügung stellen können und
6. Daten nach § 342 Absatz 8 über die Benutzeroberfläche eines geeigneten Endgeräts in die elektronische Patientenakte übermittelt und gespeichert werden können.

(2) Über die Festlegungen und Voraussetzungen nach Absatz 1 hinaus hat die Gesellschaft für Telematik jeweils nach dem Stand der Technik die Festlegungen zu treffen oder die Voraussetzungen zu schaffen, die eine Nutzung der elektronischen Patientenakte nach den Vorgaben nach § 342 Absatz 2 bis 2c ermöglichen. Darüber hinaus hat die Gesellschaft für Telematik in Abstimmung mit dem Bundesinstitut für Arzneimittel und Medizinprodukte bis zum 1. April 2025 ein Umsetzungskonzept zu den erforderlichen technischen und organisatorischen Voraussetzungen dafür zu erarbeiten, dass öffentliche Warnungen nach § 69 Absatz 4 des Arzneimittelgesetzes auch über die Telematikinfrastruktur erfolgen können. Dabei ist insbesondere darauf zu achten, dass die Warnungen barrierefrei zur Verfügung gestellt werden. Auf der Grundlage dieses Konzepts hat die Gesellschaft für Telematik in Abstimmung mit dem Bundesinstitut für Arzneimittel und Medizinprodukte spätestens zum 1. Januar 2030 einen digitalen Prozess für die Warnungen nach Satz 2 in der Telematikinfrastruktur einzurichten.

(3) Die Gesellschaft für Telematik hat zu prüfen, inwieweit die Vorgaben des § 22 Absatz 3 des Infektionsschutzgesetzes in der elektronischen Patientenakte umgesetzt werden können. Zusätzlich hat sie zu prüfen, inwieweit Daten der Patientenverfügung nach § 1827 des Bürgerlichen Gesetzbuchs in der elektronischen Patientenakte gespeichert werden können. Über das Ergebnis der Prüfung nach Satz 2 hat die Gesellschaft für Telematik dem Bundesministerium für Gesundheit bis zum 1. Februar 2025 einen Bericht vorzulegen.

§ 355 Festlegungen für die semantische und syntaktische Interoperabilität von Daten in der elektronischen Patientenakte ^{20k 21h 22k 22l 22m 24 24a}

(1) Die Kassenärztliche Bundesvereinigung (gültig ab 01.01.2025 oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2) trifft für die Inhalte sowie für die Fortschreibung der Inhalte der elektronischen Patientenakte die notwendigen Festlegungen und Vorgaben für den Einsatz und die Verwendung der Inhalte, um deren semantische und syntaktische Interoperabilität zu gewährleisten (gültig ab 01.01.2025, sofern sie hierzu gemäß § 385 Absatz 1 Satz 2 Nummer 2 und Absatz 4 Satz 3 und 5 und aufgrund der Rechtsverordnung nach § 385 Absatz 1 Satz 1 beauftragt wurde), im Einvernehmen mit dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen sowie im Benehmen mit

1. der Gesellschaft für Telematik,
2. dem Bundesministerium für Gesundheit, dem Spitzenverband Bund der Krankenkassen, der Kassenzahnärztlichen Bundesvereinigung, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft sowie der für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisation der Apotheker auf Bundesebene,
3. den maßgeblichen, fachlich betroffenen medizinischen Fachgesellschaften,
4. der Bundespsychotherapeutenkammer,
5. den maßgeblichen Bundesverbänden der Pflege,
6. den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen sowie der Medizintechnologie,
7. den für die Wahrnehmung der Interessen der Forschung im Gesundheitswesen maßgeblichen Bundesverbänden,
8. dem Bundesinstitut für Arzneimittel und Medizinprodukte,
9. dem Verband der Privaten Krankenversicherung und
10. den für die Unfallversicherungsträger maßgeblichen Verbänden.

Für die Kassenärztliche Bundesvereinigung entscheidet der Vorstand über die Festlegungen nach Satz 1. Für die Anpassung der informationstechnischen Systeme an die Festlegungen nach diesem Absatz stellt die Kassenärztliche Bundesvereinigung den Herstellern informationstechnischer Systeme und den Krankenkassen Darstellungen zur Visualisierung der Informationsobjekte zur Verfügung. Die Darstellungen sind auf der Plattform im Sinne des § 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen.

(2) Um einen strukturierten Prozess zu gewährleisten, erstellt die Kassenärztliche Bundesvereinigung eine Verfahrensordnung zur Herstellung des Benehmens beziehungsweise des Einvernehmens nach Absatz 1 und stellt im Anschluss das Benehmen beziehungsweise das Einvernehmen mit den nach Absatz 1 Satz 1 zu Beteiligenden zu der Verfahrensordnung her. Die Verfahrensordnung hat insbesondere die Aufgabe des Kompetenzzentrums für Interoperabilität im Gesundheitswesen zur Bedarfsidentifizierung und -priorisierung gemäß § 385 Absatz 1 Satz 2 Nummer 1 und dessen Rolle bei der verbindlichen Festlegung von Profilen, Standards und Leitlinien gemäß § 385 Absatz 1 Satz 2 Nummer 4 zu berücksichtigen.

(2a) Die Kassenärztliche Bundesvereinigung trifft erstmals bis zum 30. Juni 2022 die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität von Daten aus digitalen Gesundheitsanwendungen der Versicherten nach § 33a, die von den Versicherten nach § 341 Absatz 2 Nummer 9 in die elektronische Patientenakte übermittelt werden. (Gültig bis 31.12.2024 Die Festlegungen nach Satz 1 sind fortlaufend fortzuschreiben.) (Gültig ab 01.01.2025 Die Festlegungen nach Satz 1 sind fortlaufend durch die Kassenärztliche Bundesvereinigung oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2 fortzuschreiben, sofern sie hierzu gemäß § 385 Absatz 1 Satz 2 Nummer 2 und Absatz 4 Satz 3 und 5 und aufgrund der Rechtsverordnung nach § 385 Absatz 1 Satz 1 beauftragt wurde.)

(2b) Die Kassenärztliche Bundesvereinigung trifft bis zum 31. Dezember 2022 unter Berücksichtigung der laufenden Erkenntnisse der Modellvorhaben nach § 125 des Elften Buches die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität von Daten der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 10.

(2c) Die Kassenärztliche Bundesvereinigung trifft erstmals bis zum 31. Dezember 2023 die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität von Daten, die von Hilfsmitteln oder Implantaten nach § 374a Absatz 1 in eine digitale Gesundheitsanwendung übermittelt werden. (Gültig bis 31.12.2024 Die Festlegungen nach Satz 1 sind fortlaufend fortzuschreiben.) (Gültig ab 01.01.2025 Die Festlegungen nach Satz 1 sind fortlaufend durch die Kassenärztliche Bundesvereinigung oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2 fortzuschreiben, sofern sie hierzu gemäß § 385 Absatz 1 Satz 2 Nummer 2 und Absatz 4 Satz 3 und 5 und aufgrund der Rechtsverordnung nach § 385 Absatz 1 Satz 1 beauftragt wurde.)

(2d) Die Kassenärztliche Bundesvereinigung trifft erstmals bis zum 30. Juni 2022 die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität von Daten, die im Rahmen des telemedizinischen Monitorings verarbeitet werden. (Gültig bis 31.12.2024 Die Festlegungen nach Satz 1 sind fortlaufend fortzuschreiben.) Die Festlegungen nach Satz 1 sind fortlaufend fortzuschreiben. (Gültig ab 01.01.2025 Die Festlegungen nach Satz 1 sind fortlaufend durch die Kassenärztliche Bundesvereinigung oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2 fortzuschreiben, sofern sie hierzu gemäß § 385 Absatz 1 Satz 2 Nummer 2 und Absatz 4 Satz 3 und 5 und aufgrund der Rechtsverordnung nach § 385 Absatz 1 Satz 1 beauftragt wurde.)

(2e) Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2 trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität von Daten aus tragbaren elektronischen Geräten der Versicherten nach § 342 Absatz 8, die von den Versicherten nach § 341 Absatz 2 Nummer 6 in die elektronische Patientenakte übermittelt werden.

(3) (Gültig bis 31.12.2024 Die Kassenärztliche Bundesvereinigung trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen, um die semantische und syntaktische Interoperabilität für einen digital unterstützten Medikationsprozess in den informationstechnischen Systemen der Leistungserbringer zu ermöglichen.) (Gültig ab 01.01.2025 Die Kassenärztliche Bundesvereinigung oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2 trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen, um die semantische und syntaktische Interoperabilität für einen digital gestützten Medikationsprozess in den informationstechnischen Systemen der Leistungserbringer zu ermöglichen, sofern diese hierzu gemäß § 385 Absatz 1 Satz 2 Nummer 2 und Absatz 4 Satz 3 und 5 und aufgrund der Rechtsverordnung nach § 385 Absatz 1 Satz 1 beauftragt wurde.) In den Festlegungen nach Satz 1 hat die Kassenärztliche Bundesvereinigung zu berücksichtigen, dass

1. die Verordnungsdaten und Dispensierinformationen elektronischer Verordnungen nach § 341 Absatz 2 Nummer 11 in strukturierter und interoperabler Form in den von Vertragsärzten und Ärzten in zugelassenen Krankenhäusern sowie in Apotheken genutzten informationstechnischen Systemen für einen digital unterstützten Medikationsprozess genutzt werden können,
2. die Daten nach Nummer 1 für die Erstellung und Aktualisierung eines elektronischen Medikationsplans nach § 31a Absatz 3a in semantisch und syntaktisch interoperabler Form genutzt sowie Ergänzungen durch den Versicherten nach § 337 Absatz 1 Satz 1 dargestellt werden können,
3. die Daten zur Prüfung der Arzneimitteltherapiesicherheit nach § 334 Absatz 1 Satz 2 Nummer 4 in semantisch und syntaktisch interoperabler Form genutzt werden können,
4. durch Apotheken oder den Versicherten zur Verfügung gestellte Daten zu frei verkäuflichen Arzneimitteln sowie Nahrungsergänzungsmitteln in den von Vertragsärzten und Ärzten in zugelassenen Krankenhäusern sowie in Apotheken genutzten informationstechnischen Systemen genutzt werden können und
5. die Daten nach den Nummern 1 bis 4 in die elektronische Patientenakte des Versicherten übermittelt und gespeichert werden können.

(3a) Über die in Absatz 3 zu treffenden Festlegungen hinaus hat die Kassenärztliche Bundesvereinigung bei der Fortschreibung der Vorgaben zum elektronischen Medikationsplan die Festlegungen nach § 31a Absatz 4 und § 31b Absatz 2 zu berücksichtigen und sicherzustellen, dass Daten nach § 31a Absatz 2 Satz 1 sowie Daten des elektronischen Medikationsplans nach § 341 Absatz 2 Nummer 1 Buchstabe b in den von den Vertragsärzten und den Ärzten in zugelassenen Krankenhäusern zur Verordnung genutzten elektronischen Programmen und in den Programmen der Apotheken einheitlich abgebildet und zur Prüfung der Arzneimitteltherapiesicherheit genutzt werden können und darüber hinaus eine einheitliche Visualisierung für die Versichertenansicht möglich ist.

(4) (Gültig bis 31.12.2024 Die Kassenärztliche Bundesvereinigung trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität der elektronischen Patientenkurzakte, die nach § 341 Absatz 2 Nummer 1 Buchstabe c in Verbindung mit § 342 Absatz 2a Nummer 2 Buchstabe a als Informationsobjekt der elektronischen Patientenakte nach § 334 Absatz 1 Satz 2 Nummer 1 gespeichert wird.) (Gültig ab 01.01.2025 Die Kassenärztliche Bundesvereinigung oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2 trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität der elektronischen Patientenkurzakte, die nach § 341 Absatz 2 Nummer 1 Buchstabe c in Verbindung mit § 342 Absatz 2a Nummer 2 Buchstabe a als Informationsobjekt der elektronischen Patientenakte nach § 334 Absatz 1 Satz 2 Nummer 1 gespeichert wird, sofern diese hierzu gemäß § 385 Absatz 1 Satz 2 Nummer 2 und Absatz 4 Satz 3 und 5 und aufgrund der Rechtsverordnung nach § 385 Absatz 1 Satz 1 beauftragt wurde.) In den Festlegungen nach Satz 1 hat die Kassenärztliche Bundesvereinigung zu berücksichtigen, dass

1. die elektronischen Notfalldaten nach § 334 Absatz 1 Satz 2 Nummer 5 in der elektronischen Patientenkurzakte gespeichert werden können,
2. die Erstellung von Notfalldaten in informationstechnischen Systemen gemäß § 358 Absatz 1a durch das Informationsobjekt technisch unterstützt werden muss,
3. die elektronische Patientenkurzakte als Übersicht aller relevanten Daten der Versicherten im Behandlungskontext geeignet sein muss und die festgelegten Inhalte mit internationalen Standards interoperabel sind und
4. die elektronische Patientenkurzakte zudem geeignet sein muss, die grenzüberschreitende Behandlung des Versicherten gemäß § 359 Absatz 4 in einem anderen Mitgliedstaat der Europäischen Union zu unterstützen.

(4a) (Gültig bis 31.12.2024 Die Kassenärztliche Bundesvereinigung trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität von Laborbefunden als Informationsobjekt der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe c in Verbindung mit § 342 Absatz 2a Nummer 2 Buchstabe b.) (Gültig ab 01.01.2025 Die Kassenärztliche Bundesvereinigung oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2 trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität von Laborbefunden als Informationsobjekt der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe c in Verbindung mit § 342 Absatz 2a Nummer 2 Buchstabe b, sofern diese hierzu gemäß § 385 Absatz 1 Satz 2 Nummer 2 und Absatz 4 Satz 3 und 5 und aufgrund der Rechtsverordnung nach § 385 Absatz 1 Satz 1 beauftragt wurde.)

(4b) Die Kassenärztliche Bundesvereinigung trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität von Daten, die im Rahmen von strukturierten Behandlungsprogrammen nach § 137f Absatz 9 verarbeitet werden, als Informationsobjekt der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe c.

(4c) Die Kassenärztliche Bundesvereinigung trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität der Daten zu Hinweisen der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen nach § 334 Absatz 1 Satz 2 Nummer 2 und 3 als Informationsobjekte der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 7 Buchstabe a und b in Verbindung mit § 342 Absatz 2a Nummer 2 Buchstabe c.

(4d) Die Kassenärztliche Bundesvereinigung trifft in dem in Absatz 1 vorgesehenen Verfahren die notwendigen Festlegungen für die semantische und syntaktische Interoperabilität der Daten zu Erklärungen zur Organ- und Gewebespende nach § 341 Absatz 2 Nummer 16 als Informationsobjekte der elektronischen Patientenakte nach § 342 Absatz 2a Nummer 2 Buchstabe e.

(5) Festlegungen nach Absatz 1 müssen, sofern sie die Fortschreibung des elektronischen Medikationsplans nach § 341 Absatz 2 Nummer 1 Buchstabe b zum Gegenstand haben, im Benehmen mit der für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisation der Apotheker auf Bundesebene, der Bundesärztekammer und der Deutschen Krankenhausgesellschaft erfolgen. Festlegungen nach Absatz 1 müssen, sofern sie die Fortschreibung der elektronischen Patientenkurzakte nach § 341 Absatz 2 Nummer 1 Buchstabe c zum Gegenstand haben, im Benehmen mit der Bundesärztekammer und der Deutschen Krankenhausgesellschaft erfolgen. Festlegungen nach Absatz 1 müssen, sofern sie Daten zur pflegerischen Versorgung nach § 341 Absatz 2 Nummer 10 zum Gegenstand haben, im Benehmen mit den in Absatz 1 Satz 1 Nummer 5 genannten Organisationen erfolgen.

(6) Die Kassenärztliche Bundesvereinigung hat bei ihren Festlegungen nach Absatz 1 grundsätzlich internationale Standards zu nutzen. Zur Gewährleistung der semantischen Interoperabilität hat die Kassenärztliche Bundesvereinigung die vom Bundesinstitut für Arzneimittel und Medizinprodukte für diese Zwecke verbindlich zur Verfügung gestellten medizinischen Klassifikationen, Terminologien und Nomenklaturen zu verwenden.

(7) Das Bundesinstitut für Arzneimittel und Medizinprodukte ergreift bis zum 1. Januar 2021 die notwendigen Maßnahmen, damit eine medizinische Terminologie und eine Nomenklatur kostenfrei für alle Nutzer zur Verfügung steht und unterhält dafür ein nationales Kompetenzzentrum für medizinische Terminologien.

(8) Die Gesellschaft für Telematik kann die Kassenärztliche Bundesvereinigung zusätzlich zu den Aufgaben nach Absatz 1 Satz 1 mit der Festlegung von ihr vorgegebener Informationsobjekte beauftragen und kann der Kassenärztlichen Bundesvereinigung zur Erfüllung ihrer Aufgaben nach Absatz 1 entsprechend dem Projektstand zur Umsetzung und Fortschreibung der mit der elektronischen Patientenakte, vorgesehenen Inhalte angemessene Fristen setzen. Hält die Kassenärztliche Bundesvereinigung die jeweils gesetzte Frist nicht ein, kann die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft (oder eine andere Stelle gültig ab 01.01.2025 eine andere Stelle oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2) mit der Erstellung der jeweiligen Festlegungen nach Absatz 1 (gültig bis 31.12.2024 im Benehmen mit den in Absatz 1 Satz 1 genannten Organisationen) beauftragen. Das Verfahren für das Vorgehen nach Fristablauf legt die Gesellschaft für Telematik fest.

(9) Die Festlegungen, die nach den Absätzen 1, 3, 4, 4a und 4b von der Kassenärztlichen Bundesvereinigung oder nach Absatz 8 Satz 2 von der Deutschen Krankenhausgesellschaft (oder einer anderen Stelle gültig ab 01.01.2025 einer anderen Stelle oder einer juristischen Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2) getroffen werden, sind dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen vorzulegen. Die verbindliche Festlegung für bestimmte Bereiche oder für das gesamte Gesundheitswesen erfolgt im Rahmen der Rechtsverordnung nach § 385 Absatz 2 Satz 1 Nummer 1.

(10) Die Festlegungen, die nach den Absätzen 1, 3, 3a, 4 und 4a von der Kassenärztlichen Bundesvereinigung oder nach Absatz 8 Satz 2 von der Deutschen Krankenhausgesellschaft oder einer anderen Stelle (oder einer anderen Stelle gültig ab 01.01.2025 einer anderen Stelle oder einer juristischen Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2) getroffen werden, sind auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen.

(11) Die Kosten, die im Rahmen der Erfüllung der Aufgaben nach Absatz 1 Satz 1 und Absatz 8 Satz 1 unter Beachtung des Gebots der Wirtschaftlichkeit und Sparsamkeit bei der Kassenärztlichen Bundesvereinigung entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Kassenärztliche Bundesvereinigung unterrichtet die Gesellschaft für Telematik bis zum 1. September eines jeden Jahres über die voraussichtlich entstehenden Kosten im Rahmen der Erfüllung der Aufgaben nach Absatz 1 Satz 1 und Absatz 8 Satz 1 des Folgejahres. Die Kassenärztliche Bundesvereinigung stellt der Gesellschaft für Telematik die für die Rechnungsprüfung notwendigen Unterlagen zur Verfügung. Die Gesellschaft für Telematik legt die weiteren Einzelheiten der Kostenerstattung einvernehmlich mit der Kassenärztlichen Bundesvereinigung fest. Beauftragt die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft nach Absatz 8 Satz 2 mit der Erstellung von Festlegungen nach den Absätzen 1 und 8, gelten die Sätze 1 bis 4 entsprechend.

(12) Die Gesellschaft für Telematik errichtet und betreibt eine Plattform, auf der medizinische Klassifikationen, Terminologien, Nomenklaturen und weitere semantische Standards für das deutsche Gesundheitswesen bereitgestellt und von Nutzern in geeigneter Form abgerufen werden können (Terminologieserver). Der Terminologieserver dient insbesondere der zentralen Bereitstellung sowie der Versionierung.

(13) Das Bundesinstitut für Arzneimittel und Medizinprodukte koordiniert die Bereitstellung, Pflege und Fortschreibung der medizinischen Klassifikationen, Terminologien, Nomenklaturen und weiteren semantischen Standards auf dem Terminologieserver und stimmt diese im Rahmen des in Absatz 7 genannten nationalen Kompetenzzentrums für medizinische Terminologien mit den Nutzern des Terminologieservers sowie der Koordinierungsstelle für Interoperabilität im Gesundheitswesen nach § 3 Absatz 1 der IOP-Govenance-Verordnung ab.

(14) Bei der Gesellschaft für Telematik unmittelbar für die Erfüllung der in Absatz 12 genannten Aufgabe entstehende Kosten werden vom Bundesinstitut für Arzneimittel und Medizinprodukte getragen. Das Bundesinstitut für Arzneimittel und Medizinprodukte legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der Gesellschaft für Telematik fest.

Dritter Titel ^20k
Erklärungen des Versicherten zur Organ- und Gewebespende sowie Hinweise auf deren Vorhandensein und Aufbewahrungsort

§ 356 Zugriff auf Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende ^{20k 21h 22k 24}

(1) (Gültig bis 14.01.2025 Auf Daten zu Hinweisen des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 2 und 7 dürfen mit Einwilligung des Versicherten, die abweichend von § 339 Absatz 1 hierzu keiner eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe des Versicherten bedarf, ausschließlich folgende Personen zugreifen:)
(Gültig ab 15.01.2025 Der Zugriff auf Daten zu Hinweisen des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 2 ist abweichend von § 339 Absatz 1 und 1a ausschließlich für folgende Personen und nur mit Einwilligung des Versicherten, die keiner eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe des Versicherten bedarf, zulässig:)

1. Ärzte, die in die Behandlung des Versicherten eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten ermöglicht, soweit dies für die Erstellung und Aktualisierung der Hinweise des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende erforderlich ist;
2. im Rahmen der Zugriffsberechtigung nach Absatz 1 Nummer 1 Personen, die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit dies im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht einer Person nach Nummer 1 erfolgt,
   1. bei Personen nach Absatz 1 Nummer 1 oder
   2. in einem Krankenhaus.

Die Zugriffsrechte nach Satz 1 gelten auch, wenn die jeweiligen Zugriffsberechtigten nach dem Siebten Buch tätig werden.

(2) Der Zugriff auf Daten zu Hinweisen des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 2 ist abweichend von Absatz 1 ohne eine Einwilligung der betroffenen Person nur zulässig,

1. nachdem der Tod des Versicherten nach § 3 Absatz 1 Satz 1 Nummer 2 des Transplantationsgesetzes festgestellt wurde und
2. wenn der Zugriff zur Klärung erforderlich ist, ob die verstorbene Person in die Entnahme von Organen oder Gewebe eingewilligt hat.

(3) Nach Ablauf der im Wege der Rechtsverordnung nach § 342 Absatz 2b hierzu festzulegenden Frist werden die Hinweise des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 2 als Informationsobjekt gemäß § 342 Absatz 2a in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 7 Buchstabe a gespeichert. Ärzte, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassenen Krankenhäusern, Vorsorgeeinrichtungen oder Rehabilitationseinrichtungen tätig sind, haben ab diesem Zeitpunkt mit Einwilligung des Versicherten die Daten, die in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 2 auf der elektronischen Gesundheitskarte gespeichert sind, nach Satz 1 in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 7 Buchstabe a zu speichern und auf der elektronischen Gesundheitskarte zu löschen. Erteilt der Versicherte seine Einwilligung nach Satz 2 nicht, sind Daten nach § 334 Absatz 1 Satz 2 Nummer 2 auf der elektronischen Gesundheitskarte durch zugriffsberechtigte Leistungserbringer nach Satz 2 zu löschen.

(4) Das Bundesministerium für Gesundheit kann die in Absatz 3 genannte Frist durch Rechtsverordnung ohne Zustimmung des Bundesrates verlängern.

Vierter Titel ^20k
Hinweis des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen

§ 357 Zugriff auf Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen ^{20k 21h 22k 24}

(1) Auf Daten zu Hinweisen des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 3 dürfen ausschließlich folgende Personen zugreifen:

1. Ärzte und Psychotherapeuten, die in die Behandlung des Versicherten eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten ermöglicht, soweit dies für die Versorgung des Versicherten erforderlich ist,
2. im Rahmen der Zugriffsberechtigung nach Nummer 1 Personen,
   1. die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind
      aa) bei Personen nach Nummer 1 oder
      bb) in einem Krankenhaus und
   2. deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und deren Zugriff unter Aufsicht einer Person nach Nummer 1 erfolgt,
3. Personen nach § 352 Nummer 9 bis 12, die in einer Pflegeeinrichtung, einem Hospiz oder einer Palliativeinrichtung tätig sind mit einem Zugriff, der das Auslesen, die Speicherung und die Verwendung von Daten ermöglicht, soweit dies für die Versorgung des Versicherten erforderlich ist.

Die Zugriffsrechte nach Satz 1 gelten auch, wenn die jeweiligen Zugriffsberechtigten nach dem Siebten Buch tätig werden.

(2) Der Zugriff auf Daten zu Hinweisen des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 3 ist nur mit Einwilligung des Versicherten, die hierzu keiner eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe des Versicherten bedarf, zulässig.

(3) Der Zugriff auf Daten zu Hinweisen des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 3 ist abweichend von Absatz 2 ohne Einwilligung des Versicherten nur zulässig, wenn eine ärztlich indizierte Maßnahme unmittelbar bevorsteht und der Versicherte nicht fähig ist, in die Maßnahme einzuwilligen.

(4) Nach Ablauf der im Wege der Rechtsverordnung nach § 342 Absatz 2b hierzu festzulegenden Frist werden die Hinweise des Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 3 als Informationsobjekt gemäß § 342 Absatz 2a in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 7 Buchstabe b gespeichert.

Ärzte, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassenen Krankenhäusern, Vorsorgeeinrichtungen oder Rehabilitationseinrichtungen tätig sind, haben ab diesem Zeitpunkt mit Einwilligung des Versicherten die Daten, die in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 3 auf der elektronischen Gesundheitskarte gespeichert sind, nach Satz 1 in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 7 Buchstabe b zu speichern und auf der elektronischen Gesundheitskarte zu löschen. Erteilt der Versicherte seine Einwilligung nach Satz 2 nicht, sind Daten nach § 334 Absatz 1 Satz 2 Nummer 3 auf der elektronischen Gesundheitskarte durch zugriffsberechtigte Leistungserbringer nach Satz 2 zu löschen.

(5) Das Bundesministerium für Gesundheit kann die in Absatz 4 genannte Frist durch Rechtsverordnung ohne Zustimmung des Bundesrates verlängern

Fünfter Titel ^{20k 24}
Elektronischer Medikationsplan, elektronische Notfalldaten und elektronische Rechnung

§ 358 Elektronische Notfalldaten, elektronische Patientenkurzakte und elektronischer Medikationsplan ^{20k 21h 22k 24}

(1) Die elektronische Gesundheitskarte muss geeignet sein, das Verarbeiten von medizinischen Daten, soweit sie für die Notfallversorgung erforderlich sind (elektronische Notfalldaten), zu unterstützen. Die elektronischen Notfalldaten können Daten zu Befunden, Daten zur Medikation oder Zusatzinformationen über den Versicherten enthalten und sind für die Versicherten freiwillig.

(1a) Die elektronische Patientenkurzakte enthält Informationen, die eine Übersicht über die wichtigen Gesundheitsdaten des Versicherten ermöglichen und geeignet sind, die grenzüberschreitende medizinische Versorgung des Versicherten in einem anderen Mitgliedstaat der Europäischen Union zu unterstützen. Die elektronische Patientenkurzakte wird als Informationsobjekt gemäß § 342 Absatz 2a in semantisch und syntaktisch interoperabler Form, die mit den internationalen Standards für eine Patientenkurzakte interoperabel sind, in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe c gespeichert. Das Informationsobjekt der elektronischen Patientenkurzakte muss technisch geeignet sein, die Erstellung der Notfalldaten in den informationstechnischen Systemen, die in der vertragsärztlichen Versorgung, in der vertragszahnärztlichen Versorgung sowie in zugelassenen Krankenhäusern zur Verarbeitung von personenbezogenen Patientendaten eingesetzt werden, zu unterstützen. Die elektronische Patientenkurzakte ist für die Versicherten freiwillig.

(2) Die elektronische Gesundheitskarte muss, sofern sie vor dem 1. Januar 2025 ausgegeben wird, geeignet sein, die Verarbeitung von Daten des Medikationsplans nach § 31a einschließlich der Daten zur Prüfung der Arzneimitteltherapiesicherheit zu unterstützen (elektronischer Medikationsplan). Der elektronische Medikationsplan ist für den Versicherten freiwillig. Ab der Zurverfügungstellung der elektronischen Patientenakte gemäß § 342 Absatz 1 Satz 2 wird der elektronische Medikationsplan als Informationsobjekt gemäß § 342 Absatz 2a in semantisch und syntaktisch interoperabler Form in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe b gespeichert.

(3) Versicherte haben gegenüber Ärzten, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassenen Krankenhäusern oder in einer Vorsorgeeinrichtung oder Vorsorgeeinrichtungen und Rehabilitationseinrichtungen tätig und in deren Behandlung eingebunden sind, einen Anspruch

1. auf die Erstellung von elektronischen Notfalldaten und die Speicherung dieser Daten auf ihrer elektronischen Gesundheitskarte und auf die Erstellung der elektronischen Patientenkurzakte und die Speicherung in der elektronischen Patientenakte sowie
2. auf die Aktualisierung von elektronischen Notfalldaten und die Speicherung dieser Daten auf ihrer elektronischen Gesundheitskarte und auf die Aktualisierung der elektronischen Patientenkurzakte in der elektronischen Patientenakte.

(4) Die Verarbeitung von elektronischen Notfalldaten muss auch auf der elektronischen Gesundheitskarte ohne Netzzugang möglich sein.

(5) Die Krankenkassen, die ihren Versicherten elektronische Gesundheitskarten mit der Möglichkeit zur Speicherung des elektronischen Medikationsplans und der elektronischen Notfalldaten ausgeben, sind die für die Verarbeitung von Daten in diesen Anwendungen Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679.

(6) (aufgehoben)

(7) Die in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe c gespeicherte elektronische Patientenkurzakte nach § 334 Absatz 1 Satz 2 Nummer 7 muss ab der im Wege der Rechtsverordnung nach § 342 Absatz 2b hierzu festzulegenden Frist den grenzüberschreitenden Austausch von Gesundheitsdaten entsprechend den in § 359 Absatz 4 festgelegten Anforderungen gewährleisten. Die Gesellschaft für Telematik hat hierfür bis zum 1. Januar 2022 die erforderlichen Voraussetzungen zu schaffen.

(Gültig bis 14.01.2025)
(8) Der elektronische Medikationsplan wird ab dem 1. Oktober 2024 technisch in eine eigenständige Anwendung innerhalb der Telematikinfrastruktur überführt, die nicht mehr auf der elektronischen Gesundheitskarte gespeichert wird. Ärzte, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassenen Krankenhäusern, Vorsorgeeinrichtungen oder Rehabilitationseinrichtungen tätig sind, haben ab diesem Zeitpunkt auf Verlangen des Versicherten und mit dessen Einwilligung die Daten, die im elektronischen Medikationsplan auf der elektronischen Gesundheitskarte gespeichert sind, in der Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4 zu speichern und den auf der elektronischen Gesundheitskarte gespeicherten Medikationsplan zu löschen. Erteilt der Versicherte seine Einwilligung nach den Sätzen 1 und 2 nicht, bleibt der elektronische Medikationsplan mindestens bis zum 1. Januar 2025 und anschließend so lange auf der elektronischen Gesundheitskarte gespeichert, bis diese ihre Gültigkeit verliert. Die Gesellschaft für Telematik hat bis zum 31. Oktober 2021 die nach den Sätzen 1 bis 3 erforderlichen Voraussetzungen zu schaffen.

(Gültig ab 15.01.2025)
(8) Der elektronische Medikationsplan wird ab der Zurverfügungstellung der elektronischen Patientenakte gemäß § 342 Absatz 1 Satz 2 nicht mehr auf der elektronischen Gesundheitskarte, sondern in der elektronischen Patientenakte gespeichert und aktualisiert. Ärzte, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassenen Krankenhäusern, Vorsorgeeinrichtungen oder Rehabilitationseinrichtungen tätig sind, haben ab diesem Zeitpunkt die Daten, die im elektronischen Medikationsplan auf der elektronischen Gesundheitskarte gespeichert sind, als Informationsobjekt gemäß § 342 Absatz 2a in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe b zu speichern und den auf der elektronischen Gesundheitskarte gespeicherten Medikationsplan zu löschen, soweit der Versicherte der Speicherung des elektronischen Medikationsplans in der elektronischen Patientenakte nicht widersprochen hat. Daten des elektronischen Medikationsplans sind auf der elektronischen Gesundheitskarte auch bei einem Widerspruch des Versicherten gegen die Speicherung des elektronischen Medikationsplans in der elektronischen Patientenakte durch zugriffsberechtigte Leistungserbringer nach Satz 2 zu löschen.

(9) Mit der Einführung der elektronischen Notfalldaten, der elektronischen Patientenkurzakte und des elektronischen Medikationsplans haben die Krankenkassen den Versicherten geeignetes Informationsmaterial in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache barrierefrei zur Verfügung zu stellen. Dieses muss über alle relevanten Umstände der Datenverarbeitung bei der Erstellung der elektronischen Notfalldaten, der elektronischen Patientenkurzakte und des elektronischen Medikationsplans sowie bei der Speicherung von Daten in den elektronischen Notfalldaten und dem elektronischen Medikationsplan durch Leistungserbringer informieren. Das Material enthält insbesondere Hinweise über

1. die Funktionsweise der elektronischen Notfalldaten, der elektronischen Patientenkurzakte und des elektronischen Medikationsplans einschließlich der darin zu verarbeitenden Daten,
2. die Freiwilligkeit der Nutzung der elektronischen Notfalldaten, der elektronischen Patientenkurzakte und des elektronischen Medikationsplans und der Speicherung von Daten in diesen Anwendungen,
3. das Recht auf jederzeitige vollständige Löschung der Anwendungen und der darin gespeicherten Daten,
4. die Voraussetzungen für den Zugriff der Leistungserbringer auf die elektronischen Notfalldaten, die elektronische Patientenkurzakte und den elektronischen Medikationsplan und die Verarbeitung dieser Daten durch die Leistungserbringer und
5. die Voraussetzungen und das Verfahren bei der Übermittlung und Nutzung von Daten aus der elektronischen Patientenkurzakte zum grenzüberschreitenden Austausch von Gesundheitsdaten über die nationale eHealth-Kontaktstelle.

(10) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 9 hat der Spitzenverband Bund der Krankenkassen im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit rechtzeitig geeignetes Informationsmaterial zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.

(11) Das Bundesministerium für Gesundheit kann die in den Absätzen 2, 7 und 8 sowie in § 334 Absatz 2 genannten Fristen durch Rechtsverordnung ohne Zustimmung des Bundesrates verlängern.

§ 359 Zugriff auf den elektronischen Medikationsplan und die elektronischen Notfalldaten, Nutzung der elektronischen Patientenkurzakte in der grenzüberschreitenden Versorgung ^{20k 21h 24}

(1) Auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4, soweit sie auf der elektronischen Gesundheitskarte gespeichert sind, und auf Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 5 dürfen ausschließlich folgende Personen zugreifen:

1. Ärzte sowie Zahnärzte, die in die Behandlung des Versicherten eingebunden sind, jeweils mit einem Zugriff, der die Verarbeitung von Daten nach § 334 Absatz 1 Satz 2 Nummer 4 und 5 ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
2. Apotheker mit einem Zugriff, der die Verarbeitung von Daten nach § 334 Absatz 1 Satz 2 Nummer 4 sowie das Auslesen, die Speicherung und die Verwendung von Daten nach § 334 Absatz 1 Satz 2 Nummer 5 ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
3. Psychotherapeuten, die in die Behandlung der Versicherten eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten nach § 334 Absatz 1 Satz 2 Nummer 5 sowie das Auslesen, die Speicherung und die Verwendung von Daten nach § 334 Absatz 1 Satz 2 Nummer 4 ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
4. im Rahmender jeweiligen Zugriffsberechtigung nach den Nummern 1 und 3 auch Personen,
   1. die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind
      aa) bei Personen nach Nummer 1 oder 3,
      bb) in einem Krankenhaus,
      cc) in einer Hochschulambulanz oder in einer Ambulanz nach § 117 Absatz 2 bis 3b oder
      dd) in einer Vorsorgeeinrichtung oder Rehabilitationseinrichtung nach § 107 Absatz 2 oder in einer Rehabilitationseinrichtung nach § 15 Absatz 2 des Sechsten Buches oder bei einem Leistungserbringer der Heilbehandlung einschließlich medizinischer Rehabilitation nach § 26 Absatz 1 Satz 1 des Siebten Buches oder in der Haus- oder Heimpflege nach § 44 des Siebten Buches und
   2. deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und deren Zugriff unter Aufsicht einer Person nach Nummer 1 oder 3 erfolgt;
5. im Rahmender jeweiligen Zugriffsberechtigung nach Nummer 2 auch zum pharmazeutischen Personal der Apotheke gehörende Personen, deren Zugriff
   1. im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und
   2. unter Aufsicht eines Apothekers erfolgt, soweit nach apothekenrechtlichen Vorschriften eine Beaufsichtigung der mit dem Zugriff verbundenen pharmazeutischen Tätigkeit vorgeschrieben ist;
6. Angehörige eines Heilberufes, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, und die in die medizinische oder pflegerische Versorgung des Versicherten eingebunden sind mit einem Zugriff der das Auslesen, die Speicherung und die Verwendung von Daten nach § 334 Absatz 1 Satz 2 Nummer 4 und 5 ermöglicht, soweit dies für die Versorgung der Versicherten erforderlich ist;
7. im Rahmender jeweiligen Zugriffsberechtigung nach Nummer 6 auch, soweit deren Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und unter Aufsicht eines Zugriffsberechtigten nach Nummer 6 erfolgt,
   1. Personen, die erfolgreich eine landesrechtlich geregelte Assistenz- oder Helferausbildung in der Pflege von mindestens einjähriger Dauer abgeschlossen haben,
   2. Personen, die erfolgreich eine landesrechtlich geregelte Ausbildung in der Krankenpflegehilfe oder in der Altenpflegehilfe von mindestens einjähriger Dauer abgeschlossen haben,
   3. Personen, denen auf der Grundlage des Krankenpflegegesetzes vom 4. Juni 1985 (BGBl. I S. 893) in der bis zum 31. Dezember 2003 geltenden Fassung eine Erlaubnis als Krankenpflegehelferin oder Krankenpflegehelfer erteilt worden ist.

Die Zugriffsrechte nach Satz 1 gelten auch, wenn die jeweiligen Zugriffsberechtigten nach dem Siebten Buch tätig werden.

(2) Der Zugriff auf den elektronischen Medikationsplan nach § 334 Absatz 1 Satz 2 Nummer 4 ist, soweit dieser auf der elektronischen Gesundheitskarte gespeichert ist, mit Einwilligung des Versicherten zulässig. Abweichend von Satz 1 bedarf es hierzu keiner eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe des Versicherten, wenn der Versicherte auf das Erfordernis einer technischen Zugriffsfreigabe verzichtet hat und die Zugriffsberechtigten nachprüfbar in ihrer Behandlungsdokumentation protokollieren, dass der Zugriff mit Einwilligung des Versicherten erfolgt ist. (Gültig ab 15.01.2025 Sobald der elektronische Medikationsplan nicht mehr auf der elektronischen Gesundheitskarte sondern nach § 358 Absatz 8 als Informationsobjekt nach § 342 Absatz 2a in der elektronischen Patientenakte nach § 341 Absatz 2 Nummer 1 Buchstabe b gespeichert wird, dürfen Zugriffsberechtigte nach § 352 ausschließlich nach Maßgabe des § 339 Absatz 1 und 1a auf Daten des elektronischen Medikationsplans zugreifen.)

(3) Der Zugriff auf die elektronischen Notfalldaten (und auf die Daten der elektronischen Patientenkurzakte nach § 334 Absatz 1 Satz 2 Nummer 5 und 7 gültig ab 15.01.2025 nach § 334 Absatz 1 Satz 2 Nummer 5) ist abweichend von § 339 Absatz 1 (gültig ab 15.01.2025 und 1a) zulässig

1. ohne eine Einwilligung der Versicherten, soweit es zur Versorgung der Versicherten in einem Notfall erforderlich ist, und
2. mit Einwilligung der Versicherten, die die Zugriffsberechtigten nachprüfbar in ihrer Behandlungsdokumentation zu protokollieren haben, soweit es zur Versorgung des Versicherten außerhalb eines Notfalls erforderlich ist.

Im Fall des Satzes 1 Nummer 2 bedarf es keiner eindeutigen bestätigenden Handlung durch technische Zugriffsfreigabe des Versicherten.

(4) Der Zugriff auf die nach § 341 Absatz 2 Nummer 1 Buchstabe c in der elektronischen Patientenakte gespeicherten Daten der elektronischen Patientenkurzakte zum grenzüberschreitenden Austausch von Gesundheitsdaten zum Zweck der Unterstützung einer konkreten Behandlung des Versicherten durch einen in einem anderen Mitgliedstaat der Europäischen Union nach dem Recht des jeweiligen Mitgliedstaats zum Zugriff auf die Daten berechtigten Leistungserbringer über die jeweiligen nationalen eHealth-Kontaktstellen bedarf der Einwilligung durch den Versicherten in die Nutzung des Zugriffsverfahrens nach § 351 Absatz 2 Nummer 2. Zusätzlich ist erforderlich, dass der Versicherte zum Zeitpunkt der Behandlung den Zugriff der nationalen eHealth-Kontaktstelle des Mitgliedstaats, in dem die Behandlung stattfindet, durch eine eindeutige bestätigende Handlung technisch freigibt. Abweichend von den Absätzen 1 und 3 sowie von § 339 finden für die Verarbeitung der Daten durch einen Leistungserbringer in einem anderen Mitgliedstaat der Europäischen Union die Bestimmungen des Mitgliedstaats Anwendung, in dem der Leistungserbringer seinen Sitz hat. Hierbei finden die gemeinsamen europäischen Vereinbarungen zum grenzüberschreitenden Austausch von Gesundheitsdaten Berücksichtigung.

§ 359a Elektronische Rechnung ²⁴

(1) Sobald die für die Anwendung nach § 334 Absatz 1 Satz 2 Nummer 8 erforderlichen Dienste und Komponenten in der Telematikinfrastruktur zur Verfügung stehen, können die Leistungserbringer und Stellen nach Absatz 2 medizinische oder sonstige Leistungen, die nicht dem Sachleistungsprinzip unterliegen, in elektronischer Form (elektronische Rechnung) abrechnen und diese Rechnungsdaten mit Einwilligung des Versicherten unter Nutzung der Dienste und Komponenten der Anwendung nach § 334 Absatz 1 Satz 2 Nummer 8 für Abrechnungszwecke verarbeiten. § 360 Absatz 13 bleibt unberührt.

(2) Auf Daten der Versicherten in der elektronischen Rechnung nach Absatz 1 Satz 1 dürfen mit Einwilligung des Versicherten zu Abrechnungszwecken ausschließlich die folgenden Personen zugreifen:

1. Ärzte sowie Personen, die als deren berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind,
2. Zahnärzte sowie Personen, die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind,
3. Apotheker sowie Personen, die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind,
4. Verrechnungsstellen, soweit sie im Auftrag der Leistungserbringer gemäß den Nummern 1 bis 3 bei der Abrechnung oder soweit sie aufgrund von diesen Leistungserbringern abgeleiteter Forderungsinhaberschaft tätig werden sowie
5. zuständige Kostenträger.

(3) Die Versicherten können die Daten elektronischer Rechnungen zum Zweck der Korrektur fehlerhafter Daten mit den zugriffsberechtigten Personen nach Absatz 2 teilen.

(4) Die Erteilung der Einwilligung in den Zugriff auf die Daten des Versicherten in der elektronischen Rechnung nach Absatz 1 Satz 2 erfolgt über die Benutzeroberfläche eines geeigneten Endgerätes und bedarf einer eindeutigen bestätigenden Handlung.

(5) Mit Einwilligung des Versicherten dürfen die Daten elektronischer Rechnungen nach Absatz 1 Satz 1 für die Dauer von maximal zehn Jahren in den Diensten der Anwendung gespeichert werden.

(6) Die Gesellschaft für Telematik ist verpflichtet, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bis spätestens zum 1. Januar 2025 die Maßnahmen durchzuführen, die erforderlich sind, damit die elektronische Rechnung unter Nutzung der Telematikinfrastruktur zur Verfügung steht.

Sechster Titel ^20k
Übermittlung ärztlicher Verordnungen

§ 360 Elektronische Übermittlung und Verarbeitung vertragsärztlicher elektronischer Verordnungen ^{20k 21h 22k 24}

(1) Sobald die hierfür erforderlichen Dienste und Komponenten flächendeckend zur Verfügung stehen, ist für die elektronische Übermittlung und Verarbeitung vertragsärztlicher elektronischer Verordnungen von apothekenpflichtigen Arzneimitteln, einschließlich Betäubungsmitteln, sowie von sonstigen in der vertragsärztlichen Versorgung verordnungsfähigen Leistungen die Telematikinfrastruktur zu nutzen.

(2) Ab dem 1. Januar 2022 sind Ärzte und Zahnärzte, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen tätig sind, die an der vertragsärztlichen Versorgung teilnehmen oder in zugelassenen Krankenhäusern, Vorsorgeeinrichtungen oder Rehabilitationseinrichtungen tätig sind, verpflichtet, Verordnungen von verschreibungspflichtigen Arzneimitteln in elektronisch auszustellen und für die Übermittlung der Verordnungen von verschreibungspflichtigen Arzneimitteln Dienste und Komponenten nach Absatz 1 zu nutzen. Für die elektronische Übermittlung von vertragsärztlichen Verordnungen von Betäubungsmitteln und von Arzneimitteln nach § 3a Absatz 1 Satz 1 der Arzneimittelverschreibungsverordnung gilt die Verpflichtung nach Satz 1 ab dem 1. Juli 2025. Die Verpflichtungen nach den Sätzen 1 und 2 gelten nicht, wenn die elektronische Ausstellung oder Übermittlung von Verordnungen von verschreibungspflichtigen Arzneimitteln oder von Arzneimitteln nach § 3a Absatz 1 der Arzneimittelverschreibungsverordnung aus technischen Gründen im Einzelfall nicht möglich ist. Die Verpflichtung nach Satz 2 in Verbindung mit Satz 1 zur elektronischen Ausstellung und Übermittlung vertragsärztlicher Verordnungen von Betäubungsmitteln gilt nicht, wenn die elektronische Ausstellung oder Übermittlung dieser Verordnungen aus technischen Gründen im Einzelfall nicht möglich ist oder wenn es sich um einen Notfall im Sinne des § 8 Absatz 6 der Betäubungsmittelverschreibungsverordnung handelt. Die Verpflichtung nach Satz 1 gilt nicht für Verordnungen von verschreibungspflichtigen Arzneimitteln, die aufgrund gesetzlicher Regelungen einer bestimmten Apotheke oder einer gemäß § 47 Absatz 1 Nummer 5 des Arzneimittelgesetzes benannten Stelle zugewiesen werden dürfen. Die Kassenärztliche Bundesvereinigung und die Kassenzahnärztliche Bundesvereinigung informieren die Ärzte und Zahnärzte, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen tätig sind, die an der vertragsärztlichen Versorgung teilnehmen, oder die in zugelassenen Krankenhäusern, Vorsorgeeinrichtungen oder Rehabilitationseinrichtungen tätig sind, über die für die elektronischen Verordnungen nach Absatz 1 erforderlichen Dienste und Komponenten. Sie berichten ab dem 1. April 2024 für jedes Kalenderquartal spätestens innerhalb von zwei Wochen nach Ende des jeweiligen Kalenderquartals über den Anteil der Zahl der elektronischen Verordnungen an der Zahl aller vertragsärztlichen beziehungsweise vertragszahnärztlichen Verordnungen von verschreibungspflichtigen Arzneimitteln. Die Krankenkassen übermitteln die für den in Satz 7 genannten Bericht erforderlichen nicht personenbezogenen Daten an den Spitzenverband Bund der Krankenkassen; dieser übermittelt sie an die Gesellschaft für Telematik.

(3) Apotheken sind verpflichtet, verschreibungspflichtige Arzneimittel auf der Grundlage ärztlicher Verordnungen nach Absatz 2 unter Nutzung der Dienste und Komponenten nach Absatz 1 abzugeben. Für die Abgabe von Betäubungsmitteln und von Arzneimitteln nach § 3a Absatz 1 Satz 1 der Arzneimittelverschreibungsverordnung gilt die Verpflichtung nach Satz 1 ab dem 1. Juli 2025. Die Verpflichtungen nach den Sätzen 1 und 2 gelten nicht, wenn der elektronische Abruf der ärztlichen Verordnung nach Absatz 2 aus technischen Gründen im Einzelfall nicht möglich ist.

(4) Ab dem 1. Januar 2025 sind die in Absatz 2 Satz 1 genannten Leistungserbringer sowie Psychotherapeuten, die an der vertragsärztlichen Versorgung teilnehmen oder in Einrichtungen tätig sind, die an der vertragsärztlichen Versorgung teilnehmen oder die in zugelassenen Krankenhäusern, Vorsorgeeinrichtungen oder Rehabilitationseinrichtungen tätig sind, verpflichtet, Verordnungen digitaler Gesundheitsanwendungen nach § 33a elektronisch auszustellen und für deren Übermittlung Dienste und Komponenten nach Absatz 1 zu nutzen. Die Verpflichtung nach Satz 1 gilt nicht, wenn die elektronische Ausstellung oder Übermittlung von Verordnungen nach Satz 1 aus technischen Gründen im Einzelfall nicht möglich ist.

(5) Ab dem 1. Juli 2026 sind die in Absatz 2 Satz 1 genannten Leistungserbringer sowie die in Absatz 4 Satz 1 genannten Psychotherapeuten verpflichtet, Verordnungen von häuslicher Krankenpflege nach § 37 sowie Verordnungen von außerklinischer Intensivpflege nach § 37c elektronisch auszustellen und für deren Übermittlung Dienste und Komponenten nach Absatz 1 zu nutzen. Die Verpflichtung nach Satz 1 gilt nicht, wenn die elektronische Ausstellung oder Übermittlung von Verordnungen nach Satz 1 aus technischen Gründen im Einzelfall nicht möglich ist. Die Erbringer von Leistungen der häuslichen Krankenpflege nach § 37 sowie der außerklinischen Intensivpflege nach § 37c sind ab dem 1. Juli 2026 verpflichtet, die Leistungen unter Nutzung der Dienste und Komponenten nach Absatz 1 auch auf der Grundlage einer elektronischen Verordnung nach Satz 1 zu erbringen. Die Verpflichtung nach Satz 3 gilt nicht, wenn der elektronische Abruf der Verordnung aus technischen Gründen im Einzelfall nicht möglich ist.

(6) Ab dem 1. Juli 2027 sind die in Absatz 2 Satz 1 genannten Leistungserbringer sowie die in Absatz 4 Satz 1 genannten Psychotherapeuten verpflichtet, Verordnungen von Soziotherapie nach § 37a elektronisch auszustellen und für deren Übermittlung Dienste und Komponenten nach Absatz 1 zu nutzen. Die Verpflichtung nach Satz 1 gilt nicht, wenn die elektronische Ausstellung oder Übermittlung von Verordnungen nach Satz 1 aus technischen Gründen im Einzelfall nicht möglich ist. Die Erbringer soziotherapeutischer Leistungen nach § 37a sind ab dem 1. Juli 2025 verpflichtet, die Leistungen unter Nutzung der Dienste und Komponenten nach Absatz 1 auch auf der Grundlage einer elektronischen Verordnung nach Satz 1 zu erbringen. Die Verpflichtung nach Satz 3 gilt nicht, wenn der elektronische Abruf der Verordnung aus technischen Gründen im Einzelfall nicht möglich ist.

(7) Ab dem 1. Januar 2027 sind die in Absatz 2 Satz 1 genannten Leistungserbringer sowie die in Absatz 4 Satz 1 genannten Psychotherapeuten verpflichtet, Verordnungen von Heilmitteln elektronisch auszustellen und für deren Übermittlung Dienste und Komponenten nach Absatz 1 zu nutzen. Ab dem 1. Juli 2027 sind die in Absatz 2 Satz 1 genannten Leistungserbringer sowie die in Absatz 4 Satz 1 genannten Psychotherapeuten verpflichtet, Verordnungen von Hilfsmitteln, Verordnungen von Verbandmitteln nach § 31 Absatz 1 Satz 1, Verordnungen von Harn- und Blutteststreifen nach § 31 Absatz 1 Satz 1, Verordnungen von Medizinprodukten nach § 31 Absatz 1 sowie Verordnungen von bilanzierten Diäten zur enteralen Ernährung nach § 31 Absatz 5 elektronisch auszustellen und für deren Übermittlung Dienste und Komponenten nach Absatz 1 zu nutzen. Die Verpflichtung nach den Sätzen 1 und 2 gilt nicht, wenn die elektronische Ausstellung oder Übermittlung von Verordnungen nach den Sätzen 1 oder 2 aus technischen Gründen im Einzelfall nicht möglich ist. Heilmittelerbringer sowie Erbringer der weiteren in Satz 1 genannten Leistungen sind ab dem 1. Januar 2027 verpflichtet, die Leistungen unter Nutzung der Dienste und Komponenten nach Absatz 1 auch auf der Grundlage einer elektronischen Verordnung nach Satz 1 zu erbringen. Hilfsmittelerbringer sowie Erbringer der weiteren in Satz 2 genannten Leistungen sind ab dem 1. Juli 2027 verpflichtet, die Leistungen unter Nutzung der Dienste und Komponenten nach Absatz 1 auch auf der Grundlage einer elektronischen Verordnung nach Satz 2 zu erbringen. Die Verpflichtung nach den Sätzen 4 und 5 gilt nicht, wenn der elektronische Abruf der Verordnung aus technischen Gründen im Einzelfall nicht möglich ist.

(8) Um Verordnungen nach den Absätzen 5, 6 oder Absatz 7 elektronisch abrufen zu können, haben sich Erbringer von Leistungen der häuslichen Krankenpflege nach § 37 sowie der außerklinischen Intensivpflege nach § 37c bis zum 1. Juli 2025, Erbringer von Leistungen der Soziotherapie nach § 37a bis zum 1. April 2027, Heil- und Hilfsmittelerbringer sowie Erbringer der weiteren in Absatz 7 Satz 1 genannten Leistungen bis zum 1. Januar 2026 an die Telematikinfrastruktur nach § 306 anzuschließen.

(9) Versicherte können gegenüber den in Absatz 2 Satz 1 genannten Leistungserbringern sowie den in Absatz 4 Satz 1 genannten Psychotherapeuten wählen, ob ihnen die für den Zugriff auf ihre ärztliche oder psychotherapeutische Verordnung nach den Absätzen 2 und 4 bis 7 erforderlichen Zugangsdaten barrierefrei entweder durch einen Ausdruck in Papierform oder elektronisch bereitgestellt werden sollen. Versicherte können den für die Kommunikation zwischen Versicherten und Leistungserbringern oder Versicherten und Krankenkassen als sicheres Übermittlungsverfahren nach § 311 Absatz 6 genutzten Sofortnachrichtendienst nutzen, um die für den Zugriff auf ihre ärztliche oder psychotherapeutische Verordnung erforderlichen Zugangsdaten in elektronischer Form zum Zweck der Einlösung der Verordnung durch einen Vertreter einem anderen Versicherten zur Verfügung zu stellen.

(10) Die Gesellschaft für Telematik ist verpflichtet, die Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die elektronische ärztliche Verordnung nach § 334 Absatz 1 Satz 2 Nummer 6 ermöglichen, als Dienstleistung von allgemeinem wirtschaftlichem Interesse zu entwickeln und zur Verfügung zu stellen. Die Funktionsfähigkeit und Interoperabilität der Komponenten sind durch die Gesellschaft für Telematik sicherzustellen. Die Sicherheit der Komponenten des Systems zur Übermittlung ärztlicher Verordnungen einschließlich der Zugriffsmöglichkeiten für Versicherte ist durch ein externes Sicherheitsgutachten nachzuweisen. Dabei ist abgestuft im Verhältnis zum Gefährdungspotential nachzuweisen, dass die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Komponente sichergestellt wird. Die Festlegung der Prüfverfahren und die Auswahl des Sicherheitsgutachters für das externe Sicherheitsgutachten erfolgt durch die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik. Das externe Sicherheitsgutachten muss dem Bundesamt für Sicherheit in der Informationstechnik zur Prüfung vorgelegt und durch dieses bestätigt werden. Erst mit der Bestätigung des externen Sicherheitsgutachtens durch das Bundesamt für Sicherheit in der Informationstechnik dürfen die Komponenten durch die Gesellschaft für Telematik zur Verfügung gestellt werden. Komponenten nach diesem Absatz, für die ein externes Sicherheitsgutachten vorliegt, das gemäß Satz 6 durch das Bundesamt für Sicherheit in der Informationstechnik bestätigt wurde, dürfen den Versicherten abweichend von Satz 7 auch durch die Krankenkassen und durch die Unternehmen der privaten Krankenversicherung über die Benutzeroberfläche gemäß § 342 zur Verfügung gestellt werden. § 11 Absatz 1 und 1a des Apothekengesetzes sowie § 31 Absatz 1 Satz 5 bis 7 bleiben unberührt.

(11) Verordnungsdaten und Dispensierinformationen sind mit Ablauf von 100 Tagen nach Dispensierung der Verordnung zu löschen.

(12) Die Gesellschaft für Telematik ist verpflichtet,

1. die Voraussetzungen dafür zu schaffen, dass Versicherte über die Komponenten nach Absatz 10 Satz 1 auf Informationen des Nationalen Gesundheitsportals nach § 395 zugreifen können und dass den Versicherten die Informationen des Portals mit Daten, die in ihrer elektronischen Verordnung gespeichert sind, verknüpft angeboten werden können, und
2. bis zum 1. Januar 2025 die Voraussetzungen dafür zu schaffen, dass Versicherte über die Komponenten nach Absatz 10 Satz 1 zum Zweck des grenzüberschreitenden Austauschs von Daten der elektronischen Verordnung, nach vorheriger Einwilligung in die Nutzung des Übermittlungsverfahrens und technischer Freigabe zum Zeitpunkt der Einlösung der Verordnung bei dem nach dem Recht des jeweiligen anderen Mitgliedstaats der Europäischen Union zum Zugriff berechtigten Leistungserbringer, Daten elektronischer Verordnungen nach Absatz 2 Satz 1 der nationalen eHealth-Kontaktstelle übermitteln können.

(13) Mit Einwilligung des Versicherten können die Rechnungsdaten zu einer elektronischen Verordnung, die nicht dem Sachleistungsprinzip unterliegt, für die Dauer von maximal zehn Jahren in den Diensten der Anwendung nach § 334 Absatz 1 Satz 2 Nummer 6 gespeichert werden. Auf die Rechnungsdaten nach Satz 1 haben nur die Versicherten selbst Zugriff. Die Versicherten können diese Rechnungsdaten zum Zweck der Korrektur fehlerhafter Daten mit zugriffsberechtigten Leistungserbringern und anderen zugriffsberechtigten Personen nach § 361 Absatz 1 und zum Zweck der Kostenerstattung mit Kostenträgern teilen.

(Gültig bis 14.01.2025)
(14) Mit Einwilligung des Versicherten können Daten zu Verordnungen nach den Absätzen 2 und 4 bis 7 und, soweit technisch möglich, Dispensierinformationen nach § 312 Absatz 1 Satz 1 Nummer 3 automatisiert in der elektronischen Patientenakte gespeichert werden.

(Gültig ab 15.01.2025)
(14) Soweit der Versicherte dem nicht widersprochen hat, werden Daten zu Verordnungen nach den Absätzen 2 und 4 bis 7 und Daten auf der Grundlage von Verordnungen nach Absatz 2 abgegebenen Arzneimitteln, sowie, soweit technisch möglich, deren Chargennummer, und, soweit auf der Verordnung angegeben, deren Dosierung (Dispensierinformationen) automatisiert an die elektronische Patientenakte übermittelt und nach § 341 Absatz 2 Nummer 11 gespeichert. Der Widerspruch nach Satz 1 kann über die Benutzeroberfläche, die dem Versicherten gemäß Absatz 10 für den Zugriff auf elektronische Verordnungen zur Verfügung zu stellen ist, über die Benutzeroberfläche gemäß § 342 sowie bei der Ombudsstelle gemäß § 342a erklärt oder widerrufen werden.

(15) Das Bundesministerium für Gesundheit kann die in den Absätzen 2 bis 8 genannten Fristen durch Rechtsverordnung ohne Zustimmung des Bundesrates verlängern.

(16) Die Bereitstellung und der Betrieb von informationstechnischen Systemen, die den Anwendungsfall der Übermittlung von elektronischen Verordnungen oder elektronischen Zugangsdaten zu elektronischen Verordnungen nach diesem Buch außerhalb der Telematikinfrastruktur enthalten, ist untersagt. Satz 1 umfasst nicht

1. die Übermittlung von eingelösten elektronischen Verordnungen für Zwecke der Abrechnung oder gesetzlich vorgesehene Prozesse der Genehmigung von elektronischen Verordnungen durch Krankenkassen,
2. die Übermittlung von elektronischen Verordnungen oder elektronischen Zugangsdaten zu elektronischen Verordnungen für die Versorgung durch Krankenhausapotheken sowie krankenhausversorgende Apotheken im Rahmen von § 14 Absatz 7 des Apothekengesetzes,
3. informationstechnische Systeme, die eine Apotheke betreibt, um elektronische Zugangsdaten zu elektronischen Verordnungen direkt von Versicherten entgegenzunehmen, die bei höchstens dieser Hauptapotheke und den zur Hauptapotheke gehörigen Filialapotheken eingelöst werden können, sowie
4. die Bereitstellung informationstechnischer Systeme durch Anbieter mit denen Versicherte elektronische Zugangsdaten zu elektronischen Verordnungen direkt an Apotheken übermitteln können, wenn dabei der Stand der Technik gemäß den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik und dem Schutzbedarf der Daten eingehalten wird; dabei dürfen keine Apotheken oder Gruppen von Apotheken bevorzugt werden und der Verzeichnisdienst der Gesellschaft für Telematik sowie normierte Schnittstellen der Gesellschaft für Telematik sind für die diskriminierungsfreie Anbindung zu nutzen; dies erfordert eine technische Komponente zur Authentifizierung beim Anbieter des informationstechnischen Systems und einen Antrag bei der Gesellschaft für Telematik.

§ 11 Absatz 1 und 1a des Apothekengesetzes sowie § 31 Absatz 1 Satz 5 bis 7 sind zu beachten. Absatz 2 Satz 5 bleibt unberührt.

(17) Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben gegenüber der jeweils zuständigen Kassenärztlichen Vereinigung oder zuständigen Kassenzahnärztlichen Vereinigung nachzuweisen, dass sie in der Lage sind, Verordnungen von verschreibungspflichtigen Arzneimitteln gemäß Absatz 2 Satz 1 und 2 elektronisch auszustellen und zu übermitteln. Wird der Nachweis nicht bis zum 1. Mai 2024 erbracht, ist die Vergütung vertragsärztlicher Leistungen pauschal um 1 Prozent zu kürzen; die Vergütung ist so lange zu kürzen, bis der Nachweis gegenüber der jeweils zuständigen Kassenärztlichen Vereinigung oder zuständigen Kassenzahnärztlichen Vereinigung erbracht ist. Die Vergütung ist nicht zu kürzen, wenn der Leistungserbringer einer Facharztgruppe angehört, die im Regelfall keine Verordnungen von verschreibungspflichtigen Arzneimitteln ausstellt. Bis zum 1. Januar 2025 sind ermächtigte Einrichtungen und Krankenhäuser von den Regelungen in Satz 1 ausgenommen.

§ 361 Zugriff auf ärztliche Verordnungen in der Telematikinfrastruktur ^{20k 21h 24}

(1) Auf Daten der Versicherten in vertragsärztlichen elektronischen Verordnungen dürfen ausschließlich dürfen folgende Personen zugreifen:

1. Ärzte, Zahnärzte sowie Psychotherapeuten, die in die Behandlung der Versicherten eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten, die von ihnen nach § 360 übermittelt wurden, ermöglicht, soweit dies für die Versorgung des Versicherten erforderlich ist;
2. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 1 auch Personen, die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit der Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht einer Person nach Nummer 1 erfolgt,
   1. bei Personen nach Nummer 1,
   2. in einem Krankenhaus oder
   3. in einer Vorsorgeeinrichtung oder Rehabilitationseinrichtung nach § 107 Absatz 2 oder in einer Rehabilitationseinrichtung nach § 15 Absatz 2 des Sechsten Buches oder bei einem Leistungserbringer der Heilbehandlung einschließlich medizinischer Rehabilitation nach § 26 Absatz 1 Satz 1 des Siebten Buches oder in der Haus- oder Heimpflege nach § 44 des Siebten Buches;
3. Apotheker mit einem Zugriff, der die Verarbeitung von Daten ermöglicht, soweit dies für die Versorgung des Versicherten mit verordneten Arzneimitteln erforderlich ist und ihnen die für den Zugriff erforderlichen Zugangsdaten nach § 360 Absatz 9 vorliegen;
4. im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 3 auch zum pharmazeutischen Personal der Apotheke gehörende Personen, deren Zugriff
   1. im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und
   2. unter Aufsicht eines Apothekers erfolgt, soweit nach apothekenrechtlichen Vorschriften eine Beaufsichtigung der mit dem Zugriff verbundenen pharmazeutischen Tätigkeit vorgeschrieben ist;
5. sonstige Erbringer ärztlich verordneter Leistungen nach diesem Buch mit einem Zugriff, der die Verarbeitung von Daten ermöglicht, soweit dies für die Versorgung der Versicherten mit der ärztlich verordneten Leistung erforderlich ist und ihnen die für den Zugriff erforderlichen Zugangsdaten nach § 360 Absatz 9 vorliegen.

Auf Dispensierinformationen nach § 360 Absatz 11 dürfen nur die Versicherten zugreifen. Die Zugriffsrechte nach Satz 1 gelten für die dort genannten Zugriffsberechtigten auch, wenn sie im Rahmen einer Tätigkeit nach dem Siebten Buch auf ärztliche Verordnungen nach § 27 Absatz 1 des Siebten Buches zugreifen.

(2) Auf Daten der Versicherten in vertragsärztlichen elektronischen Verordnungen dürfen zugriffsberechtigte Leistungserbringer und andere zugriffsberechtigte Personen nach Absatz 1 und nach Maßgabe des § 339 Absatz 2 nur zugreifen mit

1. einem ihrer Berufszugehörigkeit entsprechenden elektronischen Heilberufsausweis in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen oder
2. einem ihrer Berufszugehörigkeit entsprechenden elektronischen Berufsausweis in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen.

Es ist nachprüfbar elektronisch zu protokollieren, wer auf die Daten zugegriffen hat.

(3) Die in Absatz 1 genannten zugriffsberechtigten Personen, die weder über einen elektronischen Heilberufsausweis noch über einen elektronischen Berufsausweis verfügen, dürfen nach Maßgabe des Absatz 1 nur zugreifen, wenn

1. sie für diesen Zugriff von Personen autorisiert sind, die verfügen über
   1. einen ihrer Berufszugehörigkeit entsprechenden elektronischen Heilberufsausweis oder
   2. einen ihrer Berufszugehörigkeit entsprechenden elektronischen Berufsausweis,
2. nachprüfbar elektronisch protokolliert wird,
   1. wer auf die Daten zugegriffen hat und
   2. von welcher Person nach Nummer 1 die zugreifende Person autorisiert wurde oder
3. einer digitalen Identität nach § 340 Absatz 6 in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen.

(4) Der elektronische Heilberufsausweis und der elektronische Berufsausweis müssen über eine Möglichkeit zur sicheren Authentifizierung und zur Erstellung qualifizierter elektronischer Signaturen verfügen.

(5) Die Übermittlung von Daten der elektronischen Verordnung nach § 360 Absatz 2 zum grenzüberschreitenden Austausch von Gesundheitsdaten zum Zweck der Unterstützung einer Behandlung des Versicherten an einen in einem anderen Mitgliedstaat der Europäischen Union nach dem Recht des jeweiligen Mitgliedstaats zum Zugriff auf Verordnungsdaten berechtigten Leistungserbringer über die jeweiligen nationalen eHealth-Kontaktstellen bedarf der vorherigen Einwilligung durch den Versicherten in die Nutzung des Übermittlungsverfahrens. Zusätzlich ist erforderlich, dass der Versicherte zum Zeitpunkt der Einlösung der Verordnung die Übermittlung an die nationale eHealth-Kontaktstelle des Mitgliedstaats, in dem die Verordnung eingelöst wird, durch eine eindeutige bestätigende Handlung technisch freigibt. Abweichend von den Absätzen 1 bis 4 sowie von § 339 finden für die Verarbeitung der Daten durch einen Leistungserbringer in einem anderen Mitgliedstaat der Europäischen Union die Bestimmungen des Mitgliedstaats Anwendung, in dem die Verordnung eingelöst wird. Hierbei finden die gemeinsamen europäischen Vereinbarungen zum grenzüberschreitenden Austausch von Gesundheitsdaten Berücksichtigung. Der Spitzenverband Bund der Krankenkassen, Deutsche Verbindungsstelle Krankenversicherung - Ausland hat die Versicherten über die Voraussetzungen und das Verfahren bei der Übermittlung und Nutzung von Daten der elektronischen Verordnung zum grenzüberschreitenden Austausch von Gesundheitsdaten über die nationale eHealth-Kontaktstelle zu informieren.

§ 361a Einwilligungsbasierte Übermittlung von Daten aus vertragsärztlichen elektronischen Verordnungen; Verordnungsermächtigung ^{22k 24}

(1) Über Schnittstellen in den Diensten nach § 360 Absatz 1 müssen Daten aus elektronischen Verordnungen von apothekenpflichtigen Arzneimitteln an folgende an die Telematikinfrastruktur angeschlossene und mit den Mitteln der Telematikinfrastruktur authentifizierte Berechtigte übermittelt werden können:

1. Hersteller von digitalen Gesundheitsanwendungen nach § 33a, sofern die Daten für den bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die jeweiligen Versicherten erforderlich sind und die jeweiligen Versicherten diese digitale Gesundheitsanwendung nutzen,
2. Krankenkassen der jeweiligen Versicherten, soweit dies für individuelle Angebote zur Verbesserung der Versorgung der jeweiligen Versicherten sowie zur Bewilligung von Leistungen vor einer Inanspruchnahme verordneter Leistungen erforderlich ist,
2. a) Träger der gesetzlichen Unfallversicherung der jeweiligen Versicherten nach dem Siebten Buch, soweit dies für individuelle Angebote zur Verbesserung der Heilbehandlung oder Rehabilitation nach § 27 Absatz 1 des Siebten Buches sowie zur Bewilligung von Leistungen vor einer Inanspruchnahme verordneter Leistungen erforderlich ist,
3. Unternehmen der privaten Krankenversicherung der jeweiligen Versicherten, soweit dies für individuelle Angebote zur Verbesserung der Versorgung oder zu Abrechnungszwecken erforderlich ist,
4. Apotheken, sofern die Daten im Rahmen des Apothekenbetriebs zur Unterstützung der Versorgung der Patienten erforderlich sind,
5. Vertragsärzte und Vertragszahnärzte, die in einem Behandlungsverhältnis mit den jeweiligen Versicherten stehen, soweit dies zur Unterstützung der Behandlung erforderlich ist,
6. Krankenhäuser, die in einem Behandlungsverhältnis mit den jeweiligen Versicherten stehen, soweit dies zur Unterstützung der Behandlung erforderlich ist,
7. Vorsorgeeinrichtungen und Rehabilitationseinrichtungen, die in einem Behandlungsverhältnis mit dem jeweiligen Versicherten stehen, soweit dies zur Unterstützung der Behandlung erforderlich ist.

Die nach Satz 1 zu schaffende Übermittlungsmöglichkeit an authentifizierte Leistungserbringer nach Satz 1 Nummer 1, 4, 5, 6 und 7 gilt auch, wenn die Leistungserbringer in einem Behandlungsverhältnis nach § 27 Absatz 1 des Siebten Buches mit den jeweiligen Versicherten stehen, soweit dies zur Unterstützung der Behandlung erforderlich ist. Die elektronischen Zugangsdaten, die die Einlösung einer elektronischen Verordnung von verschreibungspflichtigen Arzneimitteln ermöglichen, dürfen nicht über die Schnittstellen nach Satz 1 übermittelt werden.

(2) Die Übermittlung von Daten aus einer vertragsärztlichen elektronischen Verordnung von apothekenpflichtigen Arzneimitteln an einen Berechtigten nach Absatz 1 und die weitere Verarbeitung durch diesen Berechtigten bedarf der Einwilligung des Versicherten.

(3) Die Daten nach Absatz 1 dürfen von den dort genannten Berechtigten nur zu den dort genannten Zwecken verarbeitet werden. Diese Verarbeitung darf die Wirksamkeit der Maßnahmen zur Gewährleistung von Datensicherheit und Datenschutz sowie die Verfügbarkeit und Nutzbarkeit der vertragsärztlichen elektronischen Verordnung nicht beeinträchtigen. Die Gesellschaft für Telematik veröffentlicht im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die durch die Berechtigten nach Absatz 1 zu erfüllenden Vorgaben bezüglich Datensicherheit und Datenschutz.

(4) Unmittelbar nach einer Übermittlung von Daten nach Absatz 1 wird den jeweiligen Versicherten eine umfassende Dokumentation der Datenübermittlung barrierefrei zur Verfügung gestellt.

(5) Die Gesellschaft für Telematik betreibt die Schnittstelle nach Absatz 1 und stellt sie den dort genannten Berechtigten diskriminierungsfrei und kostenfrei zur Verfügung. Zu diesem Zweck stellt sie die erforderlichen Informationen zur technischen Beschaffenheit der Schnittstelle sowie über die Möglichkeit zu deren Nutzung auf ihrer Internetseite allgemein zugänglich bereit.

(6) Das Bundesministerium für Gesundheit wird ermächtigt, im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Rechtsverordnung ohne Zustimmung des Bundesrats Folgendes zu regeln:

1. die Fristen, zu denen die Schnittstellen nach Absatz 1 bereitgestellt werden müssen,
2. welche Daten nach den Absätzen 1 bis 3 zu welchen Verarbeitungszwecken übermittelt werden dürfen,
3. zu welchen Zwecken welche Daten von den Empfangsberechtigten nach Absatz 1 verarbeitet werden dürfen,
4. die Informationen, die den Versicherten barrierefrei zur Verfügung zu stellen sind,
5. die Anforderungen an die Abgabe, die Änderung und den Widerruf der Einwilligungserklärung nach Absatz 2 einschließlich der Möglichkeit, die Einwilligung auf bestimmte Zeiträume, bestimmte elektronische Verordnungen oder bestimmte Datenfelder der elektronischen Verordnung zu beschränken,
6. die technischen Einzelheiten der Datenübermittlung und
7. die Dokumentation der Datenübermittlung nach Absatz 4.

§ 361b Zugriff auf ärztliche Verordnungen digitaler Gesundheitsanwendungen in der Telematikinfrastruktur ²⁴

(1) Krankenkassen dürfen zum Zwecke der Einlösung elektronischer Verordnungen von digitalen Gesundheitsanwendungen nach § 360 Absatz 4 auf Daten der Versicherten in vertragsärztlichen elektronischen Verordnungen zugreifen.

(2) Im Rahmen des Zugriffs nach Absatz 1 darf nicht in die ärztliche Therapiefreiheit eingegriffen oder die Wahlfreiheit der Versicherten beschränkt werden.

(3) Die Krankenkassen ermöglichen den Versicherten die Nutzung einer digitalen Gesundheitsanwendung in der Regel innerhalb von zwei Arbeitstagen ab dem Zeitpunkt des Eingangs einer Verordnung bei der Krankenkasse.

Siebter Titel ^{20k 21h 22c}
Nutzung der Telematikinfrastruktur durch weitere Kostenträger und durch das Zentrale Vorsorgeregister

§ 362 Nutzung von elektronischen Gesundheitskarten oder digitalen Identitäten für Versicherte von Unternehmen der privaten Krankenversicherung, der Postbeamtenkrankenkasse, der Krankenversorgung der Bundesbahnbeamten, für Polizeivollzugsbeamte , für sonstige heilfürsorgeberechtigte Beamte oder für Soldaten der Bundeswehr ^{20k 21h 24}

(1) Werden von Unternehmen der privaten Krankenversicherung, der Postbeamtenkrankenkasse, der Krankenversorgung der Bundesbahnbeamten, der Bundespolizei, der Landespolizeien, von der Bundeswehr oder von Trägern der freien Heilfürsorge elektronische Gesundheitskarten oder digitale Identitäten für die Verarbeitung von Daten einer Anwendung nach § 334 Absatz 1 Satz 2 an ihre Versicherten, an Polizeivollzugsbeamte, an sonstige heilfürsorgeberechtigte Beamte oder an Soldaten zur Verfügung gestellt, sind § 291 Absatz 8 Satz 5 bis 9, § 291a Absatz 5 bis 7, die § § 334 bis 337, 339, 341 Absatz 1 bis 4, § 342 Absatz 2 und 3, § 343 Absatz 1, die §§ 344, 345, 352, 353, 356 bis 359a und 361 entsprechend anzuwenden.

(2) Für den Einsatz elektronischer Gesundheitskarten oder digitaler Identitäten nach Absatz 1 können Unternehmen der privaten Krankenversicherung, der Postbeamtenkrankenkasse, der Krankenversorgung der Bundesbahnbeamten, die Bundespolizei, die Landespolizeien, die Bundeswehr oder die Träger der freien Heilfürsorge als Versichertennummer den unveränderbaren Teil der Krankenversichertennummer nach § 290 Absatz 1 Satz 2 nutzen. § 290 Absatz 1 Satz 4 bis 7 ist entsprechend anzuwenden. Die Vergabe der Versichertennummer erfolgt durch die Vertrauensstelle nach § 290 Absatz 2 Satz 2 und hat den Vorgaben der Richtlinien nach § 290 Absatz 2 Satz 1 für den unveränderbaren Teil der Krankenversichertennummer zu entsprechen.

(3) Die Kosten zur Bildung der Versichertennummer und, sofern die Vergabe einer Rentenversicherungsnummer erforderlich ist, zur Vergabe der Rentenversicherungsnummer tragen jeweils die Unternehmen der privaten Krankenversicherung, die Postbeamtenkrankenkasse, die Krankenversorgung der Bundesbahnbeamten, die Bundespolizei, die Landespolizeien, die Bundeswehr oder die Träger der freien Heilfürsorge.

§ 362a Nutzung der elektronischen Gesundheitskarte bei Krankenbehandlung der Sozialen Entschädigung nach dem Vierzehnten Buch ^21h

Wird die Telematikinfrastruktur für Anwendungen im Bereich der Krankenbehandlung der Sozialen Entschädigung nach dem Vierzehnten Buch unter Nutzung elektronischer Gesundheitskarten oder hiermit technisch kompatibler Karten zum Zweck des Nachweises der Leistungsberechtigung und der Abrechnung von Leistungen in diesem Bereich verwendet, gilt § 327 entsprechend. § 291a bleibt unberührt.

§ 362b Nutzung der Telematikinfrastruktur durch das Zentrale Vorsorgeregister ^22c

Wird die Telematikinfrastruktur zur Erteilung von Auskunft aus dem Zentralen Vorsorgeregister nach § 78b Absatz 1 Satz 1 der Bundesnotarordnung verwendet, gilt § 327 entsprechend.

Achter Titel ^20k
Verfügbarkeit von Daten aus Anwendungen der Telematikinfrastruktur für Forschungszwecke

§ 363 Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken; Verordnungsermächtigung ^{20k 21h 21m 24b}

(1) Die Daten der elektronischen Patientenakte werden für die in § 303e Absatz 2 aufgeführten Zwecke zugänglich gemacht, soweit Versicherte nicht der Datenübermittlung nach Absatz 5 widersprochen haben.

(2) Die Daten nach Absatz 1 werden automatisiert an das Forschungsdatenzentrum nach § 303d übermittelt. Es werden ausschließlich Daten übermittelt, die zuverlässig automatisiert pseudonymisiert wurden. Die Übermittlung wird in der elektronischen Patientenakte dokumentiert.

(3) Die nach § 341 Absatz 4 für die Datenverarbeitung in der elektronischen Patientenakte Verantwortlichen sind verantwortlich für die Pseudonymisierung und Verschlüsselung der nach den Absätzen 1 und 2 zu übermittelnden Daten, versehen diese mit einer Arbeitsnummer und übermitteln

1. an das Forschungsdatenzentrum die pseudonymisierten und verschlüsselten Daten samt Arbeitsnummer,
2. an die Vertrauensstellen nach § 303c das Lieferpseudonym zu den zu übermittelnden Daten und die entsprechende Arbeitsnummer.

Die Vertrauensstelle überführt die Lieferpseudonyme in periodenübergreifende Pseudonyme und übermittelt dem Forschungsdatenzentrum die periodenübergreifenden Pseudonyme mit den dazugehörigen Arbeitsnummern. Mit dem periodenübergreifenden Pseudonym und der bereits übersandten Arbeitsnummer verknüpft das Forschungsdatenzentrum die nach Absatz 2 übermittelten Daten mit den im Forschungsdatenzentrum vorliegenden Daten vorheriger Übermittlungen.

(4) Die an das Forschungsdatenzentrum übermittelten Daten dürfen von diesem für die Erfüllung seiner Aufgaben verarbeitet und auf Antrag den Nutzungsberechtigten nach § 303e Absatz 1 bereitgestellt werden. § 303a Absatz 3, § 303c Absatz 1 und 2, die § § 303d, 303e Absatz 3 bis 6 sowie § 303f gelten entsprechend.

(5) Versicherte können der Übermittlung von Daten nach den Absätzen 1 und 2 gegenüber den nach § 341 Absatz 4 für die Datenverarbeitung in der elektronischen Patientenakte Verantwortlichen jederzeit widersprechen. Der Widerspruch wird über die Benutzeroberfläche eines geeigneten Endgeräts oder gegenüber der Ombudsstelle gemäß § 342a erklärt. Der Widerspruch kann auf bestimmte Zwecke nach § 303e Absatz 2 beschränkt werden. Ein getätigter Widerspruch wird in der elektronischen Patientenakte mit Datum und Uhrzeit dokumentiert.

(6) Im Fall des Widerspruchs nach Absatz 5 werden die entsprechenden Daten, die bereits an das Forschungsdatenzentrum übermittelt wurden, im Forschungsdatenzentrum gelöscht. Das Löschverfahren erfolgt analog zur Datenübermittlung und Verknüpfung in Absatz 3. Die bis zur Erklärung des Widerspruchs nach Absatz 5 übermittelten und für konkrete Forschungsvorhaben bereits verwendeten Daten dürfen weiterhin für diese Forschungsvorhaben verarbeitet werden. Die Rechte der betroffenen Person nach den Artikeln 17, 18 und 21 der Verordnung (EU) 2016/679 sind insoweit für diese Forschungsvorhaben ausgeschlossen.

(7) Das Bundesministerium für Gesundheit wird ermächtigt, im Benehmen mit dem Bundesministerium für Bildung und Forschung ohne Zustimmung des Bundesrates durch Rechtsverordnung das Nähere zu regeln zu

1. den angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Person im Sinne von Artikel 9 Absatz 2 Buchstabe i und j in Verbindung mit Artikel 89 der Verordnung (EU) 2016/679,
2. den technischen und organisatorischen Einzelheiten der Datenfreigabe, der Datenübermittlung, der Pseudonymisierung und des Widerspruchs nach den Absätzen 2, 3, 5 und 6,
3. den Anforderungen an eine automatisierte Pseudonymisierung zu übermittelnder Daten nach Absatz 2 Satz 2.

(8) Unbeschadet der nach den vorstehenden Absätzen vorgesehenen Datenübermittlung an das Forschungsdatenzentrum können Versicherte die Daten ihrer elektronischen Patientenakte auch auf der alleinigen Grundlage einer informierten Einwilligung für ein bestimmtes Forschungsvorhaben oder für bestimmte Bereiche der wissenschaftlichen Forschung zur Verfügung stellen. Das Bundesministerium für Gesundheit wird ermächtigt, im Benehmen mit dem Bundesministerium für Bildung und Forschung und ohne Zustimmung des Bundesrates durch Rechtsverordnung das Nähere zum technischen Verfahren bei der Ausleitung von Daten aus der elektronischen Patientenakte nach Satz 1 und der Zurverfügungstellung für die in Satz 1 genannten Forschungsvorhaben und -bereiche zu regeln.

Sechster Abschnitt ^20k
Telemedizinische Verfahren

§ 364 Vereinbarung über technische Verfahren zur konsiliarischen Befundbeurteilung von Röntgenaufnahmen ^{20k 24}

(1) Die Kassenärztliche Bundesvereinigung vereinbart mit dem Spitzenverband Bund der Krankenkassen im Benehmen mit der Gesellschaft für Telematik und der Deutschen Gesetzlichen Unfallversicherung e. V. die Anforderungen an die technischen Verfahren zur telemedizinischen Erbringung der konsiliarischen Befundbeurteilung von Röntgenaufnahmen in der vertragsärztlichen Versorgung, insbesondere Einzelheiten hinsichtlich der Qualität und der Sicherheit, und die Anforderungen an die technische Umsetzung.

(2) Kommt die Vereinbarung nach Absatz 1 nicht zustande, so ist auf Antrag eines der Vereinbarungspartner ein Schlichtungsverfahren nach § 370 bei der Schlichtungsstelle nach § 319 einzuleiten.

§ 365 Vereinbarung über technische Verfahren zur Videosprechstunde in der vertragsärztlichen Versorgung ^{20k 21h 24}

(1) Die Kassenärztliche Bundesvereinigung vereinbart mit dem Spitzenverband Bund der Krankenkassen im Benehmen mit der Gesellschaft für Telematik und der Deutschen Gesetzlichen Unfallversicherung e. V. die Anforderungen an die technischen Verfahren zu Videosprechstunden, insbesondere Einzelheiten hinsichtlich der Qualität und der Sicherheit, und die Anforderungen an die technische Umsetzung. Die Kassenärztliche Bundesvereinigung und der Spitzenverband Bund der Krankenkassen berücksichtigen in der Vereinbarung nach Satz 1 die sich ändernden Kommunikationsbedürfnisse der Versicherten, insbesondere hinsichtlich der Nutzung digitaler Kommunikationsanwendungen auf mobilen Endgeräten. Bei der Fortschreibung der Vereinbarung ist vorzusehen, dass für die Durchführung von Videosprechstunden ergänzend auch Dienste der Telematikinfrastruktur genutzt werden können, sobald diese zur Verfügung stehen. § 630e des Bürgerlichen Gesetzbuchs ist zu beachten.

(2) Kommt die Vereinbarung nach Absatz 1 nicht zustande, so ist auf Antrag eines der Vereinbarungspartner ein Schlichtungsverfahren nach § 370bei der Schlichtungsstelle nach § 319 einzuleiten.

§ 366 Vereinbarung über technische Verfahren zur Videosprechstunde in der vertragszahnärztlichen Versorgung ^{20k 21h 24}

(1) Die Kassenzahnärztliche Bundesvereinigung vereinbart mit dem Spitzenverband Bund der Krankenkassen im Benehmen mit der Gesellschaft für Telematik und der Deutschen Gesetzlichen Unfallversicherung e. V. die Anforderungen an die technischen Verfahren zu Videosprechstunden, insbesondere Einzelheiten hinsichtlich der Qualität und der Sicherheit, und die Anforderungen an die technische Umsetzung. Die Kassenzahnärztliche Bundesvereinigung und der Spitzenverband Bund der Krankenkassen berücksichtigen in der Vereinbarung nach Satz 1 die sich ändernden Kommunikationsbedürfnisse der Versicherten, insbesondere hinsichtlich der Nutzung digitaler Kommunikationsanwendungen auf mobilen Endgeräten. Bei der Fortschreibung der Vereinbarung ist vorzusehen, dass für die Durchführung von Videosprechstunden ergänzend auch Dienste der Telematikinfrastruktur genutzt werden können, sobald diese zur Verfügung stehen. § 630e des Bürgerlichen Gesetzbuchs ist zu beachten.

(2) Kommt die Vereinbarung nach Absatz 1 nicht zustande, so ist auf Antrag eines der Vereinbarungspartner ein Schlichtungsverfahren nach § 370 bei der Schlichtungsstelle nach § 319 einzuleiten.

§ 367 Vereinbarung über technische Verfahren zu telemedizinischen Konsilien ^{20k 24}

(1) Die Kassenärztlichen Bundesvereinigungen und die Deutsche Krankenhausgesellschaft vereinbaren bis zum 31. März 2020 mit dem Spitzenverband Bund der Krankenkassen in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der Gesellschaft für Telematik sowie im Benehmen mit der Deutschen Gesetzlichen Unfallversicherung e. V. die Anforderungen an die technischen Verfahren zu telemedizinischen Konsilien, insbesondere Einzelheiten hinsichtlich der Qualität und der Sicherheit, und die Anforderungen an die technische Umsetzung.

(2) Kommt die Vereinbarung nach Absatz 1 nicht zustande, so ist auf Antrag eines der Vereinbarungspartner ein Schlichtungsverfahren nach § 370 bei der Schlichtungsstelle nach § 319 einzuleiten.

§ 367a Vereinbarung über technische Verfahren bei telemedizinischem Monitoring ^{21h 24}

(1) Die Kassenärztliche Bundesvereinigung und der Spitzenverband Bund der Krankenkassen vereinbaren bis zum 31. März 2022 im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, dem Bundesamt für die Sicherheit in der Informationstechnik, der Deutschen Gesetzlichen Unfallversicherung e. V. und der Gesellschaft für Telematik die Anforderungen an technische Verfahren zum datengestützten zeitnahen Management von Krankheiten über eine räumliche Distanz (telemedizinisches Monitoring). In der Vereinbarung sind insbesondere festzulegen die

1. technischen Anforderungen an die einzusetzenden Anwendungen,
2. Vorgaben für die Interoperabilität der einzusetzenden Anwendungen,
3. Anforderungen an den Datenschutz und die Informationssicherheit sowie
4. Verwendung von Diensten und Anwendungen der Telematikinfrastruktur.

In der Vereinbarung nach Satz 1 ist vorzusehen, dass den Versicherten therapierelevante Daten in einem interoperablen Format nach § 355 Absatz 2d zur Verfügung gestellt werden.

(2) Kommt die Vereinbarung nach Absatz 1 nicht zustande, so ist auf Antrag eines der Vereinbarungspartner ein Schlichtungsverfahren nach § 370 bei der Schlichtungsstelle nach § 319 einzuleiten.

§ 368 Vereinbarung über ein Authentifizierungsverfahren im Rahmen der Videosprechstunde ^{20k 21h 24}

(1) Die Kassenärztliche Bundesvereinigung und der Spitzenverband Bund der Krankenkassen vereinbaren im Benehmen mit der Gesellschaft für Telematik, der Deutschen Gesetzlichen Unfallversicherung e. V. und dem Bundesamt für Sicherheit in der Informationstechnik ein technisches Verfahren zur Authentifizierung der Versicherten im Rahmen der Videosprechstunde in der vertragsärztlichen Versorgung. Zur Durchführung der Authentifizierung ist die Nutzung der Dienste und Anwendungen der Telematikinfrastruktur vorzusehen.

(2) Kommt die Vereinbarung nach Absatz 1 nicht zustande, so ist auf Antrag eines der Vereinbarungspartner ein Schlichtungsverfahren nach § 370 bei der Schlichtungsstelle nach § 319 einzuleiten.

§ 369 Prüfung der Vereinbarungen durch das Bundesministerium für Gesundheit ^{20k 21h 24}

(1) Die Vereinbarung über die technischen Verfahren zur telemedizinischen Erbringung der konsiliarischen Befundbeurteilung nach § 364, die Vereinbarung über technische Verfahren zu Videosprechstunden nach den §§ 365 und 366 sowie die Vereinbarung über technische Verfahren zu telemedizinischen Konsilien nach § 367, die Vereinbarung über technische Verfahren bei telemedizinischem Monitoring nach § 367a und die Vereinbarung zum Authentifizierungsverfahren im Rahmen der Videosprechstunde nach § 368 sind dem Bundesministerium für Gesundheit jeweils zur Prüfung vorzulegen.

(2) Bei der Prüfung einer Vereinbarung nach Absatz 1 hat das Bundesministerium für Gesundheit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, dem Bundesamt für Sicherheit in der Informationstechnik und der Deutschen Gesetzlichen Unfallversicherung e. V. Gelegenheit zur Stellungnahme zu geben. Das Bundesministerium für Gesundheit kann für die Stellungnahme eine angemessene Frist setzen.

(3) Das Bundesministerium für Gesundheit kann die Vereinbarung innerhalb von einem Monat beanstanden.

§ 370 Entscheidung der Schlichtungsstelle ^20k

(1) Wird auf Antrag eines Vereinbarungspartners nach den §§ 364 bis 368 ein Schlichtungsverfahren bei der Schlichtungsstelle nach § 319 eingeleitet, so hat die Schlichtungsstelle innerhalb von vier Wochen nach Einleitung des Schlichtungsverfahrens einen Entscheidungsvorschlag vorzulegen.

(2) Vor ihrem Entscheidungsvorschlag hat die Schlichtungsstelle den jeweiligen Vereinbarungspartnern nach den §§ 364 bis 368 und der Gesellschaft für Telematik Gelegenheit zur Stellungnahme zu geben.

(3) Kommt innerhalb von zwei Wochen nach Vorlage des Entscheidungsvorschlags keine Entscheidung der Vereinbarungspartner nach den §§ 364 bis 368 zustande, entscheidet die Schlichtungsstelle anstelle der Vereinbarungspartner innerhalb von zwei Wochen.

(4) Die Entscheidung der Schlichtungsstelle ist für die Vereinbarungspartner nach den §§ 364 bis 368 und für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich. Die Entscheidung der Schlichtungsstelle kann nur durch eine alternative Entscheidung der Vereinbarungspartner nach Absatz 1 in gleicher Sache ersetzt werden.

§ 370a Unterstützung der Kassenärztlichen Vereinigungen bei der Vermittlung telemedizinischer Angebote durch die Kassenärztliche Bundesvereinigung, Verordnungsermächtigung ^{21h 24}

(1) Im Rahmen ihrer Aufgaben nach § 75 Absatz 1a Satz 16 betreibt die Kassenärztliche Bundesvereinigung zur Vermittlung von Behandlungsterminen bei einem Leistungserbringer nach § 95 Absatz 1 Satz 1 einschließlich von Terminen über telemedizinische Leistungen an Versicherte und zur Unterstützung der Versorgung der Versicherten mit telemedizinischen Leistungen ein elektronisches System. Die Kassenärztliche Bundesvereinigung errichtet das elektronische System nach Satz 1 bis zum 30. Juni 2024 für die Vermittlung von Terminen über telemedizinische Leistungen und bis zum 30. Juni 2025 für Behandlungstermine. Die in Satz 1 genannten telemedizinischen Leistungen umfassen insbesondere Videosprechstunden, telemedizinische Konsilien einschließlich der radiologischen Befundbeurteilung, telemedizinisches Monitoring, Videofallkonferenzen, Zweitmeinungen nach § 27b und telemedizinische Funktionskontrollen. Das elektronische System muss mit den von den Kassenärztlichen Vereinigungen nach § 75 Absatz 1a Satz 17 bereitgestellten digitalen Angeboten kompatibel sein. Die Kassenärztlichen Vereinigungen übermitteln der Kassenärztlichen Bundesvereinigung hierzu die nach § 75 Absatz 1a Satz 20 und 21 gemeldeten Termine.

(1a) Das elektronische System nach Absatz 1 Satz 1 hat insbesondere folgende Funktionen:

1. Vermittlung von Terminen einschließlich Videosprechstunden und weiteren telemedizinischen Leistungen im Rahmen der vertragsärztlichen Versorgung,
2. Unterstützung der sicheren digitalen Identitäten nach § 291 Absatz 8 Satz 1, sobald diese zur Verfügung stehen,
3. Unterstützung der sicheren Übermittlungsverfahren nach § 311 Absatz 6,
4. Übermittlung von Hinweisen auf den Speicherort behandlungsrelevanter Daten in in der elektronischen Patientenakte oder in das Verzeichnis nach § 139e Absatz 1 aufgenommenen digitalen Gesundheitsanwendungen,
5. Bereitstellung einer Schnittstelle für die Integration der Funktionalitäten nach den Nummern 1 bis 4 in informationstechnische Systeme in der vertragsärztlichen Versorgung.

(2) Die Kassenärztliche Bundesvereinigung ermöglicht die Nutzung der in dem elektronischen System nach Absatz 1 bereitgestellten Informationen durch Dritte. Hierzu veröffentlicht sie eine Schnittstelle auf Basis international anerkannter Standards und beantragt deren Aufnahme auf die Plattform nach § 385 Absatz 1 Satz 2 Nummer 5. Die Vertragsärzte können der Weitergabe ihrer Daten an Dritte nach Satz 1 widersprechen.

(3) Die Kassenärztliche Bundesvereinigung regelt das Nähere zu der Nutzung der in dem elektronischen System bereitgestellten Informationen durch Dritte in einer Verfahrensordnung. Die Verfahrensordnung bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(4) Die Nutzung der in dem elektronischen System bereitgestellten Informationen durch Dritte ist gebührenpflichtig. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. In der Rechtsverordnung kann eine Gebührenbefreiung der Nutzung der in dem elektronischen System bereitgestellten Informationen durch gemeinnützige juristische Personen des Privatrechts, insbesondere medizinische Fachgesellschaften, vorgesehen werden. Das Bundesministerium für Gesundheit kann die Ermächtigung nach den Sätzen 2 und 3 durch Rechtsverordnung auf die Kassenärztliche Bundesvereinigung übertragen.

(5) Die Kassenärztliche Bundesvereinigung hat die erforderlichen technischen Festlegungen zu treffen, damit nach § 75 Absatz 1a zu vermittelnde Termine von den Vertragsärzten unter Verwendung von informationstechnischen Systemen in der vertragsärztlichen Versorgung an die Terminservicestellen übermittelt werden können. Die Festlegungen sind auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen.

(6) Das Bundesministerium für Gesundheit wird ermächtigt durch Rechtsverordnung ohne Zustimmung des Bundesrates das Nähere zu regeln zu

1. den Anforderungen an das elektronische System nach Absatz 1 Satz 1, zu den Funktionalitäten nach Absatz 1a sowie zu der Interoperabilität mit den von den Kassenärztlichen Vereinigungen nach § 75 Absatz 1a Satz 17 bereitgestellten digitalen Angeboten,
2. der Nutzung von in dem elektronischen System bereitgestellten Informationen durch Dritte nach Absatz 2 Satz 1 und 3 und
3. den Inhalten der Verfahrensordnung nach Absatz 3 Satz 1 sowie zum Zeitpunkt ihrer Veröffentlichung.

In der Rechtsverordnung nach Satz 1 können auch weitere Funktionalitäten des elektronischen Systems festgelegt werden.

§ 370b Technische Verfahren in strukturierten Behandlungsprogrammen mit digitalisierten Versorgungsprozessen; Verordnungsermächtigung ²⁴

Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates das Nähere zu regeln

1. zu den Anforderungen an die für die Versorgung der Versicherten im Rahmen von strukturierten Behandlungsprogrammen mit digitalisierten Versorgungsprozessen erforderliche technische Ausstattung und an die Anwendungen der Leistungserbringer und Versicherten,
2. zu dem Nachweis, dass die für die Versorgung im Rahmen von strukturierten Behandlungsprogrammen mit digitalisierten Versorgungsprozessen erforderliche technische Ausstattung und die Anwendungen der Leistungserbringer und Versicherten den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleisten, und
3. zu den zusätzlichen technischen Anforderungen an digitale Gesundheitsanwendungen, die im Rahmen von strukturierten Behandlungsprogrammen mit digitalisierten Versorgungsprozessen eingesetzt werden.

Siebter Abschnitt ^20k
Anforderungen an Schnittstellen in informationstechnischen Systemen

§ 371 Integration offener und standardisierter Schnittstellen in informationstechnische Systeme ^{20k 21h 22e 24}

(1) In informationstechnische Systeme in der vertragsärztlichen Versorgung, in der vertragszahnärztlichen Versorgung und in Krankenhäusern, die zur Verarbeitung von personenbezogenen Patientendaten eingesetzt werden, sind folgende offene und standardisierte Schnittstellen zu integrieren:

1. Schnittstellen zur systemneutralen Archivierung von Patientendaten sowie zur Übertragung von Patientendaten bei einem Systemwechsel,
2. Schnittstellen für elektronische Programme, die nach § 73 Absatz 9 Satz 1 für die Verordnung von Arzneimitteln zugelassen sind,
3. Schnittstellen zum elektronischen Melde- und Informationssystem nach § 14 des Infektionsschutzgesetzes, mit Ausnahme der informationstechnischen Systeme von Vertragszahnärzten,
4. Schnittstellen für die Anbindung vergleichbarer versorgungsorientierter informationstechnischer Systeme, insbesondere ambulante und klinische Anwendungs- und Datenbanksysteme nach diesem Buch und
5. Schnittstellen für die Meldung von Terminen gemäß § 370a Absatz 5 und für die Nutzung sicherer Kommunikationsverfahren nach § 311 Absatz 6.

(2) Absatz 1 Nummer 1 und 4 gilt entsprechend für informationstechnische Systeme, die zur Verarbeitung von personenbezogenen Daten zur pflegerischen Versorgung von Versicherten nach diesem Buch oder in einer nach § 72 Absatz 1 des Elften Buches zugelassenen Pflegeeinrichtung eingesetzt werden.

(3) (3) Die Integration der Schnittstellen muss binnen der jeweiligen Frist, die sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 ergibt, erfolgen, nachdem die jeweiligen Spezifikationen nach den §§ 372 und 373 erstellt und durch das Bundesministerium für Gesundheit gemäß § 385 Absatz 2 Satz 1 Nummer 1 verbindlich festgelegt wurden.

§ 372 Spezifikationen zu den offenen und standardisierten Schnittstellen für informationstechnische Systeme in der vertragsärztlichen und vertragszahnärztlichen Versorgung ^{20k 21h 22e 24 24a}

(1) (Gültig bis 31.12.2024 Für die in der vertragsärztlichen und vertragszahnärztlichen Versorgung eingesetzten informationstechnischen Systeme legen die Kassenärztlichen Bundesvereinigungen im Einvernehmen mit dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen die erforderlichen Spezifikationen zu den offenen und standardisierten Schnittstellen nach § 371 fest.) (Gültig ab 01.01.2025 Für die in der vertragsärztlichen und vertragszahnärztlichen Versorgung eingesetzten informationstechnischen Systeme legen die Kassenärztlichen Bundesvereinigungen oder eine juristische Person im Sinne des § 385 Absatz 1 Satz 2 Nummer 2, sofern sie hierzu gemäß § 385 Absatz 1 Satz 2 Nummer 2 und Absatz 4 Satz 3 und 5 und aufgrund der Rechtsverordnung nach § 385 Absatz 1 Satz 1 beauftragt wurden, im Einvernehmen mit dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen die erforderlichen Spezifikationen zu den offenen und standardisierten Schnittstellen nach § 371 fest.) Über die Spezifikationen nach Satz 1 entscheidet für die Kassenärztliche Bundesvereinigung der Vorstand. Bei den Spezifikationen zu den offenen und standardisierten Schnittstellen nach § 371 Absatz 1 Nummer 2 sind die Vorgaben nach § 73 Absatz 9 und der Rechtsverordnung nach § 73 Absatz 9 Satz 2 zu berücksichtigen.

(2) Die Spezifikationen nach Absatz 1 sind auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen. Über deren jeweilige verbindliche Festlegung für einen Bereich des Gesundheitswesens oder das gesamte Gesundheitswesen entscheidet gemäß § 385 Absatz 2 Satz 1 Nummer 1 das Bundesministerium für Gesundheit im Rahmen der Rechtsverordnung nach § 385 Absatz 1 Satz 1.

(Gültig bis 31.12.2024)
(3) Für die abrechnungsbegründende Dokumentation von vertragsärztlichen und vertragszahnärztlichen Leistungen dürfen Vertragsärzte und Vertragszahnärzte nur solche informationstechnischen Systeme einsetzen, die von den Kassenärztlichen Bundesvereinigungen in einem Bestätigungsverfahren nach Satz 2 bestätigt wurden. Die Kassenärztlichen Bundesvereinigungen legen im Einvernehmen mit dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen die Vorgaben für das Bestätigungsverfahren so fest, dass im Rahmen des Bestätigungsverfahrens sichergestellt wird, dass die vorzunehmende Integration der offenen und standardisierten Schnittstellen in das jeweilige informationstechnische System innerhalb der Frist nach § 371 Absatz 3, die sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 ergibt, und nach Maßgabe des § 371 erfolgt ist. Die Kassenärztlichen Bundesvereinigungen veröffentlichen die Vorgaben zu dem Bestätigungsverfahren. Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen veröffentlicht eine Liste mit den nach Satz 1 bestätigten informationstechnischen Systemen auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5.

(Gültig ab 01.01.2025)
(3) Vertragsärzte und Vertragszahnärzte können ihre vertragsärztlichen und vertragszahnärztlichen Leistungen nur dann bei den Kassenärztlichen Vereinigungen abrechnen, wenn sie solche informationstechnischen Systeme einsetzen, die ein Konformitätsbewertungsverfahren nach § 387 erfolgreich durchlaufen haben. Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen veröffentlicht eine Liste mit den nach Satz 1 bestätigten informationstechnischen Systemen auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5.

§ 373 Spezifikationen zu den offenen und standardisierten Schnittstellen für informationstechnische Systeme in Krankenhäusern und in der pflegerischen Versorgung; Gebühren und Auslagen; Verordnungsermächtigung ^{20k 21h 22e 24 24a}

(1) Für die in den zugelassenen Krankenhäusern eingesetzten informationstechnischen Systeme erstellt das Kompetenzzentrum für Interoperabilität im Gesundheitswesen im Benehmen mit der Deutschen Krankenhausgesellschaft sowie mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen die erforderlichen Spezifikationen zu den offenen und standardisierten Schnittstellen nach § 371. Bei den Spezifikationen zu den offenen und standardisierten Schnittstellen nach § 371 Absatz 1 Nummer 2 sind die Vorgaben nach § 73 Absatz 9 und der Rechtsverordnung nach § 73 Absatz 9 Satz 2 zu berücksichtigen. Die verbindliche Festlegung der Spezifikationen nach Satz 1 für das Gesundheitswesen erfolgt gemäß § 385 Absatz 2 Satz 1 Nummer 1 durch das Bundesministerium für Gesundheit im Rahmen der Rechtsverordnung nach § 385 Absatz 1 Satz 1.

(2) Im Rahmen der Spezifikationen nach Absatz 1 definiert die Deutsche Krankenhausgesellschaft im Einvernehmen mit dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen, welche Subsysteme eines informationstechnischen Systems im Krankenhaus die Schnittstellen integrieren müssen. Das Einvernehmen ist jeweils jährlich bis zum 30. April des entsprechenden Kalenderjahres herzustellen. Wird das Einvernehmen nicht fristgerecht hergestellt, ist das Kompetenzzentrum berechtigt und verpflichtet, innerhalb eines Monats nach Ablauf der Frist nach vorhergehender Anhörung des Expertengremiums im Sinne des § 385 Absatz 1 Satz 1, eine Entscheidung über die Definition der Subsysteme auf Basis der bisher erarbeiteten Vorschläge zu treffen.

(3) Für die informationstechnischen Systeme nach § 371 Absatz 2 erstellt das Kompetenzzentrum für Interoperabilität im Gesundheitswesen im Benehmen mit den Vereinigungen der Träger der Pflegeeinrichtungen auf Bundesebene sowie den Verbänden der Pflegeberufe auf Bundesebene und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen und in der pflegerischen Versorgung die erforderlichen Spezifikationen zu den offenen und standardisierten Schnittstellen nach § 371.

(4) Die Spezifikationen nach den Absätzen 1 bis 3 sind auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen.

(Gültig bis 31.12.2024)
(5) Der Einsatz von informationstechnischen Systemen nach den Absätzen 1 bis 3, die von dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen in einem Bestätigungsverfahren nach Satz 2 bestätigt wurden, ist wie folgt verpflichtend:

1. für zugelassene Krankenhäuser
2. für die in § 312 Absatz 2 genannten Leistungserbringer sowie die zugelassenen Pflegeeinrichtungen im Sinne des § 72 Absatz 1 Satz 1 des Elften Buches binnen der jeweiligen Frist, die sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 ergibt, nachdem die jeweiligen Spezifikationen nach den §§ 372 und 373 erstellt und durch das Bundesministerium für Gesundheit entsprechend dem § 385 Absatz 2 Satz 1 Nummer 1 verbindlich festgelegt worden sind.

Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen legt die Vorgaben für das Bestätigungsverfahren so fest, dass im Rahmen des Bestätigungsverfahrens sichergestellt wird, dass die vorzunehmende Integration der offenen und standardisierten Schnittstellen in das jeweilige informationstechnische System innerhalb der jeweiligen Frist nach § 371 Absatz 3, die sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 ergibt, und nach Maßgabe des § 371 erfolgt ist. Das Kompetenzzentrum veröffentlicht eine Liste mit den nach Satz 1 bestätigten informationstechnischen Systemen auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5.

(Gültig ab 01.01.2025)
(5) Der Einsatz von informationstechnischen Systemen nach den Absätzen 1 bis 3, die ein Konformitätsbewertungsverfahren nach § 387 erfolgreich durchlaufen haben, ist wie folgt verpflichtend:

1. für zugelassene Krankenhäuser;
2. für die in § 312 Absatz 2 genannten Leistungserbringer sowie die zugelassenen Pflegeeinrichtungen im Sinne des § 72 Absatz 1 Satz 1 des Elften Buches binnen der jeweiligen Frist, die sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 ergibt, nachdem die jeweiligen Spezifikationen nach den §§ 372 und 373 erstellt und durch das Bundesministerium für Gesundheit entsprechend dem § 385 Absatz 2 Satz 1 Nummer 1 verbindlich festgelegt worden sind.

(Gültig bis 31.12.2024)
(6) Abweichend von Absatz 5 ist in der vertragsärztlichen Versorgung in zugelassenen Krankenhäusern eine Bestätigung für eine offene und standardisierte Schnittstelle nach § 371 Absatz 1 Nummer 2 entbehrlich, wenn hierfür eine Bestätigung nach § 372 Absatz 3 vorliegt.

(Gültig bis 31.12.2024)
(7) Die Gesellschaft für Telematik kann für die durch das Kompetenzzentrum für Interoperabilität im Gesundheitswesen durchgeführten Bestätigungen Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen.

(Gültig bis 31.12.2024)
(8) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen.

§ 374 Abstimmung zur Festlegung sektorenübergreifender einheitlicher Vorgaben ^{20k 24}

Die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Deutsche Krankenhausgesellschaft, das Kompetenzzentrum für Interoperabilität im Gesundheitswesen und die Vereinigungen der Träger der Pflegeeinrichtungen auf Bundesebene sowie der Verbände der Pflegeberufe auf Bundesebene stimmen sich bei den Festlegungen für offene und standardisierte Schnittstellen nach den § § 371 bis 373 mit dem Ziel ab, bei inhaltlichen Gemeinsamkeiten der Schnittstellen sektorenübergreifende einheitliche Vorgaben zu treffen. Betreffen die Festlegungen nach Satz 1 pflegerelevante Inhalte, so sind die Vereinigungen der Träger der Pflegeeinrichtungen auf Bundesebene sowie der Verbände der Pflegeberufe auf Bundesebene mit einzubeziehen.

§ 374a Integration offener und standardisierter Schnittstellen in Hilfsmitteln und Implantaten ^{21h 22k 24}

(1) Hilfsmittel oder Implantate, die zu Lasten der gesetzlichen Krankenversicherung an Versicherte abgegeben werden und die Daten über den Versicherten elektronisch über öffentlich zugängliche Netze an den Hersteller oder Dritte übertragen, müssen ab dem 1. Juli 2027 ermöglichen, dass die von dem Hilfsmittel oder dem Implantat verarbeiteten Daten, einschließlich von Daten in aggregierter Form, auf der Grundlage einer Einwilligung des Versicherten in geeigneten interoperablen Formaten in eine in das Verzeichnis nach § 139e Absatz 1 aufgenommene digitale Gesundheitsanwendung übermittelt und dort weiterverarbeitet werden können, soweit die Daten von der digitalen Gesundheitsanwendung zum bestimmungsgemäßen Gebrauch durch denselben Versicherten benötigt werden. Hierzu müssen die Hersteller der Hilfsmittel und Implantate nach Satz 1 interoperable Schnittstellen anbieten und diese für die digitalen Gesundheitsanwendungen, die in das Verzeichnis nach § 139e aufgenommen sind, öffnen. Die Beeinflussung des Hilfsmittels oder des Implantats durch die digitale Gesundheitsanwendung ist unzulässig und technisch auszuschließen.

Als interoperable Formate gemäß Satz 1 gelten in nachfolgender Reihenfolge:

1. Festlegungen für Inhalte der elektronischen Patientenakte nach § 355,
2. Standards und Profile, die auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 veröffentlicht und durch das Bundesministerium für Gesundheit nach § 385 Absatz 2 Satz 1 Nummer 1 verbindlich festgelegt wurden,
3. offene international anerkannte Standards oder
4. offengelegte Profile über offene international anerkannte Standards, deren Aufnahme auf die Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 beantragt wurde.

(2) Das Bundesinstitut für Arzneimittel und Medizinprodukte errichtet und veröffentlicht ein elektronisches Verzeichnis für interoperable Schnittstellen von Hilfsmitteln und Implantaten. Die Hersteller der Hilfsmittel und Implantate melden die von den jeweiligen Geräten verwendeten interoperablen Schnittstellen nach Absatz 1 zur Veröffentlichung in dem Verzeichnis nach Satz 1 an das Bundesinstitut für Arzneimittel und Medizinprodukte. Die Meldung erfolgt in der Regel innerhalb von drei Monaten nach Veröffentlichung des Verzeichnisses. Werden Hilfsmittel oder Implantate nach diesem Zeitpunkt erstmals zu Lasten der gesetzlichen Krankenversicherung abgegeben, erfolgt die Meldung zum Zeitpunkt der erstmaligen Abgabe. Die Hersteller von Hilfsmitteln und Implantaten teilen dem Bundesinstitut für Arzneimittel und Medizinprodukte Änderungen an den von den jeweiligen Geräten verwendeten interoperablen Schnittstellen unverzüglich mit.

(3) Abweichend von Absatz 1 kann über den 1. Juli 2027 hinaus eine Versorgung mit Hilfsmitteln oder Implantaten erfolgen, welche die Anforderungen nach Absatz 1 nicht erfüllen, wenn dies aus medizinischen Gründen erforderlich ist oder die regelmäßige Versorgung der Versicherten mit Hilfsmitteln oder Implantaten andernfalls nicht gewährleistet wäre.

(4) Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen hat bis spätestens zum 31. Oktober 2025 im Benehmen mit dem Bundesamt für die Sicherheit in der Informationstechnik, mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie dem Bundesinstitut für Arzneimittel und Medizinprodukte die erforderlichen technischen Festlegungen für die Übermittlung von Daten nach Absatz 1 Satz 1, insbesondere zur sicheren gegenseitigen Identifizierung der Produkte bei der Datenübertragung, zu treffen. Die Gesellschaft für Telematik darf technische Dienste zur sicheren gegenseitigen Identifizierung der Produkte nach Maßgabe der technischen Festlegungen nach Satz 1 betreiben.

§ 375 (aufgehoben) ^{20k 21h 24}

Achter Abschnitt ^20k
Finanzierung und Kostenerstattung

§ 376 Finanzierung ^{20k 22k}

Nach den §§ 377 bis 382 werden den Leistungserbringern folgende Kosten erstattet:

1. die Kosten der aufgrund von Anforderungen nach diesem Gesetz erforderlichen Ausstattung, die den Leistungserbringern in der Festlegungs-, Erprobungs- und Einführungsphase der Telematikinfrastruktur entstehen, und
2. die erforderlichen Betriebskosten, die den Leistungserbringern im laufenden Betrieb der Telematikinfrastruktur entstehen.

§ 377 Finanzierung der den Krankenhäusern entstehenden Ausstattungs- und Betriebskosten ^{20k 21h 22k}

(1) Zum Ausgleich der in § 376 genannten Ausstattungs- und Betriebskosten erhalten die Krankenhäuser einen Zuschlag von den Krankenkassen (Telematikzuschlag).

(2) Der Telematikzuschlag ist in der Rechnung des Krankenhauses gesondert auszuweisen. Der Telematikzuschlag geht nicht in den Gesamtbetrag oder die Erlösausgleiche nach dem Krankenhausentgeltgesetz oder der Bundespflegesatzverordnung ein.

(3) Das Nähere zur Höhe und Abrechnung des Telematikzuschlags regelt der Spitzenverband Bund der Krankenkassen gemeinsam mit der Deutschen Krankenhausgesellschaft in einer gesonderten Vereinbarung. In der Vereinbarung ist mit Wirkung zum 1. Oktober 2020 insbesondere ein Ausgleich vorzusehen

1. für die Nutzung der elektronischen Patientenakte im Sinne des § 334 Absatz 1 Satz 2 Nummer 1 durch die Krankenhäuser und
2. für die Nutzung elektronischer vertragsärztlicher Verordnungen im Sinne des § 334 Absatz 1 Satz 2 Nummer 6 für apothekenpflichtige Arzneimittel durch die Krankenhäuser.

(4) Kommt eine Vereinbarung nach Absatz 3 innerhalb einer vom Bundesministerium für Gesundheit gesetzten Frist nicht oder nicht vollständig zustande, legt die Schiedsstelle nach § 18a Absatz 6 des Krankenhausfinanzierungsgesetzes auf Antrag einer Vertragspartei oder des Bundesministeriums für Gesundheit innerhalb einer Frist von zwei Monaten den Vereinbarungsinhalt fest. Die Klage gegen die Festlegung der Schiedsstelle hat keine aufschiebende Wirkung.

(5) Die Absätze 1 bis 4 gelten auch für Leistungserbringer, wenn sie Leistungen nach § 115b Absatz 2 Satz 1, § 116b Absatz 2 Satz 1 und § 120 Absatz 2 Satz 1 erbringen sowie für Notfallambulanzen in Krankenhäusern, wenn sie Leistungen für die Versorgung im Notfall erbringen.

§ 378 Finanzierung der den an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringern entstehenden Ausstattungs- und Betriebskosten ^{20k 22k 24}

(1) Zum Ausgleich der in § 376 genannten Kosten der Ausstattung und Betriebskosten erhalten die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer ab dem 1. Juli 2023 eine monatliche Pauschale (TI-Pauschale) von den Krankenkassen.

(2) Das Nähere zur Höhe und zu den der Berechnung zugrunde zu legenden Komponenten und Diensten sowie zur Abrechnung der TI-Pauschale vereinbaren der Spitzenverband Bund der Krankenkassen und die Kassenärztlichen Bundesvereinigungen bis zum 30. April 2023 in den Bundesmantelverträgen. Kommt eine Vereinbarung nach Satz 1 nicht oder nicht vollständig bis zum 30. April 2023 zustande, legt das Bundesministerium für Gesundheit den Vereinbarungsinhalt innerhalb von zwei Monaten nach Ablauf der in Satz 1 genannten Frist fest. Das Bundesministerium für Gesundheit kann den Vereinbarungsinhalt nach Satz 2 auch durch Rechtsverordnung ohne Zustimmung des Bundesrates regeln; in der Rechtsverordnung werden auch die in den Absätzen 3 und 4 genannten Inhalte festgelegt.

(3) In der Vereinbarung nach Absatz 2 Satz 1 ist auch das Nähere zum Umfang und Nachweis der Ausstattung mit den aufgrund der Anforderungen nach diesem Gesetz erforderlichen Komponenten und Diensten zu regeln. Ebenso ist zu vereinbaren, welche Komponenten und Dienste nach Satz 1 zum jeweiligen Monat, für den die TI-Pauschale gezahlt wird, vorhanden sein müssen.

(4) Die Vertragsparteien nach Absatz 2 Satz 1 legen in der Vereinbarung nach Absatz 2 Satz 1 auch die Einzelheiten hinsichtlich des Übergangs zu der erstmaligen Anwendung der TI-Pauschale fest.

(5) Die Vertragsparteien nach Absatz 2 Satz 1 vereinbaren im Abstand von jeweils zwei Jahren, erstmals zum 29. Dezember 2024 Anpassungen der Höhe der TI-Pauschale, sofern diese erforderlich sind. Wird eine Änderung nach Satz 1 nicht innerhalb dieser Frist vereinbart, gilt die jeweils bestehende Vereinbarung zur Höhe der TI-Pauschale bis zur Vereinbarung einer Änderung nach Satz 1 fort.

§ 379 Finanzierung der den Apotheken entstehenden Ausstattungs- und Betriebskosten ^{20k 22k 24}

(1) Zum Ausgleich der in § 376 genannten Kosten der Ausstattung und Betriebskosten erhalten Apotheken ab dem 1. Juli 2023 eine monatliche Pauschale (TI-Pauschale) von den Krankenkassen.

(2) Das Nähere zur Höhe und zu den der Berechnung zugrunde zu legenden Komponenten und Diensten sowie zur Abrechnung der TI-Pauschale vereinbaren der Spitzenverband Bund der Krankenkassen und die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene bis zum 30. April 2023. Kommt eine Vereinbarung nach Satz 1 nicht oder nicht vollständig bis zum 30. April 2023 zustande, legt das Bundesministerium für Gesundheit den Vereinbarungsinhalt innerhalb von zwei Monaten nach Ablauf der in Satz 1 genannten Frist fest. § 378 Absatz 3 bis 5 gilt entsprechend. Das Bundesministerium für Gesundheit kann den Vereinbarungsinhalt nach Satz 2 auch durch Rechtsverordnung ohne Zustimmung des Bundesrates regeln; in der Rechtsverordnung werden auch die in § 378 Absatz 3 und 4 genannten Inhalte festgelegt.

§ 380 Finanzierung der den Hebammen, Physiotherapeuten und anderen Heilmittelerbringern, Hilfsmittelerbringern, zahntechnischen Laboren, Erbringern von Soziotherapie nach § 37a sowie weiteren Leistungserbringern entstehenden Ausstattungs- und Betriebskosten ^{20k 21h 22k 24}

(1) Zum Ausgleich der in § 376 genannten Ausstattungs- und Betriebskosten erhalten Hebammen, für die gemäß § 134a Absatz 2 Satz 1 die Verträge nach § 134a Absatz 1 Rechtswirkung haben, sowie Physiotherapeuten, die nach § 124 Absatz 1 zur Abgabe von Leistungen berechtigt sind, ab dem 1. Juli 2021 und von Hebammen geleitete Einrichtungen, für die die Verträge nach § 134a Absatz 1 Rechtswirkung haben, ab dem 1. Oktober 2021 die in der Vereinbarung jeweils geltenden Fassung der nach § 378 Absatz 2 für die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer vereinbarten Erstattungen von den Krankenkassen.

(2) Zum Ausgleich der in § 376 genannten Ausstattungs- und Betriebskosten erhalten folgende Leistungserbringer die in der jeweils geltenden Fassung der Vereinbarung nach § 378 Absatz 2 für die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer vereinbarten Erstattungen von den Krankenkassen:

1. ab dem 1. Juli 2024 die übrigen Heilmittelerbringer, die nach § 124 Absatz 1 zur Abgabe von Leistungen berechtigt sind, die Hilfsmittelerbringer, die im Besitz eines Zertifikates nach § 126 Absatz 1a Satz 2 sind, sowie die Leistungserbringer, die zur Abgabe der weiteren in § 360 Absatz 7 Satz 1 genannten Leistungen berechtigt sind,
2. ab dem 1. Juli 2024 zahntechnische Labore,
3. ab dem 1. Juli 2024 Erbringer soziotherapeutischer Leistungen nach § 37a und
4. ab dem 1. Juli 2023 Leistungserbringer, die Leistungen nach den §§ 24g, 37, 37b, 37c, 39a Absatz 1 und § 39c erbringen, sofern sie nicht zugleich Leistungserbringer nach dem Elften Buch sind.

Für Rehabilitationseinrichtungen, die ambulante Leistungen zur medizinischen Rehabilitation bei Abhängigkeitserkrankungen erbringen, kann ein von Satz 2 abweichendes Verfahren vereinbart werden.

(3) Das Nähere zur Abrechnung der Erstattungen nach Absatz 1 vereinbaren bis zum 31. März 2021

1. für die Hebammen die Vertragspartner nach § 134a Absatz 1 Satz 1 und
2. für die Physiotherapeuten der Spitzenverband Bund der Krankenkassen mit den für die Wahrnehmung der wirtschaftlichen Interessen maßgeblichen Spitzenorganisationen der Physiotherapeuten auf Bundesebene.

Das Nähere zur Abrechnung der Erstattung vereinbaren für die von Hebammen geleiteten Einrichtungen die Vereinbarungspartner nach § 134a Absatz 1 Satz 1 bis zum 1. Oktober 2021.

(4) Das Nähere zur Abrechnung der Erstattungen nach Absatz 2 vereinbaren

1. bis zum 1. Januar 2024 für die Heilmittelerbringer nach Absatz 2 Nummer 1 der Spitzenverband Bund der Krankenkassen mit den für die Wahrnehmung der Interessen der Heilmittelerbringer maßgeblichen Spitzenorganisationen auf Bundesebene,
2. bis zum 1. Januar 2024 für die Leistungserbringer nach Absatz 2 Nummer 1, die Hilfsmittel oder die weiteren in § 360 Absatz 7 Satz 1 genannten Mittel abgeben, der Spitzenverband Bund der Krankenkassen und die für die Wahrnehmung der Interessen dieser Leistungserbringer maßgeblichen Spitzenorganisationen auf Bundesebene,
3. bis zum 1. Januar 2024 für die zahntechnischen Labore nach Absatz 2 Nummer 2 der Spitzenverband Bund der Krankenkassen und der Verband Deutscher Zahntechniker-Innungen,
4. bis zum 1. Januar 2024 für die in Absatz 2 Nummer 3 genannten Leistungserbringer der Spitzenverband Bund der Krankenkassen mit den soziotherapeutischen Leistungserbringern nach § 132b und
5. bis zum 1. Januar 2023 für die in Absatz 2 Nummer 4 genannten Leistungserbringer der Spitzenverband Bund der Krankenkassen und die Vereinigungen der Träger der Pflegeeinrichtungen auf Bundesebene.

§ 381 Finanzierung der den Vorsorgeeinrichtungen und Rehabilitationseinrichtungen entstehenden Ausstattungs- und Betriebskosten ^{20k 21h 22k}

(1) Zur Finanzierung der in § 376 Satz 1 genannten Ausstattungs- und Betriebskosten erhalten

1. die Einrichtungen, mit denen ein Versorgungsvertrag nach § 111 Absatz 2 Satz 1, § 111a Absatz 1 Satz 1 oder § 111c Absatz 1 besteht, ab dem 1. Januar 2021 einen Ausgleich von den Krankenkassen und
2. die Rehabilitationseinrichtungen der gesetzlichen Rentenversicherung, die Leistungen nach den §§ 15, 15a oder § 31 Absatz 1 Nummer 2 des Sechsten Buches erbringen, ab dem 1. Januar 2021 einen Ausgleich von den Trägern der gesetzlichen Rentenversicherung.

(2) Das Nähere zum Ausgleich der Kosten nach Absatz 1 vereinbaren der Spitzenverband Bund der Krankenkassen, die Deutsche Rentenversicherung Bund, die für die Wahrnehmung der Interessen der Vorsorgeeinrichtungen und Rehabilitationseinrichtungen nach diesem Buch maßgeblichen Bundesverbände und die für die Wahrnehmung der Interessen der Rehabilitationseinrichtungen maßgeblichen Vereinigungen der gesetzlichen Rentenversicherung bis zum 1. Oktober 2020. Dabei gilt sowohl für die Rehabilitationseinrichtungen der gesetzlichen Rentenversicherung als auch für die von den Krankenkassen zu finanzierenden Einrichtungen das Verfahren zur Verhandlung und Anpassung von Vergütungssätzen.

(3) Über die Aufteilung der Kosten zwischen den Krankenkassen und den Trägern der gesetzlichen Rentenversicherung treffen der Spitzenverband Bund der Krankenkassen und die Deutsche Rentenversicherung Bund eine gesonderte Vereinbarung bis zum 1. Januar 2021.

(4) Die Absätze 1 bis 3 gelten für die Landwirtschaftliche Alterskasse, die Leistungen nach § 10 Absatz 1 des Gesetzes über die Alterssicherung der Landwirte erbringt, entsprechend mit der Maßgabe, dass die Landwirtschaftliche Alterskasse den Vereinbarungen nach den Absätzen 2 und 3 nach vorheriger Verständigung mit dem Spitzenverband Bund der Krankenkassen und der Deutschen Rentenversicherung Bund beitreten kann. Die Einrichtungen nach Absatz 1 erhalten den Ausgleich nach Absatz 1 von der Landwirtschaftlichen Alterskasse ab dem Zeitpunkt ihres Beitritts zu den Vereinbarungen nach den Absätzen 2 und 3.

§ 382 Erstattung der dem Öffentlichen Gesundheitsdienst entstehenden Ausstattungs- und Betriebskosten ^20k

(1) Zum Ausgleich der in § 376 Satz 1 genannten Ausstattungs- und Betriebskosten erhalten die Rechtsträger der für den Öffentlichen Gesundheitsdienst zuständigen Behörden ab dem 1. Januar 2021 die in der Vereinbarung nach § 378 Absatz 2 in der jeweils geltenden Fassung für die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer vereinbarten Erstattungen von den Krankenkassen.

(2) Das Nähere zur Abrechnung der Erstattungen vereinbart der Spitzenverband Bund der Krankenkassen mit den obersten Landesbehörden oder den von ihnen jeweils bestimmten Stellen bis zum 1. Oktober 2020.

§ 382a Erstattung der den Betriebsärzten entstehenden Ausstattungs- und Betriebskosten ²⁴

(1) Zum Ausgleich der in § 376 genannten Ausstattungs- und Betriebskosten erhalten Betriebsärzte im Sinne von § 352 Satz 1 Nummer 18, die nicht an der vertragsärztlichen Versorgung teilnehmen, ab dem 1. Januar 2025 diejenigen Erstattungen von den Krankenkassen, die in der Vereinbarung nach § 378 Absatz 2 in der jeweils geltenden Fassung für die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer vereinbart wurden.

(2) Das Nähere zur Abrechnung der Erstattungen vereinbart der Spitzenverband Bund der Krankenkassen mit den für die Wahrnehmung der Interessen der Betriebsärzte maßgeblichen Spitzenorganisationen auf Bundesebene bis zum 1. Oktober 2024.

§ 383 Erstattung der Kosten für die Übermittlung elektronischer Briefe in der vertragsärztlichen Versorgung ^20k

(1) Die Erstattung nach § 378 Absatz 1 erhöht sich um eine Pauschale pro Übermittlung eines elektronischen Briefes zwischen den an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringern, wenn

1. die Übermittlung durch sichere elektronische Verfahren erfolgt und dadurch der Versand durch Post-, Boten- oder Kurierdienste entfällt,
2. der an der vertragsärztlichen Versorgung teilnehmende Leistungserbringer gegenüber der Abrechnungsstelle den Nachweis einer Bestätigung nach Absatz 4 erbringt und
3. der elektronische Brief mit einer qualifizierten elektronischen Signatur versehen worden ist, die mit einem elektronischen Heilberufsausweis erzeugt wurde.

Die Höhe der Pauschale wird durch die Vertragspartner nach § 378 Absatz 2 Satz 1 vereinbart. Ein sicheres elektronisches Verfahren erfordert, dass der elektronische Brief durch geeignete technische Maßnahmen entsprechend dem aktuellen Stand der Technik gegen unberechtigte Zugriffe geschützt wird. Der Wegfall des Versands durch Post-, Boten- oder Kurierdienste ist bei der Anpassung des Behandlungsbedarfes nach § 87a Absatz 4 zu berücksichtigen.

(2) Die Kassenärztliche Bundesvereinigung regelt im Benehmen mit dem Spitzenverband Bund der Krankenkassen, der Gesellschaft für Telematik und dem Bundesamt für Sicherheit in der Informationstechnik in einer Richtlinie Einzelheiten zu den Anforderungen an ein sicheres elektronisches Verfahren sowie an informationstechnische Systeme für an der vertragsärztlichen Versorgung teilnehmende Leistungserbringer sowie das Nähere

1. über Inhalt und Struktur des elektronischen Briefes,
2. zur Abrechnung der Pauschale und
3. zur Vermeidung einer nicht bedarfsgerechten Mengenausweitung.

(3) In der Richtlinie ist festzulegen, dass für die Übermittlung des elektronischen Briefes die nach § 311 Absatz 6 Satz 1 festgelegten sicheren Verfahren genutzt werden, sobald diese zur Verfügung stehen. Die Richtlinie ist dem Bundesministerium für Gesundheit zur Prüfung vorzulegen. Bei der Prüfung der Richtlinie hat das Bundesministerium für Gesundheit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben. Das Bundesministerium für Gesundheit kann für die Stellungnahme eine angemessene Frist setzen. Das Bundesministerium für Gesundheit kann die Richtlinie innerhalb von einem Monat beanstanden und eine Frist zur Behebung der Beanstandungen setzen.

(4) Die Kassenärztliche Bundesvereinigung bestätigt auf Antrag eines Anbieters eines informationstechnischen Systems für an der vertragsärztlichen Versorgung teilnehmende Leistungserbringer, dass sein System die Vorgaben der Richtlinie erfüllt. Die Kassenärztliche Bundesvereinigung veröffentlicht eine Liste mit denjenigen informationstechnischen Systemen, für die die Anbieter eine Bestätigung nach Satz 1 erhalten haben.

(5) Durch den Bewertungsausschuss nach § 87 Absatz 1 ist durch Beschluss festzulegen, dass die für die Versendung eines Telefax im einheitlichen Bewertungsmaßstab für ärztliche Leistungen vereinbarte Kostenpauschale folgende Beträge nicht überschreiten darf:

1. mit Wirkung zum 31. März 2020 die Hälfte der Vergütung, die für die Versendung eines elektronischen Briefes nach Satz 1 vereinbart ist und
2. mit Wirkung zum 31. März 2021 ein Viertel der Vergütung, die für die Versendung eines elektronischen Briefes nach Satz 1 vereinbart ist.

Abweichend von Satz 1 darf die Pauschale bis zum 30. Juni 2020 auch für den Fall vereinbart werden, dass für die Übermittlung des elektronischen Briefes ein Dienst genutzt wird, der von der Kassenärztlichen Bundesvereinigung angeboten wird.

(6) Die Absätze 1 bis 5 gelten nicht für die Vertragszahnärzte.

Zwölftes Kapitel ^{20k 21h 24}
Interoperabilität und Cybersicherheit im Gesundheitswesen; Nationales Gesundheitsportal

§ 384 Begriffsbestimmungen ^{21h 24}

Im Sinne dieses Buches bezeichnet der Ausdruck

1. Interoperabilität die Fähigkeit zweier oder mehrerer informationstechnischer Systeme,
   1. Informationen auszutauschen und diese für die korrekte Ausführung einer konkreten Funktion ohne Änderung des Inhalts der Daten zu nutzen,
   2. miteinander zu kommunizieren,
   3. bestimmungsgemäß zusammenzuarbeiten;
2. Standard diejenigen Dokumente, die dem aktuellen Stand der Technik mit Anforderungs- und Lösungsdefinitionen entsprechen, wobei der Entstehungsprozess des Dokuments bekannt und dokumentiert ist, inklusive der Prozesse der Veröffentlichung, Nutzung und Versionierung;
3. Profil diejenigen Dokumente, die aus einem oder mehreren Standards bestehen, die für eine spezifische Anwendung zusammengestellt sind; Profile enthalten den aktuellen Stand der Technik mit Anforderungs- und Lösungsdefinitionen;
4. Leitfaden diejenigen Dokumente, die mindestens eine Anforderung an die Informationsübertragung enthalten; sie erläutern oder dokumentieren die Nutzung einer oder mehrerer Standards oder Profile;
5. Cloud-Computing-Dienst einen digitalen Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
6. aktuelles C5-Testat das positive Prüfergebnis über einen sicheren Cloud-Computing-Dienst anhand des Kriterienkatalogs C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils gültigen Fassung;
7. Spezifikationen definierte, standardisiert dokumentierte Anforderungen an die technische, semantische und syntaktische Interoperabilität informationstechnischer Systeme in Form von Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen oder Softwarekomponenten;
8. Konformitätsbewertung das Verfahren, nach dem festgestellt wird, ob die jeweils maßgeblichen Interoperabilitätsanforderungen an ein informationstechnisches System erfüllt worden sind;
9. Konformitätsbewertungsstelle eine juristische Person, die Konformitätsbewertungstätigkeiten einschließlich Prüfungen und Zertifizierungen durchführt;
10. akkreditierte Stelle eine Konformitätsbewertungsstelle, die gemäß den jeweils maßgeblichen Vorschriften durch das Kompetenzzentrum für Interoperabilität im Gesundheitswesen akkreditiert wurde;
11. Zertifikat eine Bescheinigung über das Einhalten der jeweils maßgeblichen Anforderungen einer Konformitätsbewertung, die durch eine Konformitätsbewertungsstelle ausgestellt wird und zum Führen im Rechtsverkehr geeignet ist;
12. Informationsmodell Eigenschaften von Informationsobjekten und deren Teilelementen sowie deren logische Beziehungen untereinander;
13. Referenzarchitektur eine Ausprägung einer Architektur, die Komponenten und deren Zusammenwirken in informationstechnischen Systemen einzeln oder als Gesamtheit sowie das Zusammenwirken von informationstechnischen Systemen einzeln oder als Gesamtheit beschreibt und der Orientierung dient;
14. Softwarekomponenten eigenständige Einheiten in einem Softwaresystem zur Schaffung oder Umsetzung von Interoperabilität durch die Bereitstellung von bestimmten Funktionen oder Diensten.

Im Sinne dieses Kapitels bezeichnet der Ausdruck

1. Festlegung die verbindliche Anwendungs- und Nutzungsverpflichtung einer Spezifikation sowie deren Umsetzungsfrist;
2. Bestandssystem ein informationstechnisches System, das bereits in Verkehr gebracht und zertifiziert wurde;
3. Hersteller eine natürliche oder juristische Person, die ein informationstechnisches System herstellt oder entwickeln oder herstellen lässt;
4. Anbieter eine natürliche oder juristische Person, die ein informationstechnisches System unter ihrem eigenen Namen oder unter ihrer eigenen Marke vermarktet oder unter fremder Marke vertreibt oder vertreiben lässt;
5. Inverkehrbringen und -halten die entgeltliche oder unentgeltliche Bereitstellung oder Abgabe an Dritte mit dem Ziel des Vertriebs, des Verbrauchs oder der Verwendung sowie die gewerbsmäßige Einfuhr in den Geltungsbereich dieses Kapitels.

§ 385 Bedarfsidentifizierung und -priorisierung, Spezifikation, Entwicklung und Festlegung von Standards; Verordnungsermächtigung ^{20k 21h}, ^{21h 22k 24}

(1) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates zur Förderung der Interoperabilität und von offenen Standards und Schnittstellen die Einrichtung und Organisation eines bei der Gesellschaft für Telematik unterhaltenen Kompetenzzentrums für Interoperabilität im Gesundheitswesen sowie eines von dem Kompetenzzentrum eingesetzten Expertengremiums und deren jeweils notwendige Arbeitsstrukturen zu regeln sowie Regelungen zu treffen für die Erhebung von Gebühren und Auslagen für individuell zurechenbare öffentliche Leistungen, die durch das Kompetenzzentrum oder das Expertengremium erbracht werden. Das Kompetenzzentrum hat die Aufgabe, für informationstechnische Systeme, die im Gesundheitswesen eingesetzt werden,

1. einen Bedarf an technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten zu identifizieren und zu priorisieren,
2. natürliche Personen oder juristische Personen des öffentlichen oder privaten Rechts mit der Spezifikation von technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten zu beauftragen,
3. technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen zu empfehlen,
4. dem Bundesministerium für Gesundheit die verbindliche Festlegung von technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen vorzuschlagen,
5. technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten sowie Informationen über das Ergebnis beziehungsweise den Sachstand der Zertifizierung von informationstechnischen Systemen nach Nummer 7 in Verbindung mit § 387 sowie Informationen über das Vorliegen eines Testats im Sinne des § 393 Absatz 3 Nummer 2 einschließlich einer Kontrollliste zu den korrespondierenden Kriterien für Kunden im Sinne des § 393 Absatz 7 Satz 2 auf einer zu betreibenden Plattform zu veröffentlichen, wobei verbindliche Festlegungen im Sinne von Absatz 2 Satz 1 Nummer 1 gesondert auszuweisen sind,
6. technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten selbst zu entwickeln,
7. das Übereinstimmen mit den Interoperabilitätsanforderungen dieses Buches, des Siebten Buches und des Elften Buches sowie den Anforderungen nach der nach § 14a Absatz 1 Satz 2 des Infektionsschutzgesetzes erlassenen Rechtsverordnung durch eine Konformitätsbewertung nach § 387 zu überprüfen und hierüber ein Zertifikat auszustellen,
8. durch Maßnahmen zur Kompetenzbildung das Verständnis für Sachverhalte der Interoperabilität im Gesundheitswesen zu fördern sowie mit den Mitteln der Öffentlichkeitsarbeit kommunikativ die Aufgaben des Kompetenzzentrums gemäß den Nummern 1 bis 7 zu begleiten und
9. die Bundesregierung im Rahmen von Vorhaben und Gremien zur Förderung der Interoperabilität im Gesundheitswesen auf Bundesebene, in der Europäischen Union und im Rahmen bi- und multilateraler Abstimmungen zu unterstützen und die Aufgabe nach den Nummern 1 bis 4 und 6 auf Basis internationaler Standards vorzunehmen.

(2) Das Bundesministerium für Gesundheit kann in der Anlage zu der Rechtsverordnung nach Absatz 1 Satz 1

1. technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen verbindlich festlegen,
2. Fristen für die Umsetzung der verbindlichen Festlegungen nach Nummer 1 festlegen,
3. Fristen für die Integration der Schnittstellen nach den §§ 371 bis 373 festlegen und
4. Festlegungen zu offenen und standardisierten Schnittstellen für informationstechnische Systeme nach den §§ 371 bis 373 treffen, die zur Meldung und Vermittlung von Videosprechstunden genutzt werden.

Auf die Plattform nach Absatz 1 Satz 2 Nummer 5 können auch technische und semantische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen, Softwarekomponenten und Leitlinien der Pflege eingestellt werden. Das Kompetenzzentrum wird bei der Wahrnehmung seiner Aufgaben nach Satz 2 durch das Expertengremium unterstützt.

(3) In der Rechtsverordnung nach Absatz 1 Satz 1 ist das Nähere zu regeln zu

1. der Zusammensetzung der Gremien nach Absatz 1 Satz 1, einschließlich der Neuwahl des Expertengremiums, die spätestens zum 31. Dezember 2024 abgeschlossen sein muss,
2. dem Verfahrensablauf zur Benennung von Experten sowie den fachlichen Anforderungen an die zu benennenden Experten,
3. de jeweiligen Abstimmungsmodalitäten der in den Nummern 1 und 2 genannten Gremien, einschließlich der Beschlussfähigkeit,
4. der Einrichtung eines Expertenkreises sowie der Einrichtung von Arbeitskreisen, einschließlich deren Zusammensetzung unter Berücksichtigung der jeweiligen fachlichen Betroffenheit,
5. der Aufwandsentschädigung für die Experten,
6. den Einzelheiten der Aufgabenwahrnehmung nach Absatz 1 Satz 2 sowie den hierbei anzuwendenden Verfahren,
7. der jeweiligen Zuständigkeit der Gremien nach Absatz 1 Satz 1 für die Wahrnehmung der Aufgaben nach Absatz 1 Satz 2 sowie der Pflicht des Kompetenzzentrums, dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Gelegenheit zur Stellungnahme zu geben,
8. den Fristen für einzelne Aufgaben nach Absatz 1 Satz 2,
9. dem Inhalt, Betrieb und der Pflege der Plattform nach Absatz 1 Satz 2 Nummer 5,
10. den Berichtspflichten des Kompetenzzentrums und des Expertengremiums gegenüber dem Bundesministerium für Gesundheit und der Fachöffentlichkeit sowie den jeweiligen Berichtsinhalten,
11. dem Verfahrensablauf zur Beauftragung von natürlichen oder juristischen Personen des öffentlichen oder privaten Rechts mit der Erstellung von Spezifikationen nach Absatz 1 Satz 2 Nummer 2,
12. dem Verfahrensablauf und den Anforderungen zur Überprüfung der fachlichen Eignung als Voraussetzung zur Beauftragung von natürlichen oder juristischen Personen mit der Erstellung von Spezifikationen nach Absatz 1 Satz 2 Nummer 2,
13. dem Verfahrensablauf für standardisierte Kommentierungs- und Stellungnahmeverfahren im Rahmen der Aufgabenerfüllung nach Absatz 1 Satz 2,
14. dem Verfahrensablauf und den Fristen der Konformitätsbewertung, einschließlich den Eigenschaften und der Ausstellung des Zertifikats nach Absatz 1 Satz 2 Nummer 7,
15. dem Verfahrensablauf für die Akkreditierung einer Konformitätsbewertungsstelle im Sinne der Absätze 8 und 9 durch das Kompetenzzentrum,
16. den Festlegungen der Berichtspflichten für Hersteller von informationstechnischen Systemen über die Weiterentwicklungen ihrer Systeme, die Auswirkungen auf die Einhaltung der Interoperabilitätsanforderungen haben, und
17. der Einrichtung einer Beschwerdestelle, bei der Hinweise auf das negative Abweichen eines zertifizierten Systems von den verbindlichen Interoperabilitätsanforderungen gemeldet und geprüft werden können.

(4) Die Beauftragung mit der Erstellung einer Spezifikation im Sinne des Absatzes 1 Satz 2 Nummer 2 setzt voraus, dass durch das Kompetenzzentrum vor der Beauftragung die besondere fachliche Eignung der jeweiligen natürlichen oder juristischen Person festgestellt wurde. Nähere Regelungen hierzu bleiben nach Absatz 3 Nummer 12 der Rechtsverordnung nach Absatz 1 Satz 1 vorbehalten. Satz 1 findet keine Anwendung auf juristische Personen, denen vor dem 1. Januar 2024 in diesem oder einem anderen Gesetz die Spezifikation von Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen oder Softwarekomponenten als eigenverantwortliche Aufgabe übertragen wurde. Die fachliche Eignung der juristischen Personen nach Satz 3 wird vermutet. Das Bundesministerium für Gesundheit kann in der Rechtsverordnung nach Absatz 1 Satz 1 für einen öffentlichen Auftraggeber im Sinne des § 99 Nummer 1 bis 3 des Gesetzes gegen Wettbewerbsbeschränkungen ein ausschließliches Leistungserbringungsrecht zur Erstellung einer konkreten Spezifikation im Sinne des Absatzes 1 Satz 2 Nummer 2 festsetzen.

(5) Sofern nach den §§ 355, 372, 373 und 374a bereits gesetzliche Aufträge zur Spezifikation von technischen, semantischen oder syntaktischen Standards, Profilen oder Leitfäden bestehen, sind Absatz 1 Satz 2 Nummer 2, Absatz 3 Nummer 11 und Absatz 4 erst ab dem 1. Januar 2025 anzuwenden.

(6) Sofern auf der Plattform im Sinne des Absatzes 1 Satz 2 Nummer 5 Angaben im Sinne des § 387 Absatz 5 zu der Versagung, der Rücknahme oder den Widerruf eines Zertifikats veröffentlicht wurden, können diese Angaben auf Antrag eines Berechtigten im Sinne des § 387 Absatz 1 nach angemessener Zeit gelöscht werden.

(7) Die Konformitätsbewertung und Zertifikatsausstellung nach Absatz 1 Satz 2 Nummer 7 und § 387 kann auch durch vom Kompetenzzentrum akkreditierte Stellen erfolgen.

(8) Bei dem Kompetenzzentrum kann von Konformitätsbewertungsstellen ein Antrag auf Akkreditierung nach Absatz 3 Nummer 15 gestellt werden. Voraussetzung für die Akkreditierung der Konformitätsbewertungsstelle ist, dass ihre Befähigung zur Wahrnehmung ihrer Aufgaben sowie die Einhaltung der Kriterien gemäß der Rechtsverordnung nach Absatz 1 Satz 1 für das Verfahren, für das die Stelle akkreditiert werden soll, durch das Kompetenzzentrum entsprechend dem in der Rechtsverordnung nach Absatz 1 Satz 1 niedergelegten Verfahren, festgestellt wurden. Die Akkreditierung kann unter Auflagen erteilt werden und ist zu befristen. Das Kompetenzzentrum nimmt die Akkreditierung zurück, wenn nachträglich bekannt wird, dass eine Stelle bei Antragstellung die Voraussetzungen nicht erfüllt hat. Sie widerruft die Akkreditierung, wenn die Voraussetzungen für eine Akkreditierung nachträglich weggefallen sind. An Stelle des Widerrufs kann das Ruhen der Akkreditierung angeordnet werden.

(9) Das Kompetenzzentrum überwacht die Erfüllung der in Absatz 8 festgelegten Voraussetzungen an die akkreditierten Stellen. Das Kompetenzzentrum macht die akkreditierten Stellen im Sinne des Absatzes 8 mit einer Kennnummer auf der Plattform nach Absatz 1 Satz 2 Nummer 5 bekannt.

§ 386 Recht auf Interoperabilität ^{20k 21h 24}

(1) Die Leistungserbringer tauschen Patientendaten nach diesem Buch im interoperablen Format aus.

(2) Die in Absatz 1 genannten Stellen oder Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a haben den Versicherten auf deren Verlangen ihre personenbezogenen Gesundheitsdaten unverzüglich und kostenfrei im interoperablen Format herauszugeben. Die Versicherten können verlangen, dass auch ihre personenbezogenen Gesundheitsdaten von den in Satz 1 genannten Stellen an einen Leistungserbringer nach diesem Buch oder den Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a im interoperablen Format oder an ihre Krankenkasse nach Absatz 4 Satz 2 übermittelt werden. § 630f Absatz 3 und § 630g des Bürgerlichen Gesetzbuchs bleiben hiervon unberührt.

(3) Das geltende interoperable Format ergibt sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 und Absatz 2 Satz 1 Nummer 1; das geltende interoperable Format bei der Übermittlung aus und in digitale Gesundheitsanwendungen ergibt sich aus den Interoperabilitätsanforderungen nach § 5 Absatz 1 in Verbindung mit § 7 der Digitale Gesundheitsanwendungen-Verordnung.

(4) Die Krankenkassen sollen die Versicherten bei der Verfolgung ihrer Ansprüche nach Absatz 2 unterstützen. Die Unterstützung der Krankenkassen nach Absatz 2 Satz 1 soll insbesondere umfassen, mit Einwilligung der Versicherten deren personenbezogene Gesundheitsdaten bei den Leistungserbringern nach Absatz 2 stellvertretend für die Versicherten anzufordern.

(5) Die auf Grundlage der Einwilligung der Versicherten bei den Leistungserbringern oder dem Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a oder einer digitalen Pflegeanwendung nach § 40a des Elften Buches erhobenen Daten dürfen von den Krankenkassen ausschließlich zur Unterstützung der Versicherten bei der Durchsetzung des Herausgabeanspruches nach Absatz 2 Satz 1 in Verbindung mit § 284 Absatz 1 Satz 1 Nummer 21 und mit Einwilligung des Versicherten zur Vorbereitung von Versorgungsinnovationen, der Information der Versicherten und der Unterbreitung von Angeboten nach § 284 Absatz 1 Satz 1 Nummer 19 verarbeitet werden.

§ 387 Aufnahme von Standards, Profilen und Leitfäden der Gesellschaft für Telematik ^{20k 21h}, ^{21h 24}

(1) Auf Antrag eines Herstellers oder Anbieters eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll, führt das Kompetenzzentrum oder eine akkreditierte Stelle im Sinne von § 385 Absatz 8 eine Konformitätsbewertung auf die Übereinstimmung des Systems mit den geltenden Interoperabilitätsanforderungen durch.

(2) Die nach Absatz 1 zu prüfenden Interoperabilitätsanforderungen sind solche, die entsprechend § 385 Absatz 2 Satz 1 Nummer 1 für verbindlich erklärt wurden. Für die Schnittstellen der informationstechnischen Systeme im Sinne des § 371 Absatz 1 und 2 gelten ergänzend die Festlegungen des § 372 oder des § 373 als auf Einhaltung zu überprüfende Interoperabilitätsanforderungen.

(3) Sofern das zu prüfende informationstechnische System die Interoperabilitätsanforderungen entsprechend Absatz 2 erfüllt, stellt das Kompetenzzentrum oder die jeweilige akkreditierte Stelle im Sinne von § 385 Absatz 8 hierüber ein Zertifikat aus.

(4) Die Gültigkeitsdauer des Zertifikats über die Einhaltung der Interoperabilitätsanforderungen darf drei Jahre ab Ausstellung des Zertifikats nicht überschreiten. Das Zertifikat ist zurückzunehmen, wenn nachträglich bekannt wird, dass die Voraussetzungen zur Erteilung nicht vorgelegen haben. Das Zertifikat ist zu widerrufen, wenn die Voraussetzungen zur Erteilung nicht mehr gegeben sind.

(5) Die Angaben über gestellte Anträge, die Ausstellung, die Versagung, die Rücknahme oder den Widerruf eines Zertifikats sind vom Kompetenzzentrum auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen.

(6) Die Stellen für die Durchführung der Konformitätsbewertung nach § 372 Absatz 3 sind, abweichend von Absatz 1, bis einschließlich 31. Dezember 2024 die Kassenärztlichen Bundesvereinigungen.

(7) Das Nähere zum Konformitätsbewertungsverfahren im Sinne dieser Norm regelt die Rechtsverordnung nach § 385 Absatz 1 Satz 1 und Absatz 2. In dieser sind insbesondere die Gebühren und Auslagen niederzulegen, die die Gesellschaft für Telematik für die durch das Kompetenzzentrum oder die jeweilige akkreditierte Stelle im Sinne von § 385 Absatz 8 durchgeführten Konformitätsbewertungen gegenüber den Antragstellern erhebt.

§ 388 Aufnahme von Standards, Profilen und Leitfäden für informationstechnische Systeme im Gesundheitswesen ^{20k 21h}, ^{21h 24}

(1) Ein Inverkehrbringen und -halten eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll und für das verbindliche Festlegungen nach § 385 Absatz 2 Satz 1 Nummer 1 gelten, darf durch einen Hersteller oder Anbieter dieses Systems ab dem 1. Januar 2025 nur erfolgen, wenn

1. das Kompetenzzentrum für Interoperabilität im Gesundheitswesen zuvor durch die Ausstellung eines Zertifikats gemäß dem in § 387 niedergelegten Verfahren bestätigt hat, dass das informationstechnische System den verbindlichen Interoperabilitätsanforderungen dieses Buches entspricht oder
2. eine akkreditierte Stelle im Sinne von § 385 Absatz 8 zuvor durch die Ausstellung eines Zertifikats gemäß dem in § 387 niedergelegten Verfahren bestätigt hat, dass das informationstechnische System den verbindlichen Interoperabilitätsanforderungen dieses Buches entspricht und der Hersteller oder Anbieter des informationstechnischen Systems dieses Zertifikat dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen vorgelegt hat.

Die Pflichten nach Satz 1 entstehen bei wesentlichen Änderungen an Bestandssystemen, die deren Interoperabilität betreffen, erneut.

(2) Von den Pflichten nach Absatz 1 sind informationstechnische Systeme ausgenommen, die im Rahmen der wissenschaftlichen Forschung oder zu gemeinnützigen Zwecken oder durch juristische Personen des öffentlichen Rechts in Erfüllung eines gesetzlichen Auftrags entwickelt werden. Von einem gemeinnützigen Zweck ist auszugehen, wenn die Voraussetzungen des § 52 Absatz 1 der Abgabenordnung nachgewiesen sind.

(3) Wer als Hersteller oder Anbieter eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll, gegen die Pflichten des Absatzes 1 verstößt, kann auf Unterlassen des Inverkehrbringens in Anspruch genommen werden. Der Anspruch auf Unterlassung steht jedem Mitbewerber zu, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt, sowie den Krankenkassen. Wer beharrlich die Pflichten des Absatzes 1 vorsätzlich oder fahrlässig verletzt, ist den redlichen Mitbewerbern zum Ersatz des hieraus entstehenden Schadens verpflichtet. Bei der Bemessung des Schadensersatzes kann auch der Gewinn, den der unredliche Mitbewerber durch das unrechtmäßige Inverkehrbringen erzielt hat, berücksichtigt werden.

(4) Für die Geltendmachung der Ansprüche nach Absatz 3 ist der ordentliche Rechtsweg gegeben.

(5) Die Aufgaben und Zuständigkeiten der Kartellbehörden nach dem Gesetz gegen Wettbewerbsbeschränkungen bleiben unberührt.

§ 389 Beachtung der Festlegungen und Empfehlungen bei Finanzierung aus Mitteln der gesetzlichen Krankenversicherung ^{20k 21h 21h 24 24}
(vorherige Änderungen § 389 bis 26.03.2024 ^{20k 21h}, ^21h)

Elektronische Anwendungen im Gesundheitswesen dürfen aus Mitteln der gesetzlichen Krankenversicherung nur ganz oder teilweise finanziert werden, wenn die Anbieter der elektronischen Anwendungen die Festlegungen nach § 385 Absatz 2 Satz 1 Nummer 1 beachten.

§ 390 IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung ^{20k 21h 21h 24}

(1) Die Kassenärztlichen Bundesvereinigungen legen in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest.

(2) Die Richtlinie nach Absatz 1 umfasst insbesondere auch

1. Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur, die in der vertragsärztlichen und vertragszahnärztlichen Versorgung genutzt werden, und
2. Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit (Steigerung der Security-Awareness).

(3) Die in der Richtlinie festzulegenden Anforderungen müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential und dem Schutzbedarf der verarbeiteten Informationen, in Bezug auf die primären Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen und vertragszahnärztlichen Leistungserbringer zu vermeiden.

(4) Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen, sind jährlich inhaltlich zu überprüfen und zu korrigieren sowie spätestens alle zwei Jahre an den Stand der Technik und an das Gefährdungspotential anzupassen.

(5) Die in der Richtlinie festzulegenden Anforderungen sowie deren Anpassungen erfolgen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen. Die Anforderungen nach Absatz 2 Nummer 1 legen die Kassenärztlichen Bundesvereinigungen zusätzlich im Benehmen mit der Gesellschaft für Telematik fest.

(6) Die Richtlinie nach Absatz 1 ist für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich. Die Richtlinie ist nicht anzuwenden für die vertragsärztliche und vertragszahnärztliche Versorgung im Krankenhaus, soweit dort bereits angemessene Vorkehrungen nach § 391 getroffen werden.

(7) Die Kassenärztlichen Bundesvereinigungen müssen die Mitarbeiterinnen und Mitarbeiter der Anbieter von informationstechnischen Systemen, die im Gesundheitswesen eingesetzt werden, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik auf deren Antrag zertifizieren, wenn diese Personen über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen. Die Vorgaben für die Zertifizierung werden von den Kassenärztlichen Bundesvereinigungen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen erstellt und regelmäßig überarbeitet. Die Vorgaben nach Satz 2 werden jeweils auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 veröffentlicht. In Bezug auf die Anforderungen nach Absatz 2 Nummer 1 legen die Kassenärztlichen Bundesvereinigungen die Vorgaben für die Zertifizierung der Mitarbeiterinnen und Mitarbeiter der Anbieter nach Satz 1 im Benehmen mit der Gesellschaft für Telematik fest.

§ 391 IT-Sicherheit in Krankenhäusern ^21h, ^{21h 24}

(1) Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

(2) Vorkehrungen nach Absatz 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern.

(3) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

(4) Die Krankenhäuser können die Verpflichtungen nach den Absätzen 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.

§ 392 IT-Sicherheit der gesetzlichen Krankenkassen ^{20k 21h 24}

(1) Krankenkassen sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Krankenkasse und die Sicherheit der verarbeiteten Versicherteninformationen maßgeblich sind.

(2) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht.

(3) Die Krankenkassen erfüllen die Verpflichtungen nach Absatz 1 insbesondere, indem sie den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Krankenkassen in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(4) Die Krankenkassen sind verpflichtet, repräsentiert durch ihre Verbände und den Spitzenverband Bund der Krankenkassen, in einem gemeinsamen bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Krankenkassen im Sinne des Absatzes 3 mitzuwirken. Die Krankenkassen, repräsentiert durch ihre Verbände und den Spitzenverband Bund der Krankenkassen, haben darauf hinzuwirken, dass der branchenspezifische Sicherheitsstandard auch Vorgaben enthält zu

1. geeigneten Maßnahmen zur Erhöhung der Cybersecurity-Awareness,
2. dem Einsatz von Systemen zur Angriffserkennung, die geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten, wobei diese dazu in der Lage sein sollten, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen (Maßnahmen zur Aufrechterhaltung der Betriebskontinuität) und
3. an IT-Dienstleister zu stellende Sicherheitsanforderungen gemäß Absatz 6, sofern diese Leistungen für die Krankenkassen zur Wahrnehmung ihrer gesetzlichen Aufgaben erbringen.

(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenkassen, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.

(6) Sofern eine Krankenkasse im Rahmen ihrer Aufgabenerfüllung IT-Dienstleistungen eines Dritten in Anspruch nimmt und eine Störung der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Dritten zu einer Beeinträchtigung der Funktionsfähigkeit der jeweiligen Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen führen kann, muss die Krankenkasse durch geeignete vertragliche Vereinbarungen sicherstellen, dass die Einhaltung des branchenspezifischen Sicherheitsstandards im Sinne des Absatzes 3 durch den Dritten gewährleistet wird.

§ 393 Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung ^{20k 21h}, ^{21h 24 24a}

(1) Leistungserbringer im Sinne des Vierten Kapitels und Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten auch im Wege des Cloud-Computing-Dienstes verarbeiten, sofern die Voraussetzungen der Absätze 2 bis 4 erfüllt sind.

(2) Die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes darf nur

1. im Inland,
2. in einem Mitgliedstaat der Europäischen Union oder
3. in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat

erfolgen und sofern die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt.

(3) Eine Verarbeitung nach Absatz 1 ist nur zulässig, wenn zusätzlich zu den Anforderungen des Absatzes 2

1. nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen worden sind,
2. ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt und
3. die im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden umgesetzt sind.

(4) Bis zum 30. Juni 2025 gilt als aktuelles C5-Testat im Sinne des Absatzes 3 Nummer 2 ein C5-Typ1-Testat. Ab dem 1. Juli 2025 gilt als aktuelles C5-Testat im Sinne des Absatzes 3 Nummer 2 ein aktuelles C5-Typ2-Testat. Eine Verarbeitung nach Absatz 3 Nummer 2 ist ferner auch zulässig, soweit für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die Cloud-Technik anstelle eines aktuellen C5-Testats ein Testat oder Zertifikat nach einem Standard vorliegt, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau sicherstellt. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festzulegen, welche Standards die Anforderungen nach Satz 3 erfüllen.

(5) Technische und organisatorische Maßnahmen gelten als angemessen im Sinne von Absatz 3 Nummer 1, wenn folgende Anforderungen erfüllt werden:

1. in der vertragsärztlichen und vertragszahnärztlichen Versorgung die Voraussetzungen des § 390,
2. in zugelassenen Krankenhäusern die Voraussetzungen des § 391 und
3. von Krankenkassen die Voraussetzungen des Branchenspezifischen Sicherheitsstandards für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV).

(6) In allen anderen Fällen gelten technische und organisatorische Maßnahmen als angemessen im Sinne von Absatz 3 Nummer 1, wenn sie gleichwertig zu den Anforderungen nach § 391 sind. Der Angemessenheitsmaßstab nach Satz 1 gilt nicht, soweit Verarbeiter nach Absatz 1 ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

(7) Informationen über die nach Absatz 3 Nummer 2 testierten Cloud-Systeme und testierte Cloud-Technik werden von dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 auf Antrag veröffentlicht. Dem Antrag nach Satz 1 ist eine Kontrollliste zu den korrespondierenden Kriterien für Kunden anzufügen.

(8) Die Vorschriften des Zehnten Buches und des Bundesdatenschutzgesetzes bleiben unberührt.

§ 394 (aufgehoben) ^{20k 21h 24}

§ 394a (aufgehoben) ^{21h 22k 24}

§ 395 Nationales Gesundheitsportal ^21h

(1) Das Bundesministerium für Gesundheit errichtet und betreibt ein elektronisches, über allgemein zugängliche Netze sowie über die Telematikinfrastruktur nach § 306 aufrufbares Informationsportal, das gesundheits- und pflegebezogene Informationen barrierefrei in allgemein verständlicher Sprache zur Verfügung stellt (Nationales Gesundheitsportal).

(2) Die Kassenärztlichen Bundesvereinigungen haben die Aufgabe, auf Suchanfragen der Nutzer nach bestimmten vertragsärztlichen Leistungserbringern über das Nationale Gesundheitsportal die in Satz 3 Nummer 1 bis 6 genannten, für die Suchanfrage relevanten arztbezogenen Informationen an das Nationale Gesundheitsportal zu übermitteln. Die Suchergebnisse werden im Nationalen Gesundheitsportal dargestellt. Die Kassenärztlichen Vereinigungen übermitteln ihrer jeweiligen Bundesvereinigung zu diesem Zweck regelmäßig aus den rechtmäßig von ihnen erhobenen Daten folgende Angaben:

1. den Vor- und Zunamen des Arztes und dessen akademischen Grad,
2. die Adresse, Telefonnummer und E-Mail-Adresse der Praxis oder der an der Versorgung teilnehmenden Einrichtung, in der der Arzt tätig ist,
3. die Fachgebiets-, Schwerpunkt- und Zusatzbezeichnungen,
4. die Sprechstundenzeiten,
5. die Zugangsmöglichkeit von Menschen mit Behinderung (Barrierefreiheit) zu der vertragsärztlichen Praxis oder der an der vertragsärztlichen Versorgung teilnehmenden Einrichtung, in der der Arzt tätig ist, sowie
6. das Vorliegen von Abrechnungsgenehmigungen für besonders qualitätsgesicherte Leistungsbereiche in der vertragsärztlichen Versorgung.

(3) Die Übermittlungspflicht nach Absatz 2 Satz 3 gilt auch für ermächtigte Einrichtungen, jedoch mit der Maßgabe, dass die Angaben nach Absatz 2 Satz 3 Nummer 2 bis 5 ohne Arztbezug einrichtungsbezogen übermittelt werden.

(4) Das Bundesministerium für Gesundheit legt in Abstimmung mit den Kassenärztlichen Bundesvereinigungen bis zum 31. Dezember 2021 das Nähere fest

1. zur Struktur und zum Format der Daten sowie
2. zum technischen Übermittlungsverfahren.

(5) Soweit sich die Vorschriften dieses Kapitels auf Ärzte und Kassenärztliche Vereinigungen beziehen, gelten sie entsprechend für Psychotherapeuten, Zahnärzte und Kassenzahnärztliche Vereinigungen, sofern nichts Abweichendes bestimmt ist.

Dreizehnte Kapitel ^20k
Straf- und Bußgeldvorschriften

§ 396 Zusammenarbeit zur Verfolgung und Ahndung von Ordnungswidrigkeiten ^{20k 21h}

Zur Verfolgung und Ahndung von Ordnungswidrigkeiten arbeiten die Krankenkassen insbesondere mit der Bundesagentur für Arbeit, den Behörden der Zollverwaltung, den Rentenversicherungsträgern, den Trägern der Sozialhilfe, den in § 71 des Aufenthaltsgesetzes genannten Behörden, den Finanzbehörden, den nach Landesrecht für die Verfolgung und Ahndung von Ordnungswidrigkeiten nach dem Schwarzarbeitsbekämpfungsgesetz zuständigen Behörden, den Trägern der Unfallversicherung und den für den Arbeitsschutz zuständigen Landesbehörden zusammen, wenn sich im Einzelfall konkrete Anhaltspunkte ergeben für

1. Verstöße gegen das Schwarzarbeitsbekämpfungsgesetz,
2. eine Beschäftigung oder Tätigkeit von nichtdeutschen Arbeitnehmern ohne den erforderlichen Aufenthaltstitel nach § 4 Abs. 3 des Aufenthaltsgesetzes, eine Aufenthaltsgestattung oder eine Duldung, die zur Ausübung der Beschäftigung berechtigen, oder eine Genehmigung nach § 284 Abs. 1 des Dritten Buches,
3. Verstöße gegen die Mitwirkungspflicht nach § 60 Abs. 1 Satz 1 Nr. 2 des Ersten Buches gegenüber einer Dienststelle der Bundesagentur für Arbeit, einem Träger der gesetzlichen Unfall- oder Rentenversicherung oder einem Träger der Sozialhilfe oder gegen die Meldepflicht nach § 8a des Asylbewerberleistungsgesetzes,
4. Verstöße gegen das Arbeitnehmerüberlassungsgesetz,
5. Verstöße gegen die Vorschriften des Vierten und des Siebten Buches über die Verpflichtung zur Zahlung von Beiträgen, soweit sie im Zusammenhang mit den in den Nummern 1 bis 4 genannten Verstößen stehen,
6. Verstöße gegen Steuergesetze,
7. Verstöße gegen das Aufenthaltsgesetz.

Sie unterrichten die für die Verfolgung und Ahndung zuständigen Behörden, die Träger der Sozialhilfe sowie die Behörden nach § 71 des Aufenthaltsgesetzes. Die Unterrichtung kann auch Angaben über die Tatsachen enthalten, die für die Einziehung der Beiträge zur Kranken- und Rentenversicherung erforderlich sind. Die Übermittlung von Sozialdaten, die nach den §§ 284 bis 302 von Versicherten erhoben werden, ist unzulässig.

§ 397 Bußgeldvorschriften ^{16a 17h 20k 21h}, ^{21h 22k 24 24b}

(1) Ordnungswidrig handelt, wer

1. entgegen § 25b Absatz 7 einen Versicherten bevorzugt oder benachteiligt,
2. entgegen § 332a Absatz 1 Satz 2 die dort genannte Einbindung beschränkt,
3. entgegen § 335 Absatz 1 einen Zugriff auf dort genannte Daten verlangt,
4. entgegen § 335 Absatz 2 eine Vereinbarung abschließt oder
5. entgegen § 339 Absatz 3 Satz 1 oder Absatz 5 Satz 1 oder § 361 Absatz 2 Satz 1 oder Absatz 3 Nummer 1 auf dort genannte Daten zugreift.

(2) Ordnungswidrig handelt, wer vorsätzlich oder leichtfertig

1. 1. als Arbeitgeber entgegen § 204 Abs. 1 Satz 1, auch in Verbindung mit Absatz 2 Satz 1, oder
   2. entgegen § 204 Abs. 1 Satz 3, auch in Verbindung mit Absatz 2 Satz 1, oder § 205 Nr. 3 oder
   3. als für die Zahlstelle Verantwortlicher entgegen § 202 Absatz 1 Satz 1

   eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erstattet,

2. entgegen § 206 Abs. 1 Satz 1 eine Auskunft oder eine Änderung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder mitteilt oder
3. entgegen § 206 Abs. 1 Satz 2 die erforderlichen Unterlagen nicht, nicht vollständig oder nicht rechtzeitig vorlegt.

(2a) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. Ohne Zulassung oder Bestätigung nach § 326 die Telematikinfrastruktur nutzt,
2. entgegen § 329 Absatz 2 Satz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
3. einer vollziehbaren Anordnung nach § 329 Absatz 3 Satz 2 oder § 333 Absatz 3 zuwiderhandelt,
4. entgegen § 360 Absatz 16 Satz 1 ein dort genanntes System bereitstellt oder betreibt,
5. entgegen § 386 Absatz 2 Daten nicht, nicht richtig, nicht vollständig, nicht in der vorgesehenen Weise oder nicht rechtzeitig übermittelt oder
6. entgegen § 388 Absatz 1 Satz 1, auch in Verbindung mit Satz 2, ein informationstechnisches System in Verkehr bringt.

(3) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2a mit einer Geldbuße bis zu dreihunderttausend Euro, in den Fällen des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den übrigen Fällen mit einer Geldbuße bis zu Zweitausendfünfhundert Euro geahndet werden.

(4) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 2a das Bundesamt für Sicherheit in der Informationstechnik.

§ 398 Strafvorschriften ^{10a 20k 21h 21m}

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer entgegen § 160 Absatz 2 Satz 1 die Zahlungsunfähigkeit oder die Überschuldung nicht, nicht richtig oder nicht rechtzeitig anzeigt.

(2) Handelt der Täter fahrlässig, so ist die Strafe Freiheitsstrafe bis zu einem Jahr oder Geldstrafe.

§ 399 Strafvorschriften ^{10a 12b 19k 20k 21h 21h 21m 24b}

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer

1. entgegen § 64e Absatz 11b Satz 1 Nummer 2 oder § 303e Absatz 5 Satz 1 Nummer 2, auch in Verbindung mit § 363 Absatz 4 Satz 2, Daten weitergibt,
2. entgegen § 64e Absatz 11b Satz 6 oder § 303e Absatz 5 Satz 4, auch in Verbindung mit § 363 Absatz 4 Satz 2, dort genannte Daten verarbeitet oder
3. entgegen § 352, § 356 Absatz 1 oder 2, § 357 Absatz 1, 2 Satz 1 oder Absatz 3, § 359 Absatz 1 oder § 361 Absatz 1 auf dort genannte Daten zugreift.

(2) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen Anderen zu bereichern oder einen Anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.

(3) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, der Bundesbeauftragte für den Datenschutz oder die zuständige Aufsichtsbehörde.

Vierzehnte Kapitel ^20k
Überleitungsregelungen aus Anlaß der Herstellung der Einheit Deutschlands

§ 400 Versicherter Personenkreis ^{20k 21h 21m}

(1) Soweit Vorschriften dieses Buches

1. an die Bezugsgröße anknüpfen, gilt vom 1. Januar 2001 an die Bezugsgröße nach § 18 Abs. 1 des Vierten Buches auch in dem in Artikel 3 des Einigungsvertrages genannten Gebiet,
2. an die Beitragsbemessungsgrenze in der allgemeinen Rentenversicherung anknüpfen, gilt von dem nach Nummer 1 maßgeblichen Zeitpunkt an die Beitragsbemessungsgrenze nach § 159 des Sechsten Buches auch in dem in Artikel 3 des Einigungsvertrages genannten Gebiet.

(2) (aufgehoben)

(3) (aufgehoben)

(4) (aufgehoben)

(5) Zeiten der Versicherung, die in dem in Artikel 3 des Einigungsvertrages genannten Gebiet bis zum 31. Dezember 1990 in der Sozialversicherung oder in der Freiwilligen Krankheitskostenversicherung der Staatlichen ehemaligen Versicherung der Deutschen Demokratischen Republik oder in einem Sonderversorgungssystem (§ 1 Abs. 3 des Anspruchs- und Anwartschaftsüberführungsgesetzes) zurückgelegt wurden, gelten als Zeiten einer Pflichtversicherung bei einer Krankenkasse im Sinne dieses Buches. Für die Anwendung des § 5 Abs. 1 Nr. 11 gilt Satz 1 vom 1. Januar 1991 an entsprechend für Personen, die ihren Wohnsitz und ihre Versicherung im Gebiet der Bundesrepublik Deutschland nach dem Stand bis vom 2. Oktober 1990 hatten und in dem in Artikel 3 des Einigungsvertrages genannten Gebiet beschäftigt sind, wenn sie nur wegen Überschreitung der in diesem Gebiet geltenden Jahresarbeitsentgeltgrenze versicherungsfrei waren und die Jahresarbeitsentgeltgrenze nach § 6 Abs. 1 Nr. 1 nicht überschritten wird.

§ 401 Leistungen ^{20k 21h}

(1), (2) (aufgehoben)

(3) Die erforderlichen Untersuchungen gemäß § 30 Abs. 2 Satz 2 und Abs. 7 gelten für den Zeitraum der Jahre 1989 bis 1991 als in Anspruch genommen.

§ 402 Beziehungen der Krankenkassen zu den Leistungserbringern ^{20k 21h}

(1) (aufgehoben)

(2) Die im Beitrittsgebiet bestehenden ärztlich geleiteten kommunalen, staatlichen und freigemeinnützigen Gesundheitseinrichtungen einschließlich der Einrichtungen des Betriebsgesundheitswesens (Polikliniken, Ambulatorien, Arztpraxen) sowie diabetologische, nephrologische, onkologische und rheumatologische Fachambulanzen, die am 31. Dezember 2003 zur vertragsärztlichen Versorgung zugelassen waren, nehmen weiterhin an der vertragsärztlichen Versorgung teil. Im Übrigen gelten für die Einrichtungen nach Satz 1 die Vorschriften dieses Buches, die sich auf medizinische Versorgungszentren beziehen, entsprechend.

(3), (4) (aufgehoben)

(5) § 83 gilt mit der Maßgabe, dass die Verbände der Krankenkassen mit den ermächtigten Einrichtungen oder ihren Verbänden im Einvernehmen mit den kassenärztlichen Vereinigungen besondere Verträge schließen können.

(6) (aufgehoben)

(7) Bei Anwendung des § 95 gilt das Erfordernis des Absatzes 2 Satz 3 dieser Vorschrift nicht

1. für Ärzte, die bei Inkrafttreten dieses Gesetzes in dem in Artikel 3 des Einigungsvertrages genannten Gebiet die Facharztanerkennung besitzen,
2. für Zahnärzte, die bereits zwei Jahre in dem in Artikel 3 des Einigungsvertrages genannten Gebiet zahnärztlich tätig sind.

(8) Die Absätze 5 und 7 gelten nicht in dem in Artikel 3 des Einigungsvertrages genannten Teil des Landes Berlin.

Fünfzehnte Kapitel ^{20k 21h}
Weitere Übergangsvorschriften

§ 403 Beitragszuschüsse für Beschäftigte ^{21h 21h 21m 21m}

(1) Versicherungsverträge, die den Standardtarif nach § 257 Absatz 2a in der bis zum 31. Dezember 2008 geltenden Fassung zum Gegenstand haben, werden auf Antrag der Versicherten auf Versicherungsverträge nach dem Basistarif gemäß § 152 Absatz 1 des Versicherungsaufsichtsgesetzes umgestellt.

(2) Zur Gewährleistung der in § 257 Absatz 2a Satz 1 Nummer 2 bis 2c in der bis zum 31. Dezember 2008 geltenden Fassung genannten Begrenzung bleiben im Hinblick auf die ab dem 1. Januar 2009 weiterhin im Standardtarif Versicherten alle Versicherungsunternehmen, die die nach § 257 Absatz 2 zuschussberechtigte Krankenversicherung betreiben, verpflichtet, an einem finanziellen Spitzenausgleich teilzunehmen, dessen Ausgestaltung zusammen mit den Einzelheiten des Standardtarifs zwischen der Bundesanstalt für Finanzdienstleistungsaufsicht und dem Verband der privaten Krankenversicherung mit Wirkung für die beteiligten Unternehmen zu vereinbaren ist und der eine gleichmäßige Belastung dieser Unternehmen bewirkt. Für in § 257 Absatz 2a Satz 1 Nummer 2c in der bis 31. Dezember 2008 geltenden Fassung genannte Personen, bei denen eine Behinderung nach § 4 Absatz 1 des Schwerbehindertengesetzes festgestellt worden ist, wird ein fiktiver Zuschlag von 100 Prozent auf die Bruttoprämie angerechnet, der in den Ausgleich nach Satz 1 einbezogen wird.

§ 404 Standardtarif für Personen ohne Versicherungsschutz ^21h

(1) Personen, die weder

1. in der gesetzlichen Krankenversicherung versichert oder versicherungspflichtig sind,
2. über eine private Krankheitsvollversicherung verfügen,
3. einen Anspruch auf freie Heilfürsorge haben, beihilfeberechtigt sind oder vergleichbare Ansprüche haben,
4. Anspruch auf Leistungen nach dem Asylbewerberleistungsgesetz haben noch
5. Leistungen nach dem Dritten, Vierten, Sechsten und Siebten Kapitel des Zwölften Buches beziehen,

können bis zum 31. Dezember 2008 Versicherungsschutz im Standardtarif gemäß § 257 Absatz 2a in der bis zum 31. Dezember 2008 geltenden Fassung verlangen; in den Fällen der Nummern 4 und 5 begründen Zeiten einer Unterbrechung des Leistungsbezugs von weniger als einem Monat keinen entsprechenden Anspruch. Der Antrag darf nicht abgelehnt werden. Die in § 257 Absatz 2a Satz 1 Nummer 2b in der bis zum 31. Dezember 2008 geltenden Fassung genannten Voraussetzungen gelten für Personen nach Satz 1 nicht; Risikozuschläge dürfen für sie nicht verlangt werden. Abweichend von Satz 1 Nummer 3 können auch Personen mit Anspruch auf Beihilfe nach beamtenrechtlichen Grundsätzen, die bisher nicht über eine auf Ergänzung der Beihilfe beschränkte private Krankenversicherung verfügen und auch nicht freiwillig in der gesetzlichen Krankenversicherung versichert sind, eine die Beihilfe ergänzende Absicherung im Standardtarif gemäß § 257 Absatz 2a Satz 1 Nummer 2b in der bis zum 31. Dezember 2008 geltenden Fassung verlangen.

(2) Der Beitrag von im Standardtarif nach Absatz 1 versicherten Personen darf den durchschnittlichen Höchstbeitrag der gesetzlichen Krankenversicherung gemäß § 257 Absatz 2a Satz 1 Nummer 2 in der bis zum 31. Dezember 2008 geltenden Fassung nicht überschreiten; die dort für Ehegatten oder Lebenspartner vorgesehene besondere Beitragsbegrenzung gilt für nach Absatz 1 versicherte Personen nicht. § 152 Absatz 4 des Versicherungsaufsichtsgesetzes, § 26 Absatz 1 Satz 1 und Absatz 2 Satz 1 Nummer 2 des Zweiten Buches sowie § 32 Absatz 5 des Zwölften Buches gelten für nach Absatz 1 im Standardtarif versicherte Personen entsprechend.

(3) Eine Risikoprüfung ist nur zulässig, soweit sie für Zwecke des finanziellen Spitzenausgleichs nach § 257 Absatz 2b in der bis zum 31. Dezember 2008 geltenden Fassung oder für spätere Tarifwechsel erforderlich ist. Abweichend von § 257 Absatz 2b in der bis zum 31. Dezember 2008 geltenden Fassung sind im finanziellen Spitzenausgleich des Standardtarifs für Versicherte nach Absatz 1 die Begrenzungen gemäß Absatz 2 sowie die durch das Verbot von Risikozuschlägen gemäß Absatz 1 Satz 3 auftretenden Mehraufwendungen zu berücksichtigen.

(4) Die gemäß Absatz 1 abgeschlossenen Versicherungsverträge im Standardtarif werden zum 1. Januar 2009 auf Verträge im Basistarif nach § 152 Absatz 1 des Versicherungsaufsichtsgesetzes umgestellt.

§ 405 Übergangsregelung für die knappschaftliche Krankenversicherung ^21h

Die Regelung des § 13 Absatz 2 der Risikostruktur-Ausgleichsverordnung ist nicht anzuwenden, wenn die Deutsche Rentenversicherung Knappschaft-Bahn-See die Verwaltungsausgaben der knappschaftlichen Krankenversicherung abweichend von § 71 Absatz 1 Satz 2 des Vierten Buches getrennt im Haushaltsplan ausweist sowie die Rechnungslegung und den Jahresabschluss nach § 77 des Vierten Buches für die Verwaltungsausgaben der knappschaftlichen Krankenversicherung getrennt durchführt. Satz 1 gilt nur, wenn das Bundesamt für Soziale Sicherung rechtzeitig vor Durchführung des Jahresausgleichs nach § 18 der Risikostruktur-Ausgleichsverordnung auf der Grundlage eines von der Deutschen Rentenversicherung Knappschaft-Bahn-See erbrachten ausreichenden Nachweises feststellt, dass die Rechnungslegung und der Jahresabschluss nach § 77 des Vierten Buches für die Verwaltungsausgaben der knappschaftlichen Krankenversicherung getrennt durchgeführt wurden.

§ 406 Übergangsregelung zum Krankengeldwahltarif ^21h

(1) Wahltarife, die Versicherte auf der Grundlage der bis zum 31. Juli 2009 geltenden Fassung des § 53 Absatz 6 abgeschlossen haben, enden zu diesem Zeitpunkt.

(2) Versicherte, die am 31. Juli 2009 Leistungen aus einem Wahltarif nach § 53 Absatz 6 bezogen haben, haben Anspruch auf Leistungen nach Maßgabe ihres Wahltarifs bis zum Ende der Arbeitsunfähigkeit, die den Leistungsanspruch ausgelöst hat. Aufwendungen nach Satz 1 bleiben bei der Anwendung des § 53 Absatz 9 Satz 1 unberücksichtigt.

(3) Die Wahlerklärung nach § 44 Absatz 2 Satz 1 Nummer 2 oder Nummer 3 kann bis zum 30. September 2009 mit Wirkung vom 1. August 2009 abgegeben werden. Wahltarife nach § 53 Absatz 6 können bis zum 30. September 2009 oder zu einem in der Satzung der Krankenkasse festgelegten späteren Zeitpunkt mit Wirkung vom 1. August 2009 neu abgeschlossen werden. Abweichend von den Sätzen 1 und 2 können Versicherte nach Absatz 2 innerhalb von acht Wochen nach dem Ende des Leistungsbezugs rückwirkend zu dem Tag, der auf den letzten Tag des Leistungsbezugs folgt, die Wahlerklärung nach § 44 Absatz 2 Satz 1 Nummer 2 oder Nummer 3 abgeben oder einen Wahltarif wählen.

§ 407 Übergangsregelung für die Anforderungen an die strukturierten Behandlungsprogramme nach § 137g Absatz 1 ^21h

Die in § 28b Absatz 1, den §§ 28c und 28e sowie in den Anlagen der Risikostruktur-Ausgleichsverordnung in der jeweils bis zum 31. Dezember 2011 geltenden Fassung geregelten Anforderungen an die Zulassung von strukturierten Behandlungsprogrammen nach § 137g Absatz 1 für Diabetes mellitus Typ 2, Brustkrebs, koronare Herzkrankheit, Diabetes mellitus Typ 1 und chronisch obstruktive Atemwegserkrankungen gelten jeweils weiter bis zum Inkrafttreten der für die jeweilige Krankheit vom Gemeinsamen Bundesausschuss nach § 137f Absatz 2 zu erlassenden Richtlinien. Dies gilt auch für die in den §§ 28d und 28f der Risikostruktur-Ausgleichsverordnung in der bis zum 31. Dezember 2011 geltenden Fassung geregelten Anforderungen, soweit sie auf die in Satz 1 genannten Anforderungen verweisen. Die in § 28f Absatz 1 Nummer 3 und Absatz 1a und § 28g der Risikostruktur-Ausgleichsverordnung in der jeweils bis zum 31. Dezember 2011 geltenden Fassung geregelten Anforderungen an die Aufbewahrungsfristen gelten weiter bis zum Inkrafttreten der in den Richtlinien des Gemeinsamen Bundesausschusses nach § 137f Absatz 2 Satz 2 Nummer 5 zu regelnden Anforderungen an die Aufbewahrungsfristen. Die in § 28g der Risikostruktur-Ausgleichsverordnung in der bis zum 31. Dezember 2011 geltenden Fassung geregelten Anforderungen an die Evaluation gelten weiter bis zum Inkrafttreten der in den Richtlinien des Gemeinsamen Bundesausschusses nach § 137f Absatz 2 Satz 2 Nummer 6 zu regelnden Anforderungen an die Evaluation.

§ 408 Bestandsbereinigung bei der freiwilligen Versicherung ^21h

(1) Die Krankenkassen haben ihren Mitgliederbestand für den Zeitraum vom 1. August 2013 bis zum 1. Januar 2019 nach Maßgabe der folgenden Absätze zu überprüfen und ihn bis zum 15. Juni 2019 zu bereinigen.

(2) Mitgliedschaften, die nach dem Ausscheiden aus der Versicherungspflicht oder nach dem Ende der Familienversicherung als freiwillige Mitgliedschaften fortgesetzt wurden, sowie davon abgeleitete Familienversicherungen sind mit Wirkung ab dem Tag ihrer Begründung aufzuheben, wenn seit diesem Zeitpunkt die Krankenkasse keinen Kontakt zum Mitglied herstellen konnte, für die Mitgliedschaft keine Beiträge geleistet wurden und das Mitglied und familienversicherte Angehörige keine Leistungen in Anspruch genommen haben.

(3) Für das Verfahren nach Absatz 4 und die Prüfung nach Absatz 5 melden die Krankenkassen dem Bundesamt für Soziale Sicherung und den mit der Prüfung nach § 274 befassten Stellen versichertenbezogen und je Berichtsjahr

1. die Versichertentage der Mitgliedschaften und der davon abgeleiteten Familienversicherungen, die nach Absatz 2 aufgehoben wurden, und
2. die Versichertentage der Mitgliedschaften und der davon abgeleiteten Familienversicherungen, die seit der letzten Datenmeldung nach § 30 Absatz 4 Satz 2 zweiter Halbsatz der Risikostruktur-Ausgleichsverordnung in der bis zum 31. März 2020 geltenden Fassung des betreffenden Berichtsjahres aufgehoben wurden und die die Kriterien des Absatzes 2 erfüllen.

Für die Prüfung nach Absatz 5 melden die Krankenkassen den mit der Prüfung nach § 274 befassten Stellen außerdem die Mitgliedschaften und die davon abgeleiteten Familienversicherungen je Berichtsjahr, die die Kriterien des Absatzes 2 insoweit erfüllen, als die Mitglieder keine Beiträge geleistet und die Mitglieder und ihre familienversicherten Angehörigen keine Leistungen in Anspruch genommen haben. Die Datenmeldungen haben bis zum 15. Juni 2019 zu erfolgen. § 268 Absatz 3 Satz 3, 4, 7 und 9 in der bis zum 31. März 2020 geltenden Fassung gilt für die nach den Sätzen 1 und 2 zu meldenden Daten entsprechend. Die Herstellung des Versichertenbezugs ist zulässig, sofern dies für die Prüfung nach Absatz 5 erforderlich ist. Das Nähere zum Verfahren der Datenmeldung nach Satz 1 für das Verfahren nach Absatz 4 bestimmt das Bundesamt für Soziale Sicherung nach Anhörung des Spitzenverbandes Bund der Krankenkassen. Das Nähere zum Verfahren der Datenmeldung nach den Sätzen 1 und 2 für die Prüfung nach Absatz 5 regelt das Bundesamt für Soziale Sicherung nach Anhörung der mit der Prüfung nach § 274 befassten Stellen und des Spitzenverbandes Bund der Krankenkassen.

(4) Für Ausgleichsjahre, für die der korrigierte Jahresausgleich bereits durchgeführt oder die Datenmeldung nach § 30 Absatz 4 Satz 2 zweiter Halbsatz der Risikostruktur-Ausgleichsverordnung in der bis zum 31. März 2020 geltenden Fassung durch die Krankenkassen bereits abgegeben wurde, ermittelt das Bundesamt für Soziale Sicherung einen Bereinigungsbetrag und macht diesen durch Bescheid geltend. § 6 der Risikostruktur-Ausgleichsverordnung gilt entsprechend. Die Einnahmen nach diesem Absatz fließen in den Gesundheitsfonds und werden im nächsten Jahresausgleich bei der Ermittlung nach § 18 Absatz 2 der Risikostruktur-Ausgleichsverordnung zu dem Wert nach § 17 Absatz 2 der Risikostruktur-Ausgleichsverordnung hinzugerechnet. Klagen bei Streitigkeiten nach diesem Absatz haben keine aufschiebende Wirkung.

(5) Die mit der Prüfung nach § 274 befassten Stellen überprüfen nach Abschluss der Bestandsbereinigung in einer Sonderprüfung, ob die Vorgaben nach den Absätzen 1 und 2 eingehalten worden sind, und teilen dem Bundesamt für Soziale Sicherung und der Krankenkasse das Ergebnis ihrer Prüfung mit. Das Bundesamt für Soziale Sicherung ermittelt auf Grundlage dieser Mitteilung einen Korrekturbetrag, der mit einem Aufschlag in Höhe von 25 Prozent zu versehen ist, und macht diesen durch Bescheid geltend. Absatz 4 Satz 2 bis 4 gilt entsprechend. Die Prüfung ist spätestens bis zum 31. Dezember 2020 durchzuführen. Die Krankenkassen sind verpflichtet, die Daten nach § 7 Absatz 2 Satz 3 der Risikostruktur-Ausgleichsverordnung für das Berichtsjahr 2013 bis zum 31. Dezember 2020 aufzubewahren.

§ 409 Übergangsregelung zur Neuregelung der Verjährungsfrist für die Ansprüche von Krankenhäusern und Krankenkassen ^21h

Die Geltendmachung von Ansprüchen der Krankenkassen auf Rückzahlung von geleisteten Vergütungen ist ausgeschlossen, soweit diese vor dem 1. Januar 2017 entstanden sind und bis zum 9. November 2018 nicht gerichtlich geltend gemacht wurden.

§ 410 Übergangsregelung zur Vergütung der Vorstandsmitglieder der Kassenärztlichen Bundesvereinigungen, der unparteiischen Mitglieder des Beschlussgremiums des Gemeinsamen Bundesausschusses, der Vorstandsmitglieder des Spitzenverbandes Bund der Krankenkassen und des Geschäftsführers des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen sowie von dessen Stellvertreter ^21h

(1) § 79 Absatz 6 Satz 5, § 91 Absatz 2 Satz 15, § 217b Absatz 2 Satz 8 und § 282 Absatz 2d Satz 6 in der jeweils bis zum 31. Dezember 2019 gültigen Fassung gelten auch für die Verträge, denen die Aufsichtsbehörde bereits bis zum 10. Mai 2019 zugestimmt hat, sofern diesen Verträgen nicht bereits eine Zusage über konkrete Vergütungserhöhungen zu entnehmen ist. § 79 Absatz 6 Satz 6 bis 9, § 91 Absatz 2 Satz 16 bis 19, § 217b Absatz 2 Satz 9 bis 12 und § 282 Absatz 2d Satz 7 bis 10 in der jeweils bis zum 31. Dezember 2019 gültigen Fassung gelten nicht für die Verträge, denen die Aufsichtsbehörde bereits bis zum 10. Mai 2019 zugestimmt hat. Die zur Zukunftssicherung vertraglich vereinbarten nicht beitragsorientierten Zusagen, denen die Aufsichtsbehörde bereits bis zum 10. Mai 2019 zugestimmt hat, dürfen auch bei Abschluss eines neuen Vertrages mit derselben Person in dem im vorhergehenden Vertrag vereinbarten Durchführungsweg und Umfang fortgeführt werden.

(2) Abweichend von § 79 Absatz 6 Satz 6, § 91 Absatz 2 Satz 16, § 217b Absatz 2 Satz 9 und § 282 Absatz 4 Satz 6 kann bis zum 31. Dezember 2027 keine höhere Vergütung vereinbart werden. Zu Beginn der darauffolgenden Amtszeiten kann bei der Erhöhung der Grundvergütung nur die Entwicklung des Verbraucherpreisindexes ab dem 1. Januar 2028 berücksichtigt werden.

§ 411 Übergangsregelung für die Medizinischen Dienste der Krankenversicherung und den Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen ^{21h 21i}

(1) Für die Medizinischen Dienste der Krankenversicherung gelten die §§ 275 bis 283 in der bis zum 31. Dezember 2019 gültigen Fassung mit Ausnahme des § 275 Absatz 1c und 5, § 276 Absatz 2 und 4 und § 281 Absatz 2 bis zu dem nach § 412 Absatz 1 Satz 4 bekannt zu machenden Datum fort. Bis zu diesem Zeitpunkt nehmen die am 31. Dezember 2019 bestehenden Organe der Medizinischen Dienste der Krankenversicherung nach diesen Vorschriften die Aufgaben des Medizinischen Dienstes wahr. Die §§ 275 bis 283a in der ab dem 1. Januar 2020 geltenden Fassung finden mit Ausnahme des § 275 Absatz 3b und 5, der §§ 275c, 275d, 276 Absatz 2 und 4 und des § 280 Absatz 3 bis zu dem nach § 412 Absatz 1 Satz 4 bekannt zu machenden Datum keine Anwendung. Bis zu dem nach § 412 Absatz 1 Satz 4 bekannt zu machenden Datum findet für die Aufgaben des Medizinischen Dienstes nach den §§ 275c und 275d die Regelung des § 281 Absatz 1 in der bis zum 31. Dezember 2019 geltenden Fassung entsprechende Anwendung.

(2) Für den Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen sowie für den Spitzenverband Bund der Krankenkassen gelten die § § 275 bis 283 und § 326 Absatz 2 Satz 1 in der jeweils bis zum 31. Dezember 2019 geltenden Fassung mit Ausnahme des § 275 Absatz 5 bis zum 31. Dezember 2021 fort; nach diesen Vorschriften nehmen ihre am 31. Dezember 2019 bestehenden Organe ihre Aufgaben bis zu diesem Zeitpunkt wahr. Die § § 275 bis 283a in der am 1. Januar 2020 geltenden Fassung sind für den Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen mit Ausnahme des § 275 Absatz 5, der §§ 275c und 281 Absatz 2 Satz 5 bis zum 31. Dezember 2021 nicht anwendbar. § 283 Absatz 2 Satz 1 Nummer 3 und 5 zweite Alternative in der am 1. Januar 2020 geltenden Fassung ist mit der Maßgabe anwendbar, dass der Medizinische Dienst des Spitzenverbandes Bund der Krankenkassen die Richtlinie nach § 283 Absatz 2 Satz 1 Nummer 3 bis zum 28. Februar 2021 und die Richtlinie nach § 283 Absatz 2 Satz 1 Nummer 5 zweite Alternative bis zum 31. Dezember 2020 erlässt. Diese Richtlinien bedürfen der Genehmigung des Bundesministeriums für Gesundheit.

(3) § 283 Absatz 2 Satz 1 Nummer 4 in der am 1. Januar 2020 geltenden Fassung ist mit der Maßgabe anwendbar, dass der Medizinische Dienst des Spitzenverbandes Bund der Krankenkassen die Richtlinie nach § 283 Absatz 2 Satz 1 Nummer 4 bis zum 31. Dezember 2021 erlässt. In der Richtlinie ist eine bundeseinheitliche Methodik und Vorgehensweise nach angemessenen und anerkannten Methoden der Personalbedarfsermittlung vorzugeben. Hierfür sind geeignete Gruppen der Aufgaben der Medizinischen Dienste (Begutachtungsaufträge) zu definieren. Die für den Erlass der Richtlinie nach Satz 1 erforderlichen Daten sind von allen Medizinischen Diensten unter Koordinierung des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen nach einer bundeseinheitlichen Methodik und Vorgehensweise spätestens ab dem 1. März 2021 zu erheben und für alle Medizinischen Dienste einheitlich durch den Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen unter fachlicher Beteiligung der Medizinischen Dienste anonymisiert auszuwerten. Die Richtlinie hat mindestens aufgabenbezogene Richtwerte für die Aufgabengruppen der Begutachtungen von Krankenhausleistungen nach § 275c , Arbeitsunfähigkeit nach § 275 Absatz 1 Satz 1 Nummer 3 Buchstabe b sowie von Rehabilitations- und Vorsorgeleistungen nach § 275 Absatz 2 Nummer 1 einzubeziehen. Sie bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(4) Endet die Amtszeit eines bestehenden Verwaltungsrates eines Medizinischen Dienstes der Krankenversicherung vor dem Zeitpunkt des § 412 Absatz 1 Satz 4, verlängert sie sich bis zu diesem Zeitpunkt. Die Verwaltungsräte der Medizinischen Dienste der Krankenversicherung werden mit Wirkung zum Zeitpunkt des § 412 Absatz 1 Satz 4 aufgelöst, der Verwaltungsrat des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen wird mit Wirkung zum Zeitpunkt des § 412 Absatz 5 Satz 9 in Verbindung mit Absatz 1 Satz 4 aufgelöst.

§ 412 Errichtung der Medizinischen Dienste und des Medizinischen Dienstes Bund ^{21h 21m}

(1) Die für die Sozialversicherung zuständige oberste Verwaltungsbehörde des Landes hat die Vertreter des Verwaltungsrates nach § 279 Absatz 5 bis zum 31. Dezember 2020 gemäß den Vorgaben des § 279 Absatz 3, 5 und 6 zu benennen; die Verwaltungsräte oder Vertreterversammlungen der in § 279 Absatz 4 Satz 1 genannten Krankenkassenverbände und Krankenkassen haben bis zum 31. Dezember 2020 ihre Vertreter gemäß den Vorgaben des § 279 Absatz 3, 4 und 6 zu wählen. Der gemäß Satz 1 besetzte Verwaltungsrat hat bis zum 31. März 2021 die Satzung nach § 279 Absatz 2 Satz 1 Nummer 1 und Satz 2 zu beschließen. Die für die Sozialversicherung zuständige oberste Verwaltungsbehörde des Landes hat über die Genehmigung der Satzung bis zum 30. Juni 2021 zu entscheiden und das Datum der Genehmigung öffentlich bekannt zu machen. Sie hat das Datum des Ablaufs des Monats, in dem die Genehmigung erteilt wurde, öffentlich bekannt zu machen. Die oder der amtierende Vorsitzende des Verwaltungsrates des Medizinischen Dienstes der Krankenversicherung lädt zur konstituierenden Sitzung ein und regelt das Nähere. In der konstituierenden Sitzung des Verwaltungsrates des Medizinischen Dienstes sind die oder der Vorsitzende und die oder der stellvertretende Vorsitzende zu wählen. Der jeweils amtierende Geschäftsführer des Medizinischen Dienstes der Krankenversicherung und sein Stellvertreter gelten bis zum 31. Dezember 2021 als durch den neu konstituierten Verwaltungsrat gewählter Vorstand.

(2) Die Medizinischen Dienste, die als eingetragene Vereine organisiert sind, werden im Zeitpunkt des Absatzes 1 Satz 4 als Körperschaften des öffentlichen Rechts neu konstituiert. Die jeweiligen eingetragenen Vereine erlöschen mit Wirkung zum Zeitpunkt des Absatzes 1 Satz 4.

(3) Die Rechte und Pflichten einschließlich des Vermögens der Medizinischen Dienste nach Absatz 2 gehen im Zeitpunkt des nach Absatz 1 Satz 4 bekannt gemachten Datums auf die in den jeweiligen Bezirken als Körperschaften des öffentlichen Rechts errichteten Medizinischen Dienste über. Die Körperschaften des öffentlichen Rechts treten in diesem Zeitpunkt in die Rechte und Pflichten der eingetragenen Vereine aus den Arbeits- und Ausbildungsverhältnissen mit den bei ihnen beschäftigten Personen ein. Die Arbeitsbedingungen der einzelnen Arbeitnehmer und Auszubildenden dürfen bis zum 31. Dezember 2022 nicht verschlechtert werden. Die Arbeits- oder Ausbildungsverhältnisse können bis zum 31. Dezember 2022 nur aus einem in der Person oder im Verhalten des Arbeitsnehmers oder Auszubildenden liegenden wichtigen Grund gekündigt werden. Die bestehenden Tarifverträge gelten fort. Der bei dem jeweiligen Medizinischen Dienst bestehende Betriebsrat nimmt ab dem nach Absatz 1 Satz 4 bekannt gemachten Zeitpunkt übergangsweise die Aufgaben eines Personalrats nach dem jeweiligen Personalvertretungsrecht wahr. Im Rahmen seines Übergangsmandats hat der Betriebsrat insbesondere die Aufgabe, unverzüglich den Wahlvorstand zur Einleitung der Personalratswahl zu bestellen. Das Übergangsmandat des jeweiligen Betriebsrates endet, sobald ein Personalrat gewählt und das Wahlergebnis bekannt gegeben worden ist, spätestens jedoch zwölf Monate nach dem in Absatz 1 Satz 4 bestimmten Zeitpunkt. Die in dem nach Absatz 1 Satz 4 bekannt gemachten Zeitpunkt bestehenden Betriebsvereinbarungen gelten längstens für die Dauer von zwölf Monaten als Dienstvereinbarungen fort, soweit sie nicht durch eine andere Regelung ersetzt werden. Auf die bis zum nach Absatz 1 Satz 4 bekannt gemachten Datum förmlich eingeleiteten Beteiligungsverfahren finden bis zu deren Abschluss die Bestimmungen des Betriebsverfassungsgesetzes sinngemäß Anwendung. Gleiches gilt für Verfahren vor der Einigungsstelle und den Arbeitsgerichten. Die Sätze 2 bis 4 gelten für Ausbildungsverhältnisse entsprechend. Die Sätze 6 bis 8 gelten für die Jugend- und Auszubildendenvertretung entsprechend mit der Maßgabe, dass der das Übergangsmandat innehabende Betriebsrat unverzüglich einen Wahlvorstand und seine vorsitzende Person zur Wahl einer Jugend- und Auszubildendenvertretung zu bestimmen hat.

(4) Die Medizinischen Dienste, die gemäß § 278 Absatz 1 Satz 2 in Verbindung mit Artikel 73 Absatz 4 des Gesundheits-Reformgesetzes Körperschaften des öffentlichen Rechts mit Dienstherrenfähigkeit sind, verlieren ihre Dienstherrenfähigkeit, wenn die Notwendigkeit hierfür nach Artikel 73 Absatz 4 Satz 1 und Absatz 5 des Gesundheits-Reformgesetzes nicht mehr besteht. Die für die Sozialversicherung zuständige oberste Verwaltungsbehörde des Landes stellt den Zeitpunkt fest, zu dem die Dienstherrenfähigkeit entfällt, und macht ihn öffentlich bekannt.

(5) Der Medizinische Dienst Bund tritt als Körperschaft des öffentlichen Rechts an die Stelle des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen. Die Verwaltungsräte der Medizinischen Dienste haben nach § 282 Absatz 2 die Vertreter des Verwaltungsrates des Medizinischen Dienstes Bund, die von den jeweils Wahlberechtigten nach § 282 Absatz 2 Satz 2 vorgeschlagen werden, bis zum 31. März 2021 zu wählen. Der amtierende Vorsitzende des Verwaltungsrates des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen sammelt die Vorschläge für die Wahl nach Satz 2 in nach Vertretergruppen gemäß § 279 Absatz 4 Satz 1 und Absatz 5 Satz 1 und nach Geschlecht getrennten Listen und versendet diese an die jeweiligen Vertretergruppen der Medizinischen Dienste. Jede Vertretergruppe eines Medizinischen Dienstes entsendet einen Vertreter, der die Stimmen jedes Mitglieds der Vertretergruppe entsprechend dessen Weisungen abgibt. Der amtierende Vorsitzende des Verwaltungsrates des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen lädt zur Wahl, leitet die Wahl und regelt das Nähere. Gewählt ist, wer die meisten Stimmen auf sich vereinigt; bei Stimmengleichheit entscheidet das Los. Der amtierende Vorsitzende des Verwaltungsrates des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen lädt zur konstituierenden Sitzung des Verwaltungsrates des Medizinischen Dienstes Bund und leitet diese. In der konstituierenden Sitzung sind die oder der Vorsitzende und die oder der stellvertretende Vorsitzende zu wählen. Absatz 1 Satz 2 bis 4 und 7 und die Absätze 2 und 3 gelten entsprechend mit der Maßgabe, dass die Frist nach Absatz 1 Satz 7 am 30. Juni 2022 endet, die Frist nach Absatz 1 Satz 2 am 30. September 2021 endet, die Frist nach Absatz 1 Satz 3 am 31. Dezember 2021 endet und die Satzung vom Bundesministerium für Gesundheit zu genehmigen ist.

§ 413 Übergangsregelung zur Tragung der Beiträge durch Dritte für Auszubildende in einer außerbetrieblichen Einrichtung ^21h

§ 251 Absatz 4c in der bis zum 31. Dezember 2019 geltenden Fassung sowie § 242 Absatz 3 Satz 1 Nummer 1 in der bis zum 30. Juni 2020 geltenden Fassung sind weiterhin anzuwenden, wenn die Berufsausbildung in einer außerbetrieblichen Einrichtung vor dem 1. Januar 2020 begonnen wurde.

§ 414 Übergangsregelung für am 1. April 2020 bereits geschlossene Krankenkassen ^21h

Auf die am 1. April 2020 bereits geschlossenen Krankenkassen sind die §§ 155 und 171d Absatz 2 in der bis zum 31. März 2020 geltenden Fassung anwendbar.

§ 415 Übergangsregelung zur Zahlungsfrist von Krankenhausrechnungen, Verordnungsermächtigung ^21h

Die von den Krankenhäusern bis zum 30. Juni 2021 erbrachten und in Rechnung gestellten Leistungen sind von den Krankenkassen innerhalb von fünf Tagen nach Rechnungseingang zu bezahlen. Als Tag der Zahlung gilt der Tag der Übergabe des Überweisungsauftrages an ein Geldinstitut oder der Übersendung von Zahlungsmitteln an das Krankenhaus. Ist der Fälligkeitstag ein Samstag, Sonntag oder gesetzlicher Feiertag, so verschiebt er sich auf den nächstfolgenden Arbeitstag. Das Bundesministerium für Gesundheit kann durch Rechtsverordnung ohne Zustimmung des Bundesrates die in Satz 1 genannte Frist verlängern.

§ 416 Übergangsregelung zur Versicherungspflicht bei praxisintegrierter Ausbildung ^21h

§ 5 Absatz 4a Satz 1 Nummer 3 findet grundsätzlich nur Anwendung auf Ausbildungen, die nach dem 30. Juni 2020 begonnen werden. Wurde die Ausbildung vor diesem Zeitpunkt begonnen und wurden

1. Beiträge gezahlt, gilt § 5 Absatz 4a Satz 1 Nummer 3 ab Beginn der Beitragszahlung,
2. keine Beiträge gezahlt, gilt § 5 Absatz 4a Satz 1 Nummer 3 ab dem Zeitpunkt, zu dem der Arbeitgeber mit Zustimmung der Teilnehmerin oder des Teilnehmers Beiträge zahlt.

§ 417 Versicherung nach § 9 für Ausländerinnen und Ausländer mit Aufenthaltserlaubnis nach § 24 Absatz 1 des Aufenthaltsgesetzes oder mit entsprechender Fiktionsbescheinigung ^22a

(1) Ergänzend zu § 9 können innerhalb von sechs Monaten nach Aufenthaltnahme im Inland Personen der Versicherung beitreten,

1. die gemäß § 49 des Aufenthaltsgesetzes erkennungsdienstlich behandelt worden sind und denen eine Aufenthaltserlaubnis nach § 24 des Aufenthaltsgesetzes erteilt oder eine entsprechende Fiktionsbescheinigung nach § 81 Absatz 5 in Verbindung mit Absatz 3 des Aufenthaltsgesetzes für einen Aufenthaltstitel nach § 24 des Aufenthaltsgesetzes ausgestellt wurde und
2. die nicht nach § 7 Absatz 1 Satz 1 Nummer 3 des Zweiten Buches oder § 19 des Zwölften Buches hilfebedürftig sind.

(2) Absatz 1 ist bei Personen, denen nach dem 24. Februar 2022 und vor dem 1. Juni 2022 eine Aufenthaltserlaubnis nach § 24 Absatz 1 des Aufenthaltsgesetzes erteilt oder eine entsprechende Fiktionsbescheinigung nach § 81 Absatz 5 in Verbindung mit Absatz 3 oder Absatz 4 des Aufenthaltsgesetzes ausgestellt worden ist, mit der Maßgabe anzuwenden, dass anstelle der erkennungsdienstlichen Behandlung die Speicherung der Daten nach § 3 Absatz 1 des AZR-Gesetzes erfolgt ist. Eine nicht durchgeführte erkennungsdienstliche Behandlung nach § 49 des Aufenthaltsgesetzes oder nach § 16 des Asylgesetzes ist in diesen Fällen durch die zuständige Behörde bis zum Ablauf des 31. Oktober 2022 nachzuholen.

(3) Das Erfordernis des Nachholens einer erkennungsdienstlichen Behandlung nach Absatz 2 gilt nicht, soweit eine erkennungsdienstliche Behandlung nach § 49 des Aufenthaltsgesetzes nicht vorgesehen ist.

§ 418 Übergangsregelung zum Antragsverfahren zur Ausnahme vom Preismoratorium ^{22f 22k}

Für Arzneimittel, die bei Inkrafttreten der Regelung des § 130a Absatz 3c in der Fassung des GKV-Finanzstabilisierungsgesetzes vom 7. November 2022 (BGBl. I S. 1990) bereits im Geltungsbereich dieses Gesetzes in Verkehr gebracht waren und zum Zeitpunkt ihres erstmaligen Inverkehrbringens nach Inkrafttreten dieser Regelung die Voraussetzungen des § 130a Absatz 3c Satz 3 erfüllten, kann der pharmazeutische Unternehmer den Antrag nach § 130a Absatz 3c Satz 1 bis zum 1. Februar 2023 stellen. In der Vereinbarung nach § 130a Absatz 3c Satz 6 kann von § 130a Absatz 3c Satz 7 abgewichen werden, sofern Verträge nach § 130a Absatz 8 eine wirtschaftliche Versorgung sicherstellen.

§ 419 Übergangsregelung zur Besetzung der Vorstände der Kassenärztlichen Vereinigungen und Kassenärztlichen Bundesvereinigungen ^22k

§ 79 Absatz 4 Satz 1 zweiter Halbsatz und Satz 2 zweiter Halbsatz findet keine Anwendung auf Vorstände, deren Mitglieder vor dem 3. Dezember 2022 von der Vertreterversammlung wirksam gewählt wurden.

§ 420 Übergangsregelung zur Novellierung der vermögensrechtlichen Vorschriften ^22j

Bis zum 31. Dezember 2024 dürfen Vermögensgegenstände, die vor dem 1. Januar 2023 nach § 78 Absatz 5 Satz 2, Absatz 6, § 91a Absatz 1 Satz 6, § 208 Absatz 2 Satz 2, § 217d Absatz 2 Satz 3, § 220 Absatz 3 Satz 2 und § 280 Absatz 3 Satz 5 in Verbindung mit den jeweils in Bezug genommenen Vorschriften der §§ 80 bis 86 des Vierten Buches in der bis dahin geltenden Fassung zulässigerweise erworben wurden, auch dann im Vermögen gehalten werden, wenn die Anlage in diese Vermögensgegenstände nach den §§ 80 bis 86 des Vierten Buches in der ab dem 1. Januar 2023 geltenden Fassung nicht mehr zulässig ist

§ 421 Übergangsregelung zur Vergütung von pharmazeutischem Großhandel und von Apotheken für die Abgabe von COVID-19-Impfstoff ^{22h 23a1}

(1) Apotheken erhalten für die Abgabe von vom Bund beschafftem COVID-19-Impfstoff im Zeitraum vom 1. Januar 2023 bis zum 31. Dezember 2027 eine Vergütung in Höhe von 7,58 Euro zuzüglich Umsatzsteuer je abgegebener Durchstechflasche. Satz 1 findet auch Anwendung auf COVID-19-Impfstoff, den Apotheken selbst verabreichen.

(2) Pharmazeutische Großhändler erhalten für die Abgabe von vom Bund beschafftem COVID-19-Impfstoff an die Apotheken im Zeitraum vom 1. Januar 2023 bis zum 31. Dezember 2027 eine Vergütung in Höhe von 7,45 Euro zuzüglich Umsatzsteuer je abgegebener Durchstechflasche. Für die Abgabe von durch den pharmazeutischen Großhandel selbst beschafftem Impfbesteck und -zubehör für Schutzimpfungen gegen das Coronavirus SARS-CoV-2 an Apotheken im Zeitraum vom 1. Januar 2023 bis zum 7. April 2023 erhalten pharmazeutische Großhändler eine Vergütung in Höhe von 3,72 Euro zuzüglich Umsatzsteuer je abgegebener Durchstechflasche.

(3) Apotheken erhalten für die nachträgliche Erstellung eines COVID-19-Impfzertifikats im Sinne des § 22a Absatz 5 des Infektionsschutzgesetzes im Zeitraum vom 1. Januar 2023 bis zum 30. Juni 2023 eine Vergütung in Höhe von 6 Euro je Erstellung. Ein Anspruch auf die Vergütung nach Satz 1 besteht nur, wenn das COVID-19-Impfzertifikat anlässlich eines unmittelbaren persönlichen Kontakts zwischen der Apotheke und der geimpften Person, einem Elternteil oder einem anderen Sorgeberechtigten einer minderjährigen geimpften Person erstellt wird. Ist für die geimpfte Person ein Betreuer bestellt, dessen Aufgabenkreis diese Angelegenheit umfasst, so ist auch ein unmittelbarer persönlicher Kontakt zu diesem ausreichend. Eine Vergütung nach Satz 1 ist ausgeschlossen, sofern das COVID-19-Impfzertifikat durch einen anderen Leistungserbringer bereits ausgestellt wurde.

(4) Apotheken erhalten für die Nachtragung einer Schutzimpfung gegen das Coronavirus SARS-CoV-2 in einem Impfausweis nach § 22 Absatz 2 Satz 3 des Infektionsschutzgesetzes im Zeitraum vom 1. Januar 2023 bis zum 30. Juni 2023 je Nachtragung eine Vergütung in Höhe von 2 Euro. Eine Vergütung nach Satz 1 ist ausgeschlossen, wenn eine Eintragung einer Schutzimpfung gegen das Coronavirus SARS-CoV-2 in einem Impfausweis bereits durch einen anderen Leistungserbringer vorgenommen wurde.

(5) Die Apotheken rechnen die sich aus den Absätzen 1 bis 4 ergebenden Vergütungen monatlich, spätestens bis zum Ende des dritten auf den Abrechnungszeitraum folgenden Monats, über ein von ihnen für die Abrechnung in Anspruch genommenes in § 300 Absatz 2 Satz 1 genanntes Rechenzentrum ab. Für in den Absätzen 1 bis 4 genannte Leistungen, die nach dem 31. Dezember 2027 erbracht werden, darf eine Vergütung nicht abgerechnet werden. Jedes Rechenzentrum übermittelt monatlich, letztmalig bis zum 31. März 2028, den Betrag, der sich aus den in Satz 1 genannten Abrechnungen jeweils ergibt, an das Bundesamt für Soziale Sicherung und an den Verband der Privaten Krankenversicherung e. V.. Sachliche oder rechnerische Fehler in dem übermittelten Gesamtbetrag sind durch die Rechenzentren in der nächsten Übermittlung zu berichtigen; sachliche oder rechnerische Fehler in dem letztmalig übermittelten Gesamtbetrag sind bis zum 30. April 2028 zu berichtigen. Das Bundesamt für Soziale Sicherung zahlt 93 Prozent der nach Satz 3 übermittelten Beträge aus der Liquiditätsreserve des Gesundheitsfonds an das jeweilige Rechenzentrum. Der Verband der Privaten Krankenversicherung zahlt 7 Prozent der nach Satz 3 übermittelten Beträge an das jeweilige Rechenzentrum. Die Rechenzentren leiten die nach Satz 1 abgerechneten Beträge an die Apotheken weiter. Die Apotheken leiten die an sie ausgezahlte in Absatz 2 genannte Vergütung an die pharmazeutischen Großhändler weiter. Das Bundesamt für Soziale Sicherung bestimmt das Nähere zum Verfahren nach den Sätzen 3 bis 5. Das Bundesamt für Soziale Sicherung informiert den Verband der Privaten Krankenversicherung e. V. über das Verfahren. An das Bundesministerium für Gesundheit übermittelt monatlich das Bundesamt für Soziale Sicherung eine Aufstellung der nach Satz 5 ausgezahlten Beträge und der Verband der Privaten Krankenversicherung e. V. eine Aufstellung der nach Satz 6 ausgezahlten Beträge.

(6) Zur Finanzierung der in Absatz 5 Satz 6 genannten Zahlungen erhebt der Verband der Privaten Krankenversicherung e. V. eine Umlage gegenüber den privaten Krankenversicherungsunternehmen entsprechend dem Anteil der jeweiligen Versicherten. Das Nähere zum Umlageverfahren nach Satz 1 bestimmt der Verband der Privaten Krankenversicherung e. V..

(7) Auf Anforderung haben pharmazeutische Großhändler dem Paul-Ehrlich-Institut zur Abwendung von versorgungsrelevanten Lieferengpässen von COVID-19-Impfstoffen Daten zum Bezug, zur Abgabe und zu verfügbaren Beständen dieser Impfstoffe mitzuteilen.

§ 422 Übergangsregelung zur Vergütung und Abrechnung von Leistungen im Zusammenhang mit der Abgabe von antiviralen Arzneimitteln zur Behandlung von COVID-19-Erkrankungen ^{22h 23a1}

(1) Pharmazeutische Großhändler erhalten für die Abgabe von vom Bund beschafften antiviralen Arzneimitteln zur Behandlung von COVID-19-Erkrankungen an Apotheken im Zeitraum vom 8. April 2023 bis zum 30. Juni 2024 eine Vergütung in Höhe von 20 Euro zuzüglich Umsatzsteuer je abgegebener Packung.

(2) Apotheken erhalten für die Abgabe von vom Bund beschafften antiviralen Arzneimitteln zur Behandlung von COVID-19-Erkrankungen im Zeitraum vom 8. April 2023 bis zum 30. Juni 2024 eine Vergütung in Höhe von 30 Euro zuzüglich Umsatzsteuer je abgegebener Packung. Abweichend von Satz 1 erhalten Apotheken im Zeitraum vom 8. April 2023 bis zum 30. Juni 2024 eine Vergütung in Höhe von 15 Euro zuzüglich Umsatzsteuer je abgegebener Packung, wenn die Abgabe an Ärztinnen und Ärzte oder an nach § 72 des Elften Buches zugelassene vollstationäre Pflegeeinrichtungen erfolgt. Sofern die in Satz 1 oder Satz 2 genannte Abgabe im Wege des Botendienstes erfolgt, erhalten Apotheken eine zusätzliche Vergütung in Höhe von 8 Euro einschließlich Umsatzsteuer je Lieferort und Tag.

(3) Die abgebende Apotheke rechnet die sich aus den Absätzen 1 und 2 ergebenden Vergütungen ab. Für in den Absätzen 1 und 2 genannten Leistungen, die nach dem 30. Juni 2024 erbracht werden, darf eine Vergütung nicht abgerechnet werden. Der Gesamtbetrag der Vergütungen nach den Absätzen 1 und 2 ist bei Personen, die in der gesetzlichen Krankenversicherung versichert sind, über ein von den Apotheken für die Abrechnung in Anspruch genommenes in § 300 Absatz 2 Satz 1 genanntes Rechenzentrum gegenüber der jeweiligen Krankenkasse und bei Personen, die in der privaten Krankenversicherung versichert sind, sowie bei Selbstzahlern gegenüber der jeweiligen Person abzurechnen. Bei Personen, die weder in der gesetzlichen Krankenversicherung noch in der privaten Krankenversicherung versichert sind und für deren Gesundheitskosten eine andere Kostenträgerschaft besteht, ist gegenüber dem jeweiligen Kostenträger abzurechnen, sofern nicht für diesen Personenkreis eine Abrechnung über die jeweils zuständige Krankenkasse vorgesehen ist. Die Vergütung für in Absatz 1 und 2 genannte Leistungen, die bis zum 30. Juni 2024 erbracht worden sind, ist bis zum 30. September 2024 abzurechnen.

§ 423 Rückwirkende Herabsetzung nach § 240 Absatz 4a Satz 4 festgesetzter Beiträge ^{23 23a1 23a2 23c9}

In Fällen, in denen die Krankenkasse für Zeiträume ab dem 1. Januar 2018 die Beiträge nach § 240 Absatz 4a Satz 3 in Verbindung mit Satz 4 in der bis zum 15. Dezember 2023 geltenden Fassung festgesetzt hat, sind die Beiträge für das jeweilige Kalenderjahr neu festzusetzen, für das das Mitglied die tatsächlichen Einnahmen durch Vorlage eines Einkommensteuerbescheides bis zum Ablauf des 16. Dezember 2024 oder, falls ein Einkommensteuerbescheid für ein Kalenderjahr bis zum Ablauf des 16. Dezember 2023 noch nicht erlassen wurde, innerhalb von zwölf Monaten nach Bekanntgabe des jeweiligen Einkommensteuerbescheides nachweist

§ 424 Übergangsregelung aus Anlass des Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetzes ^23a1

(1) Auf Vereinbarungen nach § 130a Absatz 8 Satz 1, die bis zum 26. Juli 2023 abgeschlossen worden sind, ist § 130a Absatz 8 Satz 10 in der bis zu diesem Tag geltenden Fassung anzuwenden. Auf diese Vereinbarungen ist § 130a Absatz 8 Satz 13 nicht anzuwenden.

(2) Auf Vereinbarungen nach § 130a Absatz 8 Satz 1, für die vor dem 27. Juli 2023 eine Ausschreibung im Supplement zum Amtsblatt der Europäischen Union bekannt gemacht worden ist oder die bis zum 26. Juli 2023 abgeschlossen worden sind, findet § 130a Absatz 8 Satz 10 bis 12 und Absatz 8a keine Anwendung.

§ 425 Evaluierung des Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetzes ^23a1

(1) Der Spitzenverband Bund der Krankenkassen hat dem Bundesministerium für Gesundheit bis zum 31. Dezember 2025 einen Bericht zur Umsetzung der durch das Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetz vom 19. Juli 2023 (BGBl. 2023 I Nr. 197) eingeführten, der Verbesserung der Arzneimittelversorgung dienenden Maßnahmen durch den Spitzenverband Bund der Krankenkassen, die Krankenkassen oder ihre Verbände sowie zu den Auswirkungen der durch die Artikel 1 bis 4 des Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetzes eingeführten Änderungen des Arzneimittelgesetzes, dieses Gesetzes, des Apothekengesetzes und der Apothekenbetriebsordnung auf die Ausgaben der Krankenkassen, die Zusammensetzung der Lose nach § 130a Absatz 8a und auf die Auswirkungen der Änderungen der Freistellung von der Zuzahlung vorzulegen.

(2) Das Bundesinstitut für Arzneimittel und Medizinprodukte hat dem Bundesministerium für Gesundheit bis zum 31. Dezember 2025 einen Bericht darüber vorzulegen, wie sich die durch die Artikel 1 bis 4 des Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetzes eingeführten Änderungen des Arzneimittelgesetzes, dieses Gesetzes, des Apothekengesetzes und der Apothekenbetriebsordnung auf die Versorgungslage mit Arzneimitteln ausgewirkt haben. Soweit Arzneimittel im Zuständigkeitsbereich des Paul-Ehrlich-Instituts betroffen sind, ist der Bericht im Einvernehmen mit dem Paul-Ehrlich-Institut zu erstellen.

(3) Abweichend von den Absätzen 1 und 2 sind die dort genannten Berichte hinsichtlich der Änderungen des § 130a Absatz 8 bis 8b jeweils bis zum 31. Dezember 2025 und bis zum 31. Dezember 2028 vorzulegen.

§ 426 Übergangsregelung zur Beitragspflicht, Tragung und Zahlung der Beiträge aus dem Zuschlag nach § 307j des Sechsten Buches ^24f

(1) Für die nach § 307j Absatz 1 des Sechsten Buches im Zeitraum vom 1. Juli 2024 bis zum 30. November 2025 zu zahlenden Rentenzuschläge und für die nach § 307j Absatz 5 des Sechsten Buches nachzuzahlenden Unterschiedsbeträge wird für nach diesem Buch Versicherungspflichtige abweichend von § 226 Absatz 1 Satz 1 Nummer 2 und § 237 Satz 1 Nummer 1 statt des Zahlbetrags der Rente der sich nach Absatz 3 jeweils ergebende Betrag der Beitragsbemessung zugrunde gelegt. Abweichend von § 249a Satz 1 und 2 tragen die Träger der Rentenversicherung die Beiträge aus den nach Absatz 3 ermittelten beitragspflichtigen Einnahmen allein.

(2) Die Deutsche Rentenversicherung Bund ermittelt zum 18. Dezember 2025 jeweils die Gesamtsumme der von der Deutschen Post AG für den Zeitraum vom 1. Juli 2024 bis zum 31. Dezember 2024 und für den Zeitraum vom 1. Januar 2025 bis zum 30. November 2025 an nach diesem Buch Versicherungspflichtige nach § 307j des Sechsten Buches auszuzahlenden Rentenzuschläge und die Gesamtsumme der an nach diesem Buch Versicherungspflichtige nach § 307j Absatz 5 des Sechsten Buches nachzuzahlenden Unterschiedsbeträge.

(3) Die beitragspflichtigen Einnahmen werden jeweils getrennt für den Zeitraum vom 1. Juli 2024 bis zum 31. Dezember 2024 und für den Zeitraum vom 1. Januar 2025 bis zum 30. November 2025 sowie hinsichtlich der nach § 307j Absatz 5 des Sechsten Buches nachzuzahlenden Unterschiedsbeträge ermittelt, indem vom Wert 100 Prozent die Hälfte des allgemeinen Beitragssatzes nach § 241, die Hälfte des durchschnittlichen Zusatzbeitragssatzes nach § 242a Absatz 2 sowie der Beitragssatz nach § 55 Absatz 1 Satz 1 des Elften Buches abgezogen werden und die jeweilige nach Absatz 2 ermittelte Gesamtsumme durch den resultierenden Wert geteilt wird. Dabei ist der jeweils geltende allgemeine Beitragssatz nach § 241, der für den jeweiligen Zeitraum nach § 242a Absatz 2 bekanntgegebene durchschnittliche Zusatzbeitragssatz sowie der am 1. Januar des jeweiligen Jahres geltende Beitragssatz nach § 55 Absatz 1 Satz 1 des Elften Buches anzuwenden. Für die nach § 307j Absatz 5 des Sechsten Buches nachzuzahlenden Unterschiedsbeträge sind die am 1. Januar 2025 geltenden Beitragssätze bei der Ermittlung der beitragspflichtigen Einnahmen nach Satz 1 anzuwenden.

(4) Für die Bemessung der Beiträge aus den nach Absatz 3 ermittelten beitragspflichtigen Einnahmen finden der allgemeine Beitragssatz nach § 241 und der für den jeweiligen Zeitraum nach § 242a Absatz 2 bekanntgegebene durchschnittliche Zusatzbeitragssatz Anwendung. Für die hinsichtlich der nach § 307j Absatz 5 des Sechsten Buches nachzuzahlenden Unterschiedsbeträge ermittelten beitragspflichtigen Einnahmen sind die am 1. Januar 2025 geltenden Beitragssätze anzuwenden.

(5) Die Beiträge aus den nach Absatz 3 ermittelten beitragspflichtigen Einnahmen werden am 7. Januar 2026 fällig. Die Deutsche Rentenversicherung Bund leitet die Beiträge an den Gesundheitsfonds weiter und teilt dem Bundesamt für Soziale Sicherung bis zum 22. Dezember 2025 die voraussichtliche Höhe der fälligen Beiträge mit. In den in Absatz 2 genannten Zeiträumen leistet die Deutsche Rentenversicherung Bund am Achten jedes Monats eine Abschlagszahlung in Höhe von jeweils 32 Millionen Euro an den Gesundheitsfonds. Die nach Satz 1 am 7. Januar 2026 fälligen Beiträge verringern sich jeweils um die nach Satz 3 geleisteten Abschlagszahlungen. § 271 Absatz 1 Nummer 2 gilt entsprechend. Das Nähere zum Verfahren der Zahlung der ermittelten Beiträge vereinbaren das Bundesamt für Soziale Sicherung, die Deutsche Rentenversicherung Bund, die Deutsche Rentenversicherung Knappschaft-Bahn-See und die Sozialversicherung für Landwirtschaft, Forsten und Gartenbau. In der Vereinbarung kann für die Beiträge aus den hinsichtlich der nach § 307j Absatz 5 des Sechsten Buches nachzuzahlenden Unterschiedsbeträge ermittelten beitragspflichtigen Einnahmen Folgendes festgelegt werden:

1. eine von Satz 1 abweichende Fälligkeit,
2. eine von Satz 2 abweichende Frist und
3. ein von Absatz 2 abweichender Zeitpunkt.

(6) Der Gesundheitsfonds überweist von den an ihn nach Absatz 5 gezahlten Beiträgen der landwirtschaftlichen Krankenkasse den auf sie entfallenden Anteil. Dafür ermittelt die Deutsche Rentenversicherung Bund den Anteil der Beiträge, die auf Rentenzahlungen für Versicherungspflichtige beruhen, für die von den Trägern der Rentenversicherung nach § 50 Absatz 1 des Zweiten Gesetzes über die Krankenversicherung der Landwirte Beiträge an die landwirtschaftliche Krankenkasse zu zahlen sind und teilt diesen Anteil dem Bundesamt für Soziale Sicherung mit.

.

.

1 Zusammenfassung

Diese Anlage enthält die Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 der Verordnung (EU) 2016/679 (DSGVO) gemäß § 307 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch (SGB V).

Die Datenschutz-Folgenabschätzung dieser Anlage betrachtet ausschließlich die von der Gesellschaft für Telematik zugelassenen Komponenten der dezentralen Telematikinfrastruktur (TI) nach § 306 Absatz 2 Nummer 1 SGB V. Da diese dezentralen Komponenten jedoch nur einen Teilbereich der gesamten IT-Unterstützung beim Leistungserbringer darstellen und der Leistungserbringer regelmäßig weitere Betriebsmittel nutzen wird, hat der Leistungserbringer zu prüfen, ob nach Artikel 35 DSGVO für diese weiteren Betriebsmittel eine ergänzende Datenschutz-Folgenabschätzung durchzuführen ist.

Ergebnis der Datenschutz-Folgenabschätzung
(§ 307 Absatz 1 Satz 3 SGB V):

Die korrekte Nutzung einer von der Gesellschaft für Telematik gemäß § 325 SGB V zugelassenen Komponente der dezentralen Infrastruktur der TI nach § 306 Absatz 2 Nummer 1 SGB V ist geeignet, ein Schutzniveau zu gewährleisten, das dem hohen Risiko entspricht, welches aus der Datenverarbeitung für die Rechte und Freiheiten der Betroffenen folgt, sofern die Komponenten vom Leistungserbringer gemäß Betriebshandbuch betrieben werden und der Leistungserbringer für seine Ablauforganisation sowie die weiteren genutzten dezentralen Betriebsmittel (z.B. IT-gestützter Arbeitsplatz, aktive Netzwerkkomponenten) die Vorschriften zum Schutz personenbezogener Daten einhält.

Die technischen Maßnahmen der Komponenten der dezentralen Infrastruktur der TI zur Gewährleistung der Datensicherheit werden gemäß § 311 Absatz 2 SGB V im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt und wirken den Risiken für die Rechte und Freiheiten der Betroffenen angemessen entgegen. Die korrekte Implementierung dieser Maßnahmen in den Komponenten der dezentralen Infrastruktur der Hersteller wird der Gesellschaft für Telematik im Rahmen des Zulassungsprozesses gemäß § 325 SGB V nachgewiesen.

Die in dieser Anlage betrachteten Verarbeitungsvorgänge der dezentralen Komponenten der TI entsprechen den konkreten Verarbeitungsvorgängen in den Komponenten der dezentralen TI eines Leistungserbringers. Die Komponenten der dezentralen TI stellen technisch sicher, dass Leistungserbringer mit diesen Komponenten ausschließlich die in dieser Anlage betrachteten Verarbeitungsvorgänge durchführen können. Es ist mit diesen Komponenten nicht möglich, darüber hinausgehende oder abweichende Verarbeitungsvorgänge durchzuführen. Zur Verhinderung einer negativen Beeinflussung der Verarbeitungen in den Komponenten besitzen die Komponenten geprüfte Schutzmaßnahmen. Die konkrete Einsatzumgebung der Komponenten der dezentralen TI ist spezifisch für den jeweiligen Leistungserbringer; für diese hat der Leistungserbringer daher erforderlichenfalls eine eigene ergänzende Datenschutz-Folgenabschätzung durchzuführen.

2 Datenschutz- Folgenabschätzung
(§ 307 Absatz 1 Satz 3 SGB V)

Die Datenschutz-Folgenabschätzung für die Komponenten der dezentralen Infrastruktur der TI gemäß § 306 Absatz 2 Nummer 1 SGB V basiert auf den Kriterien der "Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679,wahrscheinlich ein hohes Risiko mit sich bringt" (Artikel 29 WP 248 Rev. 1)" der Datenschutzgruppe nach Artikel 29 (nun Europäischer Datenschutzausschuss; der Europäische Datenschutzausschuss hat die mit der Datenschutz-Grundverordnung zusammenhängenden Leitlinien der Artikel-29-Datenschutzgruppe - darunter die soeben genannte - bei seiner ersten Plenarsitzung bestätigt, so dass diese fortgelten).

2.1 Systematische Beschreibung der Verarbeitungsvorgänge
(Artikel 35 Absatz 7 Buchstabe a DSGVO)

Mittels der Komponenten der dezentralen TI nutzen Leistungserbringer Anwendungen der TI, Dienste der zentralen TI oder der Anwendungsinfrastruktur der TI sowie über die TI erreichbare Anwendungen bzw. Dienste. Die Komponenten bieten den Leistungserbringern zudem Funktionen zur Ver- bzw. Entschlüsselung und Signatur von Daten.

Die Gesellschaft für Telematik und die Krankenkassen stellen Informationsmaterial öffentlich zur Verfügung, in dem die Funktionsweise der Anwendungen der TI erklärt wird. Zudem veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite die Spezifikationen, auf deren Basis die Komponenten und Dienste der TI entwickelt und zugelassen werden müssen.

2.1.1 Kategorien von Verarbeitungsvorgängen

Die Verarbeitungsvorgänge in der dezentralen Infrastruktur lassen sich in drei Kategorien unterteilen:

Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung

Kategorie 2: Weitere Verarbeitung (betrifft ausschließlich Verschlüsselung, Signatur, Authentifizierung)

Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen.

Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung

Diese Kategorie umfasst alle Verarbeitungsvorgänge, in denen einer Komponente der dezentralen Infrastruktur personenbezogene Daten übergeben werden (z.B. vom Primärsystem) und in denen die Komponente der dezentralen Infrastruktur die übergebenen Daten unverändert an die vorgesehene Empfängerkomponente weiterleitet.

Empfängerkomponenten können Teil der zentralen TI, der Anwendungsinfrastruktur der TI oder eines an die TI angeschlossenen Netzes sein. Empfängerkomponenten können selbst Teil der dezentralen Infrastruktur sein (z.B. Kartenterminals).

Die Komponente der dezentralen Infrastruktur übernimmt für diese Verarbeitungsvorgänge lediglich eine Weiterleitungsfunktion. Eine weitere Verarbeitung der transportierten Daten erfolgt nicht.

Zu dieser Kategorie gehören insbesondere Verarbeitungsvorgänge

der weiteren Anwendungen nach § 327 SGB V,

der sicheren Übermittlungsverfahren nach § 311 Absatz 1 Nummer 5 SGB V sowie

der Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 2, 6 und 7 SGB V.

Kategorie 2: Weitere Verarbeitung (Verschlüsselung, Signatur, Authentifizierung)

Zu dieser Kategorie gehören die Ver- und Entschlüsselungen sowie die Signaturoperationen, die mittels der Verschlüsselungs- und Signaturfunktionen der dezentralen Infrastruktur durchgeführt werden. Hier werden die zu verschlüsselnden bzw. zu entschlüsselnden Daten sowie die zu signierenden Daten übergeben. Es erfolgt keine über die Ver- bzw. Entschlüsselung bzw. Signatur hinausgehende Verarbeitung in den Komponenten der dezentralen Infrastruktur.

Die Funktionen zur Ver- und Entschlüsselung sowie der Signatur können durch Anwendungen der Kategorie 1 und 3 genutzt werden.

Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen

In diesen Verarbeitungsvorgängen werden die einer Komponente der dezentralen Infrastruktur übergebenen Daten in der dezentralen Infrastruktur anwendungsspezifisch verarbeitet, d. h. die Verarbeitung ist im Gegensatz zu den bisherigen Kategorien nicht auf den Transport, die Ver- und Entschlüsselung oder die Signatur beschränkt.

Zu dieser Kategorie gehören die Verarbeitungsvorgänge des Versichertenstammdatenmanagements nach § 291b SGB V sowie der Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 3 bis 5 SGB V. 2.1.2 Systematische Beschreibung

Die systematische Beschreibung hat nach Erwägungsgrund (ErwG) 90 sowie Artikel 35 Absatz 7 Buchstabe a und Absatz 8 DSGVO sowie nach den "Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679,wahrscheinlich ein hohes Risiko mit sich bringt"" der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

2.2 Notwendigkeit und Verhältnismäßigkeit
(Artikel 35 Absatz 7 Buchstabe b DSGVO )

Im Rahmen der Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge müssen nach den ErwGen 90 und 96, nach Artikel 35 Absatz 7 Buchstabe b und d DSGVO sowie nach den "Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679,wahrscheinlich ein hohes Risiko mit sich bringt'" der Artikel-29-Datenschutzgruppe (WP 248) Maßnahmen zur Einhaltung der Verordnung bestimmt werden, wobei Folgendes berücksichtigt werden muss:

Maßnahmen im Sinne der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung (Artikel 5 und 6 DSGVO) sowie Maßnahmen im Sinne der Rechte der Betroffenen (Artikel 12 bis 21, 28, 36 und Kapitel V DSGVO).

2.3 Risiken für die Rechte und Freiheiten der betroffenen Personen
(Artikel 35 Absatz 7 Buchstabe c DSGVO)

Die Risiken für die Rechte und Freiheiten der betroffenen Personen sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (ErwGe 76, 77, 84 und 90 DSGVO). Nach den ErwGen 75 und 85 DSGVO sind unter anderem die potentiellen Risiken dieses Abschnitts genannt.

Risikoquellen sind beim Leistungserbringer tätige Personen inklusive des Leistungserbringers als Verantwortlicher, die unbeabsichtigt und unbewusst den zulässigen Rahmen der Verarbeitung überschreiten könnten,

Angreifer, die bewusst aus der Umgebung des Leistungserbringers in die Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen,

Angreifer, die bewusst von außerhalb der Leistungserbringerumgebung in die Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen,

Hersteller der Komponenten der dezentralen TI sowie technische Fehlfunktionen der Komponenten der dezentralen TI.

Da in den Komponenten der dezentralen TI besondere Kategorien personenbezogener Daten verarbeitet werden, besteht ein hohes Ausgangsrisiko für die Rechte und Freiheiten natürlicher Personen. Das hohe Ausgangsrisiko wird durch die Abhilfemaßnahmen in Abschnitt 2.4 auf ein angemessenes Risiko gesenkt, falls die dezentralen Komponenten vom Leistungserbringer gemäß Betriebshandbuch betrieben werden. Durch die Anwendung der in § 75b SGB V geforderten Richtlinie zur IT-Sicherheit, die IT-Sicherheitsanforderungen an Krankenhäuser nach § 391 SGB V und die Anforderungen an die Wartung von Diensten gemäß § 332 SGB V werden Risiken im Betrieb der dezentralen Komponenten der TI wesentlich gesenkt.

Da die Maßnahmen der Komponenten der dezentralen TI zur Gewährleistung der Datensicherheit in gleicher Weise auf alle in den Komponenten verarbeiteten personenbezogenen Daten wirken und nicht spezifisch für einzelne Verarbeitungsvorgänge sind, erfolgt die Bewertung der Angemessenheit der Abhilfemaßnahmen der Komponenten hinsichtlich der Daten, deren Verarbeitung die höchsten Risiken für die Betroffenen bedeutet, nach dem Maximum-Prinzip. Es handelt sich hierbei um die personenbezogenen Daten nach Artikel 9 Absatz 1 DSGVO der Versicherten. Nach diesen Daten bestimmen sich die in den Komponenten zu treffenden Abhilfemaßnahmen. Die Abhilfemaßnahmen sind dann ebenfalls angemessen für die Verarbeitung der weniger sensiblen Daten.

Die Risikobewertung orientiert sich am Standard-Datenschutzmodell (SDM) der Aufsichtsbehörden für den Datenschutz und den dort definierten Gewährleistungszielen. Die Schadens- und Eintrittswahrscheinlichkeitsstufen sowie die Risikomatrix orientieren sich am DSK-Kurzpapier Nummer 18 "Risiko für die Rechte und Freiheiten natürlicher Personen" i.V.m. der ISO/IEC 29134:2017 zum Privacy Impact Assessment. In der folgenden Tabelle werden die einzelnen Risiken identifiziert, inklusive Schadenshöhe, Schadensereignissen, betroffenen Gewährleistungszielen des Standard-Datenschutzmodells und Eintrittswahrscheinlichkeit. Die Bewertung der Eintrittswahrscheinlichkeit erfolgt unter Berücksichtigung der referenzierten Abhilfemaßnahmen, die detailliert in Abschnitt 2.4 beschrieben sind.

2.4 Abhilfemaßnahmen
(Artikel 35 Absatz 7 Buchstabe d DSGVO)

Gemäß Artikel 35 Absatz 7 Buchstabe d DSGVO sind zur Bewältigung der Risiken Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, umzusetzen, durch die die Risiken für die Rechte der Betroffenen eingedämmt werden und der Schutz personenbezogener Daten sichergestellt wird.

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den ErwGen 28, 78 und 83 DSGVO genannt:

Die Abhilfemaßnahmen sind für alle Risikoquellen anwendbar. Technischen Fehlfunktionen der Komponenten der dezentralen TI wird im Rahmen der Zulassung durch funktionale Tests und Sicherheitsüberprüfungen entgegengewirkt.

2.5 Einbeziehung betroffener Personen

Gemäß § 311 Absatz 2 SGB V hat die Gesellschaft für Telematik die Festlegungen und Maßnahmen nach § 311 Absatz 1 Nummer 1 SGB V im Benehmen mit dem BSI und dem BfDI zu treffen. Die Aufgaben der Gesellschaft für Telematik nach § 311 Absatz 1 Nummer 1 SGB V umfassen hierbei insbesondere auch die Erstellung der funktionalen und technischen Vorgaben und die Zulassung der Komponenten der dezentralen Infrastruktur der TI.

Vertreter der Leistungserbringer sind als Gesellschafter der Gesellschaft für Telematik ebenfalls in die Erstellung der Vorgaben der dezentralen Infrastruktur der TI einbezogen.

Die Spezifikationen der Komponenten der dezentralen Infrastruktur der TI werden auf der Internetseite der Gesellschaft für Telematik veröffentlicht. Dadurch wird auch die Öffentlichkeit (u. a. Experten für Sicherheit und Datenschutz sowie Landesdatenschutzbehörden) einbezogen, so dass jederzeit die Möglichkeit der Prüfung der festgelegten Maßnahmen besteht.

ENDE