Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Fünfzehntes Kapitel - Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (SGB V)

Artikel 1 G. v. 20.12.1988 BGBl. I S. 2477, 2482; zuletzt geändert durch Artikel 35 G. v. 27.03.2024 BGBl. 2024 I Nr. 108
Geltung ab 01.01.1989; FNA: 860-5 Sozialgesetzbuch
| |

Fünfzehntes Kapitel Weitere Übergangsvorschriften

§ 403 Beitragszuschüsse für Beschäftigte



(1) Versicherungsverträge, die den Standardtarif nach § 257 Absatz 2a in der bis zum 31. Dezember 2008 geltenden Fassung zum Gegenstand haben, werden auf Antrag der Versicherten auf Versicherungsverträge nach dem Basistarif gemäß § 152 Absatz 1 des Versicherungsaufsichtsgesetzes umgestellt.

(2) 1Zur Gewährleistung der in § 257 Absatz 2a Satz 1 Nummer 2 bis 2c in der bis zum 31. Dezember 2008 geltenden Fassung genannten Begrenzung bleiben im Hinblick auf die ab dem 1. Januar 2009 weiterhin im Standardtarif Versicherten alle Versicherungsunternehmen, die die nach § 257 Absatz 2 zuschussberechtigte Krankenversicherung betreiben, verpflichtet, an einem finanziellen Spitzenausgleich teilzunehmen, dessen Ausgestaltung zusammen mit den Einzelheiten des Standardtarifs zwischen der Bundesanstalt für Finanzdienstleistungsaufsicht und dem Verband der privaten Krankenversicherung mit Wirkung für die beteiligten Unternehmen zu vereinbaren ist und der eine gleichmäßige Belastung dieser Unternehmen bewirkt. 2Für in § 257 Absatz 2a Satz 1 Nummer 2c in der bis 31. Dezember 2008 geltenden Fassung genannte Personen, bei denen eine Behinderung nach § 4 Absatz 1 des Schwerbehindertengesetzes festgestellt worden ist, wird ein fiktiver Zuschlag von 100 Prozent auf die Bruttoprämie angerechnet, der in den Ausgleich nach Satz 1 einbezogen wird.




§ 404 Standardtarif für Personen ohne Versicherungsschutz



(1) 1Personen, die weder

1.
in der gesetzlichen Krankenversicherung versichert oder versicherungspflichtig sind,

2.
über eine private Krankheitsvollversicherung verfügen,

3.
einen Anspruch auf freie Heilfürsorge haben, beihilfeberechtigt sind oder vergleichbare Ansprüche haben,

4.
Anspruch auf Leistungen nach dem Asylbewerberleistungsgesetz haben noch

5.
Leistungen nach dem Dritten, Vierten, Sechsten und Siebten Kapitel des Zwölften Buches beziehen,

können bis zum 31. Dezember 2008 Versicherungsschutz im Standardtarif gemäß § 257 Absatz 2a in der bis zum 31. Dezember 2008 geltenden Fassung verlangen; in den Fällen der Nummern 4 und 5 begründen Zeiten einer Unterbrechung des Leistungsbezugs von weniger als einem Monat keinen entsprechenden Anspruch. 2Der Antrag darf nicht abgelehnt werden. 3Die in § 257 Absatz 2a Satz 1 Nummer 2b in der bis zum 31. Dezember 2008 geltenden Fassung genannten Voraussetzungen gelten für Personen nach Satz 1 nicht; Risikozuschläge dürfen für sie nicht verlangt werden. 4Abweichend von Satz 1 Nummer 3 können auch Personen mit Anspruch auf Beihilfe nach beamtenrechtlichen Grundsätzen, die bisher nicht über eine auf Ergänzung der Beihilfe beschränkte private Krankenversicherung verfügen und auch nicht freiwillig in der gesetzlichen Krankenversicherung versichert sind, eine die Beihilfe ergänzende Absicherung im Standardtarif gemäß § 257 Absatz 2a Satz 1 Nummer 2b in der bis zum 31. Dezember 2008 geltenden Fassung verlangen.

(2) 1Der Beitrag von im Standardtarif nach Absatz 1 versicherten Personen darf den durchschnittlichen Höchstbeitrag der gesetzlichen Krankenversicherung gemäß § 257 Absatz 2a Satz 1 Nummer 2 in der bis zum 31. Dezember 2008 geltenden Fassung nicht überschreiten; die dort für Ehegatten oder Lebenspartner vorgesehene besondere Beitragsbegrenzung gilt für nach Absatz 1 versicherte Personen nicht. 2§ 152 Absatz 4 des Versicherungsaufsichtsgesetzes, § 26 Absatz 1 Satz 1 und Absatz 2 Satz 1 Nummer 2 des Zweiten Buches sowie § 32 Absatz 5 des Zwölften Buches gelten für nach Absatz 1 im Standardtarif versicherte Personen entsprechend.

(3) 1Eine Risikoprüfung ist nur zulässig, soweit sie für Zwecke des finanziellen Spitzenausgleichs nach § 257 Absatz 2b in der bis zum 31. Dezember 2008 geltenden Fassung oder für spätere Tarifwechsel erforderlich ist. 2Abweichend von § 257 Absatz 2b in der bis zum 31. Dezember 2008 geltenden Fassung sind im finanziellen Spitzenausgleich des Standardtarifs für Versicherte nach Absatz 1 die Begrenzungen gemäß Absatz 2 sowie die durch das Verbot von Risikozuschlägen gemäß Absatz 1 Satz 3 auftretenden Mehraufwendungen zu berücksichtigen.

(4) Die gemäß Absatz 1 abgeschlossenen Versicherungsverträge im Standardtarif werden zum 1. Januar 2009 auf Verträge im Basistarif nach § 152 Absatz 1 des Versicherungsaufsichtsgesetzes umgestellt.




§ 405 Übergangsregelung für die knappschaftliche Krankenversicherung



1Die Regelung des § 13 Absatz 2 der Risikostruktur-Ausgleichsverordnung ist nicht anzuwenden, wenn die Deutsche Rentenversicherung Knappschaft-Bahn-See die Verwaltungsausgaben der knappschaftlichen Krankenversicherung abweichend von § 71 Absatz 1 Satz 2 des Vierten Buches getrennt im Haushaltsplan ausweist sowie die Rechnungslegung und den Jahresabschluss nach § 77 des Vierten Buches für die Verwaltungsausgaben der knappschaftlichen Krankenversicherung getrennt durchführt. 2Satz 1 gilt nur, wenn das Bundesamt für Soziale Sicherung rechtzeitig vor Durchführung des Jahresausgleichs nach § 18 der Risikostruktur-Ausgleichsverordnung auf der Grundlage eines von der Deutschen Rentenversicherung Knappschaft-Bahn-See erbrachten ausreichenden Nachweises feststellt, dass die Rechnungslegung und der Jahresabschluss nach § 77 des Vierten Buches für die Verwaltungsausgaben der knappschaftlichen Krankenversicherung getrennt durchgeführt wurden.




§ 406 Übergangsregelung zum Krankengeldwahltarif



(1) Wahltarife, die Versicherte auf der Grundlage der bis zum 31. Juli 2009 geltenden Fassung des § 53 Absatz 6 abgeschlossen haben, enden zu diesem Zeitpunkt.

(2) 1Versicherte, die am 31. Juli 2009 Leistungen aus einem Wahltarif nach § 53 Absatz 6 bezogen haben, haben Anspruch auf Leistungen nach Maßgabe ihres Wahltarifs bis zum Ende der Arbeitsunfähigkeit, die den Leistungsanspruch ausgelöst hat. 2Aufwendungen nach Satz 1 bleiben bei der Anwendung des § 53 Absatz 9 Satz 1 unberücksichtigt.

(3) 1Die Wahlerklärung nach § 44 Absatz 2 Satz 1 Nummer 2 oder Nummer 3 kann bis zum 30. September 2009 mit Wirkung vom 1. August 2009 abgegeben werden. 2Wahltarife nach § 53 Absatz 6 können bis zum 30. September 2009 oder zu einem in der Satzung der Krankenkasse festgelegten späteren Zeitpunkt mit Wirkung vom 1. August 2009 neu abgeschlossen werden. 3Abweichend von den Sätzen 1 und 2 können Versicherte nach Absatz 2 innerhalb von acht Wochen nach dem Ende des Leistungsbezugs rückwirkend zu dem Tag, der auf den letzten Tag des Leistungsbezugs folgt, die Wahlerklärung nach § 44 Absatz 2 Satz 1 Nummer 2 oder Nummer 3 abgeben oder einen Wahltarif wählen.




§ 407 Übergangsregelung für die Anforderungen an die strukturierten Behandlungsprogramme nach § 137g Absatz 1



1Die in § 28b Absatz 1, den §§ 28c und 28e sowie in den Anlagen der Risikostruktur-Ausgleichsverordnung in der jeweils bis zum 31. Dezember 2011 geltenden Fassung geregelten Anforderungen an die Zulassung von strukturierten Behandlungsprogrammen nach § 137g Absatz 1 für Diabetes mellitus Typ 2, Brustkrebs, koronare Herzkrankheit, Diabetes mellitus Typ 1 und chronisch obstruktive Atemwegserkrankungen gelten jeweils weiter bis zum Inkrafttreten der für die jeweilige Krankheit vom Gemeinsamen Bundesausschuss nach § 137f Absatz 2 zu erlassenden Richtlinien. 2Dies gilt auch für die in den §§ 28d und 28f der Risikostruktur-Ausgleichsverordnung in der bis zum 31. Dezember 2011 geltenden Fassung geregelten Anforderungen, soweit sie auf die in Satz 1 genannten Anforderungen verweisen. 3Die in § 28f Absatz 1 Nummer 3 und Absatz 1a und § 28g der Risikostruktur-Ausgleichsverordnung in der jeweils bis zum 31. Dezember 2011 geltenden Fassung geregelten Anforderungen an die Aufbewahrungsfristen gelten weiter bis zum Inkrafttreten der in den Richtlinien des Gemeinsamen Bundesausschusses nach § 137f Absatz 2 Satz 2 Nummer 5 zu regelnden Anforderungen an die Aufbewahrungsfristen. 4Die in § 28g der Risikostruktur-Ausgleichsverordnung in der bis zum 31. Dezember 2011 geltenden Fassung geregelten Anforderungen an die Evaluation gelten weiter bis zum Inkrafttreten der in den Richtlinien des Gemeinsamen Bundesausschusses nach § 137f Absatz 2 Satz 2 Nummer 6 zu regelnden Anforderungen an die Evaluation.




§ 408 Bestandsbereinigung bei der freiwilligen Versicherung



(1) Die Krankenkassen haben ihren Mitgliederbestand für den Zeitraum vom 1. August 2013 bis zum 1. Januar 2019 nach Maßgabe der folgenden Absätze zu überprüfen und ihn bis zum 15. Juni 2019 zu bereinigen.

(2) Mitgliedschaften, die nach dem Ausscheiden aus der Versicherungspflicht oder nach dem Ende der Familienversicherung als freiwillige Mitgliedschaften fortgesetzt wurden, sowie davon abgeleitete Familienversicherungen sind mit Wirkung ab dem Tag ihrer Begründung aufzuheben, wenn seit diesem Zeitpunkt die Krankenkasse keinen Kontakt zum Mitglied herstellen konnte, für die Mitgliedschaft keine Beiträge geleistet wurden und das Mitglied und familienversicherte Angehörige keine Leistungen in Anspruch genommen haben.

(3) 1Für das Verfahren nach Absatz 4 und die Prüfung nach Absatz 5 melden die Krankenkassen dem Bundesamt für Soziale Sicherung und den mit der Prüfung nach § 274 befassten Stellen versichertenbezogen und je Berichtsjahr

1.
die Versichertentage der Mitgliedschaften und der davon abgeleiteten Familienversicherungen, die nach Absatz 2 aufgehoben wurden, und

2.
die Versichertentage der Mitgliedschaften und der davon abgeleiteten Familienversicherungen, die seit der letzten Datenmeldung nach § 30 Absatz 4 Satz 2 zweiter Halbsatz der Risikostruktur-Ausgleichsverordnung in der bis zum 31. März 2020 geltenden Fassung des betreffenden Berichtsjahres aufgehoben wurden und die die Kriterien des Absatzes 2 erfüllen.

2Für die Prüfung nach Absatz 5 melden die Krankenkassen den mit der Prüfung nach § 274 befassten Stellen außerdem die Mitgliedschaften und die davon abgeleiteten Familienversicherungen je Berichtsjahr, die die Kriterien des Absatzes 2 insoweit erfüllen, als die Mitglieder keine Beiträge geleistet und die Mitglieder und ihre familienversicherten Angehörigen keine Leistungen in Anspruch genommen haben. 3Die Datenmeldungen haben bis zum 15. Juni 2019 zu erfolgen. 4§ 268 Absatz 3 Satz 3, 4, 7 und 9 in der bis zum 31. März 2020 geltenden Fassung gilt für die nach den Sätzen 1 und 2 zu meldenden Daten entsprechend. 5Die Herstellung des Versichertenbezugs ist zulässig, sofern dies für die Prüfung nach Absatz 5 erforderlich ist. 6Das Nähere zum Verfahren der Datenmeldung nach Satz 1 für das Verfahren nach Absatz 4 bestimmt das Bundesamt für Soziale Sicherung nach Anhörung des Spitzenverbandes Bund der Krankenkassen. 7Das Nähere zum Verfahren der Datenmeldung nach den Sätzen 1 und 2 für die Prüfung nach Absatz 5 regelt das Bundesamt für Soziale Sicherung nach Anhörung der mit der Prüfung nach § 274 befassten Stellen und des Spitzenverbandes Bund der Krankenkassen.

(4) 1Für Ausgleichsjahre, für die der korrigierte Jahresausgleich bereits durchgeführt oder die Datenmeldung nach § 30 Absatz 4 Satz 2 zweiter Halbsatz der Risikostruktur-Ausgleichsverordnung in der bis zum 31. März 2020 geltenden Fassung durch die Krankenkassen bereits abgegeben wurde, ermittelt das Bundesamt für Soziale Sicherung einen Bereinigungsbetrag und macht diesen durch Bescheid geltend. 2§ 6 der Risikostruktur-Ausgleichsverordnung gilt entsprechend. 3Die Einnahmen nach diesem Absatz fließen in den Gesundheitsfonds und werden im nächsten Jahresausgleich bei der Ermittlung nach § 18 Absatz 2 der Risikostruktur-Ausgleichsverordnung zu dem Wert nach § 17 Absatz 2 der Risikostruktur-Ausgleichsverordnung hinzugerechnet. 4Klagen bei Streitigkeiten nach diesem Absatz haben keine aufschiebende Wirkung.

(5) 1Die mit der Prüfung nach § 274 befassten Stellen überprüfen nach Abschluss der Bestandsbereinigung in einer Sonderprüfung, ob die Vorgaben nach den Absätzen 1 und 2 eingehalten worden sind, und teilen dem Bundesamt für Soziale Sicherung und der Krankenkasse das Ergebnis ihrer Prüfung mit. 2Das Bundesamt für Soziale Sicherung ermittelt auf Grundlage dieser Mitteilung einen Korrekturbetrag, der mit einem Aufschlag in Höhe von 25 Prozent zu versehen ist, und macht diesen durch Bescheid geltend. 3Absatz 4 Satz 2 bis 4 gilt entsprechend. 4Die Prüfung ist spätestens bis zum 31. Dezember 2020 durchzuführen. 5Die Krankenkassen sind verpflichtet, die Daten nach § 7 Absatz 2 Satz 3 der Risikostruktur-Ausgleichsverordnung für das Berichtsjahr 2013 bis zum 31. Dezember 2020 aufzubewahren.




§ 409 Übergangsregelung zur Neuregelung der Verjährungsfrist für die Ansprüche von Krankenhäusern und Krankenkassen



Die Geltendmachung von Ansprüchen der Krankenkassen auf Rückzahlung von geleisteten Vergütungen ist ausgeschlossen, soweit diese vor dem 1. Januar 2017 entstanden sind und bis zum 9. November 2018 nicht gerichtlich geltend gemacht wurden.




§ 410 Übergangsregelung zur Vergütung der Vorstandsmitglieder der Kassenärztlichen Bundesvereinigungen, der unparteiischen Mitglieder des Beschlussgremiums des Gemeinsamen Bundesausschusses, der Vorstandsmitglieder des Spitzenverbandes Bund der Krankenkassen und des Geschäftsführers des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen sowie von dessen Stellvertreter



(1) 1§ 79 Absatz 6 Satz 5, § 91 Absatz 2 Satz 15, § 217b Absatz 2 Satz 8 und § 282 Absatz 2d Satz 6 in der jeweils bis zum 31. Dezember 2019 gültigen Fassung gelten auch für die Verträge, denen die Aufsichtsbehörde bereits bis zum 10. Mai 2019 zugestimmt hat, sofern diesen Verträgen nicht bereits eine Zusage über konkrete Vergütungserhöhungen zu entnehmen ist. 2§ 79 Absatz 6 Satz 6 bis 9, § 91 Absatz 2 Satz 16 bis 19, § 217b Absatz 2 Satz 9 bis 12 und § 282 Absatz 2d Satz 7 bis 10 in der jeweils bis zum 31. Dezember 2019 gültigen Fassung gelten nicht für die Verträge, denen die Aufsichtsbehörde bereits bis zum 10. Mai 2019 zugestimmt hat. 3Die zur Zukunftssicherung vertraglich vereinbarten nicht beitragsorientierten Zusagen, denen die Aufsichtsbehörde bereits bis zum 10. Mai 2019 zugestimmt hat, dürfen auch bei Abschluss eines neuen Vertrages mit derselben Person in dem im vorhergehenden Vertrag vereinbarten Durchführungsweg und Umfang fortgeführt werden.

(2) 1Abweichend von § 79 Absatz 6 Satz 6, § 91 Absatz 2 Satz 16, § 217b Absatz 2 Satz 9 und § 282 Absatz 4 Satz 6 kann bis zum 31. Dezember 2027 keine höhere Vergütung vereinbart werden. 2Zu Beginn der darauffolgenden Amtszeiten kann bei der Erhöhung der Grundvergütung nur die Entwicklung des Verbraucherpreisindexes ab dem 1. Januar 2028 berücksichtigt werden.




§ 411 Übergangsregelung für die Medizinischen Dienste der Krankenversicherung und den Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen



(1) 1Für die Medizinischen Dienste der Krankenversicherung gelten die §§ 275 bis 283 in der bis zum 31. Dezember 2019 gültigen Fassung mit Ausnahme des § 275 Absatz 1c und 5, § 276 Absatz 2 und 4 und § 281 Absatz 2 bis zu dem nach § 412 Absatz 1 Satz 4 bekannt zu machenden Datum fort. 2Bis zu diesem Zeitpunkt nehmen die am 31. Dezember 2019 bestehenden Organe der Medizinischen Dienste der Krankenversicherung nach diesen Vorschriften die Aufgaben des Medizinischen Dienstes wahr. 3Die §§ 275 bis 283a in der ab dem 1. Januar 2020 geltenden Fassung finden mit Ausnahme des § 275 Absatz 3b und 5, der §§ 275c, 275d, 276 Absatz 2 und 4 und des § 280 Absatz 3 bis zu dem nach § 412 Absatz 1 Satz 4 bekannt zu machenden Datum keine Anwendung. 4Bis zu dem nach § 412 Absatz 1 Satz 4 bekannt zu machenden Datum findet für die Aufgaben des Medizinischen Dienstes nach den §§ 275c und 275d die Regelung des § 281 Absatz 1 in der bis zum 31. Dezember 2019 geltenden Fassung entsprechende Anwendung.

(2) 1Für den Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen sowie für den Spitzenverband Bund der Krankenkassen gelten die §§ 275 bis 283 und § 326 Absatz 2 Satz 1 in der jeweils bis zum 31. Dezember 2019 geltenden Fassung mit Ausnahme des § 275 Absatz 5 bis zum 31. Dezember 2021 fort; nach diesen Vorschriften nehmen ihre am 31. Dezember 2019 bestehenden Organe ihre Aufgaben bis zu diesem Zeitpunkt wahr. 2Die §§ 275 bis 283a in der am 1. Januar 2020 geltenden Fassung sind für den Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen mit Ausnahme des § 275 Absatz 5, der §§ 275c und 281 Absatz 2 Satz 5 bis zum 31. Dezember 2021 nicht anwendbar. 3§ 283 Absatz 2 Satz 1 Nummer 3 und 5 zweite Alternative in der am 1. Januar 2020 geltenden Fassung ist mit der Maßgabe anwendbar, dass der Medizinische Dienst des Spitzenverbandes Bund der Krankenkassen die Richtlinie nach § 283 Absatz 2 Satz 1 Nummer 3 bis zum 28. Februar 2021 und die Richtlinie nach § 283 Absatz 2 Satz 1 Nummer 5 zweite Alternative bis zum 31. Dezember 2020 erlässt. 4Diese Richtlinien bedürfen der Genehmigung des Bundesministeriums für Gesundheit.

(3) 1§ 283 Absatz 2 Satz 1 Nummer 4 in der am 1. Januar 2020 geltenden Fassung ist mit der Maßgabe anwendbar, dass der Medizinische Dienst des Spitzenverbandes Bund der Krankenkassen die Richtlinie nach § 283 Absatz 2 Satz 1 Nummer 4 bis zum 31. Dezember 2021 erlässt. 2In der Richtlinie ist eine bundeseinheitliche Methodik und Vorgehensweise nach angemessenen und anerkannten Methoden der Personalbedarfsermittlung vorzugeben. 3Hierfür sind geeignete Gruppen der Aufgaben der Medizinischen Dienste (Begutachtungsaufträge) zu definieren. 4Die für den Erlass der Richtlinie nach Satz 1 erforderlichen Daten sind von allen Medizinischen Diensten unter Koordinierung des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen nach einer bundeseinheitlichen Methodik und Vorgehensweise spätestens ab dem 1. März 2021 zu erheben und für alle Medizinischen Dienste einheitlich durch den Medizinischen Dienst des Spitzenverbandes Bund der Krankenkassen unter fachlicher Beteiligung der Medizinischen Dienste anonymisiert auszuwerten. 5Die Richtlinie hat mindestens aufgabenbezogene Richtwerte für die Aufgabengruppen der Begutachtungen von Krankenhausleistungen nach § 275c, Arbeitsunfähigkeit nach § 275 Absatz 1 Satz 1 Nummer 3 Buchstabe b sowie von Rehabilitations- und Vorsorgeleistungen nach § 275 Absatz 2 Nummer 1 einzubeziehen. 6Sie bedarf der Genehmigung des Bundesministeriums für Gesundheit.

(4) 1Endet die Amtszeit eines bestehenden Verwaltungsrates eines Medizinischen Dienstes der Krankenversicherung vor dem Zeitpunkt des § 412 Absatz 1 Satz 4, verlängert sie sich bis zu diesem Zeitpunkt. 2Die Verwaltungsräte der Medizinischen Dienste der Krankenversicherung werden mit Wirkung zum Zeitpunkt des § 412 Absatz 1 Satz 4 aufgelöst, der Verwaltungsrat des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen wird mit Wirkung zum Zeitpunkt des § 412 Absatz 5 Satz 9 in Verbindung mit Absatz 1 Satz 4 aufgelöst.




§ 412 Errichtung der Medizinischen Dienste und des Medizinischen Dienstes Bund



(1) 1Die für die Sozialversicherung zuständige oberste Verwaltungsbehörde des Landes hat die Vertreter des Verwaltungsrates nach § 279 Absatz 5 bis zum 31. Dezember 2020 gemäß den Vorgaben des § 279 Absatz 3, 5 und 6 zu benennen; die Verwaltungsräte oder Vertreterversammlungen der in § 279 Absatz 4 Satz 1 genannten Krankenkassenverbände und Krankenkassen haben bis zum 31. Dezember 2020 ihre Vertreter gemäß den Vorgaben des § 279 Absatz 3, 4 und 6 zu wählen. 2Der gemäß Satz 1 besetzte Verwaltungsrat hat bis zum 31. März 2021 die Satzung nach § 279 Absatz 2 Satz 1 Nummer 1 und Satz 2 zu beschließen. 3Die für die Sozialversicherung zuständige oberste Verwaltungsbehörde des Landes hat über die Genehmigung der Satzung bis zum 30. Juni 2021 zu entscheiden und das Datum der Genehmigung öffentlich bekannt zu machen. 4Sie hat das Datum des Ablaufs des Monats, in dem die Genehmigung erteilt wurde, öffentlich bekannt zu machen. 5Die oder der amtierende Vorsitzende des Verwaltungsrates des Medizinischen Dienstes der Krankenversicherung lädt zur konstituierenden Sitzung ein und regelt das Nähere. 6In der konstituierenden Sitzung des Verwaltungsrates des Medizinischen Dienstes sind die oder der Vorsitzende und die oder der stellvertretende Vorsitzende zu wählen. 7Der jeweils amtierende Geschäftsführer des Medizinischen Dienstes der Krankenversicherung und sein Stellvertreter gelten bis zum 31. Dezember 2021 als durch den neu konstituierten Verwaltungsrat gewählter Vorstand.

(2) 1Die Medizinischen Dienste, die als eingetragene Vereine organisiert sind, werden im Zeitpunkt des Absatzes 1 Satz 4 als Körperschaften des öffentlichen Rechts neu konstituiert. 2Die jeweiligen eingetragenen Vereine erlöschen mit Wirkung zum Zeitpunkt des Absatzes 1 Satz 4.

(3) 1Die Rechte und Pflichten einschließlich des Vermögens der Medizinischen Dienste nach Absatz 2 gehen im Zeitpunkt des nach Absatz 1 Satz 4 bekannt gemachten Datums auf die in den jeweiligen Bezirken als Körperschaften des öffentlichen Rechts errichteten Medizinischen Dienste über. 2Die Körperschaften des öffentlichen Rechts treten in diesem Zeitpunkt in die Rechte und Pflichten der eingetragenen Vereine aus den Arbeits- und Ausbildungsverhältnissen mit den bei ihnen beschäftigten Personen ein. 3Die Arbeitsbedingungen der einzelnen Arbeitnehmer und Auszubildenden dürfen bis zum 31. Dezember 2022 nicht verschlechtert werden. 4Die Arbeits- oder Ausbildungsverhältnisse können bis zum 31. Dezember 2022 nur aus einem in der Person oder im Verhalten des Arbeitsnehmers oder Auszubildenden liegenden wichtigen Grund gekündigt werden. 5Die bestehenden Tarifverträge gelten fort. 6Der bei dem jeweiligen Medizinischen Dienst bestehende Betriebsrat nimmt ab dem nach Absatz 1 Satz 4 bekannt gemachten Zeitpunkt übergangsweise die Aufgaben eines Personalrats nach dem jeweiligen Personalvertretungsrecht wahr. 7Im Rahmen seines Übergangsmandats hat der Betriebsrat insbesondere die Aufgabe, unverzüglich den Wahlvorstand zur Einleitung der Personalratswahl zu bestellen. 8Das Übergangsmandat des jeweiligen Betriebsrates endet, sobald ein Personalrat gewählt und das Wahlergebnis bekannt gegeben worden ist, spätestens jedoch zwölf Monate nach dem in Absatz 1 Satz 4 bestimmten Zeitpunkt. 9Die in dem nach Absatz 1 Satz 4 bekannt gemachten Zeitpunkt bestehenden Betriebsvereinbarungen gelten längstens für die Dauer von zwölf Monaten als Dienstvereinbarungen fort, soweit sie nicht durch eine andere Regelung ersetzt werden. 10Auf die bis zum nach Absatz 1 Satz 4 bekannt gemachten Datum förmlich eingeleiteten Beteiligungsverfahren finden bis zu deren Abschluss die Bestimmungen des Betriebsverfassungsgesetzes sinngemäß Anwendung. 11Gleiches gilt für Verfahren vor der Einigungsstelle und den Arbeitsgerichten. 12Die Sätze 2 bis 4 gelten für Ausbildungsverhältnisse entsprechend. 13Die Sätze 6 bis 8 gelten für die Jugend- und Auszubildendenvertretung entsprechend mit der Maßgabe, dass der das Übergangsmandat innehabende Betriebsrat unverzüglich einen Wahlvorstand und seine vorsitzende Person zur Wahl einer Jugend- und Auszubildendenvertretung zu bestimmen hat.

(4) 1Die Medizinischen Dienste, die gemäß § 278 Absatz 1 Satz 2 in Verbindung mit Artikel 73 Absatz 4 des Gesundheits-Reformgesetzes Körperschaften des öffentlichen Rechts mit Dienstherrenfähigkeit sind, verlieren ihre Dienstherrenfähigkeit, wenn die Notwendigkeit hierfür nach Artikel 73 Absatz 4 Satz 1 und Absatz 5 des Gesundheits-Reformgesetzes nicht mehr besteht. 2Die für die Sozialversicherung zuständige oberste Verwaltungsbehörde des Landes stellt den Zeitpunkt fest, zu dem die Dienstherrenfähigkeit entfällt, und macht ihn öffentlich bekannt.

(5) 1Der Medizinische Dienst Bund tritt als Körperschaft des öffentlichen Rechts an die Stelle des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen. 2Die Verwaltungsräte der Medizinischen Dienste haben nach § 282 Absatz 2 die Vertreter des Verwaltungsrates des Medizinischen Dienstes Bund, die von den jeweils Wahlberechtigten nach § 282 Absatz 2 Satz 2 vorgeschlagen werden, bis zum 31. März 2021 zu wählen. 3Der amtierende Vorsitzende des Verwaltungsrates des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen sammelt die Vorschläge für die Wahl nach Satz 2 in nach Vertretergruppen gemäß § 279 Absatz 4 Satz 1 und Absatz 5 Satz 1 und nach Geschlecht getrennten Listen und versendet diese an die jeweiligen Vertretergruppen der Medizinischen Dienste. 4Jede Vertretergruppe eines Medizinischen Dienstes entsendet einen Vertreter, der die Stimmen jedes Mitglieds der Vertretergruppe entsprechend dessen Weisungen abgibt. 5Der amtierende Vorsitzende des Verwaltungsrates des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen lädt zur Wahl, leitet die Wahl und regelt das Nähere. 6Gewählt ist, wer die meisten Stimmen auf sich vereinigt; bei Stimmengleichheit entscheidet das Los. 7Der amtierende Vorsitzende des Verwaltungsrates des Medizinischen Dienstes des Spitzenverbandes Bund der Krankenkassen lädt zur konstituierenden Sitzung des Verwaltungsrates des Medizinischen Dienstes Bund und leitet diese. 8In der konstituierenden Sitzung sind die oder der Vorsitzende und die oder der stellvertretende Vorsitzende zu wählen. 9Absatz 1 Satz 2 bis 4 und 7 und die Absätze 2 und 3 gelten entsprechend mit der Maßgabe, dass die Frist nach Absatz 1 Satz 7 am 30. Juni 2022 endet, die Frist nach Absatz 1 Satz 2 am 30. September 2021 endet, die Frist nach Absatz 1 Satz 3 am 31. Dezember 2021 endet und die Satzung vom Bundesministerium für Gesundheit zu genehmigen ist.




§ 413 Übergangsregelung zur Tragung der Beiträge durch Dritte für Auszubildende in einer außerbetrieblichen Einrichtung



§ 251 Absatz 4c in der bis zum 31. Dezember 2019 geltenden Fassung sowie § 242 Absatz 3 Satz 1 Nummer 1 in der bis zum 30. Juni 2020 geltenden Fassung sind weiterhin anzuwenden, wenn die Berufsausbildung in einer außerbetrieblichen Einrichtung vor dem 1. Januar 2020 begonnen wurde.




§ 414 Übergangsregelung für am 1. April 2020 bereits geschlossene Krankenkassen



Auf die am 1. April 2020 bereits geschlossenen Krankenkassen sind die §§ 155 und 171d Absatz 2 in der bis zum 31. März 2020 geltenden Fassung anwendbar.




§ 415 Übergangsregelung zur Zahlungsfrist von Krankenhausrechnungen, Verordnungsermächtigung



1Die von den Krankenhäusern bis zum 30. Juni 2021 erbrachten und in Rechnung gestellten Leistungen sind von den Krankenkassen innerhalb von fünf Tagen nach Rechnungseingang zu bezahlen. 2Als Tag der Zahlung gilt der Tag der Übergabe des Überweisungsauftrages an ein Geldinstitut oder der Übersendung von Zahlungsmitteln an das Krankenhaus. 3Ist der Fälligkeitstag ein Samstag, Sonntag oder gesetzlicher Feiertag, so verschiebt er sich auf den nächstfolgenden Arbeitstag. 4Das Bundesministerium für Gesundheit kann durch Rechtsverordnung ohne Zustimmung des Bundesrates die in Satz 1 genannte Frist verlängern.




§ 416 Übergangsregelung zur Versicherungspflicht bei praxisintegrierter Ausbildung



1§ 5 Absatz 4a Satz 1 Nummer 3 findet grundsätzlich nur Anwendung auf Ausbildungen, die nach dem 30. Juni 2020 begonnen werden. 2Wurde die Ausbildung vor diesem Zeitpunkt begonnen und wurden

1.
Beiträge gezahlt, gilt § 5 Absatz 4a Satz 1 Nummer 3 ab Beginn der Beitragszahlung,

2.
keine Beiträge gezahlt, gilt § 5 Absatz 4a Satz 1 Nummer 3 ab dem Zeitpunkt, zu dem der Arbeitgeber mit Zustimmung der Teilnehmerin oder des Teilnehmers Beiträge zahlt.




§ 417 Versicherung nach § 9 für Ausländerinnen und Ausländer mit Aufenthaltserlaubnis nach § 24 Absatz 1 des Aufenthaltsgesetzes oder mit entsprechender Fiktionsbescheinigung



(1) Ergänzend zu § 9 können innerhalb von sechs Monaten nach Aufenthaltnahme im Inland Personen der Versicherung beitreten,

1.
die gemäß § 49 des Aufenthaltsgesetzes erkennungsdienstlich behandelt worden sind und denen eine Aufenthaltserlaubnis nach § 24 des Aufenthaltsgesetzes erteilt oder eine entsprechende Fiktionsbescheinigung nach § 81 Absatz 5 in Verbindung mit Absatz 3 des Aufenthaltsgesetzes für einen Aufenthaltstitel nach § 24 des Aufenthaltsgesetzes ausgestellt wurde und

2.
die nicht nach § 7 Absatz 1 Satz 1 Nummer 3 des Zweiten Buches oder § 19 des Zwölften Buches hilfebedürftig sind.

(2) 1Absatz 1 ist bei Personen, denen nach dem 24. Februar 2022 und vor dem 1. Juni 2022 eine Aufenthaltserlaubnis nach § 24 Absatz 1 des Aufenthaltsgesetzes erteilt oder eine entsprechende Fiktionsbescheinigung nach § 81 Absatz 5 in Verbindung mit Absatz 3 oder Absatz 4 des Aufenthaltsgesetzes ausgestellt worden ist, mit der Maßgabe anzuwenden, dass anstelle der erkennungsdienstlichen Behandlung die Speicherung der Daten nach § 3 Absatz 1 des AZR-Gesetzes erfolgt ist. 2Eine nicht durchgeführte erkennungsdienstliche Behandlung nach § 49 des Aufenthaltsgesetzes oder nach § 16 des Asylgesetzes ist in diesen Fällen durch die zuständige Behörde bis zum Ablauf des 31. Oktober 2022 nachzuholen.

(3) Das Erfordernis des Nachholens einer erkennungsdienstlichen Behandlung nach Absatz 2 gilt nicht, soweit eine erkennungsdienstliche Behandlung nach § 49 des Aufenthaltsgesetzes nicht vorgesehen ist.




§ 418 Übergangsregelung zum Antragsverfahren zur Ausnahme vom Preismoratorium



1Für Arzneimittel, die bei Inkrafttreten der Regelung des § 130a Absatz 3c in der Fassung des GKV-Finanzstabilisierungsgesetzes vom 7. November 2022 (BGBl. I S. 1990) bereits im Geltungsbereich dieses Gesetzes in Verkehr gebracht waren und zum Zeitpunkt ihres erstmaligen Inverkehrbringens nach Inkrafttreten dieser Regelung die Voraussetzungen des § 130a Absatz 3c Satz 3 erfüllten, kann der pharmazeutische Unternehmer den Antrag nach § 130a Absatz 3c Satz 1 bis zum 1. Februar 2023 stellen. 2In der Vereinbarung nach § 130a Absatz 3c Satz 6 kann von § 130a Absatz 3c Satz 7 abgewichen werden, sofern Verträge nach § 130a Absatz 8 eine wirtschaftliche Versorgung sicherstellen.




§ 419 Übergangsregelung zur Besetzung der Vorstände der Kassenärztlichen Vereinigungen und Kassenärztlichen Bundesvereinigungen



§ 79 Absatz 4 Satz 1 zweiter Halbsatz und Satz 2 zweiter Halbsatz findet keine Anwendung auf Vorstände, deren Mitglieder vor dem 3. Dezember 2022 von der Vertreterversammlung wirksam gewählt wurden.




§ 420 Übergangsregelung zur Novellierung der vermögensrechtlichen Vorschriften



Bis zum 31. Dezember 2024 dürfen Vermögensgegenstände, die vor dem 1. Januar 2023 nach § 78 Absatz 5 Satz 2, Absatz 6, § 91a Absatz 1 Satz 6, § 208 Absatz 2 Satz 2, § 217d Absatz 2 Satz 3, § 220 Absatz 3 Satz 2 und § 280 Absatz 3 Satz 5 in Verbindung mit den jeweils in Bezug genommenen Vorschriften der §§ 80 bis 86 des Vierten Buches in der bis dahin geltenden Fassung zulässigerweise erworben wurden, auch dann im Vermögen gehalten werden, wenn die Anlage in diese Vermögensgegenstände nach den §§ 80 bis 86 des Vierten Buches in der ab dem 1. Januar 2023 geltenden Fassung nicht mehr zulässig ist.




§ 421 Übergangsregelung zur Vergütung von pharmazeutischem Großhandel und von Apotheken für die Abgabe von COVID-19-Impfstoff



(1) 1Apotheken erhalten für die Abgabe von vom Bund beschafftem COVID-19-Impfstoff im Zeitraum vom 1. Januar 2023 bis zum 31. Dezember 2027 eine Vergütung in Höhe von 7,58 Euro zuzüglich Umsatzsteuer je abgegebener Durchstechflasche. 2Satz 1 findet auch Anwendung auf COVID-19-Impfstoff, den Apotheken selbst verabreichen.

(2) 1Pharmazeutische Großhändler erhalten für die Abgabe von vom Bund beschafftem COVID-19-Impfstoff an die Apotheken im Zeitraum vom 1. Januar 2023 bis zum 31. Dezember 2027 eine Vergütung in Höhe von 7,45 Euro zuzüglich Umsatzsteuer je abgegebener Durchstechflasche. 2Für die Abgabe von durch den pharmazeutischen Großhandel selbst beschafftem Impfbesteck und -zubehör für Schutzimpfungen gegen das Coronavirus SARS-CoV-2 an Apotheken im Zeitraum vom 1. Januar 2023 bis zum 7. April 2023 erhalten pharmazeutische Großhändler eine Vergütung in Höhe von 3,72 Euro zuzüglich Umsatzsteuer je abgegebener Durchstechflasche.

(3) 1Apotheken erhalten für die nachträgliche Erstellung eines COVID-19-Impfzertifikats im Sinne des § 22a Absatz 5 des Infektionsschutzgesetzes im Zeitraum vom 1. Januar 2023 bis zum 30. Juni 2023 eine Vergütung in Höhe von 6 Euro je Erstellung. 2Ein Anspruch auf die Vergütung nach Satz 1 besteht nur, wenn das COVID-19-Impfzertifikat anlässlich eines unmittelbaren persönlichen Kontakts zwischen der Apotheke und der geimpften Person, einem Elternteil oder einem anderen Sorgeberechtigten einer minderjährigen geimpften Person erstellt wird. 3Ist für die geimpfte Person ein Betreuer bestellt, dessen Aufgabenkreis diese Angelegenheit umfasst, so ist auch ein unmittelbarer persönlicher Kontakt zu diesem ausreichend. 4Eine Vergütung nach Satz 1 ist ausgeschlossen, sofern das COVID-19-Impfzertifikat durch einen anderen Leistungserbringer bereits ausgestellt wurde.

(4) 1Apotheken erhalten für die Nachtragung einer Schutzimpfung gegen das Coronavirus SARS-CoV-2 in einem Impfausweis nach § 22 Absatz 2 Satz 3 des Infektionsschutzgesetzes im Zeitraum vom 1. Januar 2023 bis zum 30. Juni 2023 je Nachtragung eine Vergütung in Höhe von 2 Euro. 2Eine Vergütung nach Satz 1 ist ausgeschlossen, wenn eine Eintragung einer Schutzimpfung gegen das Coronavirus SARS-CoV-2 in einem Impfausweis bereits durch einen anderen Leistungserbringer vorgenommen wurde.

(5) 1Die Apotheken rechnen die sich aus den Absätzen 1 bis 4 ergebenden Vergütungen monatlich, spätestens bis zum Ende des dritten auf den Abrechnungszeitraum folgenden Monats, über ein von ihnen für die Abrechnung in Anspruch genommenes in § 300 Absatz 2 Satz 1 genanntes Rechenzentrum ab. 2Für in den Absätzen 1 bis 4 genannte Leistungen, die nach dem 31. Dezember 2027 erbracht werden, darf eine Vergütung nicht abgerechnet werden. 3Jedes Rechenzentrum übermittelt monatlich, letztmalig bis zum 31. März 2028, den Betrag, der sich aus den in Satz 1 genannten Abrechnungen jeweils ergibt, an das Bundesamt für Soziale Sicherung und an den Verband der Privaten Krankenversicherung e. V.. 4Sachliche oder rechnerische Fehler in dem übermittelten Gesamtbetrag sind durch die Rechenzentren in der nächsten Übermittlung zu berichtigen; sachliche oder rechnerische Fehler in dem letztmalig übermittelten Gesamtbetrag sind bis zum 30. April 2028 zu berichtigen. 5Das Bundesamt für Soziale Sicherung zahlt 93 Prozent der nach Satz 3 übermittelten Beträge aus der Liquiditätsreserve des Gesundheitsfonds an das jeweilige Rechenzentrum. 6Der Verband der Privaten Krankenversicherung zahlt 7 Prozent der nach Satz 3 übermittelten Beträge an das jeweilige Rechenzentrum. 7Die Rechenzentren leiten die nach Satz 1 abgerechneten Beträge an die Apotheken weiter. 8Die Apotheken leiten die an sie ausgezahlte in Absatz 2 genannte Vergütung an die pharmazeutischen Großhändler weiter. 9Das Bundesamt für Soziale Sicherung bestimmt das Nähere zum Verfahren nach den Sätzen 3 bis 5. 10Das Bundesamt für Soziale Sicherung informiert den Verband der Privaten Krankenversicherung e. V. über das Verfahren. 11An das Bundesministerium für Gesundheit übermittelt monatlich das Bundesamt für Soziale Sicherung eine Aufstellung der nach Satz 5 ausgezahlten Beträge und der Verband der Privaten Krankenversicherung e. V. eine Aufstellung der nach Satz 6 ausgezahlten Beträge.

(6) 1Zur Finanzierung der in Absatz 5 Satz 6 genannten Zahlungen erhebt der Verband der Privaten Krankenversicherung e. V. eine Umlage gegenüber den privaten Krankenversicherungsunternehmen entsprechend dem Anteil der jeweiligen Versicherten. 2Das Nähere zum Umlageverfahren nach Satz 1 bestimmt der Verband der Privaten Krankenversicherung e. V..

(7) Auf Anforderung haben pharmazeutische Großhändler dem Paul-Ehrlich-Institut zur Abwendung von versorgungsrelevanten Lieferengpässen von COVID-19-Impfstoffen Daten zum Bezug, zur Abgabe und zu verfügbaren Beständen dieser Impfstoffe mitzuteilen.




§ 422 Übergangsregelung zur Vergütung und Abrechnung von Leistungen im Zusammenhang mit der Abgabe von antiviralen Arzneimitteln zur Behandlung von COVID-19-Erkrankungen



(1) Pharmazeutische Großhändler erhalten für die Abgabe von vom Bund beschafften antiviralen Arzneimitteln zur Behandlung von COVID-19-Erkrankungen an Apotheken im Zeitraum vom 8. April 2023 bis zum 30. Juni 2024 eine Vergütung in Höhe von 20 Euro zuzüglich Umsatzsteuer je abgegebener Packung.

(2) 1Apotheken erhalten für die Abgabe von vom Bund beschafften antiviralen Arzneimitteln zur Behandlung von COVID-19-Erkrankungen im Zeitraum vom 8. April 2023 bis zum 30. Juni 2024 eine Vergütung in Höhe von 30 Euro zuzüglich Umsatzsteuer je abgegebener Packung. 2Abweichend von Satz 1 erhalten Apotheken im Zeitraum vom 8. April 2023 bis zum 30. Juni 2024 eine Vergütung in Höhe von 15 Euro zuzüglich Umsatzsteuer je abgegebener Packung, wenn die Abgabe an Ärztinnen und Ärzte oder an nach § 72 des Elften Buches zugelassene vollstationäre Pflegeeinrichtungen erfolgt. 3Sofern die in Satz 1 oder Satz 2 genannte Abgabe im Wege des Botendienstes erfolgt, erhalten Apotheken eine zusätzliche Vergütung in Höhe von 8 Euro einschließlich Umsatzsteuer je Lieferort und Tag.

(3) 1Die abgebende Apotheke rechnet die sich aus den Absätzen 1 und 2 ergebenden Vergütungen ab. 2Für in den Absätzen 1 und 2 genannten Leistungen, die nach dem 30. Juni 2024 erbracht werden, darf eine Vergütung nicht abgerechnet werden. 3Der Gesamtbetrag der Vergütungen nach den Absätzen 1 und 2 ist bei Personen, die in der gesetzlichen Krankenversicherung versichert sind, über ein von den Apotheken für die Abrechnung in Anspruch genommenes in § 300 Absatz 2 Satz 1 genanntes Rechenzentrum gegenüber der jeweiligen Krankenkasse und bei Personen, die in der privaten Krankenversicherung versichert sind, sowie bei Selbstzahlern gegenüber der jeweiligen Person abzurechnen. 4Bei Personen, die weder in der gesetzlichen Krankenversicherung noch in der privaten Krankenversicherung versichert sind und für deren Gesundheitskosten eine andere Kostenträgerschaft besteht, ist gegenüber dem jeweiligen Kostenträger abzurechnen, sofern nicht für diesen Personenkreis eine Abrechnung über die jeweils zuständige Krankenkasse vorgesehen ist. 5Die Vergütung für in Absatz 1 und 2 genannte Leistungen, die bis zum 30. Juni 2024 erbracht worden sind, ist bis zum 30. September 2024 abzurechnen.




§ 423 Rückwirkende Herabsetzung nach § 240 Absatz 4a Satz 4 festgesetzter Beiträge



In Fällen, in denen die Krankenkasse für Zeiträume ab dem 1. Januar 2018 die Beiträge nach § 240 Absatz 4a Satz 3 in Verbindung mit Satz 4 in der bis zum 15. Dezember 2023 geltenden Fassung festgesetzt hat, sind die Beiträge für das jeweilige Kalenderjahr neu festzusetzen, für das das Mitglied die tatsächlichen Einnahmen durch Vorlage eines Einkommensteuerbescheides bis zum Ablauf des 16. Dezember 2024 oder, falls ein Einkommensteuerbescheid für ein Kalenderjahr bis zum Ablauf des 16. Dezember 2023 noch nicht erlassen wurde, innerhalb von zwölf Monaten nach Bekanntgabe des jeweiligen Einkommensteuerbescheides nachweist.




§ 424 Übergangsregelung aus Anlass des Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetzes



(1) 1Auf Vereinbarungen nach § 130a Absatz 8 Satz 1, die bis zum 26. Juli 2023 abgeschlossen worden sind, ist § 130a Absatz 8 Satz 10 in der bis zu diesem Tag geltenden Fassung anzuwenden. 2Auf diese Vereinbarungen ist § 130a Absatz 8 Satz 13 nicht anzuwenden.

(2) Auf Vereinbarungen nach § 130a Absatz 8 Satz 1, für die vor dem 27. Juli 2023 eine Ausschreibung im Supplement zum Amtsblatt der Europäischen Union bekannt gemacht worden ist oder die bis zum 26. Juli 2023 abgeschlossen worden sind, findet § 130a Absatz 8 Satz 10 bis 12 und Absatz 8a keine Anwendung.




§ 425 Evaluierung des Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetzes



(1) Der Spitzenverband Bund der Krankenkassen hat dem Bundesministerium für Gesundheit bis zum 31. Dezember 2025 einen Bericht zur Umsetzung der durch das Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetz vom 19. Juli 2023 (BGBl. 2023 I Nr. 197) eingeführten, der Verbesserung der Arzneimittelversorgung dienenden Maßnahmen durch den Spitzenverband Bund der Krankenkassen, die Krankenkassen oder ihre Verbände sowie zu den Auswirkungen der durch die Artikel 1 bis 4 des Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetzes eingeführten Änderungen des Arzneimittelgesetzes, dieses Gesetzes, des Apothekengesetzes und der Apothekenbetriebsordnung auf die Ausgaben der Krankenkassen, die Zusammensetzung der Lose nach § 130a Absatz 8a und auf die Auswirkungen der Änderungen der Freistellung von der Zuzahlung vorzulegen.

(2) 1Das Bundesinstitut für Arzneimittel und Medizinprodukte hat dem Bundesministerium für Gesundheit bis zum 31. Dezember 2025 einen Bericht darüber vorzulegen, wie sich die durch die Artikel 1 bis 4 des Arzneimittel-Lieferengpassbekämpfungs- und Versorgungsverbesserungsgesetzes eingeführten Änderungen des Arzneimittelgesetzes, dieses Gesetzes, des Apothekengesetzes und der Apothekenbetriebsordnung auf die Versorgungslage mit Arzneimitteln ausgewirkt haben. 2Soweit Arzneimittel im Zuständigkeitsbereich des Paul-Ehrlich-Instituts betroffen sind, ist der Bericht im Einvernehmen mit dem Paul-Ehrlich-Institut zu erstellen.

(3) Abweichend von den Absätzen 1 und 2 sind die dort genannten Berichte hinsichtlich der Änderungen des § 130a Absatz 8 bis 8b jeweils bis zum 31. Dezember 2025 und bis zum 31. Dezember 2028 vorzulegen.




Anlage 1 (zu § 135d) Leistungsgruppen der Krankenhausbehandlung



Nummer Leistungsgruppe
Internistische Leistungsgruppen
1Allgemeine Innere Medizin
2Komplexe Endokrinologie und Diabetologie
3Infektiologie
4Komplexe Gastroenterologie
5Komplexe Nephrologie
6Komplexe Pneumologie
7Komplexe Rheumatologie
8Stammzelltransplantation
9Leukämie und Lymphome
10EPU/Ablation
11 Interventionelle Kardiologie
12Kardiale Devices
13Minimalinvasive Herzklappenintervention
Chirurgische Leistungsgruppen
14Allgemeine Chirurgie
15Kinder- und Jugendchirurgie
16Spezielle Kinder- und Jugendchirurgie
17Plastische und Rekonstruktive Chirurgie
18Bauchaortenaneurysma
19Carotis operativ/interventionell
20Komplexe periphere arterielle Gefäße
21Herzchirurgie
22Herzchirurgie - Kinder und Jugendliche
23Endoprothetik Hüfte
24Endoprothetik Knie
25Revision Hüftendoprothese
26Revision Knieendoprothese
27Spezielle Traumatologie
28Wirbelsäuleneingriffe
29Thoraxchirurgie
30Bariatrische Chirurgie
31Lebereingriffe
32Ösophaguseingriffe
33Pankreaseingriffe
34Tiefe Rektumeingriffe
Weitere Leistungsgruppen
35Augenheilkunde
36Haut- und Geschlechtskrankheiten
37MKG
38Urologie
39Allgemeine Frauenheilkunde
40Ovarial-CA
41Senologie
42Geburten
43Perinataler Schwerpunkt
44Perinatalzentrum Level 1
45Perinatalzentrum Level 2
46Allgemeine Kinder- und Jugendmedizin
47Spezielle Kinder- und Jugendmedizin
48Kinder-Hämatologie und -Onkologie - Stammzelltransplantation
49Kinder-Hämatologie und -Onkologie - Leukämie und Lymphome
50HNO
51 Cochleaimplantate
52Neurochirurgie
53Allgemeine Neurologie
54Stroke Unit
55Neuro-Frühreha (NNF, Phase B)
56Geriatrie
57Palliativmedizin
58Darmtransplantation
59Herztransplantation
60Lebertransplantation
61Lungentransplantation
62Nierentransplantation
63Pankreastransplantation
64Intensivmedizin
65Notfallmedizin".





Anlage 2 (zu § 307 Absatz 1 Satz 3 SGB V) Datenschutz-Folgenabschätzung



Inhaltsverzeichnis

1 Zusammenfassung
2 Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V)
2.1
Systematische Beschreibung der Verarbeitungsvorgänge (Artikel 35 Absatz 7 Buchstabe a DSGVO)
2.1.1
Kategorien von Verarbeitungsvorgängen
2.1.2
Systematische Beschreibung
2.2
Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstabe b DSGVO)
2.3
Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstabe c DSGVO)
2.4
Abhilfemaßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO)
2.5
Einbeziehung betroffener Personen

1 Zusammenfassung

Diese Anlage enthält die Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 der Verordnung (EU) 2016/679 (DSGVO) gemäß § 307 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch (SGB V).

Die Datenschutz-Folgenabschätzung dieser Anlage betrachtet ausschließlich die von der Gesellschaft für Telematik zugelassenen Komponenten der dezentralen Telematikinfrastruktur (TI) nach § 306 Absatz 2 Nummer 1 SGB V. Da diese dezentralen Komponenten jedoch nur einen Teilbereich der gesamten IT-Unterstützung beim Leistungserbringer darstellen und der Leistungserbringer regelmäßig weitere Betriebsmittel nutzen wird, hat der Leistungserbringer zu prüfen, ob nach Artikel 35 DSGVO für diese weiteren Betriebsmittel eine ergänzende Datenschutz-Folgenabschätzung durchzuführen ist.

Ergebnis der Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V):

Die korrekte Nutzung einer von der Gesellschaft für Telematik gemäß § 325 SGB V zugelassenen Komponente der dezentralen Infrastruktur der TI nach § 306 Absatz 2 Nummer 1 SGB V ist geeignet, ein Schutzniveau zu gewährleisten, das dem hohen Risiko entspricht, welches aus der Datenverarbeitung für die Rechte und Freiheiten der Betroffenen folgt, sofern die Komponenten vom Leistungserbringer gemäß Betriebshandbuch betrieben werden und der Leistungserbringer für seine Ablauforganisation sowie die weiteren genutzten dezentralen Betriebsmittel (z. B. IT-gestützter Arbeitsplatz, aktive Netzwerkkomponenten) die Vorschriften zum Schutz personenbezogener Daten einhält.

Die technischen Maßnahmen der Komponenten der dezentralen Infrastruktur der TI zur Gewährleistung der Datensicherheit werden gemäß § 311 Absatz 2 SGB V im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt und wirken den Risiken für die Rechte und Freiheiten der Betroffenen angemessen entgegen. Die korrekte Implementierung dieser Maßnahmen in den Komponenten der dezentralen Infrastruktur der Hersteller wird der Gesellschaft für Telematik im Rahmen des Zulassungsprozesses gemäß § 325 SGB V nachgewiesen.

Die in dieser Anlage betrachteten Verarbeitungsvorgänge der dezentralen Komponenten der TI entsprechen den konkreten Verarbeitungsvorgängen in den Komponenten der dezentralen TI eines Leistungserbringers. Die Komponenten der dezentralen TI stellen technisch sicher, dass Leistungserbringer mit diesen Komponenten ausschließlich die in dieser Anlage betrachteten Verarbeitungsvorgänge durchführen können. Es ist mit diesen Komponenten nicht möglich, darüber hinausgehende oder abweichende Verarbeitungsvorgänge durchzuführen. Zur Verhinderung einer negativen Beeinflussung der Verarbeitungen in den Komponenten besitzen die Komponenten geprüfte Schutzmaßnahmen. Die konkrete Einsatzumgebung der Komponenten der dezentralen TI ist spezifisch für den jeweiligen Leistungserbringer; für diese hat der Leistungserbringer daher erforderlichenfalls eine eigene ergänzende Datenschutz-Folgenabschätzung durchzuführen.

2 Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V)

Die Datenschutz-Folgenabschätzung für die Komponenten der dezentralen Infrastruktur der TI gemäß § 306 Absatz 2 Nummer 1 SGB V basiert auf den Kriterien der „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679,wahrscheinlich ein hohes Risiko mit sich bringt‘ (Artikel 29 WP 248 Rev. 1)" der Datenschutzgruppe nach Artikel 29 (nun Europäischer Datenschutzausschuss; der Europäische Datenschutzausschuss hat die mit der Datenschutz-Grundverordnung zusammenhängenden Leitlinien der Artikel-29-Datenschutzgruppe - darunter die soeben genannte - bei seiner ersten Plenarsitzung bestätigt, so dass diese fortgelten).

2.1
Systematische Beschreibung der Verarbeitungsvorgänge (Artikel 35 Absatz 7 Buchstabe a DSGVO)

Mittels der Komponenten der dezentralen TI nutzen Leistungserbringer Anwendungen der TI, Dienste der zentralen TI oder der Anwendungsinfrastruktur der TI sowie über die TI erreichbare Anwendungen bzw. Dienste. Die Komponenten bieten den Leistungserbringern zudem Funktionen zur Ver- bzw. Entschlüsselung und Signatur von Daten.

Die Gesellschaft für Telematik und die Krankenkassen stellen Informationsmaterial öffentlich zur Verfügung, in dem die Funktionsweise der Anwendungen der TI erklärt wird. Zudem veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite die Spezifikationen, auf deren Basis die Komponenten und Dienste der TI entwickelt und zugelassen werden müssen.

2.1.1
Kategorien von Verarbeitungsvorgängen

Die Verarbeitungsvorgänge in der dezentralen Infrastruktur lassen sich in drei Kategorien unterteilen:

Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung

Kategorie 2: Weitere Verarbeitung (betrifft ausschließlich Verschlüsselung, Signatur, Authentifizierung)

Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen.

Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung

Diese Kategorie umfasst alle Verarbeitungsvorgänge, in denen einer Komponente der dezentralen Infrastruktur personenbezogene Daten übergeben werden (z. B. vom Primärsystem) und in denen die Komponente der dezentralen Infrastruktur die übergebenen Daten unverändert an die vorgesehene Empfängerkomponente weiterleitet.

Empfängerkomponenten können Teil der zentralen TI, der Anwendungsinfrastruktur der TI oder eines an die TI angeschlossenen Netzes sein. Empfängerkomponenten können selbst Teil der dezentralen Infrastruktur sein (z. B. Kartenterminals).

Die Komponente der dezentralen Infrastruktur übernimmt für diese Verarbeitungsvorgänge lediglich eine Weiterleitungsfunktion. Eine weitere Verarbeitung der transportierten Daten erfolgt nicht.

Zu dieser Kategorie gehören insbesondere Verarbeitungsvorgänge

der weiteren Anwendungen nach § 327 SGB V,

der sicheren Übermittlungsverfahren nach § 311 Absatz 1 Nummer 5 SGB V sowie

der Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 2, 6 und 7 SGB V.

Kategorie 2: Weitere Verarbeitung (Verschlüsselung, Signatur, Authentifizierung)

Zu dieser Kategorie gehören die Ver- und Entschlüsselungen sowie die Signaturoperationen, die mittels der Verschlüsselungs- und Signaturfunktionen der dezentralen Infrastruktur durchgeführt werden. Hier werden die zu verschlüsselnden bzw. zu entschlüsselnden Daten sowie die zu signierenden Daten übergeben. Es erfolgt keine über die Ver- bzw. Entschlüsselung bzw. Signatur hinausgehende Verarbeitung in den Komponenten der dezentralen Infrastruktur.

Die Funktionen zur Ver- und Entschlüsselung sowie der Signatur können durch Anwendungen der Kategorie 1 und 3 genutzt werden.

Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen

In diesen Verarbeitungsvorgängen werden die einer Komponente der dezentralen Infrastruktur übergebenen Daten in der dezentralen Infrastruktur anwendungsspezifisch verarbeitet, d. h. die Verarbeitung ist im Gegensatz zu den bisherigen Kategorien nicht auf den Transport, die Ver- und Entschlüsselung oder die Signatur beschränkt.

Zu dieser Kategorie gehören die Verarbeitungsvorgänge

des Versichertenstammdatenmanagements nach § 291b SGB V sowie

der Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 3 bis 5 SGB V.

2.1.2
Systematische Beschreibung

Die systematische Beschreibung hat nach Erwägungsgrund (ErwG) 90 sowie Artikel 35 Absatz 7 Buchstabe a und Absatz 8 DSGVO sowie nach den „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679,wahrscheinlich ein hohes Risiko mit sich bringt‘" der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Kriterium Beschreibung
Art der Verarbeitung:
(ErwG 90 DSGVO)
siehe Abschnitt 2.1.1
Umfang der Verarbeitung:
(ErwG 90 DSGVO)
Die Komponenten der dezentralen Infrastruktur der TI verarbeiten insbe-
sondere besondere Kategorien personenbezogener Daten gemäß Artikel 9
Absatz 1 DSGVO, nämlich Gesundheitsdaten natürlicher Personen (Versi-
cherter) i.S.v. Artikel 4 Nummer 15 DSGVO.
Dies sind beispielsweise elektronische Arztbriefe, medizinische Befunde
und Diagnosen, der elektronische Medikationsplan nach § 31a SGB V,
die elektronischen Notfalldaten, elektronische Impfdokumentation oder
elektronische Verordnungen.
Es werden zudem insbesondere Daten gemäß § 291a Absatz 2 und 3 SGB V
(Versichertenstammdaten) verarbeitet.
Zum ordnungsgemäßen Betrieb der Komponenten der dezentralen Infra-
struktur der TI erfolgt eine Protokollierung innerhalb der Komponenten.
Diese Protokolle enthalten keine personenbezogenen Daten gemäß
Artikel 9 Absatz 1 DSGVO. Sie können personenbezogene Daten des
Leistungserbringers enthalten, bei denen es sich regelmäßig nicht um
besondere Kategorien personenbezogener Daten handelt.
In den Komponenten werden die Benutzernamen der berechtigten Admi-
nistratoren hinterlegt. Die Benutzernamen werden vom Leistungserbringer
oder vom beauftragten Dienstleister frei gewählt. Die Benutzernamen
der Administratoren können auch Pseudonyme sein, sofern die Adminis-
tratoren eindeutig unterschieden werden können.
Personenbezogene Daten von Versicherten können in Protokollen nur im
Falle eines Fehlers zum Zwecke der Behebung des Fehlers temporär
gespeichert werden.
Zum Zwecke der netztechnischen Adressierung besitzen Komponenten
der dezentralen Infrastruktur IP-Adressen.
Von der Verarbeitung betroffene Personen sind:
- Versicherte,
- Leistungserbringer sowie
- ggf. Administratoren der Komponenten.
Umstände bzw. Kontext der
Verarbeitung:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21)
Kategorie 1:
Die Verarbeitung erfolgt im Kontext einer Anwendung bzw. der Nutzung
eines Dienstes durch den Leistungserbringer, die bzw. der über die
dezentrale Infrastruktur der TI technisch erreichbar ist (z. B. Nutzung einer
weiteren Anwendung nach § 327 SGB V).
Kategorie 2:
Die Verarbeitung erfolgt im Rahmen einer vom Leistungserbringer
gewünschten Ver- bzw. Entschlüsselung oder Signatur von Daten, die
der Leistungserbringer auswählt.
Kategorie 3:
Die Verarbeitung der personenbezogenen Daten in den dezentralen
Komponenten der TI erfolgt im Rahmen der Versorgung von Versicherten
gemäß den im SGB V festgelegten Zwecken.
Zweck der Verarbeitung:
(Artikel 35 Absatz 7 Buch-
stabe a DSGVO)
Kategorie 1:
Der Zweck beschränkt sich auf die Weiterleitung der Daten an den korrek-
ten Empfänger. Es erfolgt keine darüber hinausgehende Verarbeitung der
Daten in den Komponenten der dezentralen Infrastruktur der TI.
Kategorie 2:
Zweck ist die Ver- bzw. Entschlüsselung bzw. Signatur der übergebenen
Daten.
Kategorie 3:
Die Zwecke der Verarbeitungen sind gesetzlich im SGB V festgelegt.
- Den Zweck des Versichertenstammdatenmanagements legt § 291b
Absatz 1 und 2 SGB V fest.
- Die Anwendungen nach § 334 Absatz 1 Satz 2 SGB V dienen gemäß
§ 334 Absatz 1 Satz 1 SGB V der Verbesserung der Wirtschaftlichkeit, der
Qualität und der Transparenz der Versorgung. Der Zweck der einzelnen
Anwendungen ist in § 334 Absatz 1 Satz 2 SGB V festgelegt und wird
für einzelne Anwendungen in weiteren Paragraphen des SGB V konkre-
tisiert (z. B. für die elektronische Patientenakte in § 341 SGB V).
Empfängerinnen und
Empfänger:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21)
Kategorie 1:
Die der dezentralen Komponente übergebenen Daten werden an die
gewählte Empfängerkomponente weitergeleitet. Die Empfänger der Daten
in den Empfängerkomponenten sind abhängig von der Anwendung bzw.
dem Dienst, zu der bzw. zu dem die Empfängerkomponente gehört.
Kategorie 2:
Empfänger der ver- bzw. entschlüsselten bzw. signierten Daten ist der
Leistungserbringer, der die Daten der Komponenten zur Ver- bzw. Ent-
schlüsselung bzw. Signatur übergeben hat.
Kategorie 3:
Die in der dezentralen Komponente verarbeiteten Daten einer Anwendung
können an die berechtigten Empfänger dieser Anwendung weitergeleitet
werden. Die für die Anwendungen dieser Kategorie berechtigten Empfän-
ger sind im SGB V gesetzlich festgelegt; ihnen wird durch Gesetz eine
Berechtigung zum Zugriff auf die Daten der Anwendungen erteilt.
Speicherdauer:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21)
In den Komponenten der dezentralen Infrastruktur der TI werden keine
personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO persistent
gespeichert. Sie werden nur temporär für den erforderlichen Zweck ver-
arbeitet und danach sofort gelöscht.
Eine persistente Speicherung von personenbezogenen Daten kann in den
Protokollen der Komponenten erfolgen. Die Protokolle mit Personenbezug
werden dabei nach einem festgelegten Turnus durch die Komponente au-
tomatisch gelöscht bzw. können aktiv vom Administrator der Komponente
gelöscht werden.
Die nach außen sichtbaren IP-Adressen der Komponenten werden regel-
mäßig gewechselt.
Funktionelle Beschreibung
der Verarbeitung:
(Artikel 35 Absatz 7 Buch-
stabe a DSGVO)
Kategorie 1:
Hier erfolgt nur eine Weiterleitung übergebener Daten. Es erfolgt keine
weitere Verarbeitung der Daten.
Kategorie 2:
Es handelt sich ausschließlich um Funktionen zur Ver- und Entschlüsse-
lung sowie Signatur.
Kategorie 3:
Die Funktionalität dieser Anwendungen ist gesetzlich festgelegt. Die Kon-
kretisierung dieser Funktionen in den Komponenten erfolgt in den Spezifi-
kationen der Gesellschaft für Telematik, die auf deren Internetseite ver-
öffentlicht werden.
Beschreibung der Anlagen
(Hard- und Software bzw.
sonstige Infrastruktur):
(Artikel-29-Datenschutz-
gruppe, WP 248, 21)
Die Komponenten der dezentralen Infrastruktur werden von der Gesell-
schaft für Telematik spezifiziert. Die Spezifikationen sind von der Gesell-
schaft für Telematik auf ihrer Internetseite veröffentlicht. Bei der Spezifi-
kation werden die technischen und organisatorischen Maßnahmen zum
Schutz der verarbeiteten personenbezogenen Daten gemäß Artikel 25
und 32 DSGVO berücksichtigt.
Eingehaltene, gemäß
Artikel 40 DSGVO
genehmigte Verhaltens-
regeln:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21)
Es wurden keine Verhaltensregeln gemäß Artikel 40 DSGVO berücksichtigt.


2.2
Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstabe b DSGVO)

Im Rahmen der Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge müssen nach den ErwGen 90 und 96, nach Artikel 35 Absatz 7 Buchstabe b und d DSGVO sowie nach den „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679,wahrscheinlich ein hohes Risiko mit sich bringt‘" der Artikel-29-Datenschutzgruppe (WP 248) Maßnahmen zur Einhaltung der Verordnung bestimmt werden, wobei Folgendes berücksichtigt werden muss:

Maßnahmen im Sinne der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung (Artikel 5 und 6 DSGVO) sowie

Maßnahmen im Sinne der Rechte der Betroffenen (Artikel 12 bis 21, 28, 36 und Kapitel V DSGVO).

Kriterium Beschreibung
Festgelegter Zweck:
(Artikel 5 Absatz 1
Buchstabe b DSGVO)
Kategorie 1:
Der Zweck ist die Weiterleitung der Daten ohne sonstige Verarbeitung der
Daten.
Kategorie 2:
Der Zweck ist durch die Funktionen Ver- bzw. Entschlüsselung und
Signatur festgelegt.
Kategorie 3:
Die Zwecke der Anwendungen dieser Kategorie sind gesetzlich im SGB V
festgelegt.
Eindeutiger Zweck:
(Artikel 5 Absatz 1
Buchstabe b DSGVO)
Die Zwecke sind eindeutig.
Für die Anwendungen nach den §§ 291b, 334 und 311 SGB V sind die
Zwecke im SGB V eindeutig festgelegt; eine zweckfremde Verarbeitung
unterliegt den Straf- und Bußgeldvorschriften der §§ 397 und 399 SGB V.
Legitimer Zweck:
(Artikel 5 Absatz 1
Buchstabe b DSGVO)
Kategorie 1:
Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen
einer Anwendung, die der Leistungserbringer über die dezentrale Infra-
struktur technisch erreicht. Im Rahmen der Nutzung dieser Anwendung
(die selbst einem legitimen Zweck unterliegen muss) ist die Weiterleitung
der Daten durch die dezentrale Infrastruktur nur ein technisches Hilfsmittel
zur Nutzung der vom Leistungserbringer gewählten Anwendung und für die
Nutzung der Anwendung erforderlich.
Kategorie 2:
Der Leistungserbringer verarbeitet die Daten für seine eigenen Zwecke.
Er bestimmt den Zeitpunkt der Ver- bzw. Entschlüsselung bzw. Signatur
und die Daten, die ver- bzw. entschlüsselt bzw. signiert werden sollen.
Kategorie 3:
Die Zwecke der Verarbeitung der Daten in den Anwendungen dieser Kate-
gorie sind legitim, da sie der Verbesserung der Wirtschaftlichkeit, der
Qualität und der Transparenz der Versorgung im deutschen Gesundheits-
wesen dienen.
Rechtmäßigkeit der
Verarbeitung:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21 i.V.m.
Artikel 6 DSGVO
Kategorie 1:
Die Rechtmäßigkeit basiert auf der Rechtmäßigkeit der Verarbeitung der
Daten in der Anwendung, die der Leistungserbringer nutzt und an die die
dezentrale Infrastruktur der TI die Daten technisch weiterleitet.
Kategorie 2:
Der Leistungserbringer verarbeitet die Daten für seine eigenen Zwecke,
wobei es sich regelmäßig um Behandlungszwecke handelt, deren gesetz-
liche Verarbeitungsgrundlagen sich in § 22 Absatz 1 BDSG bzw. - im Falle
der Verarbeitung durch Krankenhäuser oder Landeseinrichtungen - in spe-
ziellen Rechtsgrundlagen finden. Der Leistungserbringer bestimmt den
Zeitpunkt der Ver- bzw. Entschlüsselung bzw. Signatur und die Daten,
die ver- bzw. entschlüsselt bzw. signiert werden sollen.
Kategorie 3:
Die Rechtmäßigkeit ergibt sich aus
- Artikel 6 Absatz 1 Buchstabe c DSGVO i.V.m. § 291b SGB V beim Ver-
sichertenstammdatenmanagement bzw.
- der gesetzlichen Befugnis zur Verarbeitung nach § 339 Absatz 1 für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich als Verarbeitungsgrundlage im Recht eines Mitgliedstaats im Sinne von Artikel 9 Absatz 2 Buchstabe h in Verbindung mit Artikel 9 Absatz 3 DSGVO bei Anwendungen nach § 334 SGB V vorbehaltlich eines Widerspruchs des Versicherten nach § 339 Absatz 1, nach § 353 Absatz 1 und 2 bzw.
- einer Einwilligung des Versicherten nach Artikel 9 Absatz 2 Buchstabe a DSGVO und nach § 339 Absatz 1a, § 353 Absatz 3 bis 6 SGB V bei Anwendungen nach § 334 SGB V.
Angemessenheit und
Erheblichkeit der
Verarbeitung, Beschränkt-
heit der Verarbeitung auf
das notwendige Maß:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21 i.V.m.
Artikel 5 Absatz 1
Buchstabe c DSGVO)
Kategorie 1:
Die Verarbeitung ist auf die Weiterleitung von Daten an die vom Leistungs-
erbringer gewünschte Empfängerkomponente beschränkt. Eine weitere
Verarbeitung der Daten erfolgt nicht. Die Weiterleitung der Daten ist
notwendig, damit der Leistungserbringer die zur Empfängerkomponente
gehörende Anwendung nutzen kann. Da neben der Weiterleitung keine
weitere Verarbeitung der Daten in den Komponenten der dezentralen
Infrastruktur erfolgt, ist die Verarbeitung mit Blick auf ihren Zweck mini-
mal.
Kategorie 2:
Um Daten ver- bzw. entschlüsseln bzw. signieren zu können, müssen diese
Daten verarbeitet werden. Eine darüber hinausgehende Verarbeitung der
Daten erfolgt nicht, so dass die Datenverarbeitung mit Blick auf ihren
Zweck minimal ist.
Kategorie 3:
Die Verarbeitung setzt die gesetzlichen Vorgaben des SGB V um. Es erfol-
gen keine Verarbeitungen, die über den gesetzlichen Zweck hinausgehen.
- Der Umfang der Versichertenstammdaten ist in § 291a SGB V festge-
legt.
- Die in den Anwendungen nach § 334 SGB V verarbeiteten medizini-
schen Daten sind im SGB V abstrakt gesetzlich festgelegt. Die Konkre-
tisierung dieser Daten erfolgt in den Spezifikationen der Gesellschaft
für Telematik, die diese auf ihrer Internetseite veröffentlicht. Die Fest-
legungen in den Spezifikationen werden nach § 311 Absatz 2 SGB V im
Benehmen mit dem BSI und dem BfDI getroffen.
Die Protokolldaten in den Komponenten der dezentralen Infrastruktur
dienen der Analyse von Fehlern und Sicherheitsvorfällen sowie der Analyse
der Performanz. Die Protokolle sind für einen sicheren und ordnungsgemä-
ßen Betrieb des Konnektors notwendig. In den Protokollen werden keine
personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO gespeichert.
Die IP-Adresse des Konnektors ist für die Kommunikation mit der zentralen
TI technisch notwendig. Es wird bei jedem Neuaufbau einer Verbindung zur
zentralen TI zufällig eine IP-Adresse zugewiesen.
Speicherbegrenzung:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21 i.V.m.
Artikel 5 Absatz 1
Buchstabe e DSGVO)
siehe Speicherdauer in Abschnitt 2.1.2
Informationspflicht
gegenüber Betroffenem:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21 i.V.m.
Artikel 12, 13 und 14 DSGVO)
Kategorie 1:
Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen
einer Anwendung, die der Leistungserbringer über die dezentrale Infra-
struktur technisch erreicht. Der Verantwortliche für die Anwendung hat
die Informationspflichten gemäß DSGVO zu erfüllen.
Kategorie 2:
Der Leistungserbringer verarbeitet seine eigenen Daten zu eigenen
Zwecken. Eine Information von betroffenen Personen ist nicht erforderlich.
Kategorie 3:
Der Leistungserbringer ist gemäß § 307 Absatz 1 Satz 1 SGB V Verantwort-
licher für die Verarbeitung personenbezogener Daten mittels der Kom-
ponenten der dezentralen Infrastruktur und hat somit die Informations-
pflichten gegenüber den Betroffenen zu erfüllen.
Begleitend werden Versicherten generelle Informationen zur TI zur Verfü-
gung gestellt. Diesbezügliche gesetzliche Informationspflichten ergeben
sich insbesondere aus den folgenden Normen:
- § 314 SGB V verpflichtet die Gesellschaft für Telematik, auf ihrer Inter-
netseite Informationen für die Versicherten in präziser, transparenter,
verständlicher, leicht zugänglicher und barrierefreier Form zur Verfü-
gung zu stellen.
- Die §§ 291, 342, 343 und 358 SGB V verpflichten die Krankenkassen
zur Information von Versicherten:
Gemäß § 291 Absatz 5 SGB V informiert die Krankenkasse den Versi-
cherten spätestens bei der Versendung der elektronischen Gesundheits-
karte an diesen umfassend und in allgemein verständlicher, barrierefreier
Form über die Funktionsweise der elektronischen Gesundheitskarte und
über die Art der personenbezogenen Daten, die nach § 291a SGB V
mittels der elektronischen Gesundheitskarte zu verarbeiten sind.
Gemäß § 343 SGB V haben Krankenkassen umfassendes, geeignetes
Informationsmaterial über die elektronische Patientenakte in präziser,
transparenter, verständlicher und leicht zugänglicher Form in einer
klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen.
Zur Unterstützung der Informationspflichten der Krankenkassen nach
§ 343 SGB V hat der Spitzenverband Bund der Krankenkassen im
Benehmen mit dem BfDI geeignetes Informationsmaterial, auch in
elektronischer Form, zu erstellen und den Krankenkassen zur verbind-
lichen Nutzung zur Verfügung zu stellen.

Jede Krankenkasse richtet zudem nach § 342a Absatz 1 SGB V eine Ombudsstelle ein, an die sich Versicherte mit ihren Anliegen im Zusammenhang mit der elektronischen Patientenakte wenden können. Die Ombudsstellen nehmen insbesondere Widersprüche von Versicherten nach § 342a Absatz 2 bis 4 entgegen und stellen den Versicherten nach § 342a Absatz 5 auf Antrag die in § 309 Absatz 1 genannten Protokolldaten der elektronischen Patientenakte nach § 342 Absatz 1 Satz 2 zur Verfügung.

Mit der Einführung der elektronischen Notfalldaten, der elektronischen
Patientenkurzakte und des elektronischen Medikationsplans haben die
Krankenkassen den Versicherten auch hierzu nach § 358 Absatz 9
SGB V geeignetes Informationsmaterial in präziser, transparenter, ver-
ständlicher und leicht zugänglicher Form in einer klaren und einfachen
Sprache barrierefrei zur Verfügung zu stellen. Auch dieses Informa-
tionsmaterial ist gemäß § 358 Absatz 10 SGB V im Benehmen mit
dem BfDI zu erstellen.
Auskunftsrecht der
betroffenen Personen:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21 i.V.m.
Artikel 15 DSGVO)
Diese Anlage i.V.m. den Informationen gemäß den §§ 314 und 343 SGB V
gibt den Versicherten Auskunft über die in Artikel 15 DSGVO geforderten
Informationen. Die Informationen nach § 314 Satz 1 Nummer 7 und 8
SGB V enthalten insbesondere die Benennung der Verantwortlichen für
die Daten im Hinblick auf die verschiedenen Datenverarbeitungsvorgänge
und die Pflichten der datenschutzrechtlich Verantwortlichen sowie die
Rechte des Versicherten gegenüber den datenschutzrechtlich Verantwort-
lichen nach der DSGVO.
In den Komponenten der dezentralen Infrastruktur werden zudem keine
Daten von Versicherten persistent gespeichert.
Recht auf Berichtigung
und Löschung:
(Artikel-29-Datenschutz-
gruppe, WP 248, 21 i.V.m.
Artikel 16, 17 und 19)
In den Komponenten der dezentralen Infrastruktur werden Daten von Ver-
sicherten nur temporär verarbeitet und dann sofort gelöscht. Es erfolgt
keine persistente Speicherung von Daten der Versicherten.
Recht auf
Datenübertragbarkeit:
(Artikel 20 DSGVO)
Es werden in den Komponenten der dezentralen Infrastruktur keine Daten
von Versicherten persistent gespeichert, so dass keine Daten übertragen
werden könnten.
Auftragsverarbeiterinnen
und Auftragsverarbeiter:
(Artikel 28 DSGVO)
Der Leistungserbringer ist nach § 307 Absatz 1 Satz 1 SGB V Verantwort-
licher für die Verarbeitung personenbezogener Daten mittels der Kom-
ponenten der dezentralen Infrastruktur. Falls der Leistungserbringer einen
Auftragsverarbeiter mit dem Betrieb der dezentralen Komponenten der TI
beauftragt, hat der Leistungserbringer die Einhaltung der Vorgaben gemäß
Artikel 28 DSGVO zu gewährleisten.
Schutzmaßnahmen
bei der Übermittlung
in Drittländer:
(Kapitel V DSGVO)
Kategorie 1:
Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen
einer Anwendung, die der Leistungserbringer über die dezentrale Infra-
struktur technisch erreicht. Der Verantwortliche für die Anwendung hat
bei der Übermittlung in Drittländer die Schutzmaßnahmen gemäß DSGVO
zu berücksichtigen.
Kategorie 2:
Es erfolgt keine Übermittlung an Drittländer.
Kategorie 3:
Es erfolgt keine Übermittlung an Drittländer, da die Dienste innerhalb der
EU bzw. des EWR betrieben werden müssen.
Vorherige Konsultation:
(Artikel 36 und
ErwG 96 DSGVO)
Gemäß § 311 Absatz 2 SGB V hat die Gesellschaft für Telematik die Fest-
legungen und Maßnahmen für die TI nach § 311 Absatz 1 Nummer 1 SGB V
im Benehmen mit dem BSI und dem BfDI zu treffen. Dies umfasst ins-
besondere auch die Erstellung der funktionalen und technischen Vorgaben
der Komponenten der dezentralen Infrastruktur der TI.


2.3
Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstabe c DSGVO)

Die Risiken für die Rechte und Freiheiten der betroffenen Personen sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (ErwGe 76, 77, 84 und 90 DSGVO). Nach den ErwGen 75 und 85 DSGVO sind unter anderem die potentiellen Risiken dieses Abschnitts genannt.

Risikoquellen sind

beim Leistungserbringer tätige Personen inklusive des Leistungserbringers als Verantwortlicher, die unbeabsichtigt und unbewusst den zulässigen Rahmen der Verarbeitung überschreiten könnten,

Angreifer, die bewusst aus der Umgebung des Leistungserbringers in die Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen,

Angreifer, die bewusst von außerhalb der Leistungserbringerumgebung in die Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen,

Hersteller der Komponenten der dezentralen TI sowie

technische Fehlfunktionen der Komponenten der dezentralen TI.

Da in den Komponenten der dezentralen TI besondere Kategorien personenbezogener Daten verarbeitet werden, besteht ein hohes Ausgangsrisiko für die Rechte und Freiheiten natürlicher Personen. Das hohe Ausgangsrisiko wird durch die Abhilfemaßnahmen in Abschnitt 2.4 auf ein angemessenes Risiko gesenkt, falls die dezentralen Komponenten vom Leistungserbringer gemäß Betriebshandbuch betrieben werden. Durch die Anwendung der in § 75b SGB V geforderten Richtlinie zur IT-Sicherheit, die IT-Sicherheitsanforderungen an Krankenhäuser nach § 391 SGB V und die Anforderungen an die Wartung von Diensten gemäß § 332 SGB V werden Risiken im Betrieb der dezentralen Komponenten der TI wesentlich gesenkt.

Da die Maßnahmen der Komponenten der dezentralen TI zur Gewährleistung der Datensicherheit in gleicher Weise auf alle in den Komponenten verarbeiteten personenbezogenen Daten wirken und nicht spezifisch für einzelne Verarbeitungsvorgänge sind, erfolgt die Bewertung der Angemessenheit der Abhilfemaßnahmen der Komponenten hinsichtlich der Daten, deren Verarbeitung die höchsten Risiken für die Betroffenen bedeutet, nach dem Maximum-Prinzip. Es handelt sich hierbei um die personenbezogenen Daten nach Artikel 9 Absatz 1 DSGVO der Versicherten. Nach diesen Daten bestimmen sich die in den Komponenten zu treffenden Abhilfemaßnahmen. Die Abhilfemaßnahmen sind dann ebenfalls angemessen für die Verarbeitung der weniger sensiblen Daten.

Die Risikobewertung orientiert sich am Standard-Datenschutzmodell (SDM) der Aufsichtsbehörden für den Datenschutz und den dort definierten Gewährleistungszielen. Die Schadens- und Eintrittswahrscheinlichkeitsstufen sowie die Risikomatrix orientieren sich am DSK-Kurzpapier Nummer 18 „Risiko für die Rechte und Freiheiten natürlicher Personen" i.V.m. der ISO/IEC 29134:2017 zum Privacy Impact Assessment. In der folgenden Tabelle werden die einzelnen Risiken identifiziert, inklusive Schadenshöhe, Schadensereignissen, betroffenen Gewährleistungszielen des Standard-Datenschutzmodells und Eintrittswahrscheinlichkeit. Die Bewertung der Eintrittswahrscheinlichkeit erfolgt unter Berücksichtigung der referenzierten Abhilfemaßnahmen, die detailliert in Abschnitt 2.4 beschrieben sind.

Schaden Beschreibung der Schadensereignisse Eintrittswahrscheinlichkeit
(EWS)
mit Abhilfemaßnahmen
(Abschnitt 2.4)
Physische, materielle oder
immaterielle Schäden,
finanzielle Verluste,
erhebliche wirtschaftliche
Nachteile:
(ErwG 90 i.V.m
85 DSGVO)
Schadenshöhe: groß
Durch die unbefugte, unrechtmäßige oder
zweckfremde Verarbeitung sowie eine unbe-
fugte Offenlegung oder Änderung der in den
Komponenten der dezentralen TI verarbeiteten
Gesundheitsdaten der Versicherten können Ver-
sicherte große immaterielle Schäden erleiden.
Bei einer unbefugten Offenlegung der Gesund-
heitsdaten ihrer Patienten können Leistungser-
bringer materielle, immaterielle, finanzielle bzw.
wirtschaftliche Schäden erleiden, da Leistungs-
erbringer dem Berufsgeheimnis mit zugehörigen
Straf- und Bußgeldvorschriften, insbesondere
dem Straftatbestand des § 203 StGB, unterlie-
gen. Zusätzlich können Geldbußen gemäß Arti-
kel 83 DSGVO verhängt werden. Die Nutzung
der Komponenten der dezentralen Infrastruktur
der TI und die Anbindung an die TI dürfen nicht
dazu führen, dass Leistungserbringer gegen das
Berufsgeheimnis oder die Vorgaben der DSGVO
verstoßen.
EWS: geringfügig
- Minimierung der Ver-
arbeitung personen-
bezogener Daten
- Schnellstmögliche
Pseudonymisierung
- Datensicherheits-
maßnahmen
 Betroffene Gewährleistungsziele (SDM):
Datenminimierung, Nichtverkettung, Vertraulich-
keit, Integrität
 
Verlust der Kontrolle über
personenbezogene Daten:
(ErwG 90 i.V.m.
85 DSGVO)
Schadenshöhe: groß
Ein Angreifer (insbesondere auch der Hersteller)
könnte die Komponenten der dezentralen TI
manipulieren, was zu einer für den Versicherten
oder den Leistungserbringer intransparenten
Datenverarbeitung führen würde. Es könnte das
Risiko bestehen, dass eine Verarbeitung von
personenbezogenen Daten in den Komponenten
der dezentralen Infrastruktur für die Versicherten
im Nachhinein nicht erkannt werden kann und
dass er nicht in diese Datenverarbeitung interve-
nieren (z. B. ihr widersprechen) kann.
Betroffene Gewährleistungsziele (SDM):
Transparenz, Intervenierbarkeit
EWS: geringfügig
- Transparenz in Bezug
auf die Funktionen
und die Verarbeitung
personenbezogener
Daten
- Überwachung der
Verarbeitung
personenbezogener
Daten durch die
betroffenen Personen
- Datensicherheits-
maßnahmen
Diskriminierung, Ruf-
schädigung, erhebliche
gesellschaftliche Nachteile:
(ErwG 90 i.V.m.
85 DSGVO)
Schadenshöhe: groß
Die Verarbeitung von Daten besonderer Katego-
rien personenbezogener Daten gemäß Artikel 9
Absatz 1 DSGVO birgt Risiken einer Diskriminie-
rung oder Rufschädigung für Versicherte, falls
Gesundheitsdaten über den Versicherten offen-
gelegt, unbefugt oder unrechtmäßig verarbeitet
werden. Dies kann zu erheblichen gesellschaft-
lichen Nachteilen für den Versicherten führen.
Falls Gesundheitsdaten, die ein Leistungserbrin-
ger verarbeitet, unberechtigt offengelegt werden
und der Leistungserbringer somit sein Berufs-
geheimnis verletzt, kann dies zu einer Rufschä-
digung des Leistungserbringers führen.
Betroffene Gewährleistungsziele (SDM):
Datenminimierung, Nichtverkettung, Vertraulich-
keit, Integrität
EWS: geringfügig
- Minimierung der Ver-
arbeitung personen-
bezogener Daten
- Schnellstmögliche
Pseudonymisierung
- Datensicherheits-
maßnahmen
- Überwachung der
Verarbeitung
personenbezogener
Daten durch die
betroffenen Personen
Identitätsdiebstahl
oder -betrug:
(ErwG 90 i.V.m.
85 DSGVO)
Schadenshöhe: groß
In den Komponenten der dezentralen Infrastruk-
tur der TI werden kryptographische Identitäten
von Versicherten und Leistungserbringern verar-
beitet. Ein Missbrauch dieser Identitäten durch
eine unbefugte oder unrechtmäßige Nutzung
muss verhindert werden, um Schäden für den
Versicherten oder Leistungserbringer abzuweh-
ren. Hierdurch könnte z. B. unter der Identität
des Versicherten oder Leistungserbringers
gehandelt werden, um medizinische Daten zu
lesen, zu ändern oder weiterzugeben.
Betroffene Gewährleistungsziele (SDM):
Datenminimierung, Nichtverkettung, Vertraulich-
keit, Integrität
EWS: geringfügig
- Minimierung der Ver-
arbeitung personen-
bezogener Daten
- Datensicherheits-
maßnahmen
Verlust der Vertraulichkeit
bei Berufsgeheimnissen:
(ErwG 90 i.V.m.
85 DSGVO)
Schadenshöhe: groß
In den Komponenten der dezentralen Infrastruk-
tur der TI werden Daten verarbeitet, die unter
das Berufsgeheimnis fallen. Der Verlust der
Vertraulichkeit dieser Daten durch eine unbe-
fugte Offenlegung muss verhindert werden,
damit Leistungserbringer ihren Geheimhaltungs-
pflichten nachkommen können. Neben einer
Rufschädigung können den Leistungserbringer
Straf- und Bußgeldvorschriften (insbesondere
§ 203 StGB) treffen.
Betroffene Gewährleistungsziele (SDM):
Datenminimierung, Vertraulichkeit, Integrität
EWS: geringfügig
- Minimierung der Ver-
arbeitung personen-
bezogener Daten
- Schnellstmögliche
Pseudonymisierung
- Datensicherheits-
maßnahmen
Beeinträchtigung/Verlust
der Verfügbarkeit
Schadenshöhe: geringfügig
Eine Beeinträchtigung bzw. der Verlust der Ver-
fügbarkeit der Komponenten der dezentralen TI
durch technische Fehlfunktionen könnte dazu
führen, dass
a) Dienste in der zentralen TI, der Anwendungs-
infrastruktur der TI oder eines an die TI an-
geschlossenen Netzes oder
b) lokale Funktionen (insbesondere Verschlüs-
selung, Signatur, Authentifizierung)
vom Leistungserbringer nicht mehr genutzt
werden können.
Durch eine beeinträchtige Verfügbarkeit der
Komponenten der dezentralen TI ergeben sich
nur geringfügige Schäden für Versicherte oder
Leistungserbringer, da die Verarbeitungen nicht
zeitkritisch sind bzw. es Ersatzverfahren gibt. Es
ist zudem nur eine Leistungserbringerumgebung
betroffen.
Betroffene Gewährleistungsziele (SDM):
Verfügbarkeit
EWS: überschaubar
Ein Ausfall einer
Komponente kann nicht
ausgeschlossen werden.
Zusätzliche
Abhilfemaßnahmen zur
Verfügbarkeit der
Komponenten der
dezentralen TI sind
aufgrund des geringen
Risikos nicht erforderlich.


2.4
Abhilfemaßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO)

Gemäß Artikel 35 Absatz 7 Buchstabe d DSGVO sind zur Bewältigung der Risiken Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, umzusetzen, durch die die Risiken für die Rechte der Betroffenen eingedämmt werden und der Schutz personenbezogener Daten sichergestellt wird.

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den ErwGen 28, 78 und 83 DSGVO genannt:

KriteriumBeschreibung
Minimierung der
Verarbeitung personen-
bezogener Daten:
(ErwG 78 DSGVO)
Kategorie 1:
Die Verarbeitung ist mit Blick auf den Zweck der Weiterleitung von Daten
minimal. Eine über den Transport hinausgehende Verarbeitung erfolgt
nicht. Der Umfang der transportierten Daten ist abhängig von der über
die dezentrale Infrastruktur genutzten Anwendung. Der Verantwortliche
dieser Anwendung hat entsprechende Maßnahmen zur Minimierung zu
ergreifen. Dies liegt jedoch nicht in der Verantwortung des Leistungs-
erbringers als Nutzer der Anwendung.
Kategorie 2:
Die Verarbeitung ist minimal, da sie nur die zum Zwecke der Ver- bzw.
Entschlüsselung bzw. Signatur benötigten Daten verarbeitet.
Kategorie 3:
Die Verarbeitung ist minimal, da in den Anwendungen dieser Kategorie
ausschließlich die Daten verarbeitet werden, die zur Erfüllung des gesetz-
lich vorgegebenen Zweckes erforderlich sind. Zudem werden Anwen-
dungsdaten in den Komponenten der dezentralen Infrastruktur nach der
Verarbeitung sofort gelöscht und nicht persistent gespeichert. Die Spezifi-
kationen zu diesen Anwendungen sowie Art und Umfang der verarbeiteten
Daten werden im Benehmen mit dem BfDI erstellt und sind öffentlich für
eine Prüfung verfügbar.
Schnellstmögliche
Pseudonymisierung
personenbezogener
Daten
(ErwG 28 und
78 DSGVO)
Kategorie 1:
Die Daten werden unverändert weitergeleitet. Es erfolgt keine weitere Ver-
arbeitung in den Komponenten der dezentralen Infrastruktur, d. h. auch
keine Pseudonymisierung. Der Verantwortliche der Anwendung, zu der
die transportierten Daten gehören, hat entsprechende Maßnahmen zur
Pseudonymisierung zu ergreifen. Dies liegt jedoch nicht in der Verantwor-
tung des Leistungserbringers als Nutzer der Anwendung.
Kategorie 2:
Zweck ist die Ver- bzw. Entschlüsselung bzw. Signatur der übergebenen
Daten. Eine Pseudonymisierung und damit Veränderung der Daten ist nicht
gewünscht.
Kategorie 3:
Eine Pseudonymisierung der personenbezogenen Daten in den Anwendun-
gen dieser Kategorie erfolgt, sofern es für den gesetzlich vorgegebenen
Zweck möglich ist. Bei der Gestaltung der Anwendungen werden die
Artikel 25 und 32 DSGVO berücksichtigt. Die Spezifikationen zu diesen
Anwendungen sowie Art und Umfang der verarbeiteten Daten werden im
Benehmen mit dem BfDI erstellt und sind öffentlich für eine Prüfung
verfügbar.
Transparenz in Bezug
auf die Funktionen und
die Verarbeitung
personenbezogener Daten
(ErwG 78 DSGVO):
Durch die Veröffentlichung der Spezifikationen der Komponenten der de-
zentralen Infrastruktur auf der Internetseite der Gesellschaft für Telematik
können die Funktionen und die generelle Verarbeitung personenbezogener
Daten in den Komponenten der dezentralen Infrastruktur der TI von der
Öffentlichkeit kostenlos nachvollzogen werden. Experten für Datenschutz
und Sicherheit können die Spezifikationen auf die Einhaltung der Vor-
schriften des Datenschutzes prüfen.
Die Gesellschaft für Telematik und die Krankenkassen sind gemäß den
§§ 314 und 343 SGB V verpflichtet, für die Versicherten in präziser, trans-
parenter, verständlicher, leicht zugänglicher und barrierefreier Form Infor-
mationen zur TI zur Verfügung zu stellen. Die Informationen müssen über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Zur Unterstützung der Informations-
pflichten der Krankenkassen nach § 343 SGB V hat der Spitzenverband
Bund der Krankenkassen im Benehmen mit dem BfDI geeignetes
Informationsmaterial, auch in elektronischer Form, zu erstellen und den
Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.
Überwachung der
Verarbeitung personen-
bezogener Daten
durch die betroffenen
Personen
(ErwG 78 DSGVO)
Kategorie 1:
Von den Verantwortlichen der Anwendungen, die über die Komponenten
der dezentralen Infrastruktur für den Leistungserbringer erreichbar sind,
sind Maßnahmen nach ErwG 78 DSGVO zu treffen.
Kategorie 2:
In den Komponenten der dezentralen Infrastruktur erfolgt eine Protokollie-
rung der Nutzung der Funktionen, die eine Überwachung der Verarbeitung
ermöglicht.
Kategorie 3:
Für die Anwendungen dieser Kategorie bestehen gesetzliche Protokollie-
rungspflichten gemäß § 309 SGB V zum Zwecke der Datenschutzkontrolle
für den Versicherten. Die Protokollierungspflichten richten sich dabei an
den Verantwortlichen der Anwendung und nicht an den Leistungserbringer.
Der Versicherte kann sich nach Einsicht der Protokolldaten nach § 309
SGB V, die gemäß § 342a Absatz 5 SGB V auch bei den Ombudsstellen der Krankenkassen nach § 342a Absatz 1 SGB V beantragt werden kann, im Rahmen von Artikel 15 DSGVO an den Leistungserbringer
wenden, um nähere Auskünfte über die den Leistungserbringer betreffen-
den Protokolleinträge nach § 309 SGB V zu erhalten. Für die Auskunft kann
der Leistungserbringer auch die in den Komponenten der dezentralen
Infrastruktur erfolgte Protokollierung nutzen.
Datensicherheits-
maßnahmen:
(ErwG 78 und 83 DSGVO)
Die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teil-
nehmenden Leistungserbringer sind verpflichtet, die Vorgaben der Richt-
linie zur IT-Sicherheit gemäß § 75b SGB V zu beachten; Krankenhäuser haben die IT-Sicherheitsanforderungen nach § 391 SGB V einzuhalten. Diese Richtlinie
umfasst auch Anforderungen an die sichere Installation und Wartung von
Komponenten und Diensten der TI, die in der vertragsärztlichen und ver-
tragszahnärztlichen Versorgung genutzt werden, d. h. insbesondere auch
die Komponenten der dezentralen Infrastruktur der TI sowie Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit (Steigerung der Security-Awareness). Die Anforderungen
in der Richtlinie werden u. a. im Benehmen mit dem BSI sowie im
Benehmen mit dem BfDI festgelegt.
Wenn ein Leistungserbringer einen Dienstleister mit der Herstellung und
der Wartung des Anschlusses von informationstechnischen Systemen der
Leistungserbringer an die TI einschließlich der Wartung hierfür benötigter
Komponenten sowie der Anbindung an Dienste der TI beauftragt, muss
dieser Dienstleister gemäß § 332 SGB V besondere Sorgfalt walten lassen
und über die notwendige Fachkunde verfügen. Die technischen Maß-
nahmen der Komponenten der dezentralen Infrastruktur der TI zur Gewähr-
leistung der Datensicherheit hat die Gesellschaft für Telematik gemäß
§ 311 Absatz 2 SGB V im Benehmen mit dem BSI und dem BfDI zu
treffen, so dass Fragen der Sicherheit und des Datenschutzes bei der
Gestaltung der Komponenten berücksichtigt werden, insbesondere auch
die Vorgaben der Artikel 25 und 32 DSGVO.
Darüber hinaus erfolgt der Nachweis der vollständigen Umsetzung der
technischen Maßnahmen zur Gewährleistung der Datensicherheit in einer
Komponente der dezentralen Infrastruktur eines Herstellers gemäß § 325
Absatz 3 SGB V im Rahmen der Zulassung der Komponente bei der
Gesellschaft für Telematik durch eine Sicherheitszertifizierung nach den
Vorgaben des BSI bzw. durch eine im Benehmen mit dem BSI fest-
gelegte abweichende Form des Nachweises der Sicherheit. Auch die
Hersteller von Komponenten der dezentralen Infrastruktur können gemäß
§ 325 Absatz 5 SGB V von der Gesellschaft für Telematik zugelassen wer-
den, um insbesondere eine ausreichende Qualität der Herstellerprozesse
bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Kom-
ponenten zu gewährleisten.
Um die Wirksamkeit der technischen Maßnahmen der Komponenten der
dezentralen Infrastruktur der TI zur Gewährleistung der Datensicherheit
kontinuierlich aufrechtzuerhalten, werden diese Maßnahmen kontinuierlich
von der Gesellschaft für Telematik und dem BSI bewertet. Insbesondere ist
die Gesellschaft für Telematik gemäß § 333 SGB V dazu verpflichtet, dem
BSI auf Verlangen Unterlagen und Informationen u. a. zu den Zulassungen
von Komponenten der dezentralen Infrastruktur einschließlich der zugrun-
deliegenden Dokumentation sowie festgestellten Sicherheitsmängeln vor-
zulegen. Die Gesellschaft für Telematik kann zudem für die Komponenten
der dezentralen Infrastruktur gemäß § 331 Absatz 1 SGB V im Benehmen
mit dem BSI solche Maßnahmen zur Überwachung des Betriebs treffen,
die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit
der TI zu gewährleisten. Soweit von den Komponenten der dezentralen
Infrastruktur der TI eine Gefahr für die Funktionsfähigkeit oder Sicherheit
der TI ausgeht, kann die Gesellschaft für Telematik gemäß § 329 SGB V
unverzüglich die erforderlichen technischen und organisatorischen Maß-
nahmen treffen. Das BSI ist hierüber von der Gesellschaft für Telematik
zu informieren.


Die Abhilfemaßnahmen sind für alle Risikoquellen anwendbar. Technischen Fehlfunktionen der Komponenten der dezentralen TI wird im Rahmen der Zulassung durch funktionale Tests und Sicherheitsüberprüfungen entgegengewirkt.

2.5
Einbeziehung betroffener Personen

Gemäß § 311 Absatz 2 SGB V hat die Gesellschaft für Telematik die Festlegungen und Maßnahmen nach § 311 Absatz 1 Nummer 1 SGB V im Benehmen mit dem BSI und dem BfDI zu treffen. Die Aufgaben der Gesellschaft für Telematik nach § 311 Absatz 1 Nummer 1 SGB V umfassen hierbei insbesondere auch die Erstellung der funktionalen und technischen Vorgaben und die Zulassung der Komponenten der dezentralen Infrastruktur der TI.

Vertreter der Leistungserbringer sind als Gesellschafter der Gesellschaft für Telematik ebenfalls in die Erstellung der Vorgaben der dezentralen Infrastruktur der TI einbezogen.

Die Spezifikationen der Komponenten der dezentralen Infrastruktur der TI werden auf der Internetseite der Gesellschaft für Telematik veröffentlicht. Dadurch wird auch die Öffentlichkeit (u. a. Experten für Sicherheit und Datenschutz sowie Landesdatenschutzbehörden) einbezogen, so dass jederzeit die Möglichkeit der Prüfung der festgelegten Maßnahmen besteht.