Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477) (SGB 5) : Betrieb der Telematikinfrastruktur

Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477): Inhaltsverzeichnis

Elftes Kapitel
Telematikinfrastruktur

Dritter Abschnitt
Betrieb der Telematikinfrastruktur

§ 323 Betriebsleistungen

(1) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik nach Maßgabe des § 306 Absatz 3

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

festzulegenden Rahmenbedingungen zu erbringen.

(2) Zur Durchführung des Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen. Sind nach § 311 Absatz 5

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 384,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse und
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig; § 311 Absatz 7

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 384,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse und
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

gilt entsprechend.

§ 324 Zulassung von Anbietern von Betriebsleistungen

(1) Anbieter von Betriebsleistungen haben einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach Maßgabe von § 311 Absatz 6

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 384,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse und
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

und § 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten auf ihrer Internetseite.

(6) Die für die Aufgaben nach Absatz 3 Satz 2 und 4 sowie nach Absatz 4 Satz 2 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistungen gewährleistet sind und
3.
der Anbieter sich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden.

(2) Die Gesellschaft für Telematik kann die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Funktionalität, Interoperabilität und des notwendigen Sicherheitsniveaus erforderlich ist.

(3) Die Gesellschaft für Telematik oder die von ihr beauftragten Organisationen veröffentlicht oder veröffentlichen

1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Absatz 1 Satz 1 Nummer 2 erfüllt sein müssen sowie
2.
eine Liste mit den zugelassenen Anbietern.

§ 325 Zulassung von Komponenten und Diensten der Telematikinfrastruktur

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten auf ihrer Internetseite.

(6) Die für die Aufgaben nach Absatz 3 Satz 2 und 4 sowie nach Absatz 4 Satz 2 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

§ 326 Verbot der Nutzung der Telematikinfrastruktur ohne Zulassung oder Bestätigung

Anbieter von Betriebsleistungen oder von Komponenten und Diensten der Telematikinfrastruktur müssen über die nach § 323 Absatz 2

(1) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik nach Maßgabe des § 306 Absatz 3 festzulegenden Rahmenbedingungen zu erbringen.

(2) Zur Durchführung des Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen. Sind nach § 311 Absatz 5 einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig; § 311 Absatz 7 gilt entsprechend.

und § 325 Absatz 1

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten auf ihrer Internetseite.

(6) Die für die Aufgaben nach Absatz 3 Satz 2 und 4 sowie nach Absatz 4 Satz 2 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

erforderliche Zulassung oder über die nach § 327 Absatz 2 Satz 1

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sowie die für die Wahrnehmung von Aufgaben nach den Absätzen 4 und 6 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung jeweils im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

erforderliche Bestätigung verfügen, bevor sie die Telematikinfrastruktur nutzen.

§ 327 Weitere Anwendungen der Telematikinfrastruktur; Bestätigungsverfahren

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 384,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse und
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sowie die für die Wahrnehmung von Aufgaben nach den Absätzen 4 und 6 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung jeweils im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

§ 328 Gebühren und Auslagen; Verordnungsermächtigung

(1) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen nach den §§ 324

(1) Anbieter von Betriebsleistungen haben einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach Maßgabe von § 311 Absatz 6 und § 325 zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistungen gewährleistet sind und
3.
der Anbieter sich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden.

(2) Die Gesellschaft für Telematik kann die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Funktionalität, Interoperabilität und des notwendigen Sicherheitsniveaus erforderlich ist.

(3) Die Gesellschaft für Telematik oder die von ihr beauftragten Organisationen veröffentlicht oder veröffentlichen

1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Absatz 1 Satz 1 Nummer 2 erfüllt sein müssen sowie
2.
eine Liste mit den zugelassenen Anbietern.

, 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten auf ihrer Internetseite.

(6) Die für die Aufgaben nach Absatz 3 Satz 2 und 4 sowie nach Absatz 4 Satz 2 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

und 327

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sowie die für die Wahrnehmung von Aufgaben nach den Absätzen 4 und 6 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung jeweils im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen.

(2) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen.

Referenzen

§ 323 Betriebsleistungen

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 384,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse und
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 384,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse und
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

§ 324 Zulassung von Anbietern von Betriebsleistungen

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 384,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse und
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten auf ihrer Internetseite.

(6) Die für die Aufgaben nach Absatz 3 Satz 2 und 4 sowie nach Absatz 4 Satz 2 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

§ 326 Verbot der Nutzung der Telematikinfrastruktur ohne Zulassung oder Bestätigung

(1) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik nach Maßgabe des § 306 Absatz 3 festzulegenden Rahmenbedingungen zu erbringen.

(2) Zur Durchführung des Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen. Sind nach § 311 Absatz 5 einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig; § 311 Absatz 7 gilt entsprechend.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten auf ihrer Internetseite.

(6) Die für die Aufgaben nach Absatz 3 Satz 2 und 4 sowie nach Absatz 4 Satz 2 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sowie die für die Wahrnehmung von Aufgaben nach den Absätzen 4 und 6 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung jeweils im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

§ 327 Weitere Anwendungen der Telematikinfrastruktur; Bestätigungsverfahren

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 384,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse und
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des Gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des Gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

(1) Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, der Spitzenverband Bund der Krankenkassen, die Kassenärztliche Bundesvereinigung, die Kassenzahnärztliche Bundesvereinigung, die Bundesärztekammer, die Bundeszahnärztekammer, die Deutsche Krankenhausgesellschaft sowie die für die Wahrnehmung der wirtschaftlichen Interessen gebildete maßgebliche Spitzenorganisation der Apotheker auf Bundesebene schaffen die Telematikinfrastruktur. Die Telematikinfrastruktur ist die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient und insbesondere

1.
erforderlich ist für die Nutzung der elektronischen Gesundheitskarte und der Anwendungen der Telematikinfrastruktur,
2.
geeignet ist
a)
für die Nutzung weiterer Anwendungen der Telematikinfrastruktur ohne Nutzung der elektronischen Gesundheitskarte nach § 327 und
b)
für die Verwendung für Zwecke der Gesundheits- und pflegerischen Forschung.
Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in Satz 1 genannten Spitzenorganisationen nehmen die Aufgabe nach Satz 1 nach Maßgabe des § 310 durch eine Gesellschaft für Telematik wahr.

(2) Die Telematikinfrastruktur umfasst

1.
eine dezentrale Infrastruktur bestehend aus Komponenten zur Authentifizierung und zur sicheren Übermittlung von Daten in die zentrale Infrastruktur,
2.
eine zentrale Infrastruktur bestehend aus
a)
sicheren Zugangsdiensten als Schnittstelle zur dezentralen Infrastruktur und
b)
einem gesicherten Netz einschließlich der für den Betrieb notwendigen Dienste sowie
3.
eine Anwendungsinfrastruktur bestehend aus Diensten für die Anwendungen nach diesem Kapitel.

(3) Für die Verarbeitung der zu den besonderen Kategorien im Sinne von Artikel 9 der Verordnung (EU) 2016/679 gehörenden personenbezogenen Daten in der Telematikinfrastruktur gilt ein dem besonderen Schutzbedarf entsprechendes hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen im Sinne des Artikels 32 der Verordnung (EU) 2016/679 Rechnung zu tragen ist.

(4) Anwendungen im Sinne dieses Kapitels sind nutzerbezogene Funktionalitäten auf der Basis von nach § 325 zugelassenen Diensten und Komponenten zur Verarbeitung von Gesundheitsdaten in der Telematikinfrastruktur sowie weitere nutzerbezogene Funktionalitäten nach § 327. Dienste im Sinne von Satz 1 sind zentral bereitgestellte und in der Telematikinfrastruktur betriebene technische Systeme, die einzelne Funktionalitäten der Telematikinfrastruktur umsetzen. Komponenten sind dezentrale technische Systeme oder deren Bestandteile.

§ 328 Gebühren und Auslagen; Verordnungsermächtigung

(1) Anbieter von Betriebsleistungen haben einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach Maßgabe von § 311 Absatz 6 und § 325 zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistungen gewährleistet sind und
3.
der Anbieter sich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden.

(2) Die Gesellschaft für Telematik kann die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Funktionalität, Interoperabilität und des notwendigen Sicherheitsniveaus erforderlich ist.

(3) Die Gesellschaft für Telematik oder die von ihr beauftragten Organisationen veröffentlicht oder veröffentlichen

1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Absatz 1 Satz 1 Nummer 2 erfüllt sein müssen sowie
2.
eine Liste mit den zugelassenen Anbietern.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten auf ihrer Internetseite.

(6) Die für die Aufgaben nach Absatz 3 Satz 2 und 4 sowie nach Absatz 4 Satz 2 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung de