Synopse zur Gesetzesänderung an Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477) (SGB 5) vom 09.04.2024

Die in dieser Synopse dargestellten Gesetzestexte basieren auf der vom Bundesamt für Justiz konsolidierten Fassung, welche auf gesetze-im-internet.de einsehbar ist. Diese Fassung der Gesetzestexte ist nicht die amtliche Fassung. Die amtliche Fassung ist im Bundesgesetzblatt einsehbar.

Bitte beachten Sie, dass die nachfolgend dargestellten Änderungen möglicherweise nicht auf einem Änderungsgesetz beruhen. Ab und an nimmt gesetze-im-internet.de auch redaktionelle Änderungen vor, z.B. nachträgliche Korrekturen, Anmerkungen, Ergänzungen etc. In diesem Fall beziehen sich die nachfolgenden Metainformationen auf die letzte Änderung auf Grundlage eines Änderungsgesetzes.

LawAlert befindet sich aktuell in einer frühen Testphase und Fehlfunktionen können nicht ausgeschlossen werden. Insbesondere können die von LawAlert erstellten Synopsen fehlerhaft sein, z.B. nicht vollständig, korrekt oder aktuell, da diese softwarebasiert aus Inhalten Dritter erstellt werden, ohne dass eine weitere redaktionelle oder inhaltliche Überprüfung durch LawAlert erfolgt. Auch können Änderungen oder Ausfälle der fremden Bezugsquellen zu Störungen bei LawAlert führen, ohne dass LawAlert hierauf Einfluss hat. Bitte verwenden Sie die Inhalte von LawAlert daher nur für Testzwecke. Sollten Ihnen Fehler auffällen, freuen wir uns über Ihr Feedback an hello@lawalert.de!

Für die vorliegende Synopse konnten keine Metainformationen vom Dokumentations- und Informationssystem für Parlamentsmaterialen (kurz DIP) ermittelt werden. Warum? Dies kann mehrere Gründe haben. Insbesondere beruht nicht jede Änderung im Bundesrecht auf einem im DIP hinterlegten Parlamentsvorgang, z.B. bei Änderungen von Verordnungen ist dies denkbar. Auch ist möglich, dass das DIP zum Zeitpunkt der Erstellung der Synopse noch nicht die aktuellen und für die Verknüpfung notwendigen Informationen hinterlegt hatte.

Möchten Sie mehr zu den Hintergründen unserer Metainformationen erfahren? Dann besuchen Sie doch unsere FAQ-Seite.

Viertes Kapitel - Beziehungen der Krankenkassen zu den Leistungserbringern | Neunter Abschnitt - Sicherung der Qualität der Leistungserbringung

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Das Bundesministerium für Gesundheit veröffentlicht ab dem 1. Mai 2024 in einem Transparenzverzeichnis zur Krankenhausbehandlung in Deutschland im Internet insbesondere die in Absatz 3 genannten Informationen barrierefrei in leicht verständlicher, interaktiver Form. Das Bundesministerium für Gesundheit aktualisiert das Transparenzverzeichnis fortlaufend auf Grundlage aktueller Daten und Auswertungen nach Absatz 3 und untersucht die Nutzung des Transparenzverzeichnisses durch die Öffentlichkeit. Es benennt eine Stelle, die die technische Umsetzung der Veröffentlichung des Transparenzverzeichnisses durchführt. Die Veröffentlichung von Informationen im Transparenzverzeichnis erfolgt ohne Personenbezug. Die nach Satz 3 benannte Stelle stellt die im Transparenzverzeichnis veröffentlichten Daten und die dem Transparenzverzeichnis zugrundeliegenden Daten, die das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen nach Absatz 2 Satz 4 und das Institut für das Entgeltsystem im Krankenhaus nach § 21 Absatz 3d Satz 3 des Krankenhausentgeltgesetzes übermittelt haben, in maschinenlesbarer Form sowie ab 1. Januar 2026 über eine technische Schnittstelle öffentlich entgeltfrei zur Verfügung.

(2) Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen bereitet für die Veröffentlichung und Aktualisierung des Transparenzverzeichnisses nach Absatz 3 die erforderlichen stets aktuellsten Daten fortlaufend auf und nimmt für das Transparenzverzeichnis geeignete Bewertungen vor. Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen wählt aus den Daten, die es als unabhängige Stelle im Sinne des § 299 Absatz 3 Satz 1 für die in § 136 Absatz 1 Satz 1 Nummer 1 genannten Maßnahmen zur datengestützten einrichtungsübergreifenden Qualitätssicherung erhält, die für das Transparenzverzeichnis geeigneten patientenrelevanten Ergebnisse aus und führt diese mit den nach § 21 Absatz 3d Satz 3 des Krankenhausentgeltgesetzes vom Institut für das Entgeltsystem im Krankenhaus übermittelten Daten zusammen. Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen kann auf Grundlage der nach § 21 Absatz 3d Satz 3 des Krankenhausentgeltgesetzes vom Institut für das Entgeltsystem im Krankenhaus übermittelten Daten weitere Auswertungen und Bewertungen vornehmen. Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen übermittelt die nach den Sätzen 1 bis 3 aufbereiteten aktuellsten Daten ohne Personenbezug unverzüglich an die nach Absatz 1 Satz 3 benannte Stelle. Es hat bei der Übermittlung gegenüber der nach Absatz 1 Satz 3 benannten Stelle die Richtigkeit und Sachlichkeit der übermittelten Daten zu erklären. Satz 5 gilt nicht für die nach § 21 Absatz 3d des Krankenhausentgeltgesetzes übermittelten Daten. Bei der Wahrnehmung der Aufgaben nach den Sätzen 1 bis 3 kann das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen externen wissenschaftlichen Sachverstand einbeziehen, ohne dabei einen Zugriff auf personenbezogene Daten zu gewähren. Die termingerechte Wahrnehmung der Aufgaben nach den Sätzen 1 bis 4 und Absatz 6 sowie deren Finanzierung sind von der Trägerin des Instituts für Qualitätssicherung und Transparenz im Gesundheitswesen sicherzustellen. § 137a Absatz 8 gilt auch für die Finanzierung der Aufgaben nach den Sätzen 1 bis 4 und Absatz 6.

(3) Im Transparenzverzeichnis nach Absatz 1 Satz 1 werden insbesondere folgende Informationen zu einzelnen Standorten von Krankenhäusern im Sinne des Satzes 2 sowie Bewertungen dieser Informationen veröffentlicht:

1.: die Fallzahl der erbrachten Leistungen bis zum 30. September 2024 differenziert nach Fachabteilungen und ab dem 1. Oktober 2024 differenziert nach den in Anlage 1 genannten Leistungsgruppen sowie die Fallzahl der für Patienten besonders relevanten erbrachten Leistungen, die das Institut für das Entgeltsystem im Krankenhaus im Einvernehmen mit dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen bestimmt,
2.: die nach Absatz 4 zugeordnete Versorgungsstufe,
3.: die personelle Ausstattung im Verhältnis zum Leistungsumfang,
4.: die patientenrelevanten Ergebnisse aus den in § 136 Absatz 1 Satz 1 Nummer 1 genannten Maßnahmen zur datengestützten einrichtungsübergreifenden Qualitätssicherung, auch in zusammengefasster Form,
5.: das Vorliegen aussagekräftiger Qualitätssiegel und Zertifikate über die stationäre Versorgung, die ein Krankenhausträger gegenüber dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen nachgewiesen hat,
6.: die Erfüllung der vom Gemeinsamen Bundesausschuss nach § 136b Absatz 1 Satz 1 Nummer 2 beschlossenen Mindestmengen sowie der Entscheidungen der für die Krankenhausplanung zuständigen Landesbehörden nach § 136b Absatz 5a über die Nichtanwendung von § 136b Absatz 5 Satz 1 und 2,
7.: die Stufe der Notfallversorgung nach dem vom Gemeinsamen Bundesausschuss gemäß § 136c Absatz 4 beschlossenen gestuften System von Notfallstrukturen in Krankenhäusern.

Der Standort eines Krankenhauses bestimmt sich nach § 2 der zwischen dem Spitzenverband Bund der Krankenkassen und der Deutschen Krankenhausgesellschaft gemäß § 2a Absatz 1 des Krankenhausfinanzierungsgesetzes getroffenen Vereinbarung über die Definition von Standorten der Krankenhäuser und ihrer Ambulanzen vom 29. August 2017, die auf der Internetseite der Deutschen Krankenhausgesellschaft veröffentlicht ist. Abweichend von Satz 1 Nummer 1 werden die in dieser Nummer genannten Informationen zu den Standorten von Krankenhäusern, denen die für die Krankenhausplanung zuständige Landesbehörde bis zum 28. März 2024 Leistungsgruppen zugewiesen hat, im Transparenzverzeichnis im Zeitraum bis zum 31. Dezember 2025 differenziert nach diesen zugewiesenen Leistungsgruppen veröffentlicht. Die von Satz 3 betroffenen Standorte von Krankenhäusern sind im Transparenzverzeichnis gesondert zu kennzeichnen. Bei Bundeswehrkrankenhäusern und Krankenhäusern der gesetzlichen Unfallversicherung umfasst die Fallzahl der erbrachten Leistungen nach Satz 1 Nummer 1 auch die Krankenhausfälle, in denen sie nicht Zivilpatienten behandeln oder in denen die Kosten von der gesetzlichen Unfallversicherung getragen werden. Auch für diese Leistungen haben die Bundeswehrkrankenhäuser und die Krankenhäuser der gesetzlichen Unfallversicherung die Angaben nach § 21 Absatz 2 Nummer 2 Buchstabe b, d, e, f und i des Krankenhausentgeltgesetzes ohne die Postleitzahl, den Wohnort und Stadtteil im Falle von Stadtstaaten an das Institut für das Entgeltsystem im Krankenhaus zu übermitteln und diese gesondert auszuweisen. Aufgrund des besonderen Auftrages und des besonderen Zuschnitts der Krankenhäuser der gesetzlichen Unfallversicherung und ihrer Vereinigungen beinhaltet die Veröffentlichung der Versorgungsstufe nach Satz 1 Nummer 2 im Transparenzverzeichnis die Angabe, dass es sich um ein Krankenhaus der gesetzlichen Unfallversicherung handelt. Dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen übermitteln unverzüglich je Standort eines Krankenhauses

1.: die Landesverbände der Krankenkassen und die Ersatzkassen gemeinsam und einheitlich die in § 136b Absatz 5 Satz 7 genannten Informationen der erfolgten Prognoseprüfungen und die Entscheidungen der für die Krankenhausplanung zuständigen Landesbehörden nach § 136b Absatz 5a über die Nichtanwendung von § 136b Absatz 5 Satz 1 und 2 sowie
2.: die Krankenhäuser die aktuellen Informationen über die Teilnahme an dem vom Gemeinsamen Bundesausschuss gemäß § 136c Absatz 4 beschlossenen gestuften System von Notfallstrukturen in Krankenhäusern.

Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen übermittelt dem Institut für das Entgeltsystem im Krankenhaus die Informationen nach Satz 8 Nummer 2, sofern dies für die Auswertungen für das Transparenzverzeichnis erforderlich ist.

(4) Das Institut für das Entgeltsystem im Krankenhaus ordnet jeden Standort eines Krankenhauses zum Zweck der Veröffentlichung im Transparenzverzeichnis auf der Grundlage der von den Krankenhäusern nach § 21 Absatz 1 des Krankenhausentgeltgesetzes übermittelten Daten einer Versorgungsstufe zu. Ein Standort eines Krankenhauses ist zuzuordnen der

1.: Versorgungsstufe „Level 3U“, wenn es sich um einen Standort einer Hochschulklinik handelt und an ihm Leistungen aus mindestens fünf internistischen Leistungsgruppen, mindestens fünf chirurgischen Leistungsgruppen, der Leistungsgruppe Intensivmedizin, der Leistungsgruppe Notfallmedizin sowie zusätzlich aus acht weiteren Leistungsgruppen erbracht werden,
2.: Versorgungsstufe „Level 3“, wenn an ihm die in Nummer 1 genannten Leistungen erbracht werden und es sich nicht um einen Standort einer Hochschulklinik handelt,
3.: Versorgungsstufe „Level 2“, wenn an ihm Leistungen aus mindestens zwei internistischen Leistungsgruppen, mindestens zwei chirurgischen Leistungsgruppen, der Leistungsgruppe Intensivmedizin, der Leistungsgruppe Notfallmedizin sowie zusätzlich drei weiteren Leistungsgruppen erbracht werden,
4.: Versorgungsstufe „Level 1n“, wenn an ihm Leistungen aus mindestens der Leistungsgruppe Allgemeine Innere Medizin, der Leistungsgruppe Allgemeine Chirurgie, der Leistungsgruppe Intensivmedizin sowie der Leistungsgruppe Notfallmedizin erbracht werden oder wenn es sich um ein in Satz 3 oder Satz 4 genanntes Krankenhaus handelt, das noch nicht der Versorgungsstufe „Level F“ oder „Level 1i“ zugeordnet wurde.

Fachkrankenhäuser, die sich auf die Behandlung einer bestimmten Erkrankung, Krankheitsgruppe oder Personengruppe spezialisiert haben und einen relevanten Versorgungsanteil in diesem Bereich leisten, werden von der für die Krankenhausplanung zuständigen Landesbehörde der Versorgungsstufe „Level F“ zugeordnet. Krankenhäuser, die eine sektorenübergreifende Versorgung und in der Regel keine Notfallmedizin erbringen, werden von der für die Krankenhausplanung zuständigen Landesbehörde der Versorgungsstufe „Level 1i“ zugeordnet. Eine Zuordnung nach Satz 3 oder Satz 4 tritt an die Stelle einer Zuordnung nach Satz 2 Nummer 4, sofern diese bereits erfolgt ist. Die in den Sätzen 3 und 4 genannten Krankenhäuser sind im Transparenzverzeichnis gesondert zu kennzeichnen. Die für die Krankenhausplanung zuständige Landesbehörde teilt dem Institut für das Entgeltsystem im Krankenhaus unverzüglich eine Zuordnung nach Satz 3 oder Satz 4 oder eine Änderung dieser Zuordnung mit. Das Bundesministerium für Gesundheit bestimmt auf Vorschlag des Instituts für das Entgeltsystem im Krankenhaus, in welchen Fällen bei der Zuordnung zu einer Versorgungsstufe eine Leistungsgruppe nicht zu berücksichtigen ist, weil der Standort eines Krankenhauses im bundesweiten Vergleich wenig Behandlungsfälle in der Leistungsgruppe erbracht hat.

(5) Gegen die Veröffentlichung im Transparenzverzeichnis ist der Rechtsweg vor den Gerichten der Sozialgerichtsbarkeit gegeben.

(6) Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen prüft, welchen Einfluss

1.: die personelle Ausstattung weiterer im Krankenhaus tätiger Gesundheitsberufe und
2.: der jeweilige Anteil von Leiharbeit bei Ärzten und Pflegepersonal

auf die Qualität der Versorgung hat. Das Institut prüft außerdem, welche zusätzlichen Daten erhoben und gemeldet werden müssen, um diesen Einfluss prospektiv weiter untersuchen und transparent ausweisen zu können. Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen prüft zudem, bei welchen Leistungen ein Zusammenhang zwischen arztbezogener Fallzahl und der Qualität der Leistungserbringung besteht und welche Daten konkret erforderlich sind, um diesen Zusammenhang auszuwerten. Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen legt dem Bundesministerium für Gesundheit bis zum 31. Dezember 2024 einen Bericht über die Ergebnisse der Prüfung nach den Sätzen 1 und 2 vor.

Viertes Kapitel - Beziehungen der Krankenkassen zu denLeistungserbringern | Neunter Abschnitt - Sicherung der Qualität derLeistungserbringung

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Der Gemeinsame Bundesausschuss legt in seinen Richtlinien nach § 136 Absatz 1 geeignete Maßnahmen zur Sicherung der Hygiene in der Versorgung fest und bestimmt insbesondere für die einrichtungsübergreifende Qualitätssicherung der Krankenhäuser Indikatoren zur Beurteilung der Hygienequalität. Er hat die Festlegungen nach Satz 1 erstmalig bis zum 31. Dezember 2016 zu beschließen. Der Gemeinsame Bundesausschuss berücksichtigt bei den Festlegungen etablierte Verfahren zur Erfassung, Auswertung und Rückkopplung von nosokomialen Infektionen, antimikrobiellen Resistenzen und zum Antibiotika-Verbrauch sowie die Empfehlungen der nach § 23 Absatz 1 und 2 des Infektionsschutzgesetzes beim Robert Koch-Institut eingerichteten Kommissionen. Die nach der Einführung mit den Indikatoren nach Satz 1 gemessenen und für eine Veröffentlichung geeigneten Ergebnisse sind in den Qualitätsberichten nach § 136b Absatz 1 Satz 1 Nummer 3 darzustellen. Der Gemeinsame Bundesausschuss soll ihm bereits zugängliche Erkenntnisse zum Stand der Hygiene in den Krankenhäusern unverzüglich in die Qualitätsberichte aufnehmen lassen sowie zusätzliche Anforderungen nach § 136b Absatz 6 zur Verbesserung der Informationen über die Hygiene stellen.

(2) Der Gemeinsame Bundesausschuss legt in seinen Richtlinien nach § 136 Absatz 1 geeignete Maßnahmen zur Sicherung der Qualität in der psychiatrischen und psychosomatischen Versorgung fest. Dazu bestimmt er insbesondere verbindliche Mindestvorgaben für die Ausstattung der stationären Einrichtungen mit dem für die Behandlung erforderlichen therapeutischen Personal sowie Indikatoren zur Beurteilung der Struktur-, Prozess- und Ergebnisqualität für die einrichtungs- und sektorenübergreifende Qualitätssicherung in der psychiatrischen und psychosomatischen Versorgung. Die Mindestvorgaben zur Personalausstattung nach Satz 2 sollen möglichst evidenzbasiert sein und zu einer leitliniengerechten Behandlung beitragen. Der Gemeinsame Bundesausschuss bestimmt zu den Mindestvorgaben zur Personalausstattung nach Satz 2 notwendige Ausnahmetatbestände und Übergangsregelungen. Den betroffenen medizinischen Fachgesellschaften ist Gelegenheit zur Stellungnahme zu geben. Die Stellungnahmen sind durch den Gemeinsamen Bundesauschuss in die Entscheidung einzubeziehen. Bei Festlegungen nach den Sätzen 1 und 2 für die kinder- und jugendpsychiatrische Versorgung hat er die Besonderheiten zu berücksichtigen, die sich insbesondere aus den altersabhängigen Anforderungen an die Versorgung von Kindern und Jugendlichen ergeben. Der Gemeinsame Bundesausschuss hat die verbindlichen Mindestvorgaben und Indikatoren nach Satz 2 erstmals bis spätestens zum 30. September 2019 mit Wirkung zum 1. Januar 2020 zu beschließen. Der Gemeinsame Bundesausschuss hat als notwendige Anpassung der Mindestvorgaben erstmals bis zum 30. September 2021 mit Wirkung zum 1. Januar 2022 sicherzustellen, dass die Psychotherapie entsprechend ihrer Bedeutung in der Versorgung psychisch und psychosomatisch Erkrankter durch Mindestvorgaben für die Zahl der vorzuhaltenden Psychotherapeuten abgebildet wird. Informationen über die Umsetzung der verbindlichen Mindestvorgaben zur Ausstattung mit therapeutischem Personal und die nach der Einführung mit den Indikatoren nach Satz 2 gemessenen und für eine Veröffentlichung geeigneten Ergebnisse sind in den Qualitätsberichten nach § 136b Absatz 1 Satz 1 Nummer 3 darzustellen.

(2a) Der Gemeinsame Bundesausschuss beschließt bis spätestens zum 31. Dezember 2022 in einer Richtlinie nach Absatz 2 Satz 1 ein einrichtungsübergreifendes sektorspezifisches Qualitätssicherungsverfahren für die ambulante psychotherapeutische Versorgung. Er hat dabei insbesondere geeignete Indikatoren zur Beurteilung der Struktur-, Prozess- und Ergebnisqualität sowie Mindestvorgaben für eine einheitliche und standardisierte Dokumentation, die insbesondere eine Beurteilung des Therapieverlaufs ermöglicht, festzulegen. Der Gemeinsame Bundesausschuss beschließt bis zum 31. Dezember 2022 zusätzlich Regelungen, die eine interdisziplinäre Zusammenarbeit in der ambulanten psychotherapeutischen Versorgung unterstützen.

(3) Der Gemeinsame Bundesausschuss bestimmt in seinen Richtlinien über die grundsätzlichen Anforderungen an ein einrichtungsinternes Qualitätsmanagement nach § 136 Absatz 1 Satz 1 Nummer 1 wesentliche Maßnahmen zur Verbesserung der Patientensicherheit und legt insbesondere Mindeststandards für Risikomanagement- und Fehlermeldesysteme fest. Über die Umsetzung von Risikomanagement- und Fehlermeldesystemen in Krankenhäusern ist in den Qualitätsberichten nach § 136b Absatz 1 Satz 1 Nummer 3 zu informieren. Als Grundlage für die Vereinbarung von Vergütungszuschlägen nach § 17b Absatz 1a Nummer 4 des Krankenhausfinanzierungsgesetzes bestimmt der Gemeinsame Bundesausschuss Anforderungen an einrichtungsübergreifende Fehlermeldesysteme, die in besonderem Maße geeignet erscheinen, Risiken und Fehlerquellen in der stationären Versorgung zu erkennen, auszuwerten und zur Vermeidung unerwünschter Ereignisse beizutragen.

(4) Der Gemeinsame Bundesausschuss hat auch Qualitätskriterien für die Versorgung mit Füllungen und Zahnersatz zu beschließen. Bei der Festlegung von Qualitätskriterien für Zahnersatz ist der Verband Deutscher Zahntechniker-Innungen zu beteiligen; die Stellungnahmen sind in die Entscheidung einzubeziehen. Der Zahnarzt übernimmt für Füllungen und die Versorgung mit Zahnersatz eine zweijährige Gewähr. Identische und Teilwiederholungen von Füllungen sowie die Erneuerung und Wiederherstellung von Zahnersatz einschließlich Zahnkronen sind in diesem Zeitraum vom Zahnarzt kostenfrei vorzunehmen. Ausnahmen hiervon bestimmen die Kassenzahnärztliche Bundesvereinigung und der Spitzenverband Bund der Krankenkassen. § 195 des Bürgerlichen Gesetzbuchs bleibt unberührt. Längere Gewährleistungsfristen können zwischen den Kassenzahnärztlichen Vereinigungen und den Landesverbänden der Krankenkassen und den Ersatzkassen sowie in Einzel- oder Gruppenverträgen zwischen Zahnärzten und Krankenkassen vereinbart werden. Die Krankenkassen können hierfür Vergütungszuschläge gewähren; der Eigenanteil der Versicherten bei Zahnersatz bleibt unberührt. Die Zahnärzte, die ihren Patienten eine längere Gewährleistungsfrist einräumen, können dies ihren Patienten bekannt machen.

(5) Der Gemeinsame Bundesausschuss kann im Benehmen mit dem Paul-Ehrlich-Institut in seinen Richtlinien nach § 92 Absatz 1 Satz 2 Nummer 6 für die vertragsärztliche Versorgung und für zugelassene Krankenhäuser Anforderungen an die Qualität der Anwendung von Arzneimitteln für neuartige Therapien im Sinne von § 4 Absatz 9 des Arzneimittelgesetzes festlegen. Er kann insbesondere Mindestanforderungen an die Struktur-, Prozess- und Ergebnisqualität regeln, die auch indikationsbezogen oder bezogen auf Arzneimittelgruppen festgelegt werden können. Zu den Anforderungen nach den Sätzen 1 und 2 gehören, um eine sachgerechte Anwendung der Arzneimittel für neuartige Therapien im Sinne von § 4 Absatz 9 des Arzneimittelgesetzes zu sichern, insbesondere

1.: die notwendige Qualifikation der Leistungserbringer,
2.: strukturelle Anforderungen und
3.: Anforderungen an sonstige Maßnahmen der Qualitätssicherung.

Soweit erforderlich erlässt der Gemeinsame Bundesausschuss die notwendigen Durchführungsbestimmungen. § 136 Absatz 2 und 3 gilt entsprechend. Arzneimittel für neuartige Therapien im Sinne von § 4 Absatz 9 des Arzneimittelgesetzes dürfen ausschließlich von Leistungserbringern angewendet werden, die die vom Gemeinsamen Bundesausschuss beschlossenen Mindestanforderungen nach den Sätzen 1 bis 3 erfüllen.

(6) Der Gemeinsame Bundesausschuss legt in einer Richtlinie erstmals bis zum 31. Dezember 2022 einheitliche Anforderungen für die Information der Öffentlichkeit zum Zweck der Erhöhung der Transparenz und der Qualität der Versorgung durch einrichtungsbezogene risikoadjustierte Vergleiche der an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer und zugelassenen Krankenhäuser auf der Basis der einrichtungsbezogenen Auswertungen nach Maßgabe des § 299 (Qualitätsdaten) fest. Er trifft insbesondere Festlegungen zu Inhalt, Art, Umfang und Plausibilisierung der für diesen Zweck durch den Gemeinsamen Bundesausschuss oder einen von ihm beauftragten Dritten einrichtungsbezogen zu verarbeitenden Qualitätsdaten sowie zu Inhalt, Art, Umfang und Verfahren der Veröffentlichung der risikoadjustierten Vergleichsdaten in übersichtlicher Form und in allgemein verständlicher Sprache. Die Erforderlichkeit der Datenverarbeitung für die Information der Öffentlichkeit zum Zweck der Erhöhung der Transparenz und der Qualität der Versorgung durch einrichtungsbezogene risikoadjustierte Vergleiche ist in der Richtlinie darzulegen. Die Veröffentlichung der Vergleichsdaten hat einrichtungsbezogen und mindestens jährlich auf Basis aktueller Qualitätsdaten zu erfolgen. Die Ergebnisse der Beauftragung des Instituts für Qualitätssicherung und Transparenz im Gesundheitswesen gemäß § 137a Absatz 3 Satz 2 Nummer 5 und 6 sollen in der Richtlinie nach Satz 1 berücksichtigt werden. Der Gemeinsame Bundesausschuss evaluiert regelmäßig die in der Richtlinie bestimmten Qualitätsdaten und Vergleichsdaten im Hinblick auf ihre Eignung und Erforderlichkeit zur Erreichung des festgelegten Ziels. Über die Ergebnisse hat der Gemeinsame Bundesausschuss dem Bundesministerium für Gesundheit alle zwei Jahre, erstmals bis zum 31. Dezember 2024, zu berichten. Mit der Evaluation nach Satz 6 kann der Gemeinsame Bundesausschuss das Institut nach § 137a beauftragen.

Viertes Kapitel - Beziehungen der Krankenkassen zu denLeistungserbringern | Neunter Abschnitt - Sicherung der Qualität derLeistungserbringung

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Der Gemeinsame Bundesausschuss nach § 91 gründet ein fachlich unabhängiges, wissenschaftliches Institut für Qualitätssicherung und Transparenz im Gesundheitswesen. Hierzu errichtet er eine Stiftung des privaten Rechts, die Trägerin des Instituts ist.

(2) Der Vorstand der Stiftung bestellt die Institutsleitung mit Zustimmung des Bundesministeriums für Gesundheit. Das Bundesministerium für Gesundheit entsendet ein Mitglied in den Vorstand der Stiftung.

(3) Das Institut arbeitet im Auftrag des Gemeinsamen Bundesausschusses an Maßnahmen zur Qualitätssicherung und zur Darstellung der Versorgungsqualität im Gesundheitswesen. Es soll insbesondere beauftragt werden,

1.: für die Messung und Darstellung der Versorgungsqualität möglichst sektorenübergreifend abgestimmte risikoadjustierte Indikatoren und Instrumente einschließlich Module für Patientenbefragungen auch in digitaler Form zu entwickeln,
2.: die notwendige Dokumentation für die einrichtungsübergreifende Qualitätssicherung unter Berücksichtigung des Gebotes der Datensparsamkeit zu entwickeln,
3.: sich an der Durchführung der einrichtungsübergreifenden Qualitätssicherung zu beteiligen und dabei, soweit erforderlich, die weiteren Einrichtungen nach Satz 3 einzubeziehen,
4.: die Ergebnisse der Qualitätssicherungsmaßnahmen in geeigneter Weise und in einer für die Allgemeinheit verständlichen Form zu veröffentlichen,
5.: (weggefallen)
auf der Grundlage geeigneter Daten, die in den Qualitätsberichten der Krankenhäuser veröffentlicht werden, einrichtungsbezogen vergleichende risikoadjustierte Übersichten über die Qualität in maßgeblichen Bereichen der stationären Versorgung zu erstellen und in einer für die Allgemeinheit verständlichen Form im Internet zu veröffentlichen; Ergebnisse nach Nummer 6 sollen einbezogen werden,
6.: für die Weiterentwicklung der Qualitätssicherung zu ausgewählten Leistungen die Qualität der ambulanten und stationären Versorgung zusätzlich auf der Grundlage geeigneter Sozialdaten darzustellen, die dem Institut von den Krankenkassen nach § 299 Absatz 1a auf der Grundlage von Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses übermittelt werden, sowie
7.: Kriterien zur Bewertung von Zertifikaten und Qualitätssiegeln, die in der ambulanten und stationären Versorgung verbreitet sind, zu entwickeln und anhand dieser Kriterien über die Aussagekraft dieser Zertifikate und Qualitätssiegel in einer für die Allgemeinheit verständlichen Form zu informieren.

In den Fällen, in denen weitere Einrichtungen an der Durchführung der verpflichtenden Maßnahmen der Qualitätssicherung nach § 136 Absatz 1 Satz 1 Nummer 1 mitwirken, haben diese dem Institut nach Absatz 1 auf der Grundlage der Richtlinien des Gemeinsamen Bundesausschusses zur einrichtungsübergreifenden Qualitätssicherung die für die Wahrnehmung seiner Aufgaben nach Satz 2 erforderlichen Daten zu übermitteln. Bei der Entwicklung von Patientenbefragungen nach Satz 2 Nummer 1 soll das Institut vorhandene national oder international anerkannte Befragungsinstrumente berücksichtigen.

(3) Das Institut arbeitet im Auftrag des Gemeinsamen Bundesausschusses an Maßnahmen zur Qualitätssicherung und zur Darstellung der Versorgungsqualität im Gesundheitswesen. Es soll insbesondere beauftragt werden,

1.: für die Messung und Darstellung der Versorgungsqualität möglichst sektorenübergreifend abgestimmte risikoadjustierte Indikatoren und Instrumente einschließlich Module für Patientenbefragungen auch in digitaler Form zu entwickeln,
2.: die notwendige Dokumentation für die einrichtungsübergreifende Qualitätssicherung unter Berücksichtigung des Gebotes der Datensparsamkeit zu entwickeln,
3.: sich an der Durchführung der einrichtungsübergreifenden Qualitätssicherung zu beteiligen und dabei, soweit erforderlich, die weiteren Einrichtungen nach Satz 3 einzubeziehen,
4.: die Ergebnisse der Qualitätssicherungsmaßnahmen in geeigneter Weise und in einer für die Allgemeinheit verständlichen Form zu veröffentlichen,
5.: (weggefallen)
auf der Grundlage geeigneter Daten, die in den Qualitätsberichten der Krankenhäuser veröffentlicht werden, einrichtungsbezogen vergleichende risikoadjustierte Übersichten über die Qualität in maßgeblichen Bereichen der stationären Versorgung zu erstellen und in einer für die Allgemeinheit verständlichen Form im Internet zu veröffentlichen; Ergebnisse nach Nummer 6 sollen einbezogen werden,
6.: für die Weiterentwicklung der Qualitätssicherung zu ausgewählten Leistungen die Qualität der ambulanten und stationären Versorgung zusätzlich auf der Grundlage geeigneter Sozialdaten darzustellen, die dem Institut von den Krankenkassen nach § 299 Absatz 1a auf der Grundlage von Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses übermittelt werden, sowie
7.: Kriterien zur Bewertung von Zertifikaten und Qualitätssiegeln, die in der ambulanten und stationären Versorgung verbreitet sind, zu entwickeln und anhand dieser Kriterien über die Aussagekraft dieser Zertifikate und Qualitätssiegel in einer für die Allgemeinheit verständlichen Form zu informieren.

In den Fällen, in denen weitere Einrichtungen an der Durchführung der verpflichtenden Maßnahmen der Qualitätssicherung nach § 136 Absatz 1 Satz 1 Nummer 1 mitwirken, haben diese dem Institut nach Absatz 1 auf der Grundlage der Richtlinien des Gemeinsamen Bundesausschusses zur einrichtungsübergreifenden Qualitätssicherung die für die Wahrnehmung seiner Aufgaben nach Satz 2 erforderlichen Daten zu übermitteln. Bei der Entwicklung von Patientenbefragungen nach Satz 2 Nummer 1 soll das Institut vorhandene national oder international anerkannte Befragungsinstrumente berücksichtigen.

(4) Die den Gemeinsamen Bundesausschuss bildenden Institutionen, die unparteiischen Mitglieder des Gemeinsamen Bundesausschusses, das Bundesministerium für Gesundheit und die für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene können die Beauftragung des Instituts beim Gemeinsamen Bundesausschuss beantragen. Das Bundesministerium für Gesundheit kann das Institut unmittelbar mit Untersuchungen und Handlungsempfehlungen zu den Aufgaben nach Absatz 3 für den Gemeinsamen Bundesausschuss beauftragen. Das Institut kann einen Auftrag des Bundesministeriums für Gesundheit ablehnen, es sei denn, das Bundesministerium für Gesundheit übernimmt die Finanzierung der Bearbeitung des Auftrags. Das Institut kann sich auch ohne Auftrag mit Aufgaben nach Absatz 3 befassen; der Vorstand der Stiftung ist hierüber von der Institutsleitung unverzüglich zu informieren. Für die Tätigkeit nach Satz 4 können jährlich bis zu 10 Prozent der Haushaltsmittel eingesetzt werden, die dem Institut zur Verfügung stehen. Die Ergebnisse der Arbeiten nach Satz 4 sind dem Gemeinsamen Bundesausschuss und dem Bundesministerium für Gesundheit vor der Veröffentlichung vorzulegen.

(5) Das Institut hat zu gewährleisten, dass die Aufgaben nach Absatz 3 auf Basis der maßgeblichen, international anerkannten Standards der Wissenschaften erfüllt werden. Hierzu ist in der Stiftungssatzung ein wissenschaftlicher Beirat aus unabhängigen Sachverständigen vorzusehen, der das Institut in grundsätzlichen Fragen berät. Die Mitglieder des wissenschaftlichen Beirats werden auf Vorschlag der Institutsleitung einvernehmlich vom Vorstand der Stiftung bestellt. Der wissenschaftliche Beirat kann dem Institut Vorschläge für eine Befassung nach Absatz 4 Satz 4 machen.

(6) Zur Erledigung der Aufgaben nach Absatz 3 kann das Institut im Einvernehmen mit dem Gemeinsamen Bundesausschuss insbesondere Forschungs- und Entwicklungsaufträge an externe Sachverständige vergeben; soweit hierbei personenbezogene Daten übermittelt werden sollen, gilt § 299.

(7) Bei der Entwicklung der Inhalte nach Absatz 3 sind zu beteiligen:

1.: die Kassenärztlichen Bundesvereinigungen,
2.: die Deutsche Krankenhausgesellschaft,
3.: der Spitzenverband Bund der Krankenkassen,
4.: der Verband der Privaten Krankenversicherung,
5.: die Bundesärztekammer, die Bundeszahnärztekammer und die Bundespsychotherapeutenkammer,
6.: die Berufsorganisationen der Krankenpflegeberufe,
7.: die wissenschaftlichen medizinischen Fachgesellschaften,
8.: das Deutsche Netzwerk Versorgungsforschung,
9.: die für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene,
10.: der oder die Beauftragte der Bundesregierung für die Belange der Patientinnen und Patienten,
11.: zwei von der Gesundheitsministerkonferenz der Länder zu bestimmende Vertreter sowie
12.: die Bundesoberbehörden im Geschäftsbereich des Bundesministeriums für Gesundheit, soweit ihre Aufgabenbereiche berührt sind.

(8) Für die Finanzierung des Instituts gilt § 139c entsprechend.

(9) Zur Sicherstellung der fachlichen Unabhängigkeit des Instituts hat der Stiftungsvorstand dafür Sorge zu tragen, dass Interessenkonflikte von Beschäftigten des Instituts sowie von allen anderen an der Aufgabenerfüllung nach Absatz 3 beteiligten Personen und Institutionen vermieden werden.

(10) Der Gemeinsame Bundesausschuss kann das Institut oder eine andere an der einrichtungsübergreifenden Qualitätssicherung beteiligte Stelle beauftragen, die bei den verpflichtenden Maßnahmen der Qualitätssicherung nach § 136 Absatz 1 Satz 1 Nummer 1 erhobenen Daten auf Antrag eines Dritten für Zwecke der wissenschaftlichen Forschung und der Weiterentwicklung der Qualitätssicherung auszuwerten. Jede natürliche oder juristische Person kann hierzu beim Gemeinsamen Bundesausschuss oder bei einer nach Satz 1 beauftragten Stelle einen Antrag auf Auswertung und Übermittlung der Auswertungsergebnisse stellen. Das Institut oder eine andere nach Satz 1 beauftragte Stelle übermittelt dem Antragstellenden nach Prüfung des berechtigten Interesses die anonymisierten Auswertungsergebnisse, wenn dieser sich bei der Antragstellung zur Übernahme der entstehenden Kosten bereit erklärt hat. Der Gemeinsame Bundesausschuss regelt in der Verfahrensordnung für die Auswertung der nach § 136 Absatz 1 Satz 1 Nummer 1 erhobenen Daten und die Übermittlung der Auswertungsergebnisse unter Beachtung datenschutzrechtlicher Vorgaben und des Gebotes der Datensicherheit ein transparentes Verfahren sowie das Nähere zum Verfahren der Kostenübernahme nach Satz 3. Der Gemeinsame Bundesausschuss hat zur Verbesserung des Datenschutzes und der Datensicherheit das für die Wahrnehmung der Aufgaben nach den Sätzen 1 und 3 notwendige Datenschutzkonzept regelmäßig durch unabhängige Gutachter prüfen und bewerten zu lassen; das Ergebnis der Prüfung ist zu veröffentlichen.

(11) Der Gemeinsame Bundesausschuss beauftragt das Institut, die bei den verpflichtenden Maßnahmen der Qualitätssicherung nach § 136 Absatz 1 Satz 1 Nummer 1 erhobenen Daten den für die Krankenhausplanung zuständigen Landesbehörden oder von diesen bestimmten Stellen auf Antrag für konkrete Zwecke der qualitätsorientierten Krankenhausplanung oder ihrer Weiterentwicklung, soweit erforderlich auch einrichtungsbezogen sowie versichertenbezogen, in pseudonymisierter Form zu übermitteln. Die Landesbehörde hat ein berechtigtes Interesse an der Verarbeitung der Daten darzulegen und sicherzustellen, dass die Daten nur für die im Antrag genannten konkreten Zwecke verarbeitet werden. Eine Übermittlung der Daten durch die Landesbehörden oder von diesen bestimmten Stellen an Dritte ist nicht zulässig. In dem Antrag ist der Tag, bis zu dem die übermittelten Daten aufbewahrt werden dürfen, genau zu bezeichnen. Absatz 10 Satz 3 bis 5 gilt entsprechend.

Viertes Kapitel - Beziehungen der Krankenkassen zu denLeistungserbringern | Neunter Abschnitt - Sicherung der Qualität derLeistungserbringung

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Zur Verbesserung der Pflegepersonalausstattung der Krankenhäuser und Sicherung der pflegerischen Versorgungsqualität ermittelt das Institut für das Entgeltsystem im Krankenhaus jährlich, erstmals zum 31. Mai 2020, für jedes nach § 108 zugelassene Krankenhaus einen Pflegepersonalquotienten, der das Verhältnis der Anzahl der Vollzeitkräfte in der unmittelbaren Patientenversorgung auf bettenführenden Stationen zu dem Pflegeaufwand eines Krankenhauses beschreibt. Der Pflegepersonalquotient ist für jeden Standort eines Krankenhauses zu ermitteln. Der Standort eines Krankenhauses bestimmt sich nach § 2 der zwischen dem Spitzenverband Bund der Krankenkassen und der Deutschen Krankenhausgesellschaft gemäß § 2a Absatz 1 des Krankenhausfinanzierungsgesetzes getroffenen Vereinbarung über die Definition von Standorten der Krankenhäuser und ihrer Ambulanzen vom 29. August 2017, die auf der Internetseite der Deutschen Krankenhausgesellschaft veröffentlicht ist. Für die Zahl der in Satz 1 genannten Vollzeitkräfte sind die dem Institut nach § 21 Absatz 2 Nummer 1 Buchstabe e des Krankenhausentgeltgesetzes übermittelten Daten zu Grunde zu legen, mit Ausnahme der den Mindestvorgaben zu Personalausstattung nach § 136a Absatz 2 Satz 2 unterfallenden Vollzeitkräfte in der unmittelbaren Patientenversorgung auf bettenführenden Stationen. Das nach Satz 4 für die Zahl der in Satz 1 genannten Vollzeitkräfte zugrunde zu legende Pflegepersonal, das nicht über eine Erlaubnis zum Führen der Berufsbezeichnung nach § 1 des Pflegeberufegesetzes, § 58 Absatz 1 oder Absatz 2 des Pflegeberufegesetzes oder § 64 des Pflegeberufegesetzes, auch in Verbindung mit § 66 Absatz 1 oder Absatz 2 des Pflegeberufegesetzes, verfügt, ist bis zur Höhe des jeweils obersten Quartils des an allen Standorten mit den jeweiligen Berufsbezeichnungen eingesetzten Pflegepersonals einzubeziehen. Für die Ermittlung des Pflegeaufwands erstellt das Institut bis zum 31. Mai 2020 einen Katalog zur Risikoadjustierung des Pflegeaufwands, mit dem für die Entgelte nach § 17b Absatz 1 des Krankenhausfinanzierungsgesetzes tagesbezogen die durchschnittlichen pflegerischen Leistungen abbildbar sind. Das Institut aktualisiert den Katalog jährlich und veröffentlicht ihn auf seiner Internetseite. Für die Ermittlung des Pflegeaufwands ermittelt das Institut auf der Grundlage dieses Katalogs aus den ihm nach § 21 Absatz 2 des Krankenhausentgeltgesetzes übermittelten Daten für jeden Standort eines Krankenhauses die Summe seiner Bewertungsrelationen. Das Institut veröffentlicht unter Angabe des Namens und der Kennzeichen nach § 293 Absatz 1 und 6 eine vergleichende Zusammenstellung der für jeden Standort eines Krankenhauses ermittelten Pflegepersonalquotienten bis zum 31. August Oktober eines Jahres, Jahres erstmals bis zum 31. August 2021, barrierefrei auf seiner Internetseite. In der Veröffentlichung weist das Institut standortbezogen auch die prozentuale Zusammensetzung des Pflegepersonals nach Berufsbezeichnungen auf Grundlage der nach § 21 Absatz 2 Nummer 1 Buchstabe e des Krankenhausentgeltgesetzes übermittelten Daten aus.

(2) Das Bundesministerium für Gesundheit wird ermächtigt, auf der Grundlage der durch das Institut für das Entgeltsystem im Krankenhaus nach Absatz 1 ermittelten Pflegepersonalquotienten der Krankenhäuser durch Rechtsverordnung mit Zustimmung des Bundesrates eine Untergrenze für das erforderliche Verhältnis zwischen Pflegepersonal und Pflegeaufwand festzulegen, bei der widerlegbar vermutet wird, dass eine nicht patientengefährdende pflegerische Versorgung noch gewährleistet ist. Für den Fall, dass der Pflegepersonalquotient eines Krankenhauses die in der Rechtsverordnung nach Satz 1 festgelegte Untergrenze unterschreitet, vereinbaren der Spitzenverband Bund der Krankenkassen und die Deutsche Krankenhausgesellschaft im Benehmen mit dem Verband der Privaten Krankenversicherung mit Wirkung für die Vertragspartner nach § 11 des Krankenhausentgeltgesetzes die Höhe und nähere Ausgestaltung der Sanktionen nach Absatz 2a. Kommt eine Vereinbarung über die Sanktionen nach Satz 2 bis zum 30. Juni 2019 nicht zustande, trifft die Schiedsstelle nach § 18a Absatz 6 des Krankenhausfinanzierungsgesetzes ohne Antrag einer Vertragspartei nach Satz 2 innerhalb von sechs Wochen die ausstehenden Entscheidungen. Die Rechtsverordnung nach Satz 1 regelt das Nähere

1.: zur Festlegung der Untergrenze, die durch den Pflegepersonalquotienten eines Krankenhauses nicht unterschritten werden darf und
2.: zu dem Budgetjahr, für das erstmals Sanktionen nach Absatz 2a Satz 1 zu vereinbaren sind.

Das Bundesministerium für Gesundheit prüft spätestens nach Ablauf von drei Jahren die Notwendigkeit einer Anpassung der Untergrenze. In der Rechtsverordnung nach Satz 1 kann auch geregelt werden, dass die nach Satz 2 von den Vertragspartnern nach § 11 des Krankenhausentgeltgesetzes vereinbarten Sanktionen vorübergehend ausgesetzt werden.

(2a) Unterschreitet der Pflegepersonalquotient eines Krankenhauses die in der Rechtsverordnung nach Absatz 2 Satz 1 festgelegte Untergrenze, haben die Vertragsparteien nach § 11 des Krankenhausentgeltgesetzes entsprechend der Vereinbarung nach Absatz 2 Satz 2 Sanktionen in Form von Vergütungsabschlägen oder einer Verringerung der Fallzahl zu vereinbaren. Verringerungen der Fallzahl sind mindestens in dem Umfang zu vereinbaren, der erforderlich ist, um die Unterschreitung des Pflegepersonalquotienten auszugleichen. Vergütungsabschläge sind in einer Höhe zu vereinbaren, die in einem angemessenen Verhältnis zum Grad der Unterschreitung steht. Die in Satz 1 genannten Sanktionen können durch die Vereinbarung von Maßnahmen ergänzt werden, die das Krankenhaus zur Gewinnung zusätzlichen Pflegepersonals zu ergreifen hat. In begründeten Ausnahmefällen können die Vertragsparteien nach § 11 des Krankenhausentgeltgesetzes vereinbaren, dass bereits vereinbarte Sanktionen vorübergehend ausgesetzt werden.

(3) Für die Aufgaben nach Absatz 1 gilt das Institut für das Entgeltsystem im Krankenhaus als von den Vertragsparteien nach § 17b Absatz 2 Satz 1 des Krankenhausfinanzierungsgesetzes beauftragt. Die notwendigen Aufwendungen des Instituts für die Erfüllung dieser Aufgaben sind aus dem Zuschlag nach § 17b Absatz 5 Satz 1 Nummer 1 des Krankenhausfinanzierungsgesetzes zu finanzieren, der erforderlichenfalls entsprechend zu erhöhen ist.

Viertes Kapitel - Beziehungen der Krankenkassen zu denLeistungserbringern | Neunter Abschnitt - Sicherung der Qualität derLeistungserbringung

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Die nach § 108 zugelassenen Krankenhäuser sind verpflichtet, eine angemessene Personalausstattung vorzuhalten und das für eine bedarfsgerechte Pflege am Bett erforderliche Personal sicherzustellen. Zu diesem Zweck haben sie nach Maßgabe der Rechtsverordnung nach den Absätzen 4 und 5 Folgendes zu ermitteln und an das Institut für das Entgeltsystem im Krankenhaus zu übermitteln:

1.: die Anzahl der auf bettenführenden Stationen der somatischen Versorgung von Erwachsenen und Kindern jeweils eingesetzten Pflegekräfte,
2.: den Pflegebedarf auf bettenführenden Stationen der somatischen Versorgung von Erwachsenen und Kindern und
3.: die Anzahl der auf bettenführenden Stationen der somatischen Versorgung von Erwachsenen und Kindern auf Grundlage des Pflegebedarfs einzusetzenden Pflegekräfte.

Sie haben außerdem die Anzahl der eingesetzten Pflegekräfte schrittweise an die Anzahl der einzusetzenden Pflegekräfte anzupassen. Das Institut für das Entgeltsystem im Krankenhaus übermittelt den jeweils zuständigen Landesbehörden und dem Bundesministerium für Gesundheit jährlich eine Zusammenstellung der Angaben nach Satz 2.

(2) Das Bundesministerium für Gesundheit beauftragt spätestens bis zum 31. Januar 2023 eine fachlich unabhängige wissenschaftliche Einrichtung oder einen Sachverständigen oder eine Sachverständige (Auftragnehmer) mit einer mindestens dreimonatigen Erprobung eines im Einvernehmen mit dem Bundesministerium für Gesundheit festzulegenden Konzepts zur Ermittlung einer angemessenen Personalausstattung auf bettenführenden Stationen der nichtintensivmedizinischen somatischen Versorgung von Erwachsenen und Kindern sowie der intensivmedizinischen somatischen Versorgung von Kindern. Für die Durchführung der Erprobung hat der Auftragnehmer eine repräsentative Auswahl an nach § 108 zugelassenen Krankenhäusern zu bestimmen. Die ausgewählten Krankenhäuser sind verpflichtet, dem Auftragnehmer folgende Daten zu übermitteln:

1.: die Anzahl der in der jeweiligen in Satz 1 genannten bettenführenden Station eingesetzten Pflegekräfte, umgerechnet auf Vollkräfte, und
2.: die Anzahl der in der jeweiligen in Satz 1 genannten bettenführenden Station auf Grundlage des Pflegebedarfs einzusetzenden Pflegekräfte, umgerechnet auf Vollkräfte.

Der Auftragnehmer kann die Form und das Verfahren der Datenübermittlung festlegen. Weitere nach § 108 zugelassene Krankenhäuser können sich an der Erprobung beteiligen. Der Auftragnehmer hat dem Bundesministerium für Gesundheit spätestens bis zum 31. August 2023 einen Abschlussbericht über die Ergebnisse der Erprobung vorzulegen. Das Bundesministerium für Gesundheit hat die Ergebnisse der Erprobung bei Erlass der Rechtsverordnung nach den Absätzen 4 und 5 zu berücksichtigen.

(3) Das Bundesministerium für Gesundheit beauftragt spätestens bis zum 31. Oktober 2023 einen Auftragnehmer mit der Entwicklung und modellhaften Erprobung eines Verfahrens zur Ermittlung einer angemessenen Personalausstattung auf bettenführenden Stationen der intensivmedizinischen somatischen Versorgung von Erwachsenen. Für die Durchführung der Erprobung hat der Auftragnehmer eine repräsentative Auswahl an nach § 108 zugelassenen Krankenhäusern zu bestimmen. Die ausgewählten Krankenhäuser sind verpflichtet, dem Auftragnehmer folgende Daten zu übermitteln:

1.: die Anzahl der in der jeweiligen in Satz 1 genannten bettenführenden Station eingesetzten Pflegekräfte, umgerechnet auf Vollkräfte, und
2.: die Anzahl der in der jeweiligen in Satz 1 genannten bettenführenden Station auf Grundlage des Pflegebedarfs einzusetzenden Pflegekräfte, umgerechnet auf Vollkräfte.

Der Auftragnehmer hat dem Bundesministerium für Gesundheit spätestens bis zum 31. August 2024 einen Abschlussbericht über die Ergebnisse der Entwicklung und Erprobung vorzulegen. Absatz 2 Satz 4, 5 und 7 gilt entsprechend.

(4) Das Bundesministerium für Gesundheit kann durch Rechtsverordnung mit Zustimmung des Bundesrates im Einvernehmen mit dem Bundesministerium der Finanzen, erstmals bis zum 30. November 2023, Vorgaben zur Ermittlung der Anzahl der eingesetzten und der auf der Grundlage des Pflegebedarfs einzusetzenden Pflegekräfte in der unmittelbaren Patientenversorgung von Erwachsenen und Kindern auf bettenführenden Stationen der somatischen Versorgung in den nach § 108 zugelassenen Krankenhäusern erlassen. In der Rechtsverordnung kann das Bundesministerium für Gesundheit das Nähere bestimmen

1.

zur Ermittlung des täglichen Pflegebedarfs durch die Festlegung von Pflegekategorien sowie den ihnen zugrunde zu legenden Minutenwerten für die pflegerische Versorgung je Patientin oder Patient,

2.

zur bedarfsgerechten personellen Zusammensetzung des Pflegepersonals auf der Grundlage der beruflichen Qualifikationen des Pflegepersonals,

3.

zu der von den Krankenhäusern standortbezogen zu erfassenden

a): Anzahl der in der jeweiligen Station eingesetzten Pflegekräfte, umgerechnet auf Vollkräfte, (Ist-Personalbesetzung) und
b): Anzahl der in der jeweiligen Station auf Grundlage des Pflegebedarfs einzusetzenden Pflegekräfte, umgerechnet auf Vollkräfte, (Soll-Personalbesetzung),

4.

zur Übermittlung der von den Krankenhäusern erfassten Daten nach Nummer 3 an das Institut für das Entgeltsystem im Krankenhaus einschließlich der Form und des Verfahrens der Übermittlung,

5.

zur Dokumentation, zum Nachweis und zur Veröffentlichung der von den Krankenhäusern zu erfassenden und zu übermittelnden Daten,

6.

zur Auswertung der von den Krankenhäusern zu erfassenden und zu übermittelnden Daten durch das Institut für das Entgeltsystem im Krankenhaus und

7.

zur Übermittlung nach Absatz 1 Satz 4.

Für den Fall, dass Krankenhäuser ihre in der Verordnung nach Satz 1 bestimmten Erfassungs- und Übermittlungspflichten nach Satz 2 Nummer 3 und 4 nicht, nicht vollständig oder nicht rechtzeitig erfüllen, haben der Spitzenverband Bund der Krankenkassen und die Deutsche Krankenhausgesellschaft im Benehmen mit dem Verband der Privaten Krankenversicherung e. V. innerhalb von sechs Monaten nach Inkrafttreten der Verordnung nach Satz 1 eine Vereinbarung mit Wirkung für die Vertragsparteien nach § 11 des Krankenhausentgeltgesetzes über Vergütungsabschläge, ihre Höhe sowie ihre nähere Ausgestaltung zu schließen. Kommt eine Vereinbarung nach Satz 3 innerhalb der im Satz 3 vorgesehenen Frist nicht zustande, trifft die Schiedsstelle nach § 18a Absatz 6 des Krankenhausfinanzierungsgesetzes ohne Antrag einer Vertragspartei nach Satz 3 innerhalb von sechs Wochen die ausstehenden Entscheidungen.

(4) Das Bundesministerium für Gesundheit kann durch Rechtsverordnung mit Zustimmung des Bundesrates im Einvernehmen mit dem Bundesministerium der Finanzen, erstmals bis zum 30. November 2023, Vorgaben zur Ermittlung der Anzahl der eingesetzten und der auf der Grundlage des Pflegebedarfs einzusetzenden Pflegekräfte in der unmittelbaren Patientenversorgung von Erwachsenen und Kindern auf bettenführenden Stationen der somatischen Versorgung in den nach § 108 zugelassenen Krankenhäusern erlassen. In der Rechtsverordnung kann das Bundesministerium für Gesundheit das Nähere bestimmen

1.

zur Ermittlung des täglichen Pflegebedarfs durch die Festlegung von Pflegekategorien sowie den ihnen zugrunde zu legenden Minutenwerten für die pflegerische Versorgung je Patientin oder Patient,

2.

zur bedarfsgerechten personellen Zusammensetzung des Pflegepersonals auf der Grundlage der beruflichen Qualifikationen des Pflegepersonals,

3.

zu der von den Krankenhäusern standortbezogen zu erfassenden

a): Anzahl der in der jeweiligen Station eingesetzten Pflegekräfte, umgerechnet auf Vollkräfte, (Ist-Personalbesetzung) und
b): Anzahl der in der jeweiligen Station auf Grundlage des Pflegebedarfs einzusetzenden Pflegekräfte, umgerechnet auf Vollkräfte, (Soll-Personalbesetzung),

4.

zur Übermittlung der von den Krankenhäusern erfassten Daten nach Nummer 3 an das Institut für das Entgeltsystem im Krankenhaus einschließlich der Form und des Verfahrens der Übermittlung,

5.

zur Dokumentation, zum Nachweis und zur Veröffentlichung der von den Krankenhäusern zu erfassenden und zu übermittelnden Daten,

6.

zur Auswertung der von den Krankenhäusern zu erfassenden und zu übermittelnden Daten durch das Institut für das Entgeltsystem im Krankenhaus und

7.

zur Übermittlung nach Absatz 1 Satz 4.

Für den Fall, dass Krankenhäuser ihre in der Verordnung nach Satz 1 bestimmten Erfassungs- und Übermittlungspflichten nach Satz 2 Nummer 3 und 4 nicht, nicht vollständig oder nicht rechtzeitig erfüllen, haben der Spitzenverband Bund der Krankenkassen und die Deutsche Krankenhausgesellschaft im Benehmen mit dem Verband der Privaten Krankenversicherung e. V. innerhalb von sechs Monaten nach Inkrafttreten der Verordnung nach Satz 1 eine Vereinbarung mit Wirkung für die Vertragsparteien nach § 11 des Krankenhausentgeltgesetzes über Vergütungsabschläge, ihre Höhe sowie ihre nähere Ausgestaltung zu schließen. Kommt eine Vereinbarung nach Satz 3 innerhalb der im Satz 3 vorgesehenen Frist nicht zustande, trifft die Schiedsstelle nach § 18a Absatz 6 des Krankenhausfinanzierungsgesetzes ohne Antrag einer Vertragspartei nach Satz 3 innerhalb von sechs Wochen die ausstehenden Entscheidungen.

(5) Das Bundesministerium für Gesundheit wird ermächtigt, aufgrund der in der Rechtsverordnung nach Absatz 4 vorgesehenen Datenerfassung zur Festlegung des konkreten erforderlichen Erfüllungsgrads der Soll-Personalbesetzung in der Rechtsverordnung nach Absatz 4 mit Zustimmung des Bundesrates und im Einvernehmen mit dem Bundesministerium der Finanzen Regelungen zu treffen

1.

zur schrittweisen Anpassung der Ist-Personalbesetzung an den konkreten erforderlichen Erfüllungsgrad der Soll-Personalbesetzung durch das Krankenhaus,

2.

zum Nachweis der Anpassung der Ist-Personalbesetzung an den konkreten erforderlichen Erfüllungsgrad der Soll-Personalbesetzung gegenüber dem Institut für das Entgeltsystem im Krankenhaus und

3.

zu Vergütungsabschlägen, wenn ein Krankenhaus es unterlässt,

a): die Ist-Personalbesetzung an die Soll-Personalbesetzung anzupassen oder
b): die Anpassung der Ist-Personalbesetzung an die Soll-Personalbesetzung nachzuweisen.

(6) Die Mindestvorgaben zur Personalausstattung nach § 136 Absatz 1 Satz 1 Nummer 2 und § 136a Absatz 2 Satz 2 und Absatz 5 bleiben unberührt.

(7) Die notwendigen Aufwendungen des Instituts für das Entgeltsystem im Krankenhaus für die Erfüllung der Aufgaben nach dieser Vorschrift sind aus dem Zuschlag nach § 17b Absatz 5 Satz 1 Nummer 1 des Krankenhausfinanzierungsgesetzes zu finanzieren.

Viertes Kapitel - Beziehungen der Krankenkassen zu denLeistungserbringern | Neunter Abschnitt - Sicherung der Qualität derLeistungserbringung

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Die Vertragsparteien auf Bundesebene im Sinne des § 9 Absatz 1 des Krankenhausentgeltgesetzes stellen im Einvernehmen mit dem Bundesministerium für Gesundheit die wissenschaftliche Weiterentwicklung der Vorgaben zur Personalbemessung in der Pflege im Krankenhaus nach § 137k Absatz 4 sicher, insbesondere im Hinblick auf die bedarfsgerechte personelle Zusammensetzung des Pflegepersonals auf der Grundlage seiner jeweiligen nach § 137k Absatz 4 Satz 2 Nummer 2 bestimmten beruflichen Qualifikationen sowie im Hinblick auf die standardisierte und digitale Anwendung der Vorgaben nach § 137k Absatz 4. Zudem legen sie Vorschläge zur Personalbemessung in der Pflege in Notaufnahmen vor. Die Vertragsparteien nach Satz 1 legen dem Bundesministerium für Gesundheit die Ergebnisse der wissenschaftlichen Weiterentwicklung nach den Sätzen 1 und 2 bis zum 31. Dezember 2024 vor. Die Vertragsparteien nach Satz 1 beauftragen zur Sicherstellung der Wissenschaftlichkeit der Weiterentwicklung auf ihre Kosten fachlich unabhängige wissenschaftliche Einrichtungen oder Sachverständige; dabei trägt die Deutsche Krankenhausgesellschaft 50 Prozent der Kosten, der Spitzenverband Bund der Krankenkassen 46,5 Prozent der Kosten und der Verband der Privaten Krankenversicherung 3,5 Prozent der Kosten. Die Mindestvorgaben zur Personalausstattung nach § 136a Absatz 2 Satz 2 bleiben unberührt.

(2) Bei der Durchführung des Auftrags nach Absatz 1 Satz 4 sind insbesondere der Beauftragte der Bundesregierung für die Belange der Patientinnen und Patienten, der Bevollmächtigte der Bundesregierung für Pflege, der Deutsche Pflegerat e. V. – DPR, Vertreter der für Personalfragen der Krankenhäuser maßgeblichen Gewerkschaften und Arbeitgeberverbände, die für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene sowie die Arbeitsgemeinschaft der Wissenschaftlichen Medizinischen Fachgesellschaften e. V. zu beteiligen.

(3) Die Vertragsparteien nach Absatz 1 Satz 1 legen dem Bundesministerium für Gesundheit vor der Beauftragung nach Absatz 1 Satz 4 und spätestens bis zum 31. März 2023 eine Beschreibung des Inhalts der Beauftragung sowie einen Zeitplan mit konkreten Zeitzielen vor. Die Beauftragung nach Absatz 1 Satz 4 hat spätestens bis zum 30. September 2023 zu erfolgen. Die Vertragsparteien nach Absatz 1 Satz 1 sind verpflichtet, dem Bundesministerium für Gesundheit fortlaufend, insbesondere wenn die Umsetzung der Vorgaben nach Absatz 1 oder die Erreichung der gesetzlich oder in dem Zeitplan nach Satz 1 festgelegten Zeitziele gefährdet sind, und auf dessen Verlangen unverzüglich Auskunft über den Bearbeitungsstand der Entwicklung, Erprobung und der Auftragsvergabe sowie über Problembereiche und mögliche Lösungen zu geben.

(4) Wird ein gesetzlich oder ein in dem Zeitplan nach Absatz 3 Satz 1 festgelegtes Zeitziel nicht fristgerecht erreicht und ist deshalb die fristgerechte Weiterentwicklung gefährdet, kann das Bundesministerium für Gesundheit nach Fristablauf einzelne Verfahrensschritte selbst durchführen. Haben sich die Vertragsparteien nach Absatz 1 Satz 1 bis zum 31. März 2023 nicht über den Inhalt der Beauftragung nach Absatz 1 Satz 4 geeinigt, geeinigt beauftragt oder ist keine Beauftragung innerhalb der in Absatz 3 Satz 2 festgelegten Frist erfolgt, kann das Bundesministerium für Gesundheit die Beauftragung Entwicklung und Erprobung nach Absatz 1 Satz 4 spätestens bis zum 31. Dezember 2023 auf Kosten der Vertragsparteien nach Absatz 1 Satz 1. 1 vornehmen.

Sechstes Kapitel - Organisation der Krankenkassen | Vierter Abschnitt - Meldungen

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Die Zahlstelle hat bei der erstmaligen Bewilligung von Versorgungsbezügen sowie bei Mitteilung über die Beendigung der Mitgliedschaft eines Versorgungsempfängers und in den Fällen des § 5 Absatz 1 Nummer 11b die zuständige Krankenkasse des Versorgungsempfängers zu ermitteln und dieser Beginn, Höhe, Veränderungen und Ende der Versorgungsbezüge und in den Fällen des § 5 Absatz 1 Nummer 11b den Tag der Antragstellung sowie in den Fällen von Versorgungsbezügen nach § 229 Absatz 1 Satz 1 Nummer 5 erster Halbsatz deren Vorliegen unverzüglich mitzuteilen; in der Mitteilung ist auch anzugeben, ob der Versorgungsempfänger nach dem Ende des Arbeitsverhältnisses als alleiniger Versicherungsnehmer Leistungen aus nicht durch den Arbeitgeber finanzierten Beiträgen erworben hat. Im Falle eines Versorgungsbezuges nach § 229 Absatz 1 Satz 1 Nummer 1, 3 und 4 hat die Zahlstelle zusätzlich anzugeben, ob es sich um eine den Waisenrenten gemäß § 48 des Sechsten Buches entsprechende Leistung nach § 15 des Gesetzes über die Alterssicherung der Landwirte, aus einem Dienst- oder Arbeitsverhältnis gemäß § 229 Absatz 1 Satz 1 Nummer 1 oder einer berufsständischen Versorgungseinrichtung unter den Voraussetzungen des § 5 Absatz 1 Nummer 11b Buchstabe b handelt. Bei den am 1. Januar 1989 vorhandenen Versorgungsempfängern hat die Ermittlung der Krankenkasse innerhalb von sechs Monaten zu erfolgen. Der Versorgungsempfänger hat der Zahlstelle seine Krankenkasse anzugeben und einen Kassenwechsel sowie die Aufnahme einer versicherungspflichtigen Beschäftigung anzuzeigen. Die Krankenkasse hat der Zahlstelle von Versorgungsbezügen und dem Bezieher von Versorgungsbezügen unverzüglich die Beitragspflicht des Versorgungsempfängers und, soweit die Summe der beitragspflichtigen Einnahmen nach § 237 Satz 1 Nummer 1 und 2 die Beitragsbemessungsgrenze überschreitet, deren Umfang mitzuteilen. Die Krankenkasse hat der Zahlstelle im Falle des Mehrfachbezugs von Versorgungsbezügen nach § 229 Absatz 1 Satz 1 Nummer 5 erster Halbsatz zusätzlich mitzuteilen, ob und in welcher Höhe der Freibetrag nach § 226 Absatz 2 Satz 2 anzuwenden ist.

(1a) Die Zahlstelle hat ab dem 1. Juli 2025 bei Beginn eines in der sozialen Pflegeversicherung beitragspflichtigen Versorgungsbezuges eine Meldung im Sinne des § 55a Absatz 3 des Elften Buches über die zentrale Stelle nach § 81 des Einkommensteuergesetzes an das Bundeszentralamt für Steuern zu richten. Bei Ende des beitragspflichtigen Versorgungsbezuges hat sie eine Meldung nach § 55a Absatz 6 des Elften Buches zu erstatten. Bei der erstmaligen Bewilligung von Versorgungsbezügen hat die Meldung innerhalb von sieben Tagen nach Eingang der Meldung der Krankenkasse nach Absatz 1 Satz 5 zu erfolgen. Die Meldung zur Beendigung des Versorgungsbezuges ist zeitgleich mit der Meldung nach Absatz 1 Satz 1 zu erstatten. Bei Beendigung der Beitragsabführungspflicht während des Versorgungsbezuges ist eine Abmeldung innerhalb von sechs Wochen vorzunehmen. In der Meldung sind insbesondere anzugeben:

1.: das Geburtsdatum des Versorgungsbeziehers,
2.: die steuerliche Identifikationsnummer des Versorgungsbeziehers nach § 139b der Abgabenordnung,
3.: der Tag des Beginns oder des Endes des Versorgungsbezuges,
4.: die Zahlstellennummer der Zahlstelle.

Bei Meldung des Beginns eines Versorgungsbezuges hat das Bundeszentralamt für Steuern über die zentrale Stelle nach § 81 des Einkommensteuergesetzes der Zahlstelle unverzüglich die auf den Tag des Beginns des Versorgungsbezuges bezogenen erforderlichen Daten zum Nachweis der Elterneigenschaft sowie zur Ermittlung der Anzahl der berücksichtigungsfähigen Kinder nach Maßgabe des § 55a Absatz 4 Satz 1 und 2 des Elften Buches zu übermitteln. Änderungen bei der Elterneigenschaft oder der Anzahl der berücksichtigungsfähigen Kinder während eines laufenden Versorgungbezuges werden der Zahlstelle nach Maßgabe des § 55a Absatz 5 des Elften Buches mitgeteilt.

(2) Die Zahlstelle hat der zuständigen Krankenkasse die Meldung durch gesicherte und verschlüsselte Datenübertragung aus systemgeprüften Programmen oder mittels maschineller Ausfüllhilfen zu erstatten. Die Krankenkasse hat nach inhaltlicher Prüfung alle fehlerfreien Angaben elektronisch zu verarbeiten. Alle Rückmeldungen der Krankenkasse an die Zahlstelle erfolgen arbeitstäglich durch Datenübertragung. Den Aufbau des Datensatzes, notwendige Schlüsselzahlen und Angaben legt der Spitzenverband Bund der Krankenkassen in Grundsätzen fest, die vom Bundesministerium für Arbeit und Soziales im Einvernehmen mit dem Bundesministerium für Gesundheit zu genehmigen sind; die Bundesvereinigung der Deutschen Arbeitgeberverbände ist anzuhören.

(3) Die Zahlstellen haben für die Durchführung der Meldeverfahren nach diesem Gesetzbuch eine Zahlstellennummer beim Spitzenverband Bund der Krankenkassen elektronisch zu beantragen. Die Zahlstellennummern und alle Angaben, die zur Vergabe der Zahlstellennummer notwendig sind, werden in einer gesonderten elektronischen Datei beim Spitzenverband Bund der Krankenkassen gespeichert. Die Sozialversicherungsträger, ihre Verbände und ihre Arbeitsgemeinschaften, die Künstlersozialkasse, die Behörden der Zollverwaltung, soweit sie Aufgaben nach § 2 des Schwarzarbeitsbekämpfungsgesetzes oder nach § 66 des Zehnten Buches wahrnehmen, sowie die zuständigen Aufsichtsbehörden und die Arbeitgeber dürfen die ihnen von den Zahlstellen zur Erfüllung einer gesetzlichen Aufgabe nach diesem Buch übermittelten Zahlstellennummern verarbeiten, soweit dies für die Erfüllung einer gesetzlichen Aufgabe nach diesem Gesetzbuch erforderlich ist. Andere Behörden, Gerichte oder Dritte dürfen die Zahlstellennummern verarbeiten, sofern sie nach anderen gesetzlichen Vorschriften zu deren Erhebung befugt sind und soweit dies für die Erfüllung einer gesetzlichen Aufgabe einer der in Satz 3 genannten Stellen erforderlich ist. Das Nähere zum Verfahren und den Aufbau der Zahlstellennummer regeln die Grundsätze nach Absatz 2 Satz 4.

Sechstes Kapitel - Organisation der Krankenkassen | Vierter Abschnitt - Meldungen

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

Die Zahlstellen müssen ab dem 1. Juli 2025 für die in der sozialen Pflegeversicherung bereits vor diesem Zeitpunkt versicherungspflichtigen Versorgungsbezieher eine Meldung entsprechend § 202 Absatz 1a erstatten, soweit eine Beitragsabführungspflicht besteht. Die Meldung hat spätestens bis zum 31. Dezember 2025 zu erfolgen. Bei Zahlstellen, die im Zeitraum vom 1. Juli 2023 bis zum 30. Juni 2025 sich weder die Elterneigenschaft sowie die Anzahl der Kinder nach § 55 Absatz 3a Satz 1 haben nachweisen lassen noch an dem Nachweisverfahren nach § 55 Absatz 3d Satz 2 des Elften Buches teilgenommen haben, erstreckt sich die Meldung auf den gesamten genannten Zeitraum.

Zehntes Kapitel - Versicherungs- und Leistungsdaten,Datenschutz, Datentransparenz | Zweiter Abschnitt - Übermittlung und Aufbereitungvon Leistungsdaten, Datentransparenz | Erster Titel - Übermittlung von Leistungsdaten

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, zugelassenen Krankenhäuser und übrigen Leistungserbringer gemäß § 135a Absatz 2 sowie die nach Satz 2 festgelegten Empfänger der Daten sind befugt und verpflichtet, personen- oder einrichtungsbezogene Daten der Versicherten und der Leistungserbringer für Zwecke der Qualitätssicherung nach § 135a Absatz 2, § 135b Absatz 2 oder § 137a Absatz 3 zu verarbeiten, soweit dies erforderlich und in Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses nach § 27b Absatz 2, § 135b Absatz 2, § 136 Absatz 1 Satz 1, den §§ 136b, 136c Absatz 1 und 2 sowie in Vereinbarungen nach § 137d vorgesehen ist. In den Richtlinien, Beschlüssen und Vereinbarungen nach Satz 1 sind diejenigen Daten, die von den Leistungserbringern zu verarbeiten sind, sowie deren Empfänger festzulegen und die Erforderlichkeit darzulegen. Der Gemeinsame Bundesausschuss hat bei der Festlegung der Daten nach Satz 2 in Abhängigkeit von der jeweiligen Maßnahme der Qualitätssicherung insbesondere diejenigen Daten zu bestimmen, die für die Ermittlung der Qualität von Diagnostik oder Behandlung mit Hilfe geeigneter Qualitätsindikatoren, für die Erfassung möglicher Begleiterkrankungen und Komplikationen, für die Feststellung der Sterblichkeit sowie für eine geeignete Validierung oder Risikoadjustierung bei der Auswertung der Daten medizinisch oder methodisch notwendig sind. Die Richtlinien und Beschlüsse sowie Vereinbarungen nach Satz 1 haben darüber hinaus sicherzustellen, dass

1.: in der Regel die Datenerhebung auf eine Stichprobe der betroffenen Patienten begrenzt wird und die versichertenbezogenen Daten pseudonymisiert werden,
2.: die Auswertung der Daten, soweit sie nicht im Rahmen der Qualitätsprüfungen durch die Kassenärztlichen Vereinigungen erfolgt, von einer unabhängigen Stelle vorgenommen wird und
3.: eine qualifizierte Information der betroffenen Patienten in geeigneter Weise stattfindet.

Abweichend von Satz 4 Nummer 1 können die Richtlinien, Beschlüsse und Vereinbarungen

1.

auch eine Vollerhebung der Daten aller betroffenen Patienten vorsehen, sofern dies aus gewichtigen medizinisch fachlichen oder gewichtigen methodischen Gründen, die als Bestandteil der Richtlinien, Beschlüsse und Vereinbarungen dargelegt werden müssen, erforderlich ist;

2.

auch vorsehen, dass von einer Pseudonymisierung der versichertenbezogenen Daten abgesehen werden kann, wenn für die Qualitätssicherung die Überprüfung der ärztlichen Behandlungsdokumentation fachlich oder methodisch erforderlich ist und

a): die technische Beschaffenheit des die versichertenbezogenen Daten speichernden Datenträgers eine Pseudonymisierung nicht zulässt und die Anfertigung einer Kopie des speichernden Datenträgers, um auf dieser die versichertenbezogenen Daten zu pseudonymisieren, mit für die Qualitätssicherung nicht hinnehmbaren Qualitätsverlusten verbunden wäre oder
b): die Richtigkeit der Behandlungsdokumentation Gegenstand der Qualitätsprüfung nach § 135b Absatz 2 ist;

die Gründe sind in den Richtlinien, Beschlüssen und Vereinbarungen darzulegen.

Auch Auswahl, Umfang und Verfahren der Stichprobe sind in den Richtlinien und Beschlüssen sowie den Vereinbarungen nach Satz 1 festzulegen und von den an der vertragsärztlichen Versorgung teilnehmenden Ärzten und den übrigen Leistungserbringern zu erheben und zu übermitteln. Es ist auszuschließen, dass die Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweilige Verbände Kenntnis von Daten erlangen, die über den Umfang der ihnen nach den §§ 295, 300, 301, 301a und 302 zu übermittelnden Daten hinausgeht; dies gilt nicht für die Kassenärztlichen Vereinigungen in Bezug auf die für die Durchführung der Qualitätsprüfung nach § 135b Absatz 2 sowie die für die Durchführung der Aufgaben einer Datenannahmestelle oder für Einrichtungsbefragungen zur Qualitätssicherung aus Richtlinien nach § 136 Absatz 1 Satz 1 erforderlichen Daten. Eine über die in den Richtlinien nach § 136 Absatz 1 Satz 1 festgelegten Zwecke hinausgehende Verarbeitung dieser Daten, insbesondere eine Zusammenführung mit anderen Daten, ist unzulässig. Aufgaben zur Qualitätssicherung sind von den Kassenärztlichen Vereinigungen räumlich und personell getrennt von ihren anderen Aufgaben wahrzunehmen. Abweichend von Satz 4 Nummer 1 zweiter Halbsatz können die Richtlinien und Beschlüsse des Gemeinsamen Bundesausschusses nach § 135b Absatz 2, § 136 Absatz 1 Satz 1 und § 136b und die Vereinbarungen nach § 137d vorsehen, dass den Leistungserbringern nach Satz 1 die Daten der von ihnen behandelten Versicherten versichertenbezogen für Zwecke der Qualitätssicherung im erforderlichen Umfang übermittelt werden. Die Leistungserbringer dürfen diese versichertenbezogenen Daten mit den Daten, die bei ihnen zu den Versicherten bereits vorliegen, zusammenführen und für die in den Richtlinien, Beschlüssen oder Vereinbarungen nach Satz 1 festgelegten Zwecke verarbeiten. Einrichtungsbezogene Daten der Krankenhäuser, deren Verarbeitung in Richtlinien des Gemeinsamen Bundesausschusses nach § 136 Absatz 1 Satz 1 Nummer 1 vorgesehen ist, sind nicht zu pseudonymisieren.

(1) Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, zugelassenen Krankenhäuser und übrigen Leistungserbringer gemäß § 135a Absatz 2 sowie die nach Satz 2 festgelegten Empfänger der Daten sind befugt und verpflichtet, personen- oder einrichtungsbezogene Daten der Versicherten und der Leistungserbringer für Zwecke der Qualitätssicherung nach § 135a Absatz 2, § 135b Absatz 2 oder § 137a Absatz 3 zu verarbeiten, soweit dies erforderlich und in Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses nach § 27b Absatz 2, § 135b Absatz 2, § 136 Absatz 1 Satz 1, den §§ 136b, 136c Absatz 1 und 2 sowie in Vereinbarungen nach § 137d vorgesehen ist. In den Richtlinien, Beschlüssen und Vereinbarungen nach Satz 1 sind diejenigen Daten, die von den Leistungserbringern zu verarbeiten sind, sowie deren Empfänger festzulegen und die Erforderlichkeit darzulegen. Der Gemeinsame Bundesausschuss hat bei der Festlegung der Daten nach Satz 2 in Abhängigkeit von der jeweiligen Maßnahme der Qualitätssicherung insbesondere diejenigen Daten zu bestimmen, die für die Ermittlung der Qualität von Diagnostik oder Behandlung mit Hilfe geeigneter Qualitätsindikatoren, für die Erfassung möglicher Begleiterkrankungen und Komplikationen, für die Feststellung der Sterblichkeit sowie für eine geeignete Validierung oder Risikoadjustierung bei der Auswertung der Daten medizinisch oder methodisch notwendig sind. Die Richtlinien und Beschlüsse sowie Vereinbarungen nach Satz 1 haben darüber hinaus sicherzustellen, dass

1.: in der Regel die Datenerhebung auf eine Stichprobe der betroffenen Patienten begrenzt wird und die versichertenbezogenen Daten pseudonymisiert werden,
2.: die Auswertung der Daten, soweit sie nicht im Rahmen der Qualitätsprüfungen durch die Kassenärztlichen Vereinigungen erfolgt, von einer unabhängigen Stelle vorgenommen wird und
3.: eine qualifizierte Information der betroffenen Patienten in geeigneter Weise stattfindet.

Abweichend von Satz 4 Nummer 1 können die Richtlinien, Beschlüsse und Vereinbarungen

1.

auch eine Vollerhebung der Daten aller betroffenen Patienten vorsehen, sofern dies aus gewichtigen medizinisch fachlichen oder gewichtigen methodischen Gründen, die als Bestandteil der Richtlinien, Beschlüsse und Vereinbarungen dargelegt werden müssen, erforderlich ist;

2.

auch vorsehen, dass von einer Pseudonymisierung der versichertenbezogenen Daten abgesehen werden kann, wenn für die Qualitätssicherung die Überprüfung der ärztlichen Behandlungsdokumentation fachlich oder methodisch erforderlich ist und

a): die technische Beschaffenheit des die versichertenbezogenen Daten speichernden Datenträgers eine Pseudonymisierung nicht zulässt und die Anfertigung einer Kopie des speichernden Datenträgers, um auf dieser die versichertenbezogenen Daten zu pseudonymisieren, mit für die Qualitätssicherung nicht hinnehmbaren Qualitätsverlusten verbunden wäre oder
b): die Richtigkeit der Behandlungsdokumentation Gegenstand der Qualitätsprüfung nach § 135b Absatz 2 ist;

die Gründe sind in den Richtlinien, Beschlüssen und Vereinbarungen darzulegen.

Auch Auswahl, Umfang und Verfahren der Stichprobe sind in den Richtlinien und Beschlüssen sowie den Vereinbarungen nach Satz 1 festzulegen und von den an der vertragsärztlichen Versorgung teilnehmenden Ärzten und den übrigen Leistungserbringern zu erheben und zu übermitteln. Es ist auszuschließen, dass die Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweilige Verbände Kenntnis von Daten erlangen, die über den Umfang der ihnen nach den §§ 295, 300, 301, 301a und 302 zu übermittelnden Daten hinausgeht; dies gilt nicht für die Kassenärztlichen Vereinigungen in Bezug auf die für die Durchführung der Qualitätsprüfung nach § 135b Absatz 2 sowie die für die Durchführung der Aufgaben einer Datenannahmestelle oder für Einrichtungsbefragungen zur Qualitätssicherung aus Richtlinien nach § 136 Absatz 1 Satz 1 erforderlichen Daten. Eine über die in den Richtlinien nach § 136 Absatz 1 Satz 1 festgelegten Zwecke hinausgehende Verarbeitung dieser Daten, insbesondere eine Zusammenführung mit anderen Daten, ist unzulässig. Aufgaben zur Qualitätssicherung sind von den Kassenärztlichen Vereinigungen räumlich und personell getrennt von ihren anderen Aufgaben wahrzunehmen. Abweichend von Satz 4 Nummer 1 zweiter Halbsatz können die Richtlinien und Beschlüsse des Gemeinsamen Bundesausschusses nach § 135b Absatz 2, § 136 Absatz 1 Satz 1 und § 136b und die Vereinbarungen nach § 137d vorsehen, dass den Leistungserbringern nach Satz 1 die Daten der von ihnen behandelten Versicherten versichertenbezogen für Zwecke der Qualitätssicherung im erforderlichen Umfang übermittelt werden. Die Leistungserbringer dürfen diese versichertenbezogenen Daten mit den Daten, die bei ihnen zu den Versicherten bereits vorliegen, zusammenführen und für die in den Richtlinien, Beschlüssen oder Vereinbarungen nach Satz 1 festgelegten Zwecke verarbeiten. Einrichtungsbezogene Daten der Krankenhäuser, deren Verarbeitung in Richtlinien des Gemeinsamen Bundesausschusses nach § 136 Absatz 1 Satz 1 Nummer 1 vorgesehen ist, sind nicht zu pseudonymisieren.

(1a) Die Krankenkassen sind befugt und verpflichtet, nach § 284 Absatz 1 erhobene und gespeicherte Sozialdaten für Zwecke der Qualitätssicherung nach § 135a Absatz 2, § 135b Absatz 2 oder § 137a Absatz 3 zu verarbeiten, soweit dies erforderlich und in Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses nach § 27b Absatz 2, § 135b Absatz 2, § 136 Absatz 1 Satz 1, den §§ 136b, 136c Absatz 1 und 2, § 137 Absatz 3 und § 137b Absatz 1 sowie in Vereinbarungen nach § 137d vorgesehen ist. In den Richtlinien, Beschlüssen und Vereinbarungen nach Satz 1 sind diejenigen Daten, die von den Krankenkassen für Zwecke der Qualitätssicherung zu verarbeiten sind, sowie deren Empfänger festzulegen und die Erforderlichkeit darzulegen. Absatz 1 Satz 3 bis 7 gilt entsprechend.

(2) Das Verfahren zur Pseudonymisierung der Daten wird durch die an der vertragsärztlichen Versorgung teilnehmenden Ärzte und übrigen Leistungserbringer gemäß § 135a Absatz 2 angewendet. Es ist in den Richtlinien und Beschlüssen sowie den Vereinbarungen nach Absatz 1 Satz 1 unter Berücksichtigung der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik festzulegen. Das Verfahren zur Pseudonymisierung der Daten kann in den Richtlinien, Beschlüssen und Vereinbarungen auch auf eine von den Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweiligen Verbänden räumlich, organisatorisch und personell getrennte Stelle übertragen werden, wenn das Verfahren für die in Satz 1 genannten Leistungserbringer einen unverhältnismäßig hohen Aufwand bedeuten würde; für Verfahren zur Qualitätsprüfung nach § 135b Absatz 2 kann dies auch eine gesonderte Stelle bei den Kassenärztlichen Vereinigungen sein. Die Gründe für die Übertragung sind in den Richtlinien, Beschlüssen und Vereinbarungen darzulegen. Bei einer Vollerhebung nach Absatz 1 Satz 5 hat die Pseudonymisierung durch eine von den Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweiligen Verbänden räumlich organisatorisch und personell getrennten Vertrauensstelle zu erfolgen.

(2a) Enthalten die für Zwecke des Absatz 1 Satz 1 verarbeiteten Daten noch keine den Anforderungen des § 290 Absatz 1 Satz 2 entsprechende Krankenversichertennummer und ist in Richtlinien des Gemeinsamen Bundesausschusses vorgesehen, dass die Pseudonymisierung auf der Grundlage der Krankenversichertennummer nach § 290 Absatz 1 Satz 2 erfolgen soll, kann der Gemeinsame Bundesausschuss in den Richtlinien ein Übergangsverfahren regeln, das einen Abgleich der für einen Versicherten vorhandenen Krankenversichertennummern ermöglicht. In diesem Fall hat er in den Richtlinien eine von den Krankenkassen und ihren Verbänden räumlich, organisatorisch und personell getrennte eigenständige Vertrauensstelle zu bestimmen, die dem Sozialgeheimnis nach § 35 Absatz 1 des Ersten Buches unterliegt, an die die Krankenkassen für die in das Qualitätssicherungsverfahren einbezogenen Versicherten die vorhandenen Krankenversichertennummern übermitteln. Weitere Daten dürfen nicht übermittelt werden. Der Gemeinsame Bundesausschuss hat in den Richtlinien die Dauer der Übergangsregelung und den Zeitpunkt der Löschung der Daten bei der Stelle nach Satz 2 festzulegen.

(3) Zur Auswertung der für Zwecke der Qualitätssicherung nach § 135a Abs. 2 erhobenen Daten bestimmen in den Fällen des § 136 Absatz 1 Satz 1 und § 136b der Gemeinsame Bundesausschuss und im Falle des § 137d die Vereinbarungspartner eine unabhängige Stelle. Diese darf Auswertungen nur für Qualitätssicherungsverfahren mit zuvor in den Richtlinien, Beschlüssen oder Vereinbarungen festgelegten Auswertungszielen durchführen. Daten, die für Zwecke der Qualitätssicherung nach § 135a Abs. 2 für ein Qualitätssicherungsverfahren verarbeitet werden, dürfen nicht mit für andere Zwecke als die Qualitätssicherung erhobenen Datenbeständen zusammengeführt und ausgewertet werden. Für die unabhängige Stelle gilt § 35 Absatz 1 des Ersten Buches entsprechend. Abweichend von Satz 1 ist für die in § 136 Absatz 1 Satz 1 Nummer 1 genannten Maßnahmen zur datengestützten einrichtungsübergreifenden Qualitätssicherung das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen die unabhängige Stelle im Sinne des Satzes 1.

(4) Der Gemeinsame Bundesausschuss kann zur Durchführung von Patientenbefragungen für Zwecke der Qualitätssicherung in den Richtlinien und Beschlüssen nach den §§ 136 bis 136b eine zentrale Stelle (Versendestelle) bestimmen, die die Auswahl der zu befragenden Versicherten und die Versendung der Fragebögen übernimmt. In diesem Fall regelt er in den Richtlinien oder Beschlüssen die Einzelheiten des Verfahrens; insbesondere legt er die Auswahlkriterien fest und bestimmt, wer welche Daten an die Versendestelle zu übermitteln hat. Dabei kann er auch die Übermittlung nicht pseudonymisierter personenbezogener Daten der Versicherten und nicht pseudonymisierter personen- oder einrichtungsbezogener Daten der Leistungserbringer vorsehen, soweit dies für die Auswahl der Versicherten oder die Versendung der Fragebögen erforderlich ist. Der Rücklauf der ausgefüllten Fragebögen darf nicht über die Versendestelle erfolgen. Die Versendestelle muss von den Krankenkassen und ihren Verbänden, den Kassenärztlichen Vereinigungen und ihren Verbänden, der Vertrauensstelle nach Absatz 2 Satz 5, dem Institut nach § 137a und sonstigen nach Absatz 1 Satz 2 festgelegten Datenempfängern räumlich, organisatorisch und personell getrennt sein. Die Versendestelle darf über die Daten nach Satz 2 hinaus weitere Behandlungs-, Leistungs- oder Sozialdaten von Versicherten auf Grund anderer Vorschriften nur verarbeiten, sofern diese Datenverarbeitung organisatorisch, personell und räumlich von der Datenverarbeitung für den Zweck der Versendestelle nach Satz 1 getrennt ist und nicht zum Zweck der Qualitätssicherung in den Richtlinien und Beschlüssen nach den §§ 136 bis 136b erfolgt. Die Versendestelle hat die ihr übermittelten Identifikationsmerkmale der Versicherten in gleicher Weise geheim zu halten wie derjenige, von dem sie sie erhalten hat; sie darf diese Daten anderen Personen oder Stellen nicht zugänglich machen. Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, zugelassenen Krankenhäuser und übrigen Leistungserbringer gemäß § 135a Absatz 2 sowie die Krankenkassen sind befugt und verpflichtet, die vom Gemeinsamen Bundesausschuss nach Satz 2 festgelegten Daten an die Stelle nach Satz 1 zu übermitteln. Die Daten nach Satz 8 sind von der Versendestelle spätestens sechs Monate nach Versendung der Fragebögen zu löschen, es sei denn, dass es aus methodischen Gründen der Befragung erforderlich ist, bestimmte Daten länger zu verarbeiten. Dann sind diese Daten spätestens 24 Monate nach Versendung der Fragebögen zu löschen. Der Gemeinsame Bundesausschuss kann Patientenbefragungen auch in digitaler Form vorsehen; die Sätze 1 bis 10 gelten entsprechend.

(5) Der Gemeinsame Bundesausschuss ist befugt und berechtigt, abweichend von Absatz 3 Satz 3 transplantationsmedizinische Qualitätssicherungsdaten, die aufgrund der Richtlinien nach § 136 Absatz 1 Satz 1 Nummer 1 erhoben werden, nach § 15e des Transplantationsgesetzes an die Transplantationsregisterstelle zu übermitteln sowie von der Transplantationsregisterstelle nach § 15f des Transplantationsgesetzes übermittelte Daten für die Weiterentwicklung von Richtlinien und Beschlüssen zur Qualitätssicherung transplantationsmedizinischer Leistungen nach den §§ 136 bis 136c zu verarbeiten.

(6) Der Gemeinsame Bundesausschuss ist befugt und berechtigt, abweichend von Absatz 3 Satz 3 die Daten, die ihm von der Registerstelle des Implantateregisters Deutschland nach § 29 Absatz 1 Nummer 4 des Implantateregistergesetzes übermittelt werden, für die Umsetzung und Weiterentwicklung von Richtlinien und Beschlüssen zur Qualitätssicherung implantationsmedizinischer Leistungen nach den §§ 136 bis 136c zu verarbeiten.

(7) Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen ist befugt, folgende personen- und einrichtungsbezogenen Daten der Versicherten und der Krankenhäuser zum Zweck der Veröffentlichung im Transparenzverzeichnis nach § 135d zu verarbeiten:

1.: Daten, die das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen als unabhängige Stelle im Sinne des Absatzes 3 Satz 1 für die in § 136 Absatz 1 Satz 1 Nummer 1 genannten Maßnahmen zur datengestützten einrichtungsübergreifenden Qualitätssicherung erhält,
2.: Auswertungen und Daten, die dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen nach § 21 Absatz 3d des Krankenhausentgeltgesetzes übermittelt werden, sowie
3.: die Daten aus den in § 136b Absatz 1 Satz 1 Nummer 3 genannten strukturierten Qualitätsberichten der zugelassenen Krankenhäuser.

Abweichend von Absatz 3 Satz 3 darf das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen zum Zweck der Veröffentlichung im Transparenzverzeichnis nach § 135d die in Satz 1 genannten Daten zusammenführen und verarbeiten. Die in den Richtlinien nach § 136 Absatz 1 Satz 1 Nummer 1 für Maßnahmen zur datengestützten einrichtungsübergreifenden Qualitätssicherung bestimmten Datenannahmestellen sind verpflichtet, dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen zum Zweck der Veröffentlichung im Transparenzverzeichnis mitzuteilen, wie die in Satz 1 Nummer 1 genannten Daten, soweit sie den Zeitraum ab dem 1. Januar 2022 betreffen, einzelnen Standorten der Krankenhäuser zuzuordnen sind.

Elftes Kapitel - Telematikinfrastruktur | Erster Abschnitt - Anforderungen an die Telematikinfrastruktur

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(1) Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden. Die Verantwortlichkeit nach Satz 1 erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten. Für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 durch Verantwortliche nach Satz 1 erfolgt in der Anlage 2 zu diesem Gesetz eine Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 der Verordnung (EU) 2016/679. Soweit eine Datenschutz-Folgenabschätzung nach Satz 3 erfolgt, gilt für die Verantwortlichen nach Satz 1 Artikel 35 Absatz 1 bis 7 der Verordnung (EU) 2016/679 sowie § 38 Absatz 1 Satz 2 des Bundesdatenschutzgesetzes nicht.

(2) Der Betrieb der durch die Gesellschaft für Telematik spezifizierten und zugelassenen Zugangsdienste nach § 306 Absatz 2 Nummer 2 Buchstabe a liegt in der Verantwortung des jeweiligen Anbieters des Zugangsdienstes. Der Anbieter eines Zugangsdienstes darf personenbezogene Daten der Versicherten ausschließlich für Zwecke des Aufbaus und des Betriebs seines Zugangsdienstes verarbeiten. § 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ist entsprechend anzuwenden.

(3) Die Gesellschaft für Telematik erteilt einen Auftrag nach § 323 Absatz 2 Satz 1 zum alleinverantwortlichen Betrieb des gesicherten Netzes nach § 306 Absatz 2 Nummer 2 Buchstabe b, einschließlich der für den Betrieb notwendigen Dienste. Der Anbieter des gesicherten Netzes ist innerhalb des gesicherten Netzes verantwortlich für die Übertragung von personenbezogenen Daten, insbesondere von Gesundheitsdaten der Versicherten, zwischen Leistungserbringern, Kostenträgern sowie Versicherten und für die Übertragung im Rahmen der Anwendungen der elektronischen Gesundheitskarte. Der Anbieter des gesicherten Netzes darf die Daten ausschließlich zum Zweck der Datenübertragung verarbeiten. § 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ist entsprechend anzuwenden.

(4) Der Betrieb der Dienste der Anwendungsinfrastruktur nach § 306 Absatz 2 Nummer 3 erfolgt durch den jeweiligen Anbieter. Die Anbieter sind für die Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten der Versicherten, zum Zweck der Nutzung des jeweiligen Dienstes der Anwendungsinfrastruktur verantwortlich.

(5) Die Gesellschaft für Telematik ist Verantwortliche für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben nach § 311 Absatz 1 die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist. Die Gesellschaft für Telematik richtet für die Betroffenen eine koordinierende Stelle ein. Die koordinierende Stelle erteilt den Betroffenen allgemeine Informationen zur Telematikinfrastruktur sowie Auskunft über Zuständigkeiten innerhalb der Telematikinfrastruktur, insbesondere zur datenschutzrechtlichen Verantwortlichkeit nach dieser Vorschrift.

Fünfzehntes Kapitel - Weitere Übergangsvorschriften

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(Fundstelle: BGBl. I 2021, 1350 – 1361)

1	Zusammenfassung
2	Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V)
2.1	Systematische Beschreibung der Verarbeitungsvorgänge (Artikel 35 Absatz 7 Buchstabe a DSGVO)
2.1.1	Kategorien von Verarbeitungsvorgängen
2.1.2	Systematische Beschreibung
2.2	Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstabe b DSGVO)
2.3	Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstabe c DSGVO)
2.4	Abhilfemaßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO)
2.5	Einbeziehung betroffener Personen

1

Zusammenfassung

Diese Anlage enthält die Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 der Verordnung (EU) 2016/679 (DSGVO) gemäß § 307 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch (SGB V).

Die Datenschutz-Folgenabschätzung dieser Anlage betrachtet ausschließlich die von der Gesellschaft für Telematik zugelassenen Komponenten der dezentralen Telematikinfrastruktur (TI) nach § 306 Absatz 2 Nummer 1 SGB V. Da diese dezentralen Komponenten jedoch nur einen Teilbereich der gesamten IT-Unterstützung beim Leistungserbringer darstellen und der Leistungserbringer regelmäßig weitere Betriebsmittel nutzen wird, hat der Leistungserbringer zu prüfen, ob nach Artikel 35 DSGVO für diese weiteren Betriebsmittel eine ergänzende Datenschutz-Folgenabschätzung durchzuführen ist.

Ergebnis der Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V):

Die korrekte Nutzung einer von der Gesellschaft für Telematik gemäß § 325 SGB V zugelassenen Komponente der dezentralen Infrastruktur der TI nach § 306 Absatz 2 Nummer 1 SGB V ist geeignet, ein Schutzniveau zu gewährleisten, das dem hohen Risiko entspricht, welches aus der Datenverarbeitung für die Rechte und Freiheiten der Betroffenen folgt, sofern die Komponenten vom Leistungserbringer gemäß Betriebshandbuch betrieben werden und der Leistungserbringer für seine Ablauforganisation sowie die weiteren genutzten dezentralen Betriebsmittel (z. B. IT-gestützter Arbeitsplatz, aktive Netzwerkkomponenten) die Vorschriften zum Schutz personenbezogener Daten einhält.

Die technischen Maßnahmen der Komponenten der dezentralen Infrastruktur der TI zur Gewährleistung der Datensicherheit werden gemäß § 311 Absatz 2 SGB V im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) festgelegt und wirken den Risiken für die Rechte und Freiheiten der Betroffenen angemessen entgegen. Die korrekte Implementierung dieser Maßnahmen in den Komponenten der dezentralen Infrastruktur der Hersteller wird der Gesellschaft für Telematik im Rahmen des Zulassungsprozesses gemäß § 325 SGB V nachgewiesen.

Die in dieser Anlage betrachteten Verarbeitungsvorgänge der dezentralen Komponenten der TI entsprechen den konkreten Verarbeitungsvorgängen in den Komponenten der dezentralen TI eines Leistungserbringers. Die Komponenten der dezentralen TI stellen technisch sicher, dass Leistungserbringer mit diesen Komponenten ausschließlich die in dieser Anlage betrachteten Verarbeitungsvorgänge durchführen können. Es ist mit diesen Komponenten nicht möglich, darüber hinausgehende oder abweichende Verarbeitungsvorgänge durchzuführen. Zur Verhinderung einer negativen Beeinflussung der Verarbeitungen in den Komponenten besitzen die Komponenten geprüfte Schutzmaßnahmen. Die konkrete Einsatzumgebung der Komponenten der dezentralen TI ist spezifisch für den jeweiligen Leistungserbringer; für diese hat der Leistungserbringer daher erforderlichenfalls eine eigene ergänzende Datenschutz-Folgenabschätzung durchzuführen.

2

Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V)

Die Datenschutz-Folgenabschätzung für die Komponenten der dezentralen Infrastruktur der TI gemäß § 306 Absatz 2 Nummer 1 SGB V basiert auf den Kriterien der „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 ,wahrscheinlich ein hohes Risiko mit sich bringt‘ (Artikel 29 WP 248 Rev. 1)“ der Datenschutzgruppe nach Artikel 29 (nun Europäischer Datenschutzausschuss; der Europäische Datenschutzausschuss hat die mit der Datenschutz-Grundverordnung zusammenhängenden Leitlinien der Artikel-29-Datenschutzgruppe – darunter die soeben genannte – bei seiner ersten Plenarsitzung bestätigt, so dass diese fortgelten).

2.1

Systematische Beschreibung der Verarbeitungsvorgänge (Artikel 35 Absatz 7 Buchstabe a DSGVO)

Mittels der Komponenten der dezentralen TI nutzen Leistungserbringer Anwendungen der TI, Dienste der zentralen TI oder der Anwendungsinfrastruktur der TI sowie über die TI erreichbare Anwendungen bzw. Dienste. Die Komponenten bieten den Leistungserbringern zudem Funktionen zur Ver- bzw. Entschlüsselung und Signatur von Daten.

Die Gesellschaft für Telematik und die Krankenkassen stellen Informationsmaterial öffentlich zur Verfügung, in dem die Funktionsweise der Anwendungen der TI erklärt wird. Zudem veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite die Spezifikationen, auf deren Basis die Komponenten und Dienste der TI entwickelt und zugelassen werden müssen.

2.1.1

Kategorien von Verarbeitungsvorgängen

Die Verarbeitungsvorgänge in der dezentralen Infrastruktur lassen sich in drei Kategorien unterteilen:

Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung

Kategorie 2: Weitere Verarbeitung (betrifft ausschließlich Verschlüsselung, Signatur, Authentifizierung)

Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen.

Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung

Diese Kategorie umfasst alle Verarbeitungsvorgänge, in denen einer Komponente der dezentralen Infrastruktur personenbezogene Daten übergeben werden (z. B. vom Primärsystem) und in denen die Komponente der dezentralen Infrastruktur die übergebenen Daten unverändert an die vorgesehene Empfängerkomponente weiterleitet.

Empfängerkomponenten können Teil der zentralen TI, der Anwendungsinfrastruktur der TI oder eines an die TI angeschlossenen Netzes sein. Empfängerkomponenten können selbst Teil der dezentralen Infrastruktur sein (z. B. Kartenterminals).

Die Komponente der dezentralen Infrastruktur übernimmt für diese Verarbeitungsvorgänge lediglich eine Weiterleitungsfunktion. Eine weitere Verarbeitung der transportierten Daten erfolgt nicht.

Zu dieser Kategorie gehören insbesondere Verarbeitungsvorgänge

der weiteren Anwendungen nach § 327 SGB V,

der sicheren Übermittlungsverfahren nach § 311 Absatz 1 Nummer 5 SGB V sowie

der Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 2, 6 und 7 SGB V.

Kategorie 2: Weitere Verarbeitung (Verschlüsselung, Signatur, Authentifizierung)

Zu dieser Kategorie gehören die Ver- und Entschlüsselungen sowie die Signaturoperationen, die mittels der Verschlüsselungs- und Signaturfunktionen der dezentralen Infrastruktur durchgeführt werden. Hier werden die zu verschlüsselnden bzw. zu entschlüsselnden Daten sowie die zu signierenden Daten übergeben. Es erfolgt keine über die Ver- bzw. Entschlüsselung bzw. Signatur hinausgehende Verarbeitung in den Komponenten der dezentralen Infrastruktur.

Die Funktionen zur Ver- und Entschlüsselung sowie der Signatur können durch Anwendungen der Kategorie 1 und 3 genutzt werden.

Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen

In diesen Verarbeitungsvorgängen werden die einer Komponente der dezentralen Infrastruktur übergebenen Daten in der dezentralen Infrastruktur anwendungsspezifisch verarbeitet, d. h. die Verarbeitung ist im Gegensatz zu den bisherigen Kategorien nicht auf den Transport, die Ver- und Entschlüsselung oder die Signatur beschränkt.

Zu dieser Kategorie gehören die Verarbeitungsvorgänge

des Versichertenstammdatenmanagements nach § 291b SGB V sowie

der Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 3 bis 5 SGB V.

2.1.2

Systematische Beschreibung

Die systematische Beschreibung hat nach Erwägungsgrund (ErwG) 90 sowie Artikel 35 Absatz 7 Buchstabe a und Absatz 8 DSGVO sowie nach den „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 ,wahrscheinlich ein hohes Risiko mit sich bringt‘“ der Artikel-29-Datenschutzgruppe (WP 248) zu enthalten:

Kriterium	Beschreibung
Art der Verarbeitung: (ErwG 90 DSGVO)	siehe Abschnitt 2.1.1
Umfang der Verarbeitung: (ErwG 90 DSGVO)	Die Komponenten der dezentralen Infrastruktur der TI verarbeiten insbesondere besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO, nämlich Gesundheitsdaten natürlicher Personen (Versicherter) i.S.v. Artikel 4 Nummer 15 DSGVO. Dies sind beispielsweise elektronische Arztbriefe, medizinische Befunde und Diagnosen, der elektronische Medikationsplan nach § 31a SGB V, die elektronischen Notfalldaten, elektronische Impfdokumentation oder elektronische Verordnungen. Es werden zudem insbesondere Daten gemäß § 291a Absatz 2 und 3 SGB V (Versichertenstammdaten) verarbeitet. Zum ordnungsgemäßen Betrieb der Komponenten der dezentralen Infrastruktur der TI erfolgt eine Protokollierung innerhalb der Komponenten. Diese Protokolle enthalten keine personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO. Sie können personenbezogene Daten des Leistungserbringers enthalten, bei denen es sich regelmäßig nicht um besondere Kategorien personenbezogener Daten handelt. In den Komponenten werden die Benutzernamen der berechtigten Administratoren hinterlegt. Die Benutzernamen werden vom Leistungserbringer oder vom beauftragten Dienstleister frei gewählt. Die Benutzernamen der Administratoren können auch Pseudonyme sein, sofern die Administratoren eindeutig unterschieden werden können. Personenbezogene Daten von Versicherten können in Protokollen nur im Falle eines Fehlers zum Zwecke der Behebung des Fehlers temporär gespeichert werden. Zum Zwecke der netztechnischen Adressierung besitzen Komponenten der dezentralen Infrastruktur IP-Adressen. Von der Verarbeitung betroffene Personen sind: – Versicherte, – Leistungserbringer sowie – ggf. Administratoren der Komponenten.
Umstände bzw. Kontext der Verarbeitung: (Artikel-29-Datenschutzgruppe, WP 248, 21)	Kategorie 1: Die Verarbeitung erfolgt im Kontext einer Anwendung bzw. der Nutzung eines Dienstes durch den Leistungserbringer, die bzw. der über die dezentrale Infrastruktur der TI technisch erreichbar ist (z. B. Nutzung einer weiteren Anwendung nach § 327 SGB V). Kategorie 2: Die Verarbeitung erfolgt im Rahmen einer vom Leistungserbringer gewünschten Ver- bzw. Entschlüsselung oder Signatur von Daten, die der Leistungserbringer auswählt. Kategorie 3: Die Verarbeitung der personenbezogenen Daten in den dezentralen Komponenten der TI erfolgt im Rahmen der Versorgung von Versicherten gemäß den im SGB V festgelegten Zwecken.
Zweck der Verarbeitung: (Artikel 35 Absatz 7 Buchstabe a DSGVO)	Kategorie 1: Der Zweck beschränkt sich auf die Weiterleitung der Daten an den korrekten Empfänger. Es erfolgt keine darüber hinausgehende Verarbeitung der Daten in den Komponenten der dezentralen Infrastruktur der TI. Kategorie 2: Zweck ist die Ver- bzw. Entschlüsselung bzw. Signatur der übergebenen Daten. Kategorie 3: Die Zwecke der Verarbeitungen sind gesetzlich im SGB V festgelegt. – Den Zweck des Versichertenstammdatenmanagements legt § 291b Absatz 1 und 2 SGB V fest. – Die Anwendungen nach § 334 Absatz 1 Satz 2 SGB V dienen gemäß § 334 Absatz 1 Satz 1 SGB V der Verbesserung der Wirtschaftlichkeit, der Qualität und der Transparenz der Versorgung. Der Zweck der einzelnen Anwendungen ist in § 334 Absatz 1 Satz 2 SGB V festgelegt und wird für einzelne Anwendungen in weiteren Paragraphen des SGB V konkretisiert (z. B. für die elektronische Patientenakte in § 341 SGB V).
Empfängerinnen und Empfänger: (Artikel-29-Datenschutzgruppe, WP 248, 21)	Kategorie 1: Die der dezentralen Komponente übergebenen Daten werden an die gewählte Empfängerkomponente weitergeleitet. Die Empfänger der Daten in den Empfängerkomponenten sind abhängig von der Anwendung bzw. dem Dienst, zu der bzw. zu dem die Empfängerkomponente gehört. Kategorie 2: Empfänger der ver- bzw. entschlüsselten bzw. signierten Daten ist der Leistungserbringer, der die Daten der Komponenten zur Ver- bzw. Entschlüsselung bzw. Signatur übergeben hat. Kategorie 3: Die in der dezentralen Komponente verarbeiteten Daten einer Anwendung können an die berechtigten Empfänger dieser Anwendung weitergeleitet werden. Die für die Anwendungen dieser Kategorie berechtigten Empfänger sind im SGB V gesetzlich festgelegt; ihnen wird durch Gesetz eine Berechtigung zum Zugriff auf die Daten der Anwendungen erteilt.
Speicherdauer: (Artikel-29-Datenschutzgruppe, WP 248, 21)	In den Komponenten der dezentralen Infrastruktur der TI werden keine personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO persistent gespeichert. Sie werden nur temporär für den erforderlichen Zweck verarbeitet und danach sofort gelöscht. Eine persistente Speicherung von personenbezogenen Daten kann in den Protokollen der Komponenten erfolgen. Die Protokolle mit Personenbezug werden dabei nach einem festgelegten Turnus durch die Komponente automatisch gelöscht bzw. können aktiv vom Administrator der Komponente gelöscht werden. Die nach außen sichtbaren IP-Adressen der Komponenten werden regelmäßig gewechselt.
Funktionelle Beschreibung der Verarbeitung: (Artikel 35 Absatz 7 Buchstabe a DSGVO)	Kategorie 1: Hier erfolgt nur eine Weiterleitung übergebener Daten. Es erfolgt keine weitere Verarbeitung der Daten. Kategorie 2: Es handelt sich ausschließlich um Funktionen zur Ver- und Entschlüsselung sowie Signatur. Kategorie 3: Die Funktionalität dieser Anwendungen ist gesetzlich festgelegt. Die Konkretisierung dieser Funktionen in den Komponenten erfolgt in den Spezifikationen der Gesellschaft für Telematik, die auf deren Internetseite veröffentlicht werden.
Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur): (Artikel-29-Datenschutzgruppe, WP 248, 21)	Die Komponenten der dezentralen Infrastruktur werden von der Gesellschaft für Telematik spezifiziert. Die Spezifikationen sind von der Gesellschaft für Telematik auf ihrer Internetseite veröffentlicht. Bei der Spezifikation werden die technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten gemäß Artikel 25 und 32 DSGVO berücksichtigt.
Eingehaltene, gemäß Artikel 40 DSGVO genehmigte Verhaltensregeln: (Artikel-29-Datenschutzgruppe, WP 248, 21)	Es wurden keine Verhaltensregeln gemäß Artikel 40 DSGVO berücksichtigt.

2.2

Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstabe b DSGVO)

Im Rahmen der Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge müssen nach den ErwGen 90 und 96, nach Artikel 35 Absatz 7 Buchstabe b und d DSGVO sowie nach den „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 ,wahrscheinlich ein hohes Risiko mit sich bringt‘“ der Artikel-29-Datenschutzgruppe (WP 248) Maßnahmen zur Einhaltung der Verordnung bestimmt werden, wobei Folgendes berücksichtigt werden muss:

Maßnahmen im Sinne der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung (Artikel 5 und 6 DSGVO) sowie

Maßnahmen im Sinne der Rechte der Betroffenen (Artikel 12 bis 21, 28, 36 und Kapitel V DSGVO).

Kriterium	Beschreibung
Festgelegter Zweck: (Artikel 5 Absatz 1 Buchstabe b DSGVO)	Kategorie 1: Der Zweck ist die Weiterleitung der Daten ohne sonstige Verarbeitung der Daten. Kategorie 2: Der Zweck ist durch die Funktionen Ver- bzw. Entschlüsselung und Signatur festgelegt. Kategorie 3: Die Zwecke der Anwendungen dieser Kategorie sind gesetzlich im SGB V festgelegt.
Eindeutiger Zweck: (Artikel 5 Absatz 1 Buchstabe b DSGVO)	Die Zwecke sind eindeutig. Für die Anwendungen nach den §§ 291b, 334 und 311 SGB V sind die Zwecke im SGB V eindeutig festgelegt; eine zweckfremde Verarbeitung unterliegt den Straf- und Bußgeldvorschriften der §§ 397 und 399 SGB V.
Legitimer Zweck: (Artikel 5 Absatz 1 Buchstabe b DSGVO)	Kategorie 1: Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen einer Anwendung, die der Leistungserbringer über die dezentrale Infrastruktur technisch erreicht. Im Rahmen der Nutzung dieser Anwendung (die selbst einem legitimen Zweck unterliegen muss) ist die Weiterleitung der Daten durch die dezentrale Infrastruktur nur ein technisches Hilfsmittel zur Nutzung der vom Leistungserbringer gewählten Anwendung und für die Nutzung der Anwendung erforderlich. Kategorie 2: Der Leistungserbringer verarbeitet die Daten für seine eigenen Zwecke. Er bestimmt den Zeitpunkt der Ver- bzw. Entschlüsselung bzw. Signatur und die Daten, die ver- bzw. entschlüsselt bzw. signiert werden sollen. Kategorie 3: Die Zwecke der Verarbeitung der Daten in den Anwendungen dieser Kategorie sind legitim, da sie der Verbesserung der Wirtschaftlichkeit, der Qualität und der Transparenz der Versorgung im deutschen Gesundheitswesen dienen.
Rechtmäßigkeit der Verarbeitung: (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 6 DSGVO	Kategorie 1: Die Rechtmäßigkeit basiert auf der Rechtmäßigkeit der Verarbeitung der Daten in der Anwendung, die der Leistungserbringer nutzt und an die die dezentrale Infrastruktur der TI die Daten technisch weiterleitet. Kategorie 2: Der Leistungserbringer verarbeitet die Daten für seine eigenen Zwecke, wobei es sich regelmäßig um Behandlungszwecke handelt, deren gesetzliche Verarbeitungsgrundlagen sich in § 22 Absatz 1 BDSG bzw. – im Falle der Verarbeitung durch Krankenhäuser oder Landeseinrichtungen – in speziellen Rechtsgrundlagen finden. Der Leistungserbringer bestimmt den Zeitpunkt der Ver- bzw. Entschlüsselung bzw. Signatur und die Daten, die ver- bzw. entschlüsselt bzw. signiert werden sollen. Kategorie 3: Die Rechtmäßigkeit ergibt sich aus – Artikel 6 Absatz 1 Buchstabe c DSGVO i.V.m. § 291b SGB V beim Versichertenstammdatenmanagement bzw. – der gesetzlichen Befugnis zur Verarbeitung nach § 339 Absatz 1 für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich als Verarbeitungsgrundlage im Recht eines Mitgliedstaats im Sinne von Artikel 9 Absatz 2 Buchstabe h in Verbindung mit Artikel 9 Absatz 3 DSGVO bei Anwendungen nach § 334 SGB V vorbehaltlich eines Widerspruchs des Versicherten nach § 339 Absatz 1, nach § 353 Absatz 1 und 2 bzw. – einer Einwilligung des Versicherten nach Artikel 9 Absatz 2 Buchstabe a DSGVO und nach § 339 Absatz 1a, § 353 Absatz 3 bis 6 SGB V bei Anwendungen nach § 334 SGB V.
Angemessenheit und Erheblichkeit der Verarbeitung, Beschränktheit der Verarbeitung auf das notwendige Maß: (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 5 Absatz 1 Buchstabe c DSGVO)	Kategorie 1: Die Verarbeitung ist auf die Weiterleitung von Daten an die vom Leistungserbringer gewünschte Empfängerkomponente beschränkt. Eine weitere Verarbeitung der Daten erfolgt nicht. Die Weiterleitung der Daten ist notwendig, damit der Leistungserbringer die zur Empfängerkomponente gehörende Anwendung nutzen kann. Da neben der Weiterleitung keine weitere Verarbeitung der Daten in den Komponenten der dezentralen Infrastruktur erfolgt, ist die Verarbeitung mit Blick auf ihren Zweck minimal.
	Kategorie 2: Um Daten ver- bzw. entschlüsseln bzw. signieren zu können, müssen diese Daten verarbeitet werden. Eine darüber hinausgehende Verarbeitung der Daten erfolgt nicht, so dass die Datenverarbeitung mit Blick auf ihren Zweck minimal ist. Kategorie 3: Die Verarbeitung setzt die gesetzlichen Vorgaben des SGB V um. Es erfolgen keine Verarbeitungen, die über den gesetzlichen Zweck hinausgehen. – Der Umfang der Versichertenstammdaten ist in § 291a SGB V festgelegt. – Die in den Anwendungen nach § 334 SGB V verarbeiteten medizinischen Daten sind im SGB V abstrakt gesetzlich festgelegt. Die Konkretisierung dieser Daten erfolgt in den Spezifikationen der Gesellschaft für Telematik, die diese auf ihrer Internetseite veröffentlicht. Die Festlegungen in den Spezifikationen werden nach § 311 Absatz 2 SGB V im Benehmen mit dem BSI und dem BfDI getroffen.
	Die Protokolldaten in den Komponenten der dezentralen Infrastruktur dienen der Analyse von Fehlern und Sicherheitsvorfällen sowie der Analyse der Performanz. Die Protokolle sind für einen sicheren und ordnungsgemäßen Betrieb des Konnektors notwendig. In den Protokollen werden keine personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO gespeichert. Die IP-Adresse des Konnektors ist für die Kommunikation mit der zentralen TI technisch notwendig. Es wird bei jedem Neuaufbau einer Verbindung zur zentralen TI zufällig eine IP-Adresse zugewiesen.
Speicherbegrenzung: (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 5 Absatz 1 Buchstabe e DSGVO)	siehe Speicherdauer in Abschnitt 2.1.2
Informationspflicht gegenüber Betroffenem: (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 12, 13 und 14 DSGVO)	Kategorie 1: Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen einer Anwendung, die der Leistungserbringer über die dezentrale Infrastruktur technisch erreicht. Der Verantwortliche für die Anwendung hat die Informationspflichten gemäß DSGVO zu erfüllen. Kategorie 2: Der Leistungserbringer verarbeitet seine eigenen Daten zu eigenen Zwecken. Eine Information von betroffenen Personen ist nicht erforderlich. Kategorie 3: Der Leistungserbringer ist gemäß § 307 Absatz 1 Satz 1 SGB V Verantwortlicher für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur und hat somit die Informationspflichten gegenüber den Betroffenen zu erfüllen. Begleitend werden Versicherten generelle Informationen zur TI zur Verfügung gestellt. Diesbezügliche gesetzliche Informationspflichten ergeben sich insbesondere aus den folgenden Normen: – § 314 SGB V verpflichtet die Gesellschaft für Telematik, auf ihrer Internetseite Informationen für die Versicherten in präziser, transparenter, verständlicher, leicht zugänglicher und barrierefreier Form zur Verfügung zu stellen. – Die §§ 291, 342, 343 und 358 SGB V verpflichten die Krankenkassen zur Information von Versicherten: Gemäß § 291 Absatz 5 SGB V informiert die Krankenkasse den Versicherten spätestens bei der Versendung der elektronischen Gesundheitskarte an diesen umfassend und in allgemein verständlicher, barrierefreier Form über die Funktionsweise der elektronischen Gesundheitskarte und über die Art der personenbezogenen Daten, die nach § 291a SGB V mittels der elektronischen Gesundheitskarte zu verarbeiten sind.
	Gemäß § 343 SGB V haben Krankenkassen umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Zur Unterstützung der Informationspflichten der Krankenkassen nach § 343 SGB V hat der Spitzenverband Bund der Krankenkassen im Benehmen mit dem BfDI geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen. Jede Krankenkasse richtet zudem nach § 342a Absatz 1 SGB V eine Ombudsstelle ein, an die sich Versicherte mit ihren Anliegen im Zusammenhang mit der elektronischen Patientenakte wenden können. Die Ombudsstellen nehmen insbesondere Widersprüche von Versicherten nach § 342a Absatz 2 bis 4 entgegen und stellen den Versicherten nach § 342a Absatz 5 auf Antrag die in § 309 Absatz 1 genannten Protokolldaten der elektronischen Patientenakte nach § 342 Absatz 1 Satz 2 zur Verfügung. Mit der Einführung der elektronischen Notfalldaten, der elektronischen Patientenkurzakte und des elektronischen Medikationsplans haben die Krankenkassen den Versicherten auch hierzu nach § 358 Absatz 9 SGB V geeignetes Informationsmaterial in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache barrierefrei zur Verfügung zu stellen. Auch dieses Informationsmaterial ist gemäß § 358 Absatz 10 SGB V im Benehmen mit dem BfDI zu erstellen.
Auskunftsrecht der betroffenen Personen: (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 15 DSGVO)	Diese Anlage i.V.m. den Informationen gemäß den §§ 314 und 343 SGB V gibt den Versicherten Auskunft über die in Artikel 15 DSGVO geforderten Informationen. Die Informationen nach § 314 Satz 1 Nummer 7 und 8 SGB V enthalten insbesondere die Benennung der Verantwortlichen für die Daten im Hinblick auf die verschiedenen Datenverarbeitungsvorgänge und die Pflichten der datenschutzrechtlich Verantwortlichen sowie die Rechte des Versicherten gegenüber den datenschutzrechtlich Verantwortlichen nach der DSGVO. In den Komponenten der dezentralen Infrastruktur werden zudem keine Daten von Versicherten persistent gespeichert.
Recht auf Berichtigung und Löschung: (Artikel-29-Datenschutzgruppe, WP 248, 21 i.V.m. Artikel 16, 17 und 19)	In den Komponenten der dezentralen Infrastruktur werden Daten von Versicherten nur temporär verarbeitet und dann sofort gelöscht. Es erfolgt keine persistente Speicherung von Daten der Versicherten.
Recht auf Datenübertragbarkeit: (Artikel 20 DSGVO)	Es werden in den Komponenten der dezentralen Infrastruktur keine Daten von Versicherten persistent gespeichert, so dass keine Daten übertragen werden könnten.
Auftragsverarbeiterinnen und Auftragsverarbeiter: (Artikel 28 DSGVO)	Der Leistungserbringer ist nach § 307 Absatz 1 Satz 1 SGB V Verantwortlicher für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur. Falls der Leistungserbringer einen Auftragsverarbeiter mit dem Betrieb der dezentralen Komponenten der TI beauftragt, hat der Leistungserbringer die Einhaltung der Vorgaben gemäß Artikel 28 DSGVO zu gewährleisten.
Schutzmaßnahmen bei der Übermittlung in Drittländer: (Kapitel V DSGVO)	Kategorie 1: Die Verarbeitung in der dezentralen Infrastruktur der TI erfolgt im Rahmen einer Anwendung, die der Leistungserbringer über die dezentrale Infrastruktur technisch erreicht. Der Verantwortliche für die Anwendung hat bei der Übermittlung in Drittländer die Schutzmaßnahmen gemäß DSGVO zu berücksichtigen. Kategorie 2: Es erfolgt keine Übermittlung an Drittländer. Kategorie 3: Es erfolgt keine Übermittlung an Drittländer, da die Dienste innerhalb der EU bzw. des EWR betrieben werden müssen.
Vorherige Konsultation: (Artikel 36 und ErwG 96 DSGVO)	Gemäß § 311 Absatz 2 SGB V hat die Gesellschaft für Telematik die Festlegungen und Maßnahmen für die TI nach § 311 Absatz 1 Nummer 1 SGB V im Benehmen mit dem BSI und dem BfDI zu treffen. Dies umfasst insbesondere auch die Erstellung der funktionalen und technischen Vorgaben der Komponenten der dezentralen Infrastruktur der TI.

2.3

Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstabe c DSGVO)

Die Risiken für die Rechte und Freiheiten der betroffenen Personen sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (ErwGe 76, 77, 84 und 90 DSGVO). Nach den ErwGen 75 und 85 DSGVO sind unter anderem die potentiellen Risiken dieses Abschnitts genannt.

Risikoquellen sind

beim Leistungserbringer tätige Personen inklusive des Leistungserbringers als Verantwortlicher, die unbeabsichtigt und unbewusst den zulässigen Rahmen der Verarbeitung überschreiten könnten,

Angreifer, die bewusst aus der Umgebung des Leistungserbringers in die Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen,

Angreifer, die bewusst von außerhalb der Leistungserbringerumgebung in die Verarbeitungsvorgänge der Komponenten der dezentralen TI eingreifen wollen,

Hersteller der Komponenten der dezentralen TI sowie

technische Fehlfunktionen der Komponenten der dezentralen TI.

Da in den Komponenten der dezentralen TI besondere Kategorien personenbezogener Daten verarbeitet werden, besteht ein hohes Ausgangsrisiko für die Rechte und Freiheiten natürlicher Personen. Das hohe Ausgangsrisiko wird durch die Abhilfemaßnahmen in Abschnitt 2.4 auf ein angemessenes Risiko gesenkt, falls die dezentralen Komponenten vom Leistungserbringer gemäß Betriebshandbuch betrieben werden. Durch die Anwendung der in § 75b SGB V geforderten Richtlinie zur IT-Sicherheit, die IT-Sicherheitsanforderungen an Krankenhäuser nach § 391 SGB V und die Anforderungen an die Wartung von Diensten gemäß § 332 SGB V werden Risiken im Betrieb der dezentralen Komponenten der TI wesentlich gesenkt.

Da die Maßnahmen der Komponenten der dezentralen TI zur Gewährleistung der Datensicherheit in gleicher Weise auf alle in den Komponenten verarbeiteten personenbezogenen Daten wirken und nicht spezifisch für einzelne Verarbeitungsvorgänge sind, erfolgt die Bewertung der Angemessenheit der Abhilfemaßnahmen der Komponenten hinsichtlich der Daten, deren Verarbeitung die höchsten Risiken für die Betroffenen bedeutet, nach dem Maximum-Prinzip. Es handelt sich hierbei um die personenbezogenen Daten nach Artikel 9 Absatz 1 DSGVO der Versicherten. Nach diesen Daten bestimmen sich die in den Komponenten zu treffenden Abhilfemaßnahmen. Die Abhilfemaßnahmen sind dann ebenfalls angemessen für die Verarbeitung der weniger sensiblen Daten.

Die Risikobewertung orientiert sich am Standard-Datenschutzmodell (SDM) der Aufsichtsbehörden für den Datenschutz und den dort definierten Gewährleistungszielen. Die Schadens- und Eintrittswahrscheinlichkeitsstufen sowie die Risikomatrix orientieren sich am DSK-Kurzpapier Nummer 18 „Risiko für die Rechte und Freiheiten natürlicher Personen“ i.V.m. der ISO/IEC 29134:2017 zum Privacy Impact Assessment. In der folgenden Tabelle werden die einzelnen Risiken identifiziert, inklusive Schadenshöhe, Schadensereignissen, betroffenen Gewährleistungszielen des Standard-Datenschutzmodells und Eintrittswahrscheinlichkeit. Die Bewertung der Eintrittswahrscheinlichkeit erfolgt unter Berücksichtigung der referenzierten Abhilfemaßnahmen, die detailliert in Abschnitt 2.4 beschrieben sind.

Schaden	Beschreibung der Schadensereignisse	Eintrittswahrscheinlichkeit (EWS) mit Abhilfemaßnahmen (Abschnitt 2.4)
Physische, materielle oder immaterielle Schäden, finanzielle Verluste, erhebliche wirtschaftliche Nachteile: (ErwG 90 i.V.m 85 DSGVO) Schadenshöhe: groß	Durch die unbefugte, unrechtmäßige oder zweckfremde Verarbeitung sowie eine unbefugte Offenlegung oder Änderung der in den Komponenten der dezentralen TI verarbeiteten Gesundheitsdaten der Versicherten können Versicherte große immaterielle Schäden erleiden. Bei einer unbefugten Offenlegung der Gesundheitsdaten ihrer Patienten können Leistungserbringer materielle, immaterielle, finanzielle bzw. wirtschaftliche Schäden erleiden, da Leistungserbringer dem Berufsgeheimnis mit zugehörigen Straf- und Bußgeldvorschriften, insbesondere dem Straftatbestand des § 203 StGB, unterliegen. Zusätzlich können Geldbußen gemäß Artikel 83 DSGVO verhängt werden. Die Nutzung der Komponenten der dezentralen Infrastruktur der TI und die Anbindung an die TI dürfen nicht dazu führen, dass Leistungserbringer gegen das Berufsgeheimnis oder die Vorgaben der DSGVO verstoßen.	EWS: geringfügig – Minimierung der Ver- arbeitung personen- bezogener Daten – Schnellstmögliche Pseudonymisierung – Datensicherheits- maßnahmen
	Betroffene Gewährleistungsziele (SDM): Datenminimierung, Nichtverkettung, Vertraulichkeit, Integrität
Verlust der Kontrolle über personenbezogene Daten: (ErwG 90 i.V.m. 85 DSGVO) Schadenshöhe: groß	Ein Angreifer (insbesondere auch der Hersteller) könnte die Komponenten der dezentralen TI manipulieren, was zu einer für den Versicherten oder den Leistungserbringer intransparenten Datenverarbeitung führen würde. Es könnte das Risiko bestehen, dass eine Verarbeitung von personenbezogenen Daten in den Komponenten der dezentralen Infrastruktur für die Versicherten im Nachhinein nicht erkannt werden kann und dass er nicht in diese Datenverarbeitung intervenieren (z. B. ihr widersprechen) kann. Betroffene Gewährleistungsziele (SDM): Transparenz, Intervenierbarkeit	EWS: geringfügig – Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten – Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen – Datensicherheits- maßnahmen
Diskriminierung, Rufschädigung, erhebliche gesellschaftliche Nachteile: (ErwG 90 i.V.m. 85 DSGVO) Schadenshöhe: groß	Die Verarbeitung von Daten besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO birgt Risiken einer Diskriminierung oder Rufschädigung für Versicherte, falls Gesundheitsdaten über den Versicherten offengelegt, unbefugt oder unrechtmäßig verarbeitet werden. Dies kann zu erheblichen gesellschaftlichen Nachteilen für den Versicherten führen. Falls Gesundheitsdaten, die ein Leistungserbringer verarbeitet, unberechtigt offengelegt werden und der Leistungserbringer somit sein Berufsgeheimnis verletzt, kann dies zu einer Rufschädigung des Leistungserbringers führen. Betroffene Gewährleistungsziele (SDM): Datenminimierung, Nichtverkettung, Vertraulichkeit, Integrität	EWS: geringfügig – Minimierung der Ver- arbeitung personen- bezogener Daten – Schnellstmögliche Pseudonymisierung – Datensicherheits- maßnahmen – Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen
Identitätsdiebstahl oder -betrug: (ErwG 90 i.V.m. 85 DSGVO) Schadenshöhe: groß	In den Komponenten der dezentralen Infrastruktur der TI werden kryptographische Identitäten von Versicherten und Leistungserbringern verarbeitet. Ein Missbrauch dieser Identitäten durch eine unbefugte oder unrechtmäßige Nutzung muss verhindert werden, um Schäden für den Versicherten oder Leistungserbringer abzuwehren. Hierdurch könnte z. B. unter der Identität des Versicherten oder Leistungserbringers gehandelt werden, um medizinische Daten zu lesen, zu ändern oder weiterzugeben. Betroffene Gewährleistungsziele (SDM): Datenminimierung, Nichtverkettung, Vertraulichkeit, Integrität	EWS: geringfügig – Minimierung der Ver- arbeitung personen- bezogener Daten – Datensicherheits- maßnahmen
Verlust der Vertraulichkeit bei Berufsgeheimnissen: (ErwG 90 i.V.m. 85 DSGVO) Schadenshöhe: groß	In den Komponenten der dezentralen Infrastruktur der TI werden Daten verarbeitet, die unter das Berufsgeheimnis fallen. Der Verlust der Vertraulichkeit dieser Daten durch eine unbefugte Offenlegung muss verhindert werden, damit Leistungserbringer ihren Geheimhaltungspflichten nachkommen können. Neben einer Rufschädigung können den Leistungserbringer Straf- und Bußgeldvorschriften (insbesondere § 203 StGB) treffen. Betroffene Gewährleistungsziele (SDM): Datenminimierung, Vertraulichkeit, Integrität	EWS: geringfügig – Minimierung der Ver- arbeitung personen- bezogener Daten – Schnellstmögliche Pseudonymisierung – Datensicherheits- maßnahmen
Beeinträchtigung/Verlust der Verfügbarkeit Schadenshöhe: geringfügig	Eine Beeinträchtigung bzw. der Verlust der Verfügbarkeit der Komponenten der dezentralen TI durch technische Fehlfunktionen könnte dazu führen, dass a) Dienste in der zentralen TI, der Anwendungsinfrastruktur der TI oder eines an die TI angeschlossenen Netzes oder b) lokale Funktionen (insbesondere Verschlüsselung, Signatur, Authentifizierung)	EWS: überschaubar Ein Ausfall einer Komponente kann nicht ausgeschlossen werden. Zusätzliche Abhilfemaßnahmen zur Verfügbarkeit der Komponenten der dezentralen TI sind aufgrund des geringen Risikos nicht erforderlich.
	vom Leistungserbringer nicht mehr genutzt werden können. Durch eine beeinträchtige Verfügbarkeit der Komponenten der dezentralen TI ergeben sich nur geringfügige Schäden für Versicherte oder Leistungserbringer, da die Verarbeitungen nicht zeitkritisch sind bzw. es Ersatzverfahren gibt. Es ist zudem nur eine Leistungserbringerumgebung betroffen. Betroffene Gewährleistungsziele (SDM): Verfügbarkeit

2.4

Abhilfemaßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO)

Gemäß Artikel 35 Absatz 7 Buchstabe d DSGVO sind zur Bewältigung der Risiken Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, umzusetzen, durch die die Risiken für die Rechte der Betroffenen eingedämmt werden und der Schutz personenbezogener Daten sichergestellt wird.

Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den ErwGen 28, 78 und 83 DSGVO genannt:

Kriterium	Beschreibung
Minimierung der Verarbeitung personenbezogener Daten: (ErwG 78 DSGVO)	Kategorie 1: Die Verarbeitung ist mit Blick auf den Zweck der Weiterleitung von Daten minimal. Eine über den Transport hinausgehende Verarbeitung erfolgt nicht. Der Umfang der transportierten Daten ist abhängig von der über die dezentrale Infrastruktur genutzten Anwendung. Der Verantwortliche dieser Anwendung hat entsprechende Maßnahmen zur Minimierung zu ergreifen. Dies liegt jedoch nicht in der Verantwortung des Leistungserbringers als Nutzer der Anwendung. Kategorie 2: Die Verarbeitung ist minimal, da sie nur die zum Zwecke der Ver- bzw. Entschlüsselung bzw. Signatur benötigten Daten verarbeitet. Kategorie 3: Die Verarbeitung ist minimal, da in den Anwendungen dieser Kategorie ausschließlich die Daten verarbeitet werden, die zur Erfüllung des gesetzlich vorgegebenen Zweckes erforderlich sind. Zudem werden Anwendungsdaten in den Komponenten der dezentralen Infrastruktur nach der Verarbeitung sofort gelöscht und nicht persistent gespeichert. Die Spezifikationen zu diesen Anwendungen sowie Art und Umfang der verarbeiteten Daten werden im Benehmen mit dem BfDI erstellt und sind öffentlich für eine Prüfung verfügbar.
Schnellstmögliche Pseudonymisierung personenbezogener Daten (ErwG 28 und 78 DSGVO)	Kategorie 1: Die Daten werden unverändert weitergeleitet. Es erfolgt keine weitere Verarbeitung in den Komponenten der dezentralen Infrastruktur, d. h. auch keine Pseudonymisierung. Der Verantwortliche der Anwendung, zu der die transportierten Daten gehören, hat entsprechende Maßnahmen zur Pseudonymisierung zu ergreifen. Dies liegt jedoch nicht in der Verantwortung des Leistungserbringers als Nutzer der Anwendung. Kategorie 2: Zweck ist die Ver- bzw. Entschlüsselung bzw. Signatur der übergebenen Daten. Eine Pseudonymisierung und damit Veränderung der Daten ist nicht gewünscht. Kategorie 3: Eine Pseudonymisierung der personenbezogenen Daten in den Anwendungen dieser Kategorie erfolgt, sofern es für den gesetzlich vorgegebenen Zweck möglich ist. Bei der Gestaltung der Anwendungen werden die Artikel 25 und 32 DSGVO berücksichtigt. Die Spezifikationen zu diesen Anwendungen sowie Art und Umfang der verarbeiteten Daten werden im Benehmen mit dem BfDI erstellt und sind öffentlich für eine Prüfung verfügbar.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten (ErwG 78 DSGVO):	Durch die Veröffentlichung der Spezifikationen der Komponenten der dezentralen Infrastruktur auf der Internetseite der Gesellschaft für Telematik können die Funktionen und die generelle Verarbeitung personenbezogener Daten in den Komponenten der dezentralen Infrastruktur der TI von der Öffentlichkeit kostenlos nachvollzogen werden. Experten für Datenschutz und Sicherheit können die Spezifikationen auf die Einhaltung der Vorschriften des Datenschutzes prüfen. Die Gesellschaft für Telematik und die Krankenkassen sind gemäß den §§ 314 und 343 SGB V verpflichtet, für die Versicherten in präziser, transparenter, verständlicher, leicht zugänglicher und barrierefreier Form Informationen zur TI zur Verfügung zu stellen. Die Informationen müssen über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Zur Unterstützung der Informationspflichten der Krankenkassen nach § 343 SGB V hat der Spitzenverband Bund der Krankenkassen im Benehmen mit dem BfDI geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.
Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen (ErwG 78 DSGVO)	Kategorie 1: Von den Verantwortlichen der Anwendungen, die über die Komponenten der dezentralen Infrastruktur für den Leistungserbringer erreichbar sind, sind Maßnahmen nach ErwG 78 DSGVO zu treffen. Kategorie 2: In den Komponenten der dezentralen Infrastruktur erfolgt eine Protokollierung der Nutzung der Funktionen, die eine Überwachung der Verarbeitung ermöglicht. Kategorie 3: Für die Anwendungen dieser Kategorie bestehen gesetzliche Protokollierungspflichten gemäß § 309 SGB V zum Zwecke der Datenschutzkontrolle für den Versicherten. Die Protokollierungspflichten richten sich dabei an den Verantwortlichen der Anwendung und nicht an den Leistungserbringer. Der Versicherte kann sich nach Einsicht der Protokolldaten nach § 309 SGB V, die gemäß § 342a Absatz 5 SGB V auch bei den Ombudsstellen der Krankenkassen nach § 342a Absatz 1 SGB V beantragt werden kann, im Rahmen von Artikel 15 DSGVO an den Leistungserbringer wenden, um nähere Auskünfte über die den Leistungserbringer betreffenden Protokolleinträge nach § 309 SGB V zu erhalten. Für die Auskunft kann der Leistungserbringer auch die in den Komponenten der dezentralen Infrastruktur erfolgte Protokollierung nutzen.
Datensicherheitsmaßnahmen: (ErwG 78 und 83 DSGVO)	Die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer sind verpflichtet, die Vorgaben der Richtlinie zur IT-Sicherheit gemäß § 75b SGB V zu beachten; Krankenhäuser haben die IT-Sicherheitsanforderungen nach § 391 SGB V einzuhalten. Diese Richtlinie umfasst auch Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der TI, die in der vertragsärztlichen und vertragszahnärztlichen Versorgung genutzt werden, d. h. insbesondere auch die Komponenten der dezentralen Infrastruktur der TI sowie Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit (Steigerung der Security-Awareness). Die Anforderungen in der Richtlinie werden u. a. im Benehmen mit dem BSI sowie im Benehmen mit dem BfDI festgelegt. Wenn ein Leistungserbringer einen Dienstleister mit der Herstellung und der Wartung des Anschlusses von informationstechnischen Systemen der Leistungserbringer an die TI einschließlich der Wartung hierfür benötigter Komponenten sowie der Anbindung an Dienste der TI beauftragt, muss dieser Dienstleister gemäß § 332 SGB V besondere Sorgfalt walten lassen
	und über die notwendige Fachkunde verfügen. Die technischen Maßnahmen der Komponenten der dezentralen Infrastruktur der TI zur Gewährleistung der Datensicherheit hat die Gesellschaft für Telematik gemäß § 311 Absatz 2 SGB V im Benehmen mit dem BSI und dem BfDI zu treffen, so dass Fragen der Sicherheit und des Datenschutzes bei der Gestaltung der Komponenten berücksichtigt werden, insbesondere auch die Vorgaben der Artikel 25 und 32 DSGVO. Darüber hinaus erfolgt der Nachweis der vollständigen Umsetzung der technischen Maßnahmen zur Gewährleistung der Datensicherheit in einer Komponente der dezentralen Infrastruktur eines Herstellers gemäß § 325 Absatz 3 SGB V im Rahmen der Zulassung der Komponente bei der Gesellschaft für Telematik durch eine Sicherheitszertifizierung nach den Vorgaben des BSI bzw. durch eine im Benehmen mit dem BSI festgelegte abweichende Form des Nachweises der Sicherheit. Auch die Hersteller von Komponenten der dezentralen Infrastruktur können gemäß § 325 Absatz 5 SGB V von der Gesellschaft für Telematik zugelassen werden, um insbesondere eine ausreichende Qualität der Herstellerprozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten zu gewährleisten. Um die Wirksamkeit der technischen Maßnahmen der Komponenten der dezentralen Infrastruktur der TI zur Gewährleistung der Datensicherheit kontinuierlich aufrechtzuerhalten, werden diese Maßnahmen kontinuierlich von der Gesellschaft für Telematik und dem BSI bewertet. Insbesondere ist die Gesellschaft für Telematik gemäß § 333 SGB V dazu verpflichtet, dem BSI auf Verlangen Unterlagen und Informationen u. a. zu den Zulassungen von Komponenten der dezentralen Infrastruktur einschließlich der zugrundeliegenden Dokumentation sowie festgestellten Sicherheitsmängeln vorzulegen. Die Gesellschaft für Telematik kann zudem für die Komponenten der dezentralen Infrastruktur gemäß § 331 Absatz 1 SGB V im Benehmen mit dem BSI solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der TI zu gewährleisten. Soweit von den Komponenten der dezentralen Infrastruktur der TI eine Gefahr für die Funktionsfähigkeit oder Sicherheit der TI ausgeht, kann die Gesellschaft für Telematik gemäß § 329 SGB V unverzüglich die erforderlichen technischen und organisatorischen Maßnahmen treffen. Das BSI ist hierüber von der Gesellschaft für Telematik zu informieren.

Die Abhilfemaßnahmen sind für alle Risikoquellen anwendbar. Technischen Fehlfunktionen der Komponenten der dezentralen TI wird im Rahmen der Zulassung durch funktionale Tests und Sicherheitsüberprüfungen entgegengewirkt.

2.5

Einbeziehung betroffener Personen

Gemäß § 311 Absatz 2 SGB V hat die Gesellschaft für Telematik die Festlegungen und Maßnahmen nach § 311 Absatz 1 Nummer 1 SGB V im Benehmen mit dem BSI und dem BfDI zu treffen. Die Aufgaben der Gesellschaft für Telematik nach § 311 Absatz 1 Nummer 1 SGB V umfassen hierbei insbesondere auch die Erstellung der funktionalen und technischen Vorgaben und die Zulassung der Komponenten der dezentralen Infrastruktur der TI.

Vertreter der Leistungserbringer sind als Gesellschafter der Gesellschaft für Telematik ebenfalls in die Erstellung der Vorgaben der dezentralen Infrastruktur der TI einbezogen.

Die Spezifikationen der Komponenten der dezentralen Infrastruktur der TI werden auf der Internetseite der Gesellschaft für Telematik veröffentlicht. Dadurch wird auch die Öffentlichkeit (u. a. Experten für Sicherheit und Datenschutz sowie Landesdatenschutzbehörden) einbezogen, so dass jederzeit die Möglichkeit der Prüfung der festgelegten Maßnahmen besteht.

Fünfzehntes Kapitel - Weitere Übergangsvorschriften

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(Fundstelle: BGBl. 2024 I Nr. 105, Seite 4 - 6)

Nummer	Leistungsgruppe
Internistische Leistungsgruppen
1	Allgemeine Innere Medizin
2	Komplexe Endokrinologie und Diabetologie
3	Infektiologie
4	Komplexe Gastroenterologie
5	Komplexe Nephrologie
6	Komplexe Pneumologie
7	Komplexe Rheumatologie
8	Stammzelltransplantation
9	Leukämie und Lymphome
10	EPU/Ablation
11	Interventionelle Kardiologie
12	Kardiale Devices
13	Minimalinvasive Herzklappenintervention
Chirurgische Leistungsgruppen
14	Allgemeine Chirurgie
15	Kinder- und Jugendchirurgie
16	Spezielle Kinder- und Jugendchirurgie
17	Plastische und Rekonstruktive Chirurgie
18	Bauchaortenaneurysma
19	Carotis operativ/interventionell
20	Komplexe periphere arterielle Gefäße
21	Herzchirurgie
22	Herzchirurgie – Kinder und Jugendliche
23	Endoprothetik Hüfte
24	Endoprothetik Knie
25	Revision Hüftendoprothese
26	Revision Knieendoprothese
27	Spezielle Traumatologie
28	Wirbelsäuleneingriffe
29	Thoraxchirurgie
30	Bariatrische Chirurgie
31	Lebereingriffe
32	Ösophaguseingriffe
33	Pankreaseingriffe
34	Tiefe Rektumeingriffe
Weitere Leistungsgruppen
35	Augenheilkunde
36	Haut- und Geschlechtskrankheiten
37	MKG
38	Urologie
39	Allgemeine Frauenheilkunde
40	Ovarial-CA
41	Senologie
42	Geburten
43	Perinataler Schwerpunkt
44	Perinatalzentrum Level 1
45	Perinatalzentrum Level 2
46	Allgemeine Kinder- und Jugendmedizin
47	Spezielle Kinder- und Jugendmedizin
48	Kinder-Hämatologie und -Onkologie – Stammzelltransplantation
49	Kinder-Hämatologie und -Onkologie – Leukämie und Lymphome
50	HNO
51	Cochleaimplantate
52	Neurochirurgie
53	Allgemeine Neurologie
54	Stroke Unit
55	Neuro-Frühreha (NNF, Phase B)
56	Geriatrie
57	Palliativmedizin
58	Darmtransplantation
59	Herztransplantation
60	Lebertransplantation
61	Lungentransplantation
62	Nierentransplantation
63	Pankreastransplantation
64	Intensivmedizin
65	Notfallmedizin

Fünfzehntes Kapitel - Weitere Übergangsvorschriften

Individuelle E-Mail Alerts einrichten Rechtstext von gesetze-im-internet.de abrufen

(Fundstelle: BGBl. I 2021, 1350 – 1361)

1	Zusammenfassung
2	Datenschutz-Folgenabschätzung (§ 307 Absatz 1 Satz 3 SGB V)
2.1	Systematische Beschreibung der Verarbeitungsvorgänge (Artikel 35 Absatz 7 Buchstabe a DSGVO)
2.1.1	Kategorien von Verarbeitungsvorgängen
2.1.2	Systematische Beschreibung
2.2	Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstabe b DSGVO)
2.3	Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstabe c DSGVO)
2.4	Abhilfemaßnahmen (Artikel 35 Absatz 7 Buchstabe d DSGVO)
2.5	Einbeziehung betroffener Personen