Die §§ 372 und 373 werden wie folgt gefasst:
„§ 372 Spezifikationen zu den offenen und standardisierten Schnittstellen für informationstechnische Systeme in der vertragsärztlichen und vertragszahnärztlichen Versorgung
(1) Für die in der vertragsärztlichen und vertragszahnärztlichen Versorgung eingesetzten informationstechnischen Systeme legen die Kassenärztlichen Bundesvereinigungen im Einvernehmen mit dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen die erforderlichen Spezifikationen zu den offenen und standardisierten Schnittstellen nach
§ 371 fest. Über die Spezifikationen nach Satz 1 entscheidet für die Kassenärztliche Bundesvereinigung der Vorstand. Bei den Spezifikationen zu den offenen und standardisierten Schnittstellen nach
§ 371 Absatz 1 Nummer 2 sind die Vorgaben nach
§ 73 Absatz 9 und der Rechtsverordnung nach
§ 73 Absatz 9 Satz 2 zu berücksichtigen.
(3) Für die abrechnungsbegründende Dokumentation von vertragsärztlichen und vertragszahnärztlichen Leistungen dürfen Vertragsärzte und Vertragszahnärzte nur solche informationstechnischen Systeme einsetzen, die von den Kassenärztlichen Bundesvereinigungen in einem Bestätigungsverfahren nach Satz 2 bestätigt wurden. Die Kassenärztlichen Bundesvereinigungen legen im Einvernehmen mit dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen die Vorgaben für das Bestätigungsverfahren so fest, dass im Rahmen des Bestätigungsverfahrens sichergestellt wird, dass die vorzunehmende Integration der offenen und standardisierten Schnittstellen in das jeweilige informationstechnische System innerhalb der Frist nach
§ 371 Absatz 3, die sich aus der Rechtsverordnung nach
§ 385 Absatz 1 Satz 1 ergibt, und nach Maßgabe des
§ 371 erfolgt ist. Die Kassenärztlichen Bundesvereinigungen veröffentlichen die Vorgaben zu dem Bestätigungsverfahren. Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen veröffentlicht eine Liste mit den nach Satz 1 bestätigten informationstechnischen Systemen auf der Plattform nach
§ 385 Absatz 1 Satz 2 Nummer 5.
§ 373 Spezifikationen zu den offenen und standardisierten Schnittstellen für informationstechnische Systeme in Krankenhäusern und in der pflegerischen Versorgung; Gebühren und Auslagen; Verordnungsermächtigung
(1) Für die in den zugelassenen Krankenhäusern eingesetzten informationstechnischen Systeme erstellt das Kompetenzzentrum für Interoperabilität im Gesundheitswesen im Benehmen mit der Deutschen Krankenhausgesellschaft sowie mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen die erforderlichen Spezifikationen zu den offenen und standardisierten Schnittstellen nach
§ 371. Bei den Spezifikationen zu den offenen und standardisierten Schnittstellen nach
§ 371 Absatz 1 Nummer 2 sind die Vorgaben nach
§ 73 Absatz 9 und der Rechtsverordnung nach
§ 73 Absatz 9 Satz 2 zu berücksichtigen. Die verbindliche Festlegung der Spezifikationen nach Satz 1 für das Gesundheitswesen erfolgt gemäß
§ 385 Absatz 2 Satz 1 Nummer 1 durch das Bundesministerium für Gesundheit im Rahmen der Rechtsverordnung nach
§ 385 Absatz 1 Satz 1.
(2) Im Rahmen der Spezifikationen nach Absatz 1 definiert die Deutsche Krankenhausgesellschaft im Einvernehmen mit dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen, welche Subsysteme eines informationstechnischen Systems im Krankenhaus die Schnittstellen integrieren müssen. Das Einvernehmen ist jeweils jährlich bis zum 30. April des entsprechenden Kalenderjahres herzustellen. Wird das Einvernehmen nicht fristgerecht hergestellt, ist das Kompetenzzentrum berechtigt und verpflichtet, innerhalb eines Monats nach Ablauf der Frist nach vorhergehender Anhörung des Expertengremiums im Sinne des
§ 385 Absatz 1 Satz 1, eine Entscheidung über die Definition der Subsysteme auf Basis der bisher erarbeiteten Vorschläge zu treffen.
(3) Für die informationstechnischen Systeme nach
§ 371 Absatz 2 erstellt das Kompetenzzentrum für Interoperabilität im Gesundheitswesen im Benehmen mit den Vereinigungen der Träger der Pflegeeinrichtungen auf Bundesebene sowie den Verbänden der Pflegeberufe auf Bundesebene und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen und in der pflegerischen Versorgung die erforderlichen Spezifikationen zu den offenen und standardisierten Schnittstellen nach
§ 371.
(5) Der Einsatz von informationstechnischen Systemen nach den Absätzen 1 bis 3, die von dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen in einem Bestätigungsverfahren nach Satz 2 bestätigt wurden, ist wie folgt verpflichtend:
- 1.
- für zugelassene Krankenhäuser
- 2.
- für die in § 312 Absatz 2 genannten Leistungserbringer sowie die zugelassenen Pflegeeinrichtungen im Sinne des § 72 Absatz 1 Satz 1 des Elften Buches binnen der jeweiligen Frist, die sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 ergibt, nachdem die jeweiligen Spezifikationen nach den §§ 372 und 373 erstellt und durch das Bundesministerium für Gesundheit entsprechend dem § 385 Absatz 2 Satz 1 Nummer 1 verbindlich festgelegt worden sind.
Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen legt die Vorgaben für das Bestätigungsverfahren so fest, dass im Rahmen des Bestätigungsverfahrens sichergestellt wird, dass die vorzunehmende Integration der offenen und standardisierten Schnittstellen in das jeweilige informationstechnische System innerhalb der jeweiligen Frist nach § 371 Absatz 3, die sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 ergibt, und nach Maßgabe des § 371 erfolgt ist. Das Kompetenzzentrum veröffentlicht eine Liste mit den nach Satz 1 bestätigten informationstechnischen Systemen auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5.
(6) Abweichend von Absatz 5 ist in der vertragsärztlichen Versorgung in zugelassenen Krankenhäusern eine Bestätigung für eine offene und standardisierte Schnittstelle nach
§ 371 Absatz 1 Nummer 2 entbehrlich, wenn hierfür eine Bestätigung nach
§ 372 Absatz 3 vorliegt.
(7) Die Gesellschaft für Telematik kann für die durch das Kompetenzzentrum für Interoperabilität im Gesundheitswesen durchgeführten Bestätigungen Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen.
(8) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen."
Die §§ 385 bis 388 werden wie folgt gefasst:
„§ 385 Bedarfsidentifizierung und -priorisierung, Spezifikation, Entwicklung und Festlegung von Standards; Verordnungsermächtigung
(1) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates zur Förderung der Interoperabilität und von offenen Standards und Schnittstellen die Einrichtung und Organisation eines bei der Gesellschaft für Telematik unterhaltenen Kompetenzzentrums für Interoperabilität im Gesundheitswesen sowie eines von dem Kompetenzzentrum eingesetzten Expertengremiums und deren jeweils notwendige Arbeitsstrukturen zu regeln sowie Regelungen zu treffen für die Erhebung von Gebühren und Auslagen für individuell zurechenbare öffentliche Leistungen, die durch das Kompetenzzentrum oder das Expertengremium erbracht werden. Das Kompetenzzentrum hat die Aufgabe, für informationstechnische Systeme, die im Gesundheitswesen eingesetzt werden,
- 1.
- einen Bedarf an technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten zu identifizieren und zu priorisieren,
- 2.
- natürliche Personen oder juristische Personen des öffentlichen oder privaten Rechts mit der Spezifikation von technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten zu beauftragen,
- 3.
- technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen zu empfehlen,
- 4.
- dem Bundesministerium für Gesundheit die verbindliche Festlegung von technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen vorzuschlagen,
- 5.
- technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten sowie Informationen über das Ergebnis beziehungsweise den Sachstand der Zertifizierung von informationstechnischen Systemen nach Nummer 7 in Verbindung mit § 387 sowie Informationen über das Vorliegen eines Testats im Sinne des § 393 Absatz 3 Nummer 2 einschließlich einer Kontrollliste zu den korrespondierenden Kriterien für Kunden im Sinne des § 393 Absatz 7 Satz 2 auf einer zu betreibenden Plattform zu veröffentlichen, wobei verbindliche Festlegungen im Sinne von Absatz 2 Satz 1 Nummer 1 gesondert auszuweisen sind,
- 6.
- technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten selbst zu entwickeln,
- 7.
- das Übereinstimmen mit den Interoperabilitätsanforderungen dieses Buches, des Siebten Buches und des Elften Buches sowie den Anforderungen nach der nach § 14a Absatz 1 Satz 2 des Infektionsschutzgesetzes erlassenen Rechtsverordnung durch eine Konformitätsbewertung nach § 387 zu überprüfen und hierüber ein Zertifikat auszustellen,
- 8.
- durch Maßnahmen zur Kompetenzbildung das Verständnis für Sachverhalte der Interoperabilität im Gesundheitswesen zu fördern sowie mit den Mitteln der Öffentlichkeitsarbeit kommunikativ die Aufgaben des Kompetenzzentrums gemäß den Nummern 1 bis 7 zu begleiten und
- 9.
- die Bundesregierung im Rahmen von Vorhaben und Gremien zur Förderung der Interoperabilität im Gesundheitswesen auf Bundesebene, in der Europäischen Union und im Rahmen bi- und multilateraler Abstimmungen zu unterstützen und die Aufgabe nach den Nummern 1 bis 4 und 6 auf Basis internationaler Standards vorzunehmen.
(2) Das Bundesministerium für Gesundheit kann in der Anlage zu der Rechtsverordnung nach Absatz 1 Satz 1
- 1.
- technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen verbindlich festlegen,
- 2.
- Fristen für die Umsetzung der verbindlichen Festlegungen nach Nummer 1 festlegen,
- 3.
- Fristen für die Integration der Schnittstellen nach den §§ 371 bis 373 festlegen und
- 4.
- Festlegungen zu offenen und standardisierten Schnittstellen für informationstechnische Systeme nach den §§ 371 bis 373 treffen, die zur Meldung und Vermittlung von Videosprechstunden genutzt werden.
Auf die Plattform nach Absatz 1 Satz 2 Nummer 5 können auch technische und semantische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen, Softwarekomponenten und Leitlinien der Pflege eingestellt werden. Das Kompetenzzentrum wird bei der Wahrnehmung seiner Aufgaben nach Satz 2 durch das Expertengremium unterstützt.
(3) In der Rechtsverordnung nach Absatz 1 Satz 1 ist das Nähere zu regeln zu
- 1.
- der Zusammensetzung der Gremien nach Absatz 1 Satz 1, einschließlich der Neuwahl des Expertengremiums, die spätestens zum 31. Dezember 2024 abgeschlossen sein muss,
- 2.
- dem Verfahrensablauf zur Benennung von Experten sowie den fachlichen Anforderungen an die zu benennenden Experten,
- 3.
- de jeweiligen Abstimmungsmodalitäten der in den Nummern 1 und 2 genannten Gremien, einschließlich der Beschlussfähigkeit,
- 4.
- der Einrichtung eines Expertenkreises sowie der Einrichtung von Arbeitskreisen, einschließlich deren Zusammensetzung unter Berücksichtigung der jeweiligen fachlichen Betroffenheit,
- 5.
- der Aufwandsentschädigung für die Experten,
- 6.
- den Einzelheiten der Aufgabenwahrnehmung nach Absatz 1 Satz 2 sowie den hierbei anzuwendenden Verfahren,
- 7.
- der jeweiligen Zuständigkeit der Gremien nach Absatz 1 Satz 1 für die Wahrnehmung der Aufgaben nach Absatz 1 Satz 2 sowie der Pflicht des Kompetenzzentrums, dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Gelegenheit zur Stellungnahme zu geben,
- 8.
- den Fristen für einzelne Aufgaben nach Absatz 1 Satz 2,
- 9.
- dem Inhalt, Betrieb und der Pflege der Plattform nach Absatz 1 Satz 2 Nummer 5,
- 10.
- den Berichtspflichten des Kompetenzzentrums und des Expertengremiums gegenüber dem Bundesministerium für Gesundheit und der Fachöffentlichkeit sowie den jeweiligen Berichtsinhalten,
- 11.
- dem Verfahrensablauf zur Beauftragung von natürlichen oder juristischen Personen des öffentlichen oder privaten Rechts mit der Erstellung von Spezifikationen nach Absatz 1 Satz 2 Nummer 2,
- 12.
- dem Verfahrensablauf und den Anforderungen zur Überprüfung der fachlichen Eignung als Voraussetzung zur Beauftragung von natürlichen oder juristischen Personen mit der Erstellung von Spezifikationen nach Absatz 1 Satz 2 Nummer 2,
- 13.
- dem Verfahrensablauf für standardisierte Kommentierungs- und Stellungnahmeverfahren im Rahmen der Aufgabenerfüllung nach Absatz 1 Satz 2,
- 14.
- dem Verfahrensablauf und den Fristen der Konformitätsbewertung, einschließlich den Eigenschaften und der Ausstellung des Zertifikats nach Absatz 1 Satz 2 Nummer 7,
- 15.
- dem Verfahrensablauf für die Akkreditierung einer Konformitätsbewertungsstelle im Sinne der Absätze 8 und 9 durch das Kompetenzzentrum,
- 16.
- den Festlegungen der Berichtspflichten für Hersteller von informationstechnischen Systemen über die Weiterentwicklungen ihrer Systeme, die Auswirkungen auf die Einhaltung der Interoperabilitätsanforderungen haben, und
- 17.
- der Einrichtung einer Beschwerdestelle, bei der Hinweise auf das negative Abweichen eines zertifizierten Systems von den verbindlichen Interoperabilitätsanforderungen gemeldet und geprüft werden können.
(4) Die Beauftragung mit der Erstellung einer Spezifikation im Sinne des Absatzes 1 Satz 2 Nummer 2 setzt voraus, dass durch das Kompetenzzentrum vor der Beauftragung die besondere fachliche Eignung der jeweiligen natürlichen oder juristischen Person festgestellt wurde. Nähere Regelungen hierzu bleiben nach Absatz 3 Nummer 12 der Rechtsverordnung nach Absatz 1 Satz 1 vorbehalten. Satz 1 findet keine Anwendung auf juristische Personen, denen vor dem 1. Januar 2024 in diesem oder einem anderen Gesetz die Spezifikation von Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen oder Softwarekomponenten als eigenverantwortliche Aufgabe übertragen wurde. Die fachliche Eignung der juristischen Personen nach Satz 3 wird vermutet. Das Bundesministerium für Gesundheit kann in der Rechtsverordnung nach Absatz 1 Satz 1 für einen öffentlichen Auftraggeber im Sinne des
§ 99 Nummer 1 bis 3 des Gesetzes gegen Wettbewerbsbeschränkungen ein ausschließliches Leistungserbringungsrecht zur Erstellung einer konkreten Spezifikation im Sinne des Absatzes 1 Satz 2 Nummer 2 festsetzen.
(5) Sofern nach den
§§ 355,
372,
373 und
374a bereits gesetzliche Aufträge zur Spezifikation von technischen, semantischen oder syntaktischen Standards, Profilen oder Leitfäden bestehen, sind Absatz 1 Satz 2 Nummer 2, Absatz 3 Nummer 11 und Absatz 4 erst ab dem 1. Januar 2025 anzuwenden.
(6) Sofern auf der Plattform im Sinne des Absatzes 1 Satz 2 Nummer 5 Angaben im Sinne des
§ 387 Absatz 5 zu der Versagung, der Rücknahme oder den Widerruf eines Zertifikats veröffentlicht wurden, können diese Angaben auf Antrag eines Berechtigten im Sinne des
§ 387 Absatz 1 nach angemessener Zeit gelöscht werden.
(7) Die Konformitätsbewertung und Zertifikatsausstellung nach Absatz 1 Satz 2 Nummer 7 und
§ 387 kann auch durch vom Kompetenzzentrum akkreditierte Stellen erfolgen.
(8) Bei dem Kompetenzzentrum kann von Konformitätsbewertungsstellen ein Antrag auf Akkreditierung nach Absatz 3 Nummer 15 gestellt werden. Voraussetzung für die Akkreditierung der Konformitätsbewertungsstelle ist, dass ihre Befähigung zur Wahrnehmung ihrer Aufgaben sowie die Einhaltung der Kriterien gemäß der Rechtsverordnung nach Absatz 1 Satz 1 für das Verfahren, für das die Stelle akkreditiert werden soll, durch das Kompetenzzentrum entsprechend dem in der Rechtsverordnung nach Absatz 1 Satz 1 niedergelegten Verfahren, festgestellt wurden. Die Akkreditierung kann unter Auflagen erteilt werden und ist zu befristen. Das Kompetenzzentrum nimmt die Akkreditierung zurück, wenn nachträglich bekannt wird, dass eine Stelle bei Antragstellung die Voraussetzungen nicht erfüllt hat. Sie widerruft die Akkreditierung, wenn die Voraussetzungen für eine Akkreditierung nachträglich weggefallen sind. An Stelle des Widerrufs kann das Ruhen der Akkreditierung angeordnet werden.
(9) Das Kompetenzzentrum überwacht die Erfüllung der in Absatz 8 festgelegten Voraussetzungen an die akkreditierten Stellen. Das Kompetenzzentrum macht die akkreditierten Stellen im Sinne des Absatzes 8 mit einer Kennnummer auf der Plattform nach Absatz 1 Satz 2 Nummer 5 bekannt.
§ 386 Recht auf Interoperabilität
(1) Die Leistungserbringer tauschen Patientendaten nach diesem Buch im interoperablen Format aus.
(2) Die in Absatz 1 genannten Stellen oder Datenverantwortlichen einer digitalen Gesundheitsanwendung nach
§ 33a haben den Versicherten auf deren Verlangen ihre personenbezogenen Gesundheitsdaten unverzüglich und kostenfrei im interoperablen Format herauszugeben. Die Versicherten können verlangen, dass auch ihre personenbezogenen Gesundheitsdaten von den in Satz 1 genannten Stellen an einen Leistungserbringer nach diesem Buch oder den Datenverantwortlichen einer digitalen Gesundheitsanwendung nach
§ 33a im interoperablen Format oder an ihre Krankenkasse nach Absatz 4 Satz 2 übermittelt werden.
§ 630f Absatz 3 und
§ 630g des Bürgerlichen Gesetzbuchs bleiben hiervon unberührt.
(4) Die Krankenkassen sollen die Versicherten bei der Verfolgung ihrer Ansprüche nach Absatz 2 unterstützen. Die Unterstützung der Krankenkassen nach Absatz 2 Satz 1 soll insbesondere umfassen, mit Einwilligung der Versicherten deren personenbezogene Gesundheitsdaten bei den Leistungserbringern nach Absatz 2 stellvertretend für die Versicherten anzufordern.
(5) Die auf Grundlage der Einwilligung der Versicherten bei den Leistungserbringern oder dem Datenverantwortlichen einer digitalen Gesundheitsanwendung nach
§ 33a oder einer digitalen Pflegeanwendung nach
§ 40a des Elften Buches erhobenen Daten dürfen von den Krankenkassen ausschließlich zur Unterstützung der Versicherten bei der Durchsetzung des Herausgabeanspruches nach Absatz 2 Satz 1 in Verbindung mit
§ 284 Absatz 1 Satz 1 Nummer 21 und mit Einwilligung des Versicherten zur Vorbereitung von Versorgungsinnovationen, der Information der Versicherten und der Unterbreitung von Angeboten nach
§ 284 Absatz 1 Satz 1 Nummer 19 verarbeitet werden.
§ 387 Konformitätsbewertung
(1) Auf Antrag eines Herstellers oder Anbieters eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll, führt das Kompetenzzentrum oder eine akkreditierte Stelle im Sinne von
§ 385 Absatz 8 eine Konformitätsbewertung auf die Übereinstimmung des Systems mit den geltenden Interoperabilitätsanforderungen durch.
(2) Die nach Absatz 1 zu prüfenden Interoperabilitätsanforderungen sind solche, die entsprechend
§ 385 Absatz 2 Satz 1 Nummer 1 für verbindlich erklärt wurden. Für die Schnittstellen der informationstechnischen Systeme im Sinne des
§ 371 Absatz 1 und 2 gelten ergänzend die Festlegungen des
§ 372 oder des
§ 373 als auf Einhaltung zu überprüfende Interoperabilitätsanforderungen.
(3) Sofern das zu prüfende informationstechnische System die Interoperabilitätsanforderungen entsprechend Absatz 2 erfüllt, stellt das Kompetenzzentrum oder die jeweilige akkreditierte Stelle im Sinne von
§ 385 Absatz 8 hierüber ein Zertifikat aus.
(4) Die Gültigkeitsdauer des Zertifikats über die Einhaltung der Interoperabilitätsanforderungen darf drei Jahre ab Ausstellung des Zertifikats nicht überschreiten. Das Zertifikat ist zurückzunehmen, wenn nachträglich bekannt wird, dass die Voraussetzungen zur Erteilung nicht vorgelegen haben. Das Zertifikat ist zu widerrufen, wenn die Voraussetzungen zur Erteilung nicht mehr gegeben sind.
(5) Die Angaben über gestellte Anträge, die Ausstellung, die Versagung, die Rücknahme oder den Widerruf eines Zertifikats sind vom Kompetenzzentrum auf der Plattform nach
§ 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen.
(6) Die Stellen für die Durchführung der Konformitätsbewertung nach
§ 372 Absatz 3 sind, abweichend von Absatz 1, bis einschließlich 31. Dezember 2024 die Kassenärztlichen Bundesvereinigungen.
(7) Das Nähere zum Konformitätsbewertungsverfahren im Sinne dieser Norm regelt die Rechtsverordnung nach
§ 385 Absatz 1 Satz 1 und Absatz 2. In dieser sind insbesondere die Gebühren und Auslagen niederzulegen, die die Gesellschaft für Telematik für die durch das Kompetenzzentrum oder die jeweilige akkreditierte Stelle im Sinne von
§ 385 Absatz 8 durchgeführten Konformitätsbewertungen gegenüber den Antragstellern erhebt.
§ 388 Verbindlichkeitsmechanismen
(1) Ein Inverkehrbringen und -halten eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll und für das verbindliche Festlegungen nach
§ 385 Absatz 2 Satz 1 Nummer 1 gelten, darf durch einen Hersteller oder Anbieter dieses Systems ab dem 1. Januar 2025 nur erfolgen, wenn
- 1.
- das Kompetenzzentrum für Interoperabilität im Gesundheitswesen zuvor durch die Ausstellung eines Zertifikats gemäß dem in § 387 niedergelegten Verfahren bestätigt hat, dass das informationstechnische System den verbindlichen Interoperabilitätsanforderungen dieses Buches entspricht oder
- 2.
- eine akkreditierte Stelle im Sinne von § 385 Absatz 8 zuvor durch die Ausstellung eines Zertifikats gemäß dem in § 387 niedergelegten Verfahren bestätigt hat, dass das informationstechnische System den verbindlichen Interoperabilitätsanforderungen dieses Buches entspricht und der Hersteller oder Anbieter des informationstechnischen Systems dieses Zertifikat dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen vorgelegt hat.
Die Pflichten nach Satz 1 entstehen bei wesentlichen Änderungen an Bestandssystemen, die deren Interoperabilität betreffen, erneut.
(2) Von den Pflichten nach Absatz 1 sind informationstechnische Systeme ausgenommen, die im Rahmen der wissenschaftlichen Forschung oder zu gemeinnützigen Zwecken oder durch juristische Personen des öffentlichen Rechts in Erfüllung eines gesetzlichen Auftrags entwickelt werden. Von einem gemeinnützigen Zweck ist auszugehen, wenn die Voraussetzungen des
§ 52 Absatz 1 der Abgabenordnung nachgewiesen sind.
(3) Wer als Hersteller oder Anbieter eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll, gegen die Pflichten des Absatzes 1 verstößt, kann auf Unterlassen des Inverkehrbringens in Anspruch genommen werden. Der Anspruch auf Unterlassung steht jedem Mitbewerber zu, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt, sowie den Krankenkassen. Wer beharrlich die Pflichten des Absatzes 1 vorsätzlich oder fahrlässig verletzt, ist den redlichen Mitbewerbern zum Ersatz des hieraus entstehenden Schadens verpflichtet. Bei der Bemessung des Schadensersatzes kann auch der Gewinn, den der unredliche Mitbewerber durch das unrechtmäßige Inverkehrbringen erzielt hat, berücksichtigt werden.
(4) Für die Geltendmachung der Ansprüche nach Absatz 3 ist der ordentliche Rechtsweg gegeben.
Nach § 389 wird folgender § 390 eingefügt:
„§ 390 IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung
(1) Die Kassenärztlichen Bundesvereinigungen legen in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest.
(2) Die Richtlinie nach Absatz 1 umfasst insbesondere auch
- 1.
- Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur, die in der vertragsärztlichen und vertragszahnärztlichen Versorgung genutzt werden, und
- 2.
- Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit (Steigerung der Security-Awareness).
(3) Die in der Richtlinie festzulegenden Anforderungen müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential und dem Schutzbedarf der verarbeiteten Informationen, in Bezug auf die primären Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen und vertragszahnärztlichen Leistungserbringer zu vermeiden.
(4) Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen, sind jährlich inhaltlich zu überprüfen und zu korrigieren sowie spätestens alle zwei Jahre an den Stand der Technik und an das Gefährdungspotential anzupassen.
(5) Die in der Richtlinie festzulegenden Anforderungen sowie deren Anpassungen erfolgen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen. Die Anforderungen nach Absatz 2 Nummer 1 legen die Kassenärztlichen Bundesvereinigungen zusätzlich im Benehmen mit der Gesellschaft für Telematik fest.
(6) Die Richtlinie nach Absatz 1 ist für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich. Die Richtlinie ist nicht anzuwenden für die vertragsärztliche und vertragszahnärztliche Versorgung im Krankenhaus, soweit dort bereits angemessene Vorkehrungen nach
§ 391 getroffen werden.
(7) Die Kassenärztlichen Bundesvereinigungen müssen die Mitarbeiterinnen und Mitarbeiter der Anbieter von informationstechnischen Systemen, die im Gesundheitswesen eingesetzt werden, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik auf deren Antrag zertifizieren, wenn diese Personen über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen. Die Vorgaben für die Zertifizierung werden von den Kassenärztlichen Bundesvereinigungen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen erstellt und regelmäßig überarbeitet. Die Vorgaben nach Satz 2 werden jeweils auf der Plattform nach
§ 385 Absatz 1 Satz 2 Nummer 5 veröffentlicht. In Bezug auf die Anforderungen nach Absatz 2 Nummer 1 legen die Kassenärztlichen Bundesvereinigungen die Vorgaben für die Zertifizierung der Mitarbeiterinnen und Mitarbeiter der Anbieter nach Satz 1 im Benehmen mit der Gesellschaft für Telematik fest."
Die §§ 391 und 392 werden wie folgt gefasst:
„§ 391 IT-Sicherheit in Krankenhäusern
(1) Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.
(2) Vorkehrungen nach Absatz 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern.
(3) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.
(4) Die Krankenhäuser können die Verpflichtungen nach den Absätzen 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach
§ 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß
§ 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.
§ 392 IT-Sicherheit der gesetzlichen Krankenkassen
(1) Krankenkassen sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Krankenkasse und die Sicherheit der verarbeiteten Versicherteninformationen maßgeblich sind.
(2) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht.
(3) Die Krankenkassen erfüllen die Verpflichtungen nach Absatz 1 insbesondere, indem sie den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Krankenkassen in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach
§ 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.
(4) Die Krankenkassen sind verpflichtet, repräsentiert durch ihre Verbände und den Spitzenverband Bund der Krankenkassen, in einem gemeinsamen bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Krankenkassen im Sinne des Absatzes 3 mitzuwirken. Die Krankenkassen, repräsentiert durch ihre Verbände und den Spitzenverband Bund der Krankenkassen, haben darauf hinzuwirken, dass der branchenspezifische Sicherheitsstandard auch Vorgaben enthält zu
- 1.
- geeigneten Maßnahmen zur Erhöhung der Cybersecurity-Awareness,
- 2.
- dem Einsatz von Systemen zur Angriffserkennung, die geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten, wobei diese dazu in der Lage sein sollten, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen (Maßnahmen zur Aufrechterhaltung der Betriebskontinuität) und
- 3.
- an IT-Dienstleister zu stellende Sicherheitsanforderungen gemäß Absatz 6, sofern diese Leistungen für die Krankenkassen zur Wahrnehmung ihrer gesetzlichen Aufgaben erbringen.
(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenkassen, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß
§ 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.
(6) Sofern eine Krankenkasse im Rahmen ihrer Aufgabenerfüllung IT-Dienstleistungen eines Dritten in Anspruch nimmt und eine Störung der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Dritten zu einer Beeinträchtigung der Funktionsfähigkeit der jeweiligen Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen führen kann, muss die Krankenkasse durch geeignete vertragliche Vereinbarungen sicherstellen, dass die Einhaltung des branchenspezifischen Sicherheitsstandards im Sinne des Absatzes 3 durch den Dritten gewährleistet wird."