Artikel 5 - Digital-Gesetz (DigiG)

(1) Pflegekassen sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Pflegekasse und die Sicherheit der verarbeiteten Versicherteninformationen maßgeblich sind.

(2) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Pflegekasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht.

(3) Die Pflegekassen erfüllen die Verpflichtungen nach Absatz 1, insbesondere indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Pflegekassen in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(4) Die Pflegekassen sind verpflichtet, repräsentiert durch ihre Verbände und den Spitzenverband der Pflegekassen, in einem gemeinsam bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Pflegekassen im Sinne des Absatzes 3 mitzuwirken. Die Pflegekassen, repräsentiert durch ihre Verbände und den Spitzenverband der Pflegekassen, haben darauf hinzuwirken, dass der branchenspezifische Sicherheitsstandard auch Vorgaben enthält zu

(5) Die Verpflichtung nach Absatz 1 gilt für alle Pflegekassen, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.

(6) Sofern eine Pflegekasse im Rahmen ihrer Aufgabenerfüllung IT-Dienstleistungen eines Dritten in Anspruch nimmt und eine Störung der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Dritten zu einer Beeinträchtigung der Funktionsfähigkeit der jeweiligen Pflegekasse oder der Sicherheit der verarbeiteten Versicherteninformationen führen kann, so muss die Pflegekasse durch geeignete vertragliche Vereinbarungen sicherstellen, dass die Einhaltung des branchenspezifischen Sicherheitsstandards im Sinne des Absatzes 3 durch den Dritten gewährleistet wird.

(7) Der Spitzenverband der Pflegekassen legt bis einschließlich 30. Juni 2024 den branchenspezifischen Sicherheitsstandard im Sinne des Absatzes 3 in der jeweils aktuellen Fassung als Richtlinie zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Pflegekassen für diese verbindlich fest. Die Richtlinie ist jährlich an die jeweils aktuelle Fassung des branchenspezifischen Sicherheitsstandards anzupassen.

(8) Der Spitzenverband der Pflegekassen berichtet dem Bundesministerium für Gesundheit und den anderen zuständigen Aufsichtsbehörden der Pflegekassen erstmals bis zum 31. Dezember 2024 und danach jährlich über den aktuellen Stand der Umsetzung der Vorgaben der Richtlinie im Sinne des Absatzes 7. Dabei ist für jede Pflegekasse gesondert darzustellen, ob die Vorgaben der Richtlinie im Sinne des Absatzes 7 umgesetzt und welche Maßnahmen hierzu im Einzelnen ergriffen wurden."

(1) Den Versicherten sind auf Verlangen ihre personenbezogenen Gesundheitsdaten unverzüglich und kostenfrei von dem Datenverantwortlichen einer digitalen Pflegeanwendung nach § 40a im interoperablen Format herauszugeben. Die Versicherten können verlangen, dass ihre personenbezogenen Daten von der in Satz 1 genannten Stelle an einen Datenverantwortlichen einer digitalen Pflegeanwendung nach § 40a ihrer Wahl oder an ihre Pflegekasse oder an das private Pflegeversicherungsunternehmen, das die private Pflege-Pflichtversicherung durchführt, nach Absatz 4 im interoperablen Format übermittelt werden. § 630f Absatz 3 und § 630g des Bürgerlichen Gesetzbuches bleiben hiervon unberührt.

(2) Das geltende interoperable Format bei der Übermittlung aus und in digitale Pflegeanwendungen ergibt sich aus den Interoperabilitätsanforderungen nach § 6 Absatz 1 in Verbindung mit § 7 der Digitale Pflegeanwendungen-Verordnung.

(3) Die Pflegekassen und die privaten Pflegeversicherungsunternehmen, die die private Pflege-Pflichtversicherung durchführen, sollen die Versicherten bei der Verfolgung ihrer Ansprüche nach Absatz 1 unterstützen. Die Unterstützung der Pflegekassen und der privaten Pflegeversicherungsunternehmen, die die private Pflege-Pflichtversicherung durchführen, nach Absatz 1 Satz 1 soll insbesondere umfassen, mit Einwilligung der Versicherten deren personenbezogene Daten stellvertretend für die Versicherten anzufordern.

(4) Die auf Grundlage der Einwilligung der Versicherten bei den Datenverantwortlichen einer digitalen Pflegeanwendung nach § 40a erhobenen Daten dürfen von den Pflegekassen und den privaten Pflegeversicherungsunternehmen, die die private Pflege-Pflichtversicherung durchführen, ausschließlich zum Zwecke der Unterstützung der Versicherten bei der Durchsetzung des Herausgabeanspruches nach Absatz 1 Satz 1 in Verbindung mit § 94 Absatz 1 Nummer 10a verarbeitet werden."