Zwölftes Kapitel - Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (SGB V)

(1) 1Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates zur Förderung der Interoperabilität und von offenen Standards und Schnittstellen die Einrichtung und Organisation eines bei der Gesellschaft für Telematik unterhaltenen Kompetenzzentrums für Interoperabilität im Gesundheitswesen sowie eines von dem Kompetenzzentrum eingesetzten Expertengremiums und deren jeweils notwendige Arbeitsstrukturen zu regeln sowie Regelungen zu treffen für die Erhebung von Gebühren und Auslagen für individuell zurechenbare öffentliche Leistungen, die durch das Kompetenzzentrum oder das Expertengremium erbracht werden. 2Das Kompetenzzentrum hat die Aufgabe, für informationstechnische Systeme, die im Gesundheitswesen eingesetzt werden,

(2) 1Das Bundesministerium für Gesundheit kann in der Anlage zu der Rechtsverordnung nach Absatz 1 Satz 1

(3) In der Rechtsverordnung nach Absatz 1 Satz 1 ist das Nähere zu regeln zu

(4) 1Die Beauftragung mit der Erstellung einer Spezifikation im Sinne des Absatzes 1 Satz 2 Nummer 2 setzt voraus, dass durch das Kompetenzzentrum vor der Beauftragung die besondere fachliche Eignung der jeweiligen natürlichen oder juristischen Person festgestellt wurde. 2Nähere Regelungen hierzu bleiben nach Absatz 3 Nummer 12 der Rechtsverordnung nach Absatz 1 Satz 1 vorbehalten. 3Satz 1 findet keine Anwendung auf juristische Personen, denen vor dem 1. Januar 2024 in diesem oder einem anderen Gesetz die Spezifikation von Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen oder Softwarekomponenten als eigenverantwortliche Aufgabe übertragen wurde. 4Die fachliche Eignung der juristischen Personen nach Satz 3 wird vermutet. 5Das Bundesministerium für Gesundheit kann in der Rechtsverordnung nach Absatz 1 Satz 1 für einen öffentlichen Auftraggeber im Sinne des § 99 Nummer 1 bis 3 des Gesetzes gegen Wettbewerbsbeschränkungen ein ausschließliches Leistungserbringungsrecht zur Erstellung einer konkreten Spezifikation im Sinne des Absatzes 1 Satz 2 Nummer 2 festsetzen.

(5) Sofern nach den §§ 355, 372, 373 und 374a bereits gesetzliche Aufträge zur Spezifikation von technischen, semantischen oder syntaktischen Standards, Profilen oder Leitfäden bestehen, sind Absatz 1 Satz 2 Nummer 2, Absatz 3 Nummer 11 und Absatz 4 erst ab dem 1. Januar 2025 anzuwenden.

(6) Sofern auf der Plattform im Sinne des Absatzes 1 Satz 2 Nummer 5 Angaben im Sinne des § 387 Absatz 5 zu der Versagung, der Rücknahme oder den Widerruf eines Zertifikats veröffentlicht wurden, können diese Angaben auf Antrag eines Berechtigten im Sinne des § 387 Absatz 1 nach angemessener Zeit gelöscht werden.

(7) Die Konformitätsbewertung und Zertifikatsausstellung nach Absatz 1 Satz 2 Nummer 7 und § 387 kann auch durch vom Kompetenzzentrum akkreditierte Stellen erfolgen.

(8) 1Bei dem Kompetenzzentrum kann von Konformitätsbewertungsstellen ein Antrag auf Akkreditierung nach Absatz 3 Nummer 15 gestellt werden. 2Voraussetzung für die Akkreditierung der Konformitätsbewertungsstelle ist, dass ihre Befähigung zur Wahrnehmung ihrer Aufgaben sowie die Einhaltung der Kriterien gemäß der Rechtsverordnung nach Absatz 1 Satz 1 für das Verfahren, für das die Stelle akkreditiert werden soll, durch das Kompetenzzentrum entsprechend dem in der Rechtsverordnung nach Absatz 1 Satz 1 niedergelegten Verfahren, festgestellt wurden. 3Die Akkreditierung kann unter Auflagen erteilt werden und ist zu befristen. 4Das Kompetenzzentrum nimmt die Akkreditierung zurück, wenn nachträglich bekannt wird, dass eine Stelle bei Antragstellung die Voraussetzungen nicht erfüllt hat. 5Sie widerruft die Akkreditierung, wenn die Voraussetzungen für eine Akkreditierung nachträglich weggefallen sind. 6An Stelle des Widerrufs kann das Ruhen der Akkreditierung angeordnet werden.

(9) 1Das Kompetenzzentrum überwacht die Erfüllung der in Absatz 8 festgelegten Voraussetzungen an die akkreditierten Stellen. 2Das Kompetenzzentrum macht die akkreditierten Stellen im Sinne des Absatzes 8 mit einer Kennnummer auf der Plattform nach Absatz 1 Satz 2 Nummer 5 bekannt.

(1) Die Leistungserbringer tauschen Patientendaten nach diesem Buch im interoperablen Format aus.

(2) 1Die in Absatz 1 genannten Stellen oder Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a haben den Versicherten auf deren Verlangen ihre personenbezogenen Gesundheitsdaten unverzüglich und kostenfrei im interoperablen Format herauszugeben. 2Die Versicherten können verlangen, dass auch ihre personenbezogenen Gesundheitsdaten von den in Satz 1 genannten Stellen an einen Leistungserbringer nach diesem Buch oder den Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a im interoperablen Format oder an ihre Krankenkasse nach Absatz 4 Satz 2 übermittelt werden. 3§ 630f Absatz 3 und § 630g des Bürgerlichen Gesetzbuchs bleiben hiervon unberührt.

(3) Das geltende interoperable Format ergibt sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 und Absatz 2 Satz 1 Nummer 1; das geltende interoperable Format bei der Übermittlung aus und in digitale Gesundheitsanwendungen ergibt sich aus den Interoperabilitätsanforderungen nach § 5 Absatz 1 in Verbindung mit § 7 der Digitale Gesundheitsanwendungen-Verordnung.

(4) 1Die Krankenkassen sollen die Versicherten bei der Verfolgung ihrer Ansprüche nach Absatz 2 unterstützen. 2Die Unterstützung der Krankenkassen nach Absatz 2 Satz 1 soll insbesondere umfassen, mit Einwilligung der Versicherten deren personenbezogene Gesundheitsdaten bei den Leistungserbringern nach Absatz 2 stellvertretend für die Versicherten anzufordern.

(5) Die auf Grundlage der Einwilligung der Versicherten bei den Leistungserbringern oder dem Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a oder einer digitalen Pflegeanwendung nach § 40a des Elften Buches erhobenen Daten dürfen von den Krankenkassen ausschließlich zur Unterstützung der Versicherten bei der Durchsetzung des Herausgabeanspruches nach Absatz 2 Satz 1 in Verbindung mit § 284 Absatz 1 Satz 1 Nummer 21 und mit Einwilligung des Versicherten zur Vorbereitung von Versorgungsinnovationen, der Information der Versicherten und der Unterbreitung von Angeboten nach § 284 Absatz 1 Satz 1 Nummer 19 verarbeitet werden.

(1) Auf Antrag eines Herstellers oder Anbieters eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll, führt das Kompetenzzentrum oder eine akkreditierte Stelle im Sinne von § 385 Absatz 8 eine Konformitätsbewertung auf die Übereinstimmung des Systems mit den geltenden Interoperabilitätsanforderungen durch.

(2) 1Die nach Absatz 1 zu prüfenden Interoperabilitätsanforderungen sind solche, die entsprechend § 385 Absatz 2 Satz 1 Nummer 1 für verbindlich erklärt wurden. 2Für die Schnittstellen der informationstechnischen Systeme im Sinne des § 371 Absatz 1 und 2 gelten ergänzend die Festlegungen des § 372 oder des § 373 als auf Einhaltung zu überprüfende Interoperabilitätsanforderungen.

(3) Sofern das zu prüfende informationstechnische System die Interoperabilitätsanforderungen entsprechend Absatz 2 erfüllt, stellt das Kompetenzzentrum oder die jeweilige akkreditierte Stelle im Sinne von § 385 Absatz 8 hierüber ein Zertifikat aus.

(4) 1Die Gültigkeitsdauer des Zertifikats über die Einhaltung der Interoperabilitätsanforderungen darf drei Jahre ab Ausstellung des Zertifikats nicht überschreiten. 2Das Zertifikat ist zurückzunehmen, wenn nachträglich bekannt wird, dass die Voraussetzungen zur Erteilung nicht vorgelegen haben. 3Das Zertifikat ist zu widerrufen, wenn die Voraussetzungen zur Erteilung nicht mehr gegeben sind.

(5) Die Angaben über gestellte Anträge, die Ausstellung, die Versagung, die Rücknahme oder den Widerruf eines Zertifikats sind vom Kompetenzzentrum auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen.

(6) Die Stellen für die Durchführung der Konformitätsbewertung nach § 372 Absatz 3 sind, abweichend von Absatz 1, bis einschließlich 31. Dezember 2024 die Kassenärztlichen Bundesvereinigungen.

(7) 1Das Nähere zum Konformitätsbewertungsverfahren im Sinne dieser Norm regelt die Rechtsverordnung nach § 385 Absatz 1 Satz 1 und Absatz 2. 2In dieser sind insbesondere die Gebühren und Auslagen niederzulegen, die die Gesellschaft für Telematik für die durch das Kompetenzzentrum oder die jeweilige akkreditierte Stelle im Sinne von § 385 Absatz 8 durchgeführten Konformitätsbewertungen gegenüber den Antragstellern erhebt.

(1) 1Ein Inverkehrbringen und -halten eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll und für das verbindliche Festlegungen nach § 385 Absatz 2 Satz 1 Nummer 1 gelten, darf durch einen Hersteller oder Anbieter dieses Systems ab dem 1. Januar 2025 nur erfolgen, wenn

(2) 1Von den Pflichten nach Absatz 1 sind informationstechnische Systeme ausgenommen, die im Rahmen der wissenschaftlichen Forschung oder zu gemeinnützigen Zwecken oder durch juristische Personen des öffentlichen Rechts in Erfüllung eines gesetzlichen Auftrags entwickelt werden. 2Von einem gemeinnützigen Zweck ist auszugehen, wenn die Voraussetzungen des § 52 Absatz 1 der Abgabenordnung nachgewiesen sind.

(3) 1Wer als Hersteller oder Anbieter eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll, gegen die Pflichten des Absatzes 1 verstößt, kann auf Unterlassen des Inverkehrbringens in Anspruch genommen werden. 2Der Anspruch auf Unterlassung steht jedem Mitbewerber zu, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt, sowie den Krankenkassen. 3Wer beharrlich die Pflichten des Absatzes 1 vorsätzlich oder fahrlässig verletzt, ist den redlichen Mitbewerbern zum Ersatz des hieraus entstehenden Schadens verpflichtet. 4Bei der Bemessung des Schadensersatzes kann auch der Gewinn, den der unredliche Mitbewerber durch das unrechtmäßige Inverkehrbringen erzielt hat, berücksichtigt werden.

(4) Für die Geltendmachung der Ansprüche nach Absatz 3 ist der ordentliche Rechtsweg gegeben.

(5) Die Aufgaben und Zuständigkeiten der Kartellbehörden nach dem Gesetz gegen Wettbewerbsbeschränkungen bleiben unberührt.

(1) Die Kassenärztlichen Bundesvereinigungen legen in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest.

(2) Die Richtlinie nach Absatz 1 umfasst insbesondere auch

(3) Die in der Richtlinie festzulegenden Anforderungen müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential und dem Schutzbedarf der verarbeiteten Informationen, in Bezug auf die primären Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen und vertragszahnärztlichen Leistungserbringer zu vermeiden.

(4) Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen, sind jährlich inhaltlich zu überprüfen und zu korrigieren sowie spätestens alle zwei Jahre an den Stand der Technik und an das Gefährdungspotential anzupassen.

(5) 1Die in der Richtlinie festzulegenden Anforderungen sowie deren Anpassungen erfolgen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen. 2Die Anforderungen nach Absatz 2 Nummer 1 legen die Kassenärztlichen Bundesvereinigungen zusätzlich im Benehmen mit der Gesellschaft für Telematik fest.

(6) 1Die Richtlinie nach Absatz 1 ist für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich. 2Die Richtlinie ist nicht anzuwenden für die vertragsärztliche und vertragszahnärztliche Versorgung im Krankenhaus, soweit dort bereits angemessene Vorkehrungen nach § 391 getroffen werden.

(7) 1Die Kassenärztlichen Bundesvereinigungen müssen die Mitarbeiterinnen und Mitarbeiter der Anbieter von informationstechnischen Systemen, die im Gesundheitswesen eingesetzt werden, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik auf deren Antrag zertifizieren, wenn diese Personen über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen. 2Die Vorgaben für die Zertifizierung werden von den Kassenärztlichen Bundesvereinigungen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen erstellt und regelmäßig überarbeitet. 3Die Vorgaben nach Satz 2 werden jeweils auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 veröffentlicht. 4In Bezug auf die Anforderungen nach Absatz 2 Nummer 1 legen die Kassenärztlichen Bundesvereinigungen die Vorgaben für die Zertifizierung der Mitarbeiterinnen und Mitarbeiter der Anbieter nach Satz 1 im Benehmen mit der Gesellschaft für Telematik fest.

(1) Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

(2) Vorkehrungen nach Absatz 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern.

(3) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

(4) Die Krankenhäuser können die Verpflichtungen nach den Absätzen 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.

(1) Krankenkassen sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Krankenkasse und die Sicherheit der verarbeiteten Versicherteninformationen maßgeblich sind.

(2) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht.

(3) Die Krankenkassen erfüllen die Verpflichtungen nach Absatz 1 insbesondere, indem sie den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Krankenkassen in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(4) 1Die Krankenkassen sind verpflichtet, repräsentiert durch ihre Verbände und den Spitzenverband Bund der Krankenkassen, in einem gemeinsamen bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Krankenkassen im Sinne des Absatzes 3 mitzuwirken. 2Die Krankenkassen, repräsentiert durch ihre Verbände und den Spitzenverband Bund der Krankenkassen, haben darauf hinzuwirken, dass der branchenspezifische Sicherheitsstandard auch Vorgaben enthält zu

(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenkassen, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.

(6) Sofern eine Krankenkasse im Rahmen ihrer Aufgabenerfüllung IT-Dienstleistungen eines Dritten in Anspruch nimmt und eine Störung der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Dritten zu einer Beeinträchtigung der Funktionsfähigkeit der jeweiligen Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen führen kann, muss die Krankenkasse durch geeignete vertragliche Vereinbarungen sicherstellen, dass die Einhaltung des branchenspezifischen Sicherheitsstandards im Sinne des Absatzes 3 durch den Dritten gewährleistet wird.

(1) Das Bundesministerium für Gesundheit errichtet und betreibt ein elektronisches, über allgemein zugängliche Netze sowie über die Telematikinfrastruktur nach § 306 aufrufbares Informationsportal, das gesundheits- und pflegebezogene Informationen barrierefrei in allgemein verständlicher Sprache zur Verfügung stellt (Nationales Gesundheitsportal).

(2) 1Die Kassenärztlichen Bundesvereinigungen haben die Aufgabe, auf Suchanfragen der Nutzer nach bestimmten vertragsärztlichen Leistungserbringern über das Nationale Gesundheitsportal die in Satz 3 Nummer 1 bis 6 genannten, für die Suchanfrage relevanten arztbezogenen Informationen an das Nationale Gesundheitsportal zu übermitteln. 2Die Suchergebnisse werden im Nationalen Gesundheitsportal dargestellt. 3Die Kassenärztlichen Vereinigungen übermitteln ihrer jeweiligen Bundesvereinigung zu diesem Zweck regelmäßig aus den rechtmäßig von ihnen erhobenen Daten folgende Angaben:

(3) Die Übermittlungspflicht nach Absatz 2 Satz 3 gilt auch für ermächtigte Einrichtungen, jedoch mit der Maßgabe, dass die Angaben nach Absatz 2 Satz 3 Nummer 2 bis 5 ohne Arztbezug einrichtungsbezogen übermittelt werden.

(4) Das Bundesministerium für Gesundheit legt in Abstimmung mit den Kassenärztlichen Bundesvereinigungen bis zum 31. Dezember 2021 das Nähere fest

(5) Soweit sich die Vorschriften dieses Kapitels auf Ärzte und Kassenärztliche Vereinigungen beziehen, gelten sie entsprechend für Psychotherapeuten, Zahnärzte und Kassenzahnärztliche Vereinigungen, sofern nichts Abweichendes bestimmt ist.