Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477) (SGB 5) : Verfügbarkeit von Daten aus Anwendungen der Telematikinfrastruktur für Forschungszwecke

Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477): Inhaltsverzeichnis

Elftes Kapitel
Telematikinfrastruktur

Fünfter Abschnitt
Anwendungen der Telematikinfrastruktur

Achter Titel
Verfügbarkeit von Daten aus Anwendungen der Telematikinfrastruktur für Forschungszwecke

§ 363 Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken

(1) Versicherte können die Daten ihrer elektronischen Patientenakte freiwillig für die in § 303e Absatz 2 Nummer 2, 4, 5 und 7

(1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 3 bis 6 folgenden Nutzungsberechtigten zugänglich, soweit diese nach Absatz 2 zur Verarbeitung der Daten berechtigt sind:

1.
dem Spitzenverband Bund der Krankenkassen,
2.
den Bundes- und Landesverbänden der Krankenkassen,
3.
den Krankenkassen,
4.
den Kassenärztlichen Bundesvereinigungen und den Kassenärztlichen Vereinigungen,
5.
den für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene,
6.
den Institutionen der Gesundheitsberichterstattung des Bundes und der Länder,
7.
den Institutionen der Gesundheitsversorgungsforschung,
8.
den Hochschulen, den nach landesrechtlichen Vorschriften anerkannten Hochschulkliniken, öffentlich geförderten außeruniversitären Forschungseinrichtungen und sonstigen Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung, sofern die Daten wissenschaftlichen Vorhaben dienen,
9.
dem Gemeinsamen Bundesausschuss,
10.
dem Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen,
11.
dem Institut des Bewertungsausschusses,
12.
der oder dem Beauftragten der Bundesregierung und der Landesregierungen für die Belange der Patientinnen und Patienten,
13.
den für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene,
14.
dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen,
15.
dem Institut für das Entgeltsystem im Krankenhaus,
16.
den für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden und deren jeweiligen nachgeordneten Bereichen sowie den übrigen obersten Bundesbehörden,
17.
der Bundesärztekammer, der Bundeszahnärztekammer, der Bundespsychotherapeutenkammer sowie der Bundesapothekerkammer,
18.
der Deutschen Krankenhausgesellschaft.

(2) Soweit die Datenverarbeitung jeweils für die Erfüllung von Aufgaben der nach Absatz 1 Nutzungsberechtigten erforderlich ist, dürfen die Nutzungsberechtigten Daten für folgende Zwecke verarbeiten:

1.
Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,
2.
Verbesserung der Qualität der Versorgung,
3.
Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung,
4.
Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens,
5.
Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung,
6.
Analyse und Entwicklung von sektorenübergreifenden Versorgungsformen sowie von Einzelverträgen der Krankenkassen,
7.
Wahrnehmung von Aufgaben der Gesundheitsberichterstattung.

(3) Das Forschungsdatenzentrum macht einem Nutzungsberechtigten auf Antrag Daten zugänglich, wenn die Voraussetzungen nach Absatz 2 erfüllt sind. In dem Antrag hat der antragstellende Nutzungsberechtigte nachvollziehbar darzulegen, dass Umfang und Struktur der beantragten Daten geeignet und erforderlich sind, um die zu untersuchende Frage zu beantworten. Liegen die Voraussetzungen nach Absatz 2 vor, übermittelt das Forschungsdatenzentrum dem antragstellenden Nutzungsberechtigten die entsprechend den Anforderungen des Nutzungsberechtigten ausgewählten Daten anonymisiert und aggregiert. Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch anonymisierte und aggregierte Daten mit kleinen Fallzahlen übermitteln, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass ein nach Absatz 2 zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens, die Übermittlung dieser Daten erfordert.

(4) Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch pseudonymisierte Einzeldatensätze bereitstellen, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach Absatz 2 zulässigen Nutzungszweck, insbesondere für die Durchführung eines Forschungsvorhabens, erforderlich ist. Das Forschungsdatenzentrum stellt einem Nutzungsberechtigten die pseudonymisierten Einzeldatensätze ohne Sichtbarmachung der Pseudonyme für die Verarbeitung unter Kontrolle des Forschungsdatenzentrums bereit, soweit

1.
gewährleistet ist, dass diese Daten nur solchen Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, und
2.
durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann.
Personen, die nicht der Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, können pseudonymisierte Einzeldatensätze nach Satz 2 bereitgestellt werden, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet wurden. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes gilt entsprechend.

(5) Die Nutzungsberechtigten dürfen die nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten

1.
nur für die Zwecke nutzen, für die sie zugänglich gemacht werden,
2.
nicht an Dritte weitergeben, es sei denn, das Forschungsdatenzentrum genehmigt auf Antrag eine Weitergabe an einen Dritten im Rahmen eines nach Absatz 2 zulässigen Nutzungszwecks.
Die Nutzungsberechtigten haben bei der Verarbeitung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. Wird ein Bezug zu Personen, Leistungserbringern oder Leistungsträgern unbeabsichtigt hergestellt, so ist dies dem Forschungsdatenzentrum zu melden. Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt.

(6) Wenn die zuständige Datenschutzaufsichtsbehörde feststellt, dass Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entspricht, und wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen hat, informiert sie das Forschungsdatenzentrum. In diesem Fall schließt das Forschungsdatenzentrum den Nutzungsberechtigten für einen Zeitraum von bis zu zwei Jahren vom Datenzugang aus.

aufgeführten Forschungszwecke freigeben.

(2) Die Übermittlung der freigegebenen Daten nach Absatz 1 erfolgt an das Forschungsdatenzentrum nach § 303d

(1) Das Forschungsdatenzentrum hat folgende Aufgaben:

1.
die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach § 303b Absatz 3 und § 303c Absatz 3 für die Auswertung für Zwecke nach § 303e Absatz 2 aufzubereiten,
2.
Qualitätssicherungen der Daten vorzunehmen,
3.
Anträge auf Datennutzung zu prüfen,
4.
die beantragten Daten den Nutzungsberechtigten nach § 303e zugänglich zu machen,
5.
das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren,
6.
ein öffentliches Antragsregister mit Informationen zu den antragstellenden Nutzungsberechtigten, zu den Vorhaben, für die Daten beantragt wurden, und deren Ergebnissen aufzubauen und zu pflegen,
7.
die Verfahren der Datentransparenz zu evaluieren und weiterzuentwickeln,
8.
Nutzungsberechtigte nach § 303e Absatz 1 zu beraten,
9.
Schulungsmöglichkeiten für Nutzungsberechtigte anzubieten sowie
10.
die wissenschaftliche Erschließung der Daten zu fördern.

(2) Das Forschungsdatenzentrum richtet im Benehmen mit dem Bundesministerium für Gesundheit und dem Bundesministerium für Bildung und Forschung einen Arbeitskreis der Nutzungsberechtigten nach § 303e Absatz 1 ein. Der Arbeitskreis wirkt beratend an der Ausgestaltung, Weiterentwicklung und Evaluation des Datenzugangs mit.

(3) Das Forschungsdatenzentrum hat die versichertenbezogenen Einzeldatensätze spätestens nach 30 Jahren zu löschen.

und bedarf als Verarbeitungsbedingung einer informierten Einwilligung des Versicherten. Die Einwilligung erklärt der Versicherte über die Benutzeroberfläche eines geeigneten Endgeräts. Den Umfang der Datenfreigabe können Versicherte frei wählen und auf bestimmte Kategorien oder auf Gruppen von Dokumenten und Datensätzen oder auf spezifische Dokumente und Datensätze beschränken. Die Freigabe wird in der elektronischen Patientenakte dokumentiert.

(3) Die nach § 341 Absatz 4

(1) Die elektronische Patientenakte ist eine versichertengeführte elektronische Akte, die den Versicherten von den Krankenkassen auf Antrag zur Verfügung gestellt wird. Die Nutzung ist für die Versicherten freiwillig. Mit ihr sollen den Versicherten auf Verlangen Informationen, insbesondere zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten, für eine einrichtungs-, fach- und sektorenübergreifende Nutzung für Zwecke der Gesundheitsversorgung, insbesondere zur gezielten Unterstützung von Anamnese und Befunderhebung, barrierefrei elektronisch bereitgestellt werden.

(2) Es besteht die Möglichkeit zur Einstellung folgender Daten in die elektronische Patientenakte:

1.
medizinische Informationen über den Versicherten für eine einrichtungsübergreifende, fachübergreifende und sektorenübergreifende Nutzung, insbesondere
a)
Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen,
b)
Daten des elektronischen Medikationsplans nach § 334 Absatz 1 Satz 2 Nummer 4,
c)
Daten der elektronischen Notfalldaten nach § 334 Absatz 1 Satz 2 Nummer 5,
d)
Daten in elektronischen Briefen zwischen den an der Versorgung der Versicherten teilnehmenden Ärzten und Einrichtungen (elektronische Arztbriefe),
2.
Daten zum Nachweis der regelmäßigen Inanspruchnahme zahnärztlicher Vorsorgeuntersuchungen gemäß § 55 Absatz 1 in Verbindung mit § 92 Absatz 1 Satz 2 Nummer 2 (elektronisches Zahn-Bonusheft),
3.
Daten gemäß der nach § 92 Absatz 1 Satz 2 Nummer 3 und Absatz 4 in Verbindung mit § 26 beschlossenen Richtlinie des Gemeinsamen Bundesausschusses zur Früherkennung von Krankheiten bei Kindern (elektronisches Untersuchungsheft für Kinder),
4.
Daten gemäß der nach § 92 Absatz 1 Satz 2 Nummer 4 in Verbindung mit den §§ 24c bis 24f beschlossenen Richtlinie des Gemeinsamen Bundesausschusses über die ärztliche Betreuung während der Schwangerschaft und nach der Entbindung (elektronischer Mutterpass),
5.
Daten der Impfdokumentation nach § 22 des Infektionsschutzgesetzes (elektronische Impfdokumentation),
6.
Gesundheitsdaten, die durch den Versicherten zur Verfügung gestellt werden,
7.
Daten des Versicherten aus einer von den Krankenkassen nach § 68 finanzierten elektronischen Akte des Versicherten,
8.
bei den Krankenkassen gespeicherte Daten über die in Anspruch genommenen Leistungen des Versicherten,
9.
Daten, die der Versicherte seiner Krankenkasse für die Nutzung in zusätzlichen von der Krankenkasse angebotenen Anwendungen nach § 345 Absatz 1 Satz 1 zur Verfügung stellen kann,
10.
Daten zur pflegerischen Versorgung des Versicherten nach den §§ 24g, 37, 37b, 37c, 39a und 39c und der Haus- oder Heimpflege nach § 44 des Siebten Buches und nach dem Elften Buch,
11.
Daten elektronischer Verordnungen nach § 360 Absatz 1,
12.
die nach § 73 Absatz 2 Satz 1 Nummer 9 ausgestellte Bescheinigung über eine Arbeitsunfähigkeit und
13.
sonstige von den Leistungserbringern für den Versicherten bereitgestellte Daten.

(3) Die für die elektronische Patientenakte erforderlichen Komponenten und Dienste werden auf Antrag des jeweiligen Anbieters der Komponenten und Dienste nach § 325 von der Gesellschaft für Telematik zugelassen.

(4) Die Krankenkassen, die ihren Versicherten eine elektronische Patientenakte zur Verfügung stellen, sind gemäß § 307 Absatz 4 die für die Verarbeitung der Daten zum Zweck der Nutzung der elektronischen Patientenakte Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679. § 307 Absatz 1 bis 3 bleibt unberührt. Unbeschadet ihrer Verantwortlichkeit nach Satz 1 können die Krankenkassen mit der Zurverfügungstellung von elektronischen Patientenakten für ihre Versicherten Anbieter von elektronischen Patientenakten als Auftragsverarbeiter beauftragen.

(5) Die Telematikinfrastruktur darf nur für solche nach § 325 zugelassenen elektronischen Patientenakten verwendet werden, die von einer Krankenkasse, von Unternehmen der privaten Krankenversicherung oder von den sonstigen Einrichtungen gemäß § 362 Absatz 1 angeboten werden.

(6) Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben gegenüber der jeweils zuständigen Kassenärztlichen Vereinigung oder Kassenzahnärztlichen Vereinigung nachzuweisen, dass sie über die für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Dienste verfügen. Wird der Nachweis nicht bis zum 30. Juni 2021 erbracht, ist die Vergütung vertragsärztlicher Leistungen pauschal um 1 Prozent zu kürzen; die Vergütung ist so lange zu kürzen, bis der Nachweis gegenüber der Kassenärztlichen Vereinigung erbracht ist. Das Bundesministerium für Gesundheit kann die Frist nach Satz 1 durch Rechtsverordnung mit Zustimmung des Bundesrates verlängern. Die Kürzungsregelung nach Satz 2 findet im Fall, dass bereits eine Kürzung der Vergütung nach § 291b Absatz 5 erfolgt, keine Anwendung.

(7) Die Krankenhäuser haben sich bis zum 1. Januar 2021 mit den für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Diensten auszustatten und sich an die Telematikinfrastruktur nach § 306 anzuschließen. Soweit Krankenhäuser ihrer Verpflichtung zum Anschluss an die Telematikinfrastruktur nach Satz 1 nicht nachkommen, sind § 5 Absatz 3e Satz 1 des Krankenhausentgeltgesetzes oder § 5 Absatz 5 der Bundespflegesatzverordnung anzuwenden. Die Kürzungsregelung nach Satz 2 findet im Fall, dass bereits eine Kürzung der Vergütung nach § 291b Absatz 5 erfolgt, keine Anwendung.

für die Datenverarbeitung in der elektronischen Patientenakte Verantwortlichen pseudonymisieren und verschlüsseln die mit der informierten Einwilligung nach den Absätzen 1 und 2 freigegebenen Daten, versehen diese mit einer Arbeitsnummer und übermitteln

1.
an das Forschungsdatenzentrum die pseudonymisierten und verschlüsselten Daten samt Arbeitsnummer,
2.
an die Vertrauensstellen nach § 303c

(1) Die Vertrauensstelle überführt die ihr nach § 303b Absatz 3 Satz 1 Nummer 2 übermittelten Lieferpseudonyme nach einem einheitlich anzuwendenden Verfahren nach Absatz 2 in periodenübergreifende Pseudonyme.

(2) Die Vertrauensstelle hat im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein schlüsselabhängiges Verfahren zur Pseudonymisierung festzulegen, das dem jeweiligen Stand der Technik und Wissenschaft entspricht. Das Verfahren zur Pseudonymisierung ist so zu gestalten, dass für das jeweilige Lieferpseudonym eines jeden Versicherten periodenübergreifend immer das gleiche Pseudonym erstellt wird, aus dem Pseudonym aber nicht auf das Lieferpseudonym oder die Identität des Versicherten geschlossen werden kann.

(3) Die Vertrauensstelle hat die Liste der Pseudonyme dem Forschungsdatenzentrum mit den Arbeitsnummern zu übermitteln. Nach der Übermittlung dieser Liste an das Forschungsdatenzentrum hat sie die diesen Pseudonymen zugrunde liegenden Lieferpseudonyme und Arbeitsnummern sowie die Pseudonyme zu löschen.

das Lieferpseudonym zu den freigegebenen Daten und die entsprechende Arbeitsnummer.
Die Vertrauensstelle überführt die Lieferpseudonyme in periodenübergreifende Pseudonyme und übermittelt dem Forschungsdatenzentrum eine Liste der periodenübergreifenden Pseudonyme mit den dazugehörigen Arbeitsnummern. Mit dem periodenübergreifenden Pseudonym und der bereits übersandten Arbeitsnummer verknüpft das Forschungsdatenzentrum die freigegebenen Daten mit den im Forschungsdatenzentrum vorliegenden Daten vorheriger Übermittlungen.

(4) Die an das Forschungsdatenzentrum freigegebenen Daten dürfen von diesem für die Erfüllung seiner Aufgaben verarbeitet und auf Antrag den Nutzungsberechtigten nach § 303e Absatz 1 Nummer 6, 7, 8, 10, 13, 14, 15 und 16

(1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 3 bis 6 folgenden Nutzungsberechtigten zugänglich, soweit diese nach Absatz 2 zur Verarbeitung der Daten berechtigt sind:

1.
dem Spitzenverband Bund der Krankenkassen,
2.
den Bundes- und Landesverbänden der Krankenkassen,
3.
den Krankenkassen,
4.
den Kassenärztlichen Bundesvereinigungen und den Kassenärztlichen Vereinigungen,
5.
den für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene,
6.
den Institutionen der Gesundheitsberichterstattung des Bundes und der Länder,
7.
den Institutionen der Gesundheitsversorgungsforschung,
8.
den Hochschulen, den nach landesrechtlichen Vorschriften anerkannten Hochschulkliniken, öffentlich geförderten außeruniversitären Forschungseinrichtungen und sonstigen Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung, sofern die Daten wissenschaftlichen Vorhaben dienen,
9.
dem Gemeinsamen Bundesausschuss,
10.
dem Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen,
11.
dem Institut des Bewertungsausschusses,
12.
der oder dem Beauftragten der Bundesregierung und der Landesregierungen für die Belange der Patientinnen und Patienten,
13.
den für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene,
14.
dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen,
15.
dem Institut für das Entgeltsystem im Krankenhaus,
16.
den für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden und deren jeweiligen nachgeordneten Bereichen sowie den übrigen obersten Bundesbehörden,
17.
der Bundesärztekammer, der Bundeszahnärztekammer, der Bundespsychotherapeutenkammer sowie der Bundesapothekerkammer,
18.
der Deutschen Krankenhausgesellschaft.

(2) Soweit die Datenverarbeitung jeweils für die Erfüllung von Aufgaben der nach Absatz 1 Nutzungsberechtigten erforderlich ist, dürfen die Nutzungsberechtigten Daten für folgende Zwecke verarbeiten:

1.
Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,
2.
Verbesserung der Qualität der Versorgung,
3.
Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung,
4.
Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens,
5.
Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung,
6.
Analyse und Entwicklung von sektorenübergreifenden Versorgungsformen sowie von Einzelverträgen der Krankenkassen,
7.
Wahrnehmung von Aufgaben der Gesundheitsberichterstattung.

(3) Das Forschungsdatenzentrum macht einem Nutzungsberechtigten auf Antrag Daten zugänglich, wenn die Voraussetzungen nach Absatz 2 erfüllt sind. In dem Antrag hat der antragstellende Nutzungsberechtigte nachvollziehbar darzulegen, dass Umfang und Struktur der beantragten Daten geeignet und erforderlich sind, um die zu untersuchende Frage zu beantworten. Liegen die Voraussetzungen nach Absatz 2 vor, übermittelt das Forschungsdatenzentrum dem antragstellenden Nutzungsberechtigten die entsprechend den Anforderungen des Nutzungsberechtigten ausgewählten Daten anonymisiert und aggregiert. Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch anonymisierte und aggregierte Daten mit kleinen Fallzahlen übermitteln, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass ein nach Absatz 2 zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens, die Übermittlung dieser Daten erfordert.

(4) Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch pseudonymisierte Einzeldatensätze bereitstellen, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach Absatz 2 zulässigen Nutzungszweck, insbesondere für die Durchführung eines Forschungsvorhabens, erforderlich ist. Das Forschungsdatenzentrum stellt einem Nutzungsberechtigten die pseudonymisierten Einzeldatensätze ohne Sichtbarmachung der Pseudonyme für die Verarbeitung unter Kontrolle des Forschungsdatenzentrums bereit, soweit

1.
gewährleistet ist, dass diese Daten nur solchen Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, und
2.
durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann.
Personen, die nicht der Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, können pseudonymisierte Einzeldatensätze nach Satz 2 bereitgestellt werden, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet wurden. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes gilt entsprechend.

(5) Die Nutzungsberechtigten dürfen die nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten

1.
nur für die Zwecke nutzen, für die sie zugänglich gemacht werden,
2.
nicht an Dritte weitergeben, es sei denn, das Forschungsdatenzentrum genehmigt auf Antrag eine Weitergabe an einen Dritten im Rahmen eines nach Absatz 2 zulässigen Nutzungszwecks.
Die Nutzungsberechtigten haben bei der Verarbeitung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. Wird ein Bezug zu Personen, Leistungserbringern oder Leistungsträgern unbeabsichtigt hergestellt, so ist dies dem Forschungsdatenzentrum zu melden. Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt.

(6) Wenn die zuständige Datenschutzaufsichtsbehörde feststellt, dass Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entspricht, und wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen hat, informiert sie das Forschungsdatenzentrum. In diesem Fall schließt das Forschungsdatenzentrum den Nutzungsberechtigten für einen Zeitraum von bis zu zwei Jahren vom Datenzugang aus.

bereitgestellt werden. § 303a Absatz 3,

(1) Die Aufgaben der Datentransparenz werden von öffentlichen Stellen des Bundes als Vertrauensstelle nach § 303c und als Forschungsdatenzentrum nach § 303d sowie vom Spitzenverband Bund der Krankenkassen als Datensammelstelle wahrgenommen. Das Bundesministerium für Gesundheit bestimmt im Benehmen mit dem Bundesministerium für Bildung und Forschung durch Rechtsverordnung ohne Zustimmung des Bundesrates zur Wahrnehmung der Aufgaben der Datentransparenz eine öffentliche Stelle des Bundes als Vertrauensstelle nach § 303c und eine öffentliche Stelle des Bundes als Forschungsdatenzentrum nach § 303d.

(2) Die Vertrauensstelle und das Forschungsdatenzentrum sind räumlich, organisatorisch und personell eigenständig zu führen. Sie unterliegen dem Sozialgeheimnis nach § 35 des Ersten Buches und unterstehen der Rechtsaufsicht des Bundesministeriums für Gesundheit.

(3) Die Kosten, die den öffentlichen Stellen nach Absatz 1 durch die Wahrnehmung der Aufgaben der Datentransparenz entstehen, tragen die Krankenkassen nach der Zahl ihrer Mitglieder.

(4) In der Rechtsverordnung nach Absatz 1 Satz 2 ist auch das Nähere zu regeln

1.
zu spezifischen Festlegungen zu Art und Umfang der nach § 303b Absatz 1 Satz 1 zu übermittelnden Daten und zu den Fristen der Datenübermittlung nach § 303b Absatz 1 Satz 1,
2.
zur Datenverarbeitung durch den Spitzenverband Bund der Krankenkassen nach § 303b Absatz 2 und 3 Satz 1 und 2,
3.
zum Verfahren der Pseudonymisierung der Versichertendaten nach § 303c Absatz 1 und 2 und zum Verfahren der Übermittlung der Pseudonyme an das Forschungsdatenzentrum nach § 303c Absatz 3 durch die Vertrauensstelle,
4.
zur Wahrnehmung der Aufgaben nach § 303d Absatz 1 und § 303e einschließlich der Bereitstellung von Einzeldatensätzen nach § 303e Absatz 4 durch das Forschungsdatenzentrum,
5.
zur Verkürzung der Höchstfrist für die Aufbewahrung von Einzeldatensätzen nach § 303d Absatz 3,
6.
zur Evaluation und Weiterentwicklung der Datentransparenz,
7.
zur Erstattung der Kosten nach Absatz 3 einschließlich der zu zahlenden Vorschüsse.

§ 303c Absatz 1 und 2,

(1) Die Vertrauensstelle überführt die ihr nach § 303b Absatz 3 Satz 1 Nummer 2 übermittelten Lieferpseudonyme nach einem einheitlich anzuwendenden Verfahren nach Absatz 2 in periodenübergreifende Pseudonyme.

(2) Die Vertrauensstelle hat im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein schlüsselabhängiges Verfahren zur Pseudonymisierung festzulegen, das dem jeweiligen Stand der Technik und Wissenschaft entspricht. Das Verfahren zur Pseudonymisierung ist so zu gestalten, dass für das jeweilige Lieferpseudonym eines jeden Versicherten periodenübergreifend immer das gleiche Pseudonym erstellt wird, aus dem Pseudonym aber nicht auf das Lieferpseudonym oder die Identität des Versicherten geschlossen werden kann.

(3) Die Vertrauensstelle hat die Liste der Pseudonyme dem Forschungsdatenzentrum mit den Arbeitsnummern zu übermitteln. Nach der Übermittlung dieser Liste an das Forschungsdatenzentrum hat sie die diesen Pseudonymen zugrunde liegenden Lieferpseudonyme und Arbeitsnummern sowie die Pseudonyme zu löschen.

die §§ 303d

(1) Das Forschungsdatenzentrum hat folgende Aufgaben:

1.
die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach § 303b Absatz 3 und § 303c Absatz 3 für die Auswertung für Zwecke nach § 303e Absatz 2 aufzubereiten,
2.
Qualitätssicherungen der Daten vorzunehmen,
3.
Anträge auf Datennutzung zu prüfen,
4.
die beantragten Daten den Nutzungsberechtigten nach § 303e zugänglich zu machen,
5.
das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren,
6.
ein öffentliches Antragsregister mit Informationen zu den antragstellenden Nutzungsberechtigten, zu den Vorhaben, für die Daten beantragt wurden, und deren Ergebnissen aufzubauen und zu pflegen,
7.
die Verfahren der Datentransparenz zu evaluieren und weiterzuentwickeln,
8.
Nutzungsberechtigte nach § 303e Absatz 1 zu beraten,
9.
Schulungsmöglichkeiten für Nutzungsberechtigte anzubieten sowie
10.
die wissenschaftliche Erschließung der Daten zu fördern.

(2) Das Forschungsdatenzentrum richtet im Benehmen mit dem Bundesministerium für Gesundheit und dem Bundesministerium für Bildung und Forschung einen Arbeitskreis der Nutzungsberechtigten nach § 303e Absatz 1 ein. Der Arbeitskreis wirkt beratend an der Ausgestaltung, Weiterentwicklung und Evaluation des Datenzugangs mit.

(3) Das Forschungsdatenzentrum hat die versichertenbezogenen Einzeldatensätze spätestens nach 30 Jahren zu löschen.

, 303e Absatz 3 bis 6

(1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 3 bis 6 folgenden Nutzungsberechtigten zugänglich, soweit diese nach Absatz 2 zur Verarbeitung der Daten berechtigt sind:

1.
dem Spitzenverband Bund der Krankenkassen,
2.
den Bundes- und Landesverbänden der Krankenkassen,
3.
den Krankenkassen,
4.
den Kassenärztlichen Bundesvereinigungen und den Kassenärztlichen Vereinigungen,
5.
den für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene,
6.
den Institutionen der Gesundheitsberichterstattung des Bundes und der Länder,
7.
den Institutionen der Gesundheitsversorgungsforschung,
8.
den Hochschulen, den nach landesrechtlichen Vorschriften anerkannten Hochschulkliniken, öffentlich geförderten außeruniversitären Forschungseinrichtungen und sonstigen Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung, sofern die Daten wissenschaftlichen Vorhaben dienen,
9.
dem Gemeinsamen Bundesausschuss,
10.
dem Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen,
11.
dem Institut des Bewertungsausschusses,
12.
der oder dem Beauftragten der Bundesregierung und der Landesregierungen für die Belange der Patientinnen und Patienten,
13.
den für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene,
14.
dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen,
15.
dem Institut für das Entgeltsystem im Krankenhaus,
16.
den für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden und deren jeweiligen nachgeordneten Bereichen sowie den übrigen obersten Bundesbehörden,
17.
der Bundesärztekammer, der Bundeszahnärztekammer, der Bundespsychotherapeutenkammer sowie der Bundesapothekerkammer,
18.
der Deutschen Krankenhausgesellschaft.

(2) Soweit die Datenverarbeitung jeweils für die Erfüllung von Aufgaben der nach Absatz 1 Nutzungsberechtigten erforderlich ist, dürfen die Nutzungsberechtigten Daten für folgende Zwecke verarbeiten:

1.
Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,
2.
Verbesserung der Qualität der Versorgung,
3.
Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung,
4.
Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens,
5.
Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung,
6.
Analyse und Entwicklung von sektorenübergreifenden Versorgungsformen sowie von Einzelverträgen der Krankenkassen,
7.
Wahrnehmung von Aufgaben der Gesundheitsberichterstattung.

(3) Das Forschungsdatenzentrum macht einem Nutzungsberechtigten auf Antrag Daten zugänglich, wenn die Voraussetzungen nach Absatz 2 erfüllt sind. In dem Antrag hat der antragstellende Nutzungsberechtigte nachvollziehbar darzulegen, dass Umfang und Struktur der beantragten Daten geeignet und erforderlich sind, um die zu untersuchende Frage zu beantworten. Liegen die Voraussetzungen nach Absatz 2 vor, übermittelt das Forschungsdatenzentrum dem antragstellenden Nutzungsberechtigten die entsprechend den Anforderungen des Nutzungsberechtigten ausgewählten Daten anonymisiert und aggregiert. Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch anonymisierte und aggregierte Daten mit kleinen Fallzahlen übermitteln, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass ein nach Absatz 2 zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens, die Übermittlung dieser Daten erfordert.

(4) Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch pseudonymisierte Einzeldatensätze bereitstellen, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach Absatz 2 zulässigen Nutzungszweck, insbesondere für die Durchführung eines Forschungsvorhabens, erforderlich ist. Das Forschungsdatenzentrum stellt einem Nutzungsberechtigten die pseudonymisierten Einzeldatensätze ohne Sichtbarmachung der Pseudonyme für die Verarbeitung unter Kontrolle des Forschungsdatenzentrums bereit, soweit

1.
gewährleistet ist, dass diese Daten nur solchen Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, und
2.
durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann.
Personen, die nicht der Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, können pseudonymisierte Einzeldatensätze nach Satz 2 bereitgestellt werden, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet wurden. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes gilt entsprechend.

(5) Die Nutzungsberechtigten dürfen die nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten

1.
nur für die Zwecke nutzen, für die sie zugänglich gemacht werden,
2.
nicht an Dritte weitergeben, es sei denn, das Forschungsdatenzentrum genehmigt auf Antrag eine Weitergabe an einen Dritten im Rahmen eines nach Absatz 2 zulässigen Nutzungszwecks.
Die Nutzungsberechtigten haben bei der Verarbeitung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. Wird ein Bezug zu Personen, Leistungserbringern oder Leistungsträgern unbeabsichtigt hergestellt, so ist dies dem Forschungsdatenzentrum zu melden. Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt.

(6) Wenn die zuständige Datenschutzaufsichtsbehörde feststellt, dass Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entspricht, und wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen hat, informiert sie das Forschungsdatenzentrum. In diesem Fall schließt das Forschungsdatenzentrum den Nutzungsberechtigten für einen Zeitraum von bis zu zwei Jahren vom Datenzugang aus.

sowie die §§ 303f

(1) Das Forschungsdatenzentrum erhebt von den Nutzungsberechtigten nach § 303e Absatz 1 Gebühren und Auslagen für individuell zurechenbare öffentliche Leistungen nach § 303d zur Deckung des Verwaltungsaufwandes. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Die Krankenkassen, ihre Verbände, der Spitzenverband Bund der Krankenkassen sowie das Bundesministerium für Gesundheit als Aufsichtsbehörde sind von der Zahlung der Gebühren befreit.

(2) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Das Bundesministerium für Gesundheit kann die Ermächtigung durch Rechtsverordnung auf die öffentliche Stelle, die vom Bundesministerium für Gesundheit nach § 303a Absatz 1 als Forschungsdatenzentrum nach § 303d bestimmt ist, übertragen.

und 397 Absatz 1 Nummer 2 und 3

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer

1.
entgegen den §§ 352, 356, 357, 359 oder 361 auf dort genannte Daten zugreift,
2.
entgegen § 303e Absatz 5 Satz 1 Nummer 2 Daten weitergibt oder
3.
entgegen § 303e Absatz 5 Satz 4 dort genannte Daten verarbeitet.

(2) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen Anderen zu bereichern oder einen Anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.

(3) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, der Bundesbeauftragte für den Datenschutz oder die zuständige Aufsichtsbehörde.

(4) (weggefallen)

gelten entsprechend.

(5) Vor Erteilung der informierten Einwilligung ist der Versicherte umfassend nach Maßgabe des § 343 Absatz 1 Satz 1

(1) Die Krankenkassen haben den Versicherten, bevor sie ihnen gemäß § 342 Absatz 1 Satz 1 eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Das Informationsmaterial enthält insbesondere Informationen über

1.
den jeweiligen Anbieter der von der Krankenkasse zur Verfügung gestellten elektronischen Patientenakte,
2.
die Funktionsweise der elektronischen Patientenakte, einschließlich der Art der in ihr zu verarbeitenden Daten gemäß § 341 Absatz 2,
3.
die Freiwilligkeit der Einrichtung der elektronischen Patientenakte und das Recht auf jederzeitige teilweise oder vollständige Löschung,
4.
das Erfordernis der vorherigen Einwilligung in die Datenverarbeitung in der elektronischen Patientenakte gegenüber Krankenkassen, Anbietern und Leistungserbringern sowie die Möglichkeit des Widerrufs der Einwilligung,
5.
die für den Zweck der Einrichtung der elektronischen Patientenakte erforderliche Datenverarbeitung durch die Krankenkassen und die Anbieter gemäß § 344 Absatz 1,
6.
den Anspruch gemäß § 337 auf selbständige Speicherung und Löschung von Daten in der elektronischen Patientenakte und über die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte einschließlich des Hinweises, dass die Krankenkassen keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten haben,
7.
den Anspruch auf Übertragung von bei der Krankenkasse gespeicherten Daten in die elektronische Patientenakte nach § 350 Absatz 1 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
8.
den Anspruch auf Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Leistungserbringer nach den §§ 347 bis 349 und die Verarbeitung dieser Daten durch die Leistungserbringer, Krankenkassen und Anbieter in der elektronischen Patientenakte,
9.
den Anspruch auf Übertragung von Daten aus elektronischen Gesundheitsakten in die elektronische Patientenakte nach § 351 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
10.
die Voraussetzungen für den Zugriff von Leistungserbringern auf Daten in der elektronischen Patientenakte nach § 352 und die Verarbeitung dieser Daten durch den Leistungserbringer,
11.
die Möglichkeit, bei der Datenverarbeitung nach Nummer 10 beim Leistungserbringer durch technische Zugriffsfreigabe in die konkrete Datenverarbeitung einzuwilligen,
12.
die fehlende Möglichkeit, vor dem 1. Januar 2022 die Einwilligung sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte nach § 342 Absatz 2 Nummer 2 Buchstabe b zu beschränken,
13.
die fehlende Möglichkeit, die Einwilligung mittels der dezentralen Infrastruktur der Leistungserbringer auf spezifische Dokumente und Datensätze zu beschränken,
14.
das Angebot von zusätzlichen Anwendungen nach § 345 Absatz 1 und über deren Funktionsweise einschließlich der Art der in ihr zu verarbeitenden Daten, den Speicherort und die Zugriffsrechte,
15.
die sichere Nutzung von Komponenten, die den Zugriff der Versicherten auf die elektronische Patientenakte über eine Benutzeroberfläche geeigneter Endgeräte ermöglichen,
16.
die Möglichkeit und die Voraussetzungen, gemäß § 363 Daten der elektronischen Patientenakte freiwillig für die in § 303e Absatz 2 Nummer 2, 4, 5 und 7 aufgeführten Forschungszwecke freizugeben,
17.
die Rechte der Versicherten gegenüber der Krankenkasse als dem für die Datenverarbeitung Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679,
18.
die Möglichkeit, den Zugriff von Leistungserbringern nach Nummer 10 auf Daten in der elektronischen Patientenakte nach § 352 auch Ärzten, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, und Fachärzten für Arbeitsmedizin sowie Ärzten, die über die Zusatzbezeichnung „Betriebsmedizin“ verfügen, zu erteilen,
19.
die Möglichkeit, ab dem 1. Januar 2022 über die Benutzeroberfläche eines geeigneten Endgeräts einem Vertreter die Befugnis zu erteilen, die Rechte des Versicherten im Rahmen der Führung seiner elektronischen Patientenakte innerhalb der erteilten Vertretungsbefugnis wahrzunehmen, und
20.
mögliche versorgungsrelevante Folgen, die daraus resultieren können, dass der Versicherte von seinen Rechten Gebrauch macht, sich gegen die Nutzung einer elektronischen Patientenakte zu entscheiden, Zugriffe auf Daten der elektronischen Patientenakte nicht zu erteilen oder Daten der elektronischen Patientenakte zu löschen.

(2) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 1 hat der Spitzenverband Bund der Krankenkassen im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit spätestens bis zum 30. November 2020 geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.

über die Freiwilligkeit der Datenfreigabe, die pseudonymisierte Datenübermittlung an das Forschungsdatenzentrum, die möglichen Nutzungsberechtigten, die Zwecke, die Aufgaben des Forschungsdatenzentrums, die Arten der Datenbereitstellung an Nutzungsberechtigte, das Verbot der Re-Identifizierung von Versicherten und Leistungserbringern sowie die Widerrufsmöglichkeiten zu informieren. Diese Informationen sind gemäß § 343 Absatz 1 Satz 3 Nummer 16

(1) Die Krankenkassen haben den Versicherten, bevor sie ihnen gemäß § 342 Absatz 1 Satz 1 eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Das Informationsmaterial enthält insbesondere Informationen über

1.
den jeweiligen Anbieter der von der Krankenkasse zur Verfügung gestellten elektronischen Patientenakte,
2.
die Funktionsweise der elektronischen Patientenakte, einschließlich der Art der in ihr zu verarbeitenden Daten gemäß § 341 Absatz 2,
3.
die Freiwilligkeit der Einrichtung der elektronischen Patientenakte und das Recht auf jederzeitige teilweise oder vollständige Löschung,
4.
das Erfordernis der vorherigen Einwilligung in die Datenverarbeitung in der elektronischen Patientenakte gegenüber Krankenkassen, Anbietern und Leistungserbringern sowie die Möglichkeit des Widerrufs der Einwilligung,
5.
die für den Zweck der Einrichtung der elektronischen Patientenakte erforderliche Datenverarbeitung durch die Krankenkassen und die Anbieter gemäß § 344 Absatz 1,
6.
den Anspruch gemäß § 337 auf selbständige Speicherung und Löschung von Daten in der elektronischen Patientenakte und über die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte einschließlich des Hinweises, dass die Krankenkassen keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten haben,
7.
den Anspruch auf Übertragung von bei der Krankenkasse gespeicherten Daten in die elektronische Patientenakte nach § 350 Absatz 1 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
8.
den Anspruch auf Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Leistungserbringer nach den §§ 347 bis 349 und die Verarbeitung dieser Daten durch die Leistungserbringer, Krankenkassen und Anbieter in der elektronischen Patientenakte,
9.
den Anspruch auf Übertragung von Daten aus elektronischen Gesundheitsakten in die elektronische Patientenakte nach § 351 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
10.
die Voraussetzungen für den Zugriff von Leistungserbringern auf Daten in der elektronischen Patientenakte nach § 352 und die Verarbeitung dieser Daten durch den Leistungserbringer,
11.
die Möglichkeit, bei der Datenverarbeitung nach Nummer 10 beim Leistungserbringer durch technische Zugriffsfreigabe in die konkrete Datenverarbeitung einzuwilligen,
12.
die fehlende Möglichkeit, vor dem 1. Januar 2022 die Einwilligung sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte nach § 342 Absatz 2 Nummer 2 Buchstabe b zu beschränken,
13.
die fehlende Möglichkeit, die Einwilligung mittels der dezentralen Infrastruktur der Leistungserbringer auf spezifische Dokumente und Datensätze zu beschränken,
14.
das Angebot von zusätzlichen Anwendungen nach § 345 Absatz 1 und über deren Funktionsweise einschließlich der Art der in ihr zu verarbeitenden Daten, den Speicherort und die Zugriffsrechte,
15.
die sichere Nutzung von Komponenten, die den Zugriff der Versicherten auf die elektronische Patientenakte über eine Benutzeroberfläche geeigneter Endgeräte ermöglichen,
16.
die Möglichkeit und die Voraussetzungen, gemäß § 363 Daten der elektronischen Patientenakte freiwillig für die in § 303e Absatz 2 Nummer 2, 4, 5 und 7 aufgeführten Forschungszwecke freizugeben,
17.
die Rechte der Versicherten gegenüber der Krankenkasse als dem für die Datenverarbeitung Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679,
18.
die Möglichkeit, den Zugriff von Leistungserbringern nach Nummer 10 auf Daten in der elektronischen Patientenakte nach § 352 auch Ärzten, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, und Fachärzten für Arbeitsmedizin sowie Ärzten, die über die Zusatzbezeichnung „Betriebsmedizin“ verfügen, zu erteilen,
19.
die Möglichkeit, ab dem 1. Januar 2022 über die Benutzeroberfläche eines geeigneten Endgeräts einem Vertreter die Befugnis zu erteilen, die Rechte des Versicherten im Rahmen der Führung seiner elektronischen Patientenakte innerhalb der erteilten Vertretungsbefugnis wahrzunehmen, und
20.
mögliche versorgungsrelevante Folgen, die daraus resultieren können, dass der Versicherte von seinen Rechten Gebrauch macht, sich gegen die Nutzung einer elektronischen Patientenakte zu entscheiden, Zugriffe auf Daten der elektronischen Patientenakte nicht zu erteilen oder Daten der elektronischen Patientenakte zu löschen.

(2) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 1 hat der Spitzenverband Bund der Krankenkassen im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit spätestens bis zum 30. November 2020 geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.

Bestandteile des geeigneten Informationsmaterials der Krankenkassen.

(6) Im Fall des Widerrufs der informierten Einwilligung nach Absatz 2 werden die entsprechenden Daten, die bereits an das Forschungsdatenzentrum übermittelt wurden, im Forschungsdatenzentrum gelöscht. Das Löschverfahren erfolgt analog zur Datenübermittlung und Verknüpfung in Absatz 3. Die bis zum Widerruf der Einwilligung nach Absatz 2 übermittelten und für konkrete Forschungsvorhaben bereits verwendeten Daten dürfen weiterhin für diese Forschungsvorhaben verarbeitet werden. Die Rechte der betroffenen Person nach den Artikeln 17, 18 und 21 der Verordnung (EU) 2016/679 sind insoweit für diese Forschungsvorhaben ausgeschlossen. Der Widerruf der Einwilligung kann ebenso wie deren Erteilung über die Benutzeroberfläche eines geeigneten Endgeräts erfolgen.

(7) Das Bundesministerium für Gesundheit wird ermächtigt, im Benehmen mit dem Bundesministerium für Bildung und Forschung ohne Zustimmung des Bundesrates durch Rechtsverordnung das Nähere zu regeln zu

1.
den angemessenen und spezifischen Maßnahmen zur Wahrung der Interessen der betroffenen Person im Sinne von Artikel 9 Absatz 2 Buchstabe i und j in Verbindung mit Artikel 89 der Verordnung (EU) 2016/679,
2.
den technischen und organisatorischen Einzelheiten der Datenfreigabe, der Datenübermittlung und der Pseudonymisierung nach den Absätzen 2 und 3.

(8) Unbeschadet der nach den vorstehenden Absätzen vorgesehenen Datenfreigabe an das Forschungsdatenzentrum können Versicherte die Daten ihrer elektronischen Patientenakte auch auf der alleinigen Grundlage einer informierten Einwilligung für ein bestimmtes Forschungsvorhaben oder für bestimmte Bereiche der wissenschaftlichen Forschung zur Verfügung stellen.

Referenzen

§ 363 Verarbeitung von Daten der elektronischen Patientenakte zu Forschungszwecken

(1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 3 bis 6 folgenden Nutzungsberechtigten zugänglich, soweit diese nach Absatz 2 zur Verarbeitung der Daten berechtigt sind:

1.
dem Spitzenverband Bund der Krankenkassen,
2.
den Bundes- und Landesverbänden der Krankenkassen,
3.
den Krankenkassen,
4.
den Kassenärztlichen Bundesvereinigungen und den Kassenärztlichen Vereinigungen,
5.
den für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene,
6.
den Institutionen der Gesundheitsberichterstattung des Bundes und der Länder,
7.
den Institutionen der Gesundheitsversorgungsforschung,
8.
den Hochschulen, den nach landesrechtlichen Vorschriften anerkannten Hochschulkliniken, öffentlich geförderten außeruniversitären Forschungseinrichtungen und sonstigen Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung, sofern die Daten wissenschaftlichen Vorhaben dienen,
9.
dem Gemeinsamen Bundesausschuss,
10.
dem Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen,
11.
dem Institut des Bewertungsausschusses,
12.
der oder dem Beauftragten der Bundesregierung und der Landesregierungen für die Belange der Patientinnen und Patienten,
13.
den für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene,
14.
dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen,
15.
dem Institut für das Entgeltsystem im Krankenhaus,
16.
den für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden und deren jeweiligen nachgeordneten Bereichen sowie den übrigen obersten Bundesbehörden,
17.
der Bundesärztekammer, der Bundeszahnärztekammer, der Bundespsychotherapeutenkammer sowie der Bundesapothekerkammer,
18.
der Deutschen Krankenhausgesellschaft.

(2) Soweit die Datenverarbeitung jeweils für die Erfüllung von Aufgaben der nach Absatz 1 Nutzungsberechtigten erforderlich ist, dürfen die Nutzungsberechtigten Daten für folgende Zwecke verarbeiten:

1.
Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,
2.
Verbesserung der Qualität der Versorgung,
3.
Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung,
4.
Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens,
5.
Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung,
6.
Analyse und Entwicklung von sektorenübergreifenden Versorgungsformen sowie von Einzelverträgen der Krankenkassen,
7.
Wahrnehmung von Aufgaben der Gesundheitsberichterstattung.

(3) Das Forschungsdatenzentrum macht einem Nutzungsberechtigten auf Antrag Daten zugänglich, wenn die Voraussetzungen nach Absatz 2 erfüllt sind. In dem Antrag hat der antragstellende Nutzungsberechtigte nachvollziehbar darzulegen, dass Umfang und Struktur der beantragten Daten geeignet und erforderlich sind, um die zu untersuchende Frage zu beantworten. Liegen die Voraussetzungen nach Absatz 2 vor, übermittelt das Forschungsdatenzentrum dem antragstellenden Nutzungsberechtigten die entsprechend den Anforderungen des Nutzungsberechtigten ausgewählten Daten anonymisiert und aggregiert. Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch anonymisierte und aggregierte Daten mit kleinen Fallzahlen übermitteln, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass ein nach Absatz 2 zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens, die Übermittlung dieser Daten erfordert.

(4) Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch pseudonymisierte Einzeldatensätze bereitstellen, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach Absatz 2 zulässigen Nutzungszweck, insbesondere für die Durchführung eines Forschungsvorhabens, erforderlich ist. Das Forschungsdatenzentrum stellt einem Nutzungsberechtigten die pseudonymisierten Einzeldatensätze ohne Sichtbarmachung der Pseudonyme für die Verarbeitung unter Kontrolle des Forschungsdatenzentrums bereit, soweit

1.
gewährleistet ist, dass diese Daten nur solchen Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, und
2.
durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann.
Personen, die nicht der Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, können pseudonymisierte Einzeldatensätze nach Satz 2 bereitgestellt werden, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet wurden. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes gilt entsprechend.

(5) Die Nutzungsberechtigten dürfen die nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten

1.
nur für die Zwecke nutzen, für die sie zugänglich gemacht werden,
2.
nicht an Dritte weitergeben, es sei denn, das Forschungsdatenzentrum genehmigt auf Antrag eine Weitergabe an einen Dritten im Rahmen eines nach Absatz 2 zulässigen Nutzungszwecks.
Die Nutzungsberechtigten haben bei der Verarbeitung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. Wird ein Bezug zu Personen, Leistungserbringern oder Leistungsträgern unbeabsichtigt hergestellt, so ist dies dem Forschungsdatenzentrum zu melden. Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt.

(6) Wenn die zuständige Datenschutzaufsichtsbehörde feststellt, dass Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entspricht, und wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen hat, informiert sie das Forschungsdatenzentrum. In diesem Fall schließt das Forschungsdatenzentrum den Nutzungsberechtigten für einen Zeitraum von bis zu zwei Jahren vom Datenzugang aus.

(1) Das Forschungsdatenzentrum hat folgende Aufgaben:

1.
die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach § 303b Absatz 3 und § 303c Absatz 3 für die Auswertung für Zwecke nach § 303e Absatz 2 aufzubereiten,
2.
Qualitätssicherungen der Daten vorzunehmen,
3.
Anträge auf Datennutzung zu prüfen,
4.
die beantragten Daten den Nutzungsberechtigten nach § 303e zugänglich zu machen,
5.
das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren,
6.
ein öffentliches Antragsregister mit Informationen zu den antragstellenden Nutzungsberechtigten, zu den Vorhaben, für die Daten beantragt wurden, und deren Ergebnissen aufzubauen und zu pflegen,
7.
die Verfahren der Datentransparenz zu evaluieren und weiterzuentwickeln,
8.
Nutzungsberechtigte nach § 303e Absatz 1 zu beraten,
9.
Schulungsmöglichkeiten für Nutzungsberechtigte anzubieten sowie
10.
die wissenschaftliche Erschließung der Daten zu fördern.

(2) Das Forschungsdatenzentrum richtet im Benehmen mit dem Bundesministerium für Gesundheit und dem Bundesministerium für Bildung und Forschung einen Arbeitskreis der Nutzungsberechtigten nach § 303e Absatz 1 ein. Der Arbeitskreis wirkt beratend an der Ausgestaltung, Weiterentwicklung und Evaluation des Datenzugangs mit.

(3) Das Forschungsdatenzentrum hat die versichertenbezogenen Einzeldatensätze spätestens nach 30 Jahren zu löschen.

(1) Die elektronische Patientenakte ist eine versichertengeführte elektronische Akte, die den Versicherten von den Krankenkassen auf Antrag zur Verfügung gestellt wird. Die Nutzung ist für die Versicherten freiwillig. Mit ihr sollen den Versicherten auf Verlangen Informationen, insbesondere zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen sowie zu Behandlungsberichten, für eine einrichtungs-, fach- und sektorenübergreifende Nutzung für Zwecke der Gesundheitsversorgung, insbesondere zur gezielten Unterstützung von Anamnese und Befunderhebung, barrierefrei elektronisch bereitgestellt werden.

(2) Es besteht die Möglichkeit zur Einstellung folgender Daten in die elektronische Patientenakte:

1.
medizinische Informationen über den Versicherten für eine einrichtungsübergreifende, fachübergreifende und sektorenübergreifende Nutzung, insbesondere
a)
Daten zu Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichten und sonstige untersuchungs- und behandlungsbezogene medizinische Informationen,
b)
Daten des elektronischen Medikationsplans nach § 334 Absatz 1 Satz 2 Nummer 4,
c)
Daten der elektronischen Notfalldaten nach § 334 Absatz 1 Satz 2 Nummer 5,
d)
Daten in elektronischen Briefen zwischen den an der Versorgung der Versicherten teilnehmenden Ärzten und Einrichtungen (elektronische Arztbriefe),
2.
Daten zum Nachweis der regelmäßigen Inanspruchnahme zahnärztlicher Vorsorgeuntersuchungen gemäß § 55 Absatz 1 in Verbindung mit § 92 Absatz 1 Satz 2 Nummer 2 (elektronisches Zahn-Bonusheft),
3.
Daten gemäß der nach § 92 Absatz 1 Satz 2 Nummer 3 und Absatz 4 in Verbindung mit § 26 beschlossenen Richtlinie des Gemeinsamen Bundesausschusses zur Früherkennung von Krankheiten bei Kindern (elektronisches Untersuchungsheft für Kinder),
4.
Daten gemäß der nach § 92 Absatz 1 Satz 2 Nummer 4 in Verbindung mit den §§ 24c bis 24f beschlossenen Richtlinie des Gemeinsamen Bundesausschusses über die ärztliche Betreuung während der Schwangerschaft und nach der Entbindung (elektronischer Mutterpass),
5.
Daten der Impfdokumentation nach § 22 des Infektionsschutzgesetzes (elektronische Impfdokumentation),
6.
Gesundheitsdaten, die durch den Versicherten zur Verfügung gestellt werden,
7.
Daten des Versicherten aus einer von den Krankenkassen nach § 68 finanzierten elektronischen Akte des Versicherten,
8.
bei den Krankenkassen gespeicherte Daten über die in Anspruch genommenen Leistungen des Versicherten,
9.
Daten, die der Versicherte seiner Krankenkasse für die Nutzung in zusätzlichen von der Krankenkasse angebotenen Anwendungen nach § 345 Absatz 1 Satz 1 zur Verfügung stellen kann,
10.
Daten zur pflegerischen Versorgung des Versicherten nach den §§ 24g, 37, 37b, 37c, 39a und 39c und der Haus- oder Heimpflege nach § 44 des Siebten Buches und nach dem Elften Buch,
11.
Daten elektronischer Verordnungen nach § 360 Absatz 1,
12.
die nach § 73 Absatz 2 Satz 1 Nummer 9 ausgestellte Bescheinigung über eine Arbeitsunfähigkeit und
13.
sonstige von den Leistungserbringern für den Versicherten bereitgestellte Daten.

(3) Die für die elektronische Patientenakte erforderlichen Komponenten und Dienste werden auf Antrag des jeweiligen Anbieters der Komponenten und Dienste nach § 325 von der Gesellschaft für Telematik zugelassen.

(4) Die Krankenkassen, die ihren Versicherten eine elektronische Patientenakte zur Verfügung stellen, sind gemäß § 307 Absatz 4 die für die Verarbeitung der Daten zum Zweck der Nutzung der elektronischen Patientenakte Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679. § 307 Absatz 1 bis 3 bleibt unberührt. Unbeschadet ihrer Verantwortlichkeit nach Satz 1 können die Krankenkassen mit der Zurverfügungstellung von elektronischen Patientenakten für ihre Versicherten Anbieter von elektronischen Patientenakten als Auftragsverarbeiter beauftragen.

(5) Die Telematikinfrastruktur darf nur für solche nach § 325 zugelassenen elektronischen Patientenakten verwendet werden, die von einer Krankenkasse, von Unternehmen der privaten Krankenversicherung oder von den sonstigen Einrichtungen gemäß § 362 Absatz 1 angeboten werden.

(6) Die an der vertragsärztlichen Versorgung teilnehmenden Leistungserbringer haben gegenüber der jeweils zuständigen Kassenärztlichen Vereinigung oder Kassenzahnärztlichen Vereinigung nachzuweisen, dass sie über die für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Dienste verfügen. Wird der Nachweis nicht bis zum 30. Juni 2021 erbracht, ist die Vergütung vertragsärztlicher Leistungen pauschal um 1 Prozent zu kürzen; die Vergütung ist so lange zu kürzen, bis der Nachweis gegenüber der Kassenärztlichen Vereinigung erbracht ist. Das Bundesministerium für Gesundheit kann die Frist nach Satz 1 durch Rechtsverordnung mit Zustimmung des Bundesrates verlängern. Die Kürzungsregelung nach Satz 2 findet im Fall, dass bereits eine Kürzung der Vergütung nach § 291b Absatz 5 erfolgt, keine Anwendung.

(7) Die Krankenhäuser haben sich bis zum 1. Januar 2021 mit den für den Zugriff auf die elektronische Patientenakte erforderlichen Komponenten und Diensten auszustatten und sich an die Telematikinfrastruktur nach § 306 anzuschließen. Soweit Krankenhäuser ihrer Verpflichtung zum Anschluss an die Telematikinfrastruktur nach Satz 1 nicht nachkommen, sind § 5 Absatz 3e Satz 1 des Krankenhausentgeltgesetzes oder § 5 Absatz 5 der Bundespflegesatzverordnung anzuwenden. Die Kürzungsregelung nach Satz 2 findet im Fall, dass bereits eine Kürzung der Vergütung nach § 291b Absatz 5 erfolgt, keine Anwendung.

(1) Die Vertrauensstelle überführt die ihr nach § 303b Absatz 3 Satz 1 Nummer 2 übermittelten Lieferpseudonyme nach einem einheitlich anzuwendenden Verfahren nach Absatz 2 in periodenübergreifende Pseudonyme.

(2) Die Vertrauensstelle hat im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein schlüsselabhängiges Verfahren zur Pseudonymisierung festzulegen, das dem jeweiligen Stand der Technik und Wissenschaft entspricht. Das Verfahren zur Pseudonymisierung ist so zu gestalten, dass für das jeweilige Lieferpseudonym eines jeden Versicherten periodenübergreifend immer das gleiche Pseudonym erstellt wird, aus dem Pseudonym aber nicht auf das Lieferpseudonym oder die Identität des Versicherten geschlossen werden kann.

(3) Die Vertrauensstelle hat die Liste der Pseudonyme dem Forschungsdatenzentrum mit den Arbeitsnummern zu übermitteln. Nach der Übermittlung dieser Liste an das Forschungsdatenzentrum hat sie die diesen Pseudonymen zugrunde liegenden Lieferpseudonyme und Arbeitsnummern sowie die Pseudonyme zu löschen.

(1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 3 bis 6 folgenden Nutzungsberechtigten zugänglich, soweit diese nach Absatz 2 zur Verarbeitung der Daten berechtigt sind:

1.
dem Spitzenverband Bund der Krankenkassen,
2.
den Bundes- und Landesverbänden der Krankenkassen,
3.
den Krankenkassen,
4.
den Kassenärztlichen Bundesvereinigungen und den Kassenärztlichen Vereinigungen,
5.
den für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene,
6.
den Institutionen der Gesundheitsberichterstattung des Bundes und der Länder,
7.
den Institutionen der Gesundheitsversorgungsforschung,
8.
den Hochschulen, den nach landesrechtlichen Vorschriften anerkannten Hochschulkliniken, öffentlich geförderten außeruniversitären Forschungseinrichtungen und sonstigen Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung, sofern die Daten wissenschaftlichen Vorhaben dienen,
9.
dem Gemeinsamen Bundesausschuss,
10.
dem Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen,
11.
dem Institut des Bewertungsausschusses,
12.
der oder dem Beauftragten der Bundesregierung und der Landesregierungen für die Belange der Patientinnen und Patienten,
13.
den für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene,
14.
dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen,
15.
dem Institut für das Entgeltsystem im Krankenhaus,
16.
den für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden und deren jeweiligen nachgeordneten Bereichen sowie den übrigen obersten Bundesbehörden,
17.
der Bundesärztekammer, der Bundeszahnärztekammer, der Bundespsychotherapeutenkammer sowie der Bundesapothekerkammer,
18.
der Deutschen Krankenhausgesellschaft.

(2) Soweit die Datenverarbeitung jeweils für die Erfüllung von Aufgaben der nach Absatz 1 Nutzungsberechtigten erforderlich ist, dürfen die Nutzungsberechtigten Daten für folgende Zwecke verarbeiten:

1.
Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,
2.
Verbesserung der Qualität der Versorgung,
3.
Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung,
4.
Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens,
5.
Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung,
6.
Analyse und Entwicklung von sektorenübergreifenden Versorgungsformen sowie von Einzelverträgen der Krankenkassen,
7.
Wahrnehmung von Aufgaben der Gesundheitsberichterstattung.

(3) Das Forschungsdatenzentrum macht einem Nutzungsberechtigten auf Antrag Daten zugänglich, wenn die Voraussetzungen nach Absatz 2 erfüllt sind. In dem Antrag hat der antragstellende Nutzungsberechtigte nachvollziehbar darzulegen, dass Umfang und Struktur der beantragten Daten geeignet und erforderlich sind, um die zu untersuchende Frage zu beantworten. Liegen die Voraussetzungen nach Absatz 2 vor, übermittelt das Forschungsdatenzentrum dem antragstellenden Nutzungsberechtigten die entsprechend den Anforderungen des Nutzungsberechtigten ausgewählten Daten anonymisiert und aggregiert. Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch anonymisierte und aggregierte Daten mit kleinen Fallzahlen übermitteln, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass ein nach Absatz 2 zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens, die Übermittlung dieser Daten erfordert.

(4) Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch pseudonymisierte Einzeldatensätze bereitstellen, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach Absatz 2 zulässigen Nutzungszweck, insbesondere für die Durchführung eines Forschungsvorhabens, erforderlich ist. Das Forschungsdatenzentrum stellt einem Nutzungsberechtigten die pseudonymisierten Einzeldatensätze ohne Sichtbarmachung der Pseudonyme für die Verarbeitung unter Kontrolle des Forschungsdatenzentrums bereit, soweit

1.
gewährleistet ist, dass diese Daten nur solchen Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, und
2.
durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann.
Personen, die nicht der Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, können pseudonymisierte Einzeldatensätze nach Satz 2 bereitgestellt werden, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet wurden. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes gilt entsprechend.

(5) Die Nutzungsberechtigten dürfen die nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten

1.
nur für die Zwecke nutzen, für die sie zugänglich gemacht werden,
2.
nicht an Dritte weitergeben, es sei denn, das Forschungsdatenzentrum genehmigt auf Antrag eine Weitergabe an einen Dritten im Rahmen eines nach Absatz 2 zulässigen Nutzungszwecks.
Die Nutzungsberechtigten haben bei der Verarbeitung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. Wird ein Bezug zu Personen, Leistungserbringern oder Leistungsträgern unbeabsichtigt hergestellt, so ist dies dem Forschungsdatenzentrum zu melden. Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt.

(6) Wenn die zuständige Datenschutzaufsichtsbehörde feststellt, dass Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entspricht, und wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen hat, informiert sie das Forschungsdatenzentrum. In diesem Fall schließt das Forschungsdatenzentrum den Nutzungsberechtigten für einen Zeitraum von bis zu zwei Jahren vom Datenzugang aus.

(1) Die Aufgaben der Datentransparenz werden von öffentlichen Stellen des Bundes als Vertrauensstelle nach § 303c und als Forschungsdatenzentrum nach § 303d sowie vom Spitzenverband Bund der Krankenkassen als Datensammelstelle wahrgenommen. Das Bundesministerium für Gesundheit bestimmt im Benehmen mit dem Bundesministerium für Bildung und Forschung durch Rechtsverordnung ohne Zustimmung des Bundesrates zur Wahrnehmung der Aufgaben der Datentransparenz eine öffentliche Stelle des Bundes als Vertrauensstelle nach § 303c und eine öffentliche Stelle des Bundes als Forschungsdatenzentrum nach § 303d.

(2) Die Vertrauensstelle und das Forschungsdatenzentrum sind räumlich, organisatorisch und personell eigenständig zu führen. Sie unterliegen dem Sozialgeheimnis nach § 35 des Ersten Buches und unterstehen der Rechtsaufsicht des Bundesministeriums für Gesundheit.

(3) Die Kosten, die den öffentlichen Stellen nach Absatz 1 durch die Wahrnehmung der Aufgaben der Datentransparenz entstehen, tragen die Krankenkassen nach der Zahl ihrer Mitglieder.

(4) In der Rechtsverordnung nach Absatz 1 Satz 2 ist auch das Nähere zu regeln

1.
zu spezifischen Festlegungen zu Art und Umfang der nach § 303b Absatz 1 Satz 1 zu übermittelnden Daten und zu den Fristen der Datenübermittlung nach § 303b Absatz 1 Satz 1,
2.
zur Datenverarbeitung durch den Spitzenverband Bund der Krankenkassen nach § 303b Absatz 2 und 3 Satz 1 und 2,
3.
zum Verfahren der Pseudonymisierung der Versichertendaten nach § 303c Absatz 1 und 2 und zum Verfahren der Übermittlung der Pseudonyme an das Forschungsdatenzentrum nach § 303c Absatz 3 durch die Vertrauensstelle,
4.
zur Wahrnehmung der Aufgaben nach § 303d Absatz 1 und § 303e einschließlich der Bereitstellung von Einzeldatensätzen nach § 303e Absatz 4 durch das Forschungsdatenzentrum,
5.
zur Verkürzung der Höchstfrist für die Aufbewahrung von Einzeldatensätzen nach § 303d Absatz 3,
6.
zur Evaluation und Weiterentwicklung der Datentransparenz,
7.
zur Erstattung der Kosten nach Absatz 3 einschließlich der zu zahlenden Vorschüsse.

(1) Die Vertrauensstelle überführt die ihr nach § 303b Absatz 3 Satz 1 Nummer 2 übermittelten Lieferpseudonyme nach einem einheitlich anzuwendenden Verfahren nach Absatz 2 in periodenübergreifende Pseudonyme.

(2) Die Vertrauensstelle hat im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein schlüsselabhängiges Verfahren zur Pseudonymisierung festzulegen, das dem jeweiligen Stand der Technik und Wissenschaft entspricht. Das Verfahren zur Pseudonymisierung ist so zu gestalten, dass für das jeweilige Lieferpseudonym eines jeden Versicherten periodenübergreifend immer das gleiche Pseudonym erstellt wird, aus dem Pseudonym aber nicht auf das Lieferpseudonym oder die Identität des Versicherten geschlossen werden kann.

(3) Die Vertrauensstelle hat die Liste der Pseudonyme dem Forschungsdatenzentrum mit den Arbeitsnummern zu übermitteln. Nach der Übermittlung dieser Liste an das Forschungsdatenzentrum hat sie die diesen Pseudonymen zugrunde liegenden Lieferpseudonyme und Arbeitsnummern sowie die Pseudonyme zu löschen.

(1) Das Forschungsdatenzentrum hat folgende Aufgaben:

1.
die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach § 303b Absatz 3 und § 303c Absatz 3 für die Auswertung für Zwecke nach § 303e Absatz 2 aufzubereiten,
2.
Qualitätssicherungen der Daten vorzunehmen,
3.
Anträge auf Datennutzung zu prüfen,
4.
die beantragten Daten den Nutzungsberechtigten nach § 303e zugänglich zu machen,
5.
das spezifische Reidentifikationsrisiko in Bezug auf die durch Nutzungsberechtigte nach § 303e beantragten Daten zu bewerten und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen zu minimieren,
6.
ein öffentliches Antragsregister mit Informationen zu den antragstellenden Nutzungsberechtigten, zu den Vorhaben, für die Daten beantragt wurden, und deren Ergebnissen aufzubauen und zu pflegen,
7.
die Verfahren der Datentransparenz zu evaluieren und weiterzuentwickeln,
8.
Nutzungsberechtigte nach § 303e Absatz 1 zu beraten,
9.
Schulungsmöglichkeiten für Nutzungsberechtigte anzubieten sowie
10.
die wissenschaftliche Erschließung der Daten zu fördern.

(2) Das Forschungsdatenzentrum richtet im Benehmen mit dem Bundesministerium für Gesundheit und dem Bundesministerium für Bildung und Forschung einen Arbeitskreis der Nutzungsberechtigten nach § 303e Absatz 1 ein. Der Arbeitskreis wirkt beratend an der Ausgestaltung, Weiterentwicklung und Evaluation des Datenzugangs mit.

(3) Das Forschungsdatenzentrum hat die versichertenbezogenen Einzeldatensätze spätestens nach 30 Jahren zu löschen.

(1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 3 bis 6 folgenden Nutzungsberechtigten zugänglich, soweit diese nach Absatz 2 zur Verarbeitung der Daten berechtigt sind:

1.
dem Spitzenverband Bund der Krankenkassen,
2.
den Bundes- und Landesverbänden der Krankenkassen,
3.
den Krankenkassen,
4.
den Kassenärztlichen Bundesvereinigungen und den Kassenärztlichen Vereinigungen,
5.
den für die Wahrnehmung der wirtschaftlichen Interessen gebildeten maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene,
6.
den Institutionen der Gesundheitsberichterstattung des Bundes und der Länder,
7.
den Institutionen der Gesundheitsversorgungsforschung,
8.
den Hochschulen, den nach landesrechtlichen Vorschriften anerkannten Hochschulkliniken, öffentlich geförderten außeruniversitären Forschungseinrichtungen und sonstigen Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung, sofern die Daten wissenschaftlichen Vorhaben dienen,
9.
dem Gemeinsamen Bundesausschuss,
10.
dem Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen,
11.
dem Institut des Bewertungsausschusses,
12.
der oder dem Beauftragten der Bundesregierung und der Landesregierungen für die Belange der Patientinnen und Patienten,
13.
den für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen maßgeblichen Organisationen auf Bundesebene,
14.
dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen,
15.
dem Institut für das Entgeltsystem im Krankenhaus,
16.
den für die gesetzliche Krankenversicherung zuständigen obersten Bundes- und Landesbehörden und deren jeweiligen nachgeordneten Bereichen sowie den übrigen obersten Bundesbehörden,
17.
der Bundesärztekammer, der Bundeszahnärztekammer, der Bundespsychotherapeutenkammer sowie der Bundesapothekerkammer,
18.
der Deutschen Krankenhausgesellschaft.

(2) Soweit die Datenverarbeitung jeweils für die Erfüllung von Aufgaben der nach Absatz 1 Nutzungsberechtigten erforderlich ist, dürfen die Nutzungsberechtigten Daten für folgende Zwecke verarbeiten:

1.
Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,
2.
Verbesserung der Qualität der Versorgung,
3.
Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung,
4.
Forschung, insbesondere für Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens,
5.
Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Krankenversicherung,
6.
Analyse und Entwicklung von sektorenübergreifenden Versorgungsformen sowie von Einzelverträgen der Krankenkassen,
7.
Wahrnehmung von Aufgaben der Gesundheitsberichterstattung.

(3) Das Forschungsdatenzentrum macht einem Nutzungsberechtigten auf Antrag Daten zugänglich, wenn die Voraussetzungen nach Absatz 2 erfüllt sind. In dem Antrag hat der antragstellende Nutzungsberechtigte nachvollziehbar darzulegen, dass Umfang und Struktur der beantragten Daten geeignet und erforderlich sind, um die zu untersuchende Frage zu beantworten. Liegen die Voraussetzungen nach Absatz 2 vor, übermittelt das Forschungsdatenzentrum dem antragstellenden Nutzungsberechtigten die entsprechend den Anforderungen des Nutzungsberechtigten ausgewählten Daten anonymisiert und aggregiert. Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch anonymisierte und aggregierte Daten mit kleinen Fallzahlen übermitteln, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass ein nach Absatz 2 zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens, die Übermittlung dieser Daten erfordert.

(4) Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch pseudonymisierte Einzeldatensätze bereitstellen, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach Absatz 2 zulässigen Nutzungszweck, insbesondere für die Durchführung eines Forschungsvorhabens, erforderlich ist. Das Forschungsdatenzentrum stellt einem Nutzungsberechtigten die pseudonymisierten Einzeldatensätze ohne Sichtbarmachung der Pseudonyme für die Verarbeitung unter Kontrolle des Forschungsdatenzentrums bereit, soweit

1.
gewährleistet ist, dass diese Daten nur solchen Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, und
2.
durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann.
Personen, die nicht der Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, können pseudonymisierte Einzeldatensätze nach Satz 2 bereitgestellt werden, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet wurden. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes gilt entsprechend.

(5) Die Nutzungsberechtigten dürfen die nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten

1.
nur für die Zwecke nutzen, für die sie zugänglich gemacht werden,
2.
nicht an Dritte weitergeben, es sei denn, das Forschungsdatenzentrum genehmigt auf Antrag eine Weitergabe an einen Dritten im Rahmen eines nach Absatz 2 zulässigen Nutzungszwecks.
Die Nutzungsberechtigten haben bei der Verarbeitung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. Wird ein Bezug zu Personen, Leistungserbringern oder Leistungsträgern unbeabsichtigt hergestellt, so ist dies dem Forschungsdatenzentrum zu melden. Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt.

(6) Wenn die zuständige Datenschutzaufsichtsbehörde feststellt, dass Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entspricht, und wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen hat, informiert sie das Forschungsdatenzentrum. In diesem Fall schließt das Forschungsdatenzentrum den Nutzungsberechtigten für einen Zeitraum von bis zu zwei Jahren vom Datenzugang aus.

(1) Das Forschungsdatenzentrum erhebt von den Nutzungsberechtigten nach § 303e Absatz 1 Gebühren und Auslagen für individuell zurechenbare öffentliche Leistungen nach § 303d zur Deckung des Verwaltungsaufwandes. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Die Krankenkassen, ihre Verbände, der Spitzenverband Bund der Krankenkassen sowie das Bundesministerium für Gesundheit als Aufsichtsbehörde sind von der Zahlung der Gebühren befreit.

(2) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Das Bundesministerium für Gesundheit kann die Ermächtigung durch Rechtsverordnung auf die öffentliche Stelle, die vom Bundesministerium für Gesundheit nach § 303a Absatz 1 als Forschungsdatenzentrum nach § 303d bestimmt ist, übertragen.

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer

1.
entgegen den §§ 352, 356, 357, 359 oder 361 auf dort genannte Daten zugreift,
2.
entgegen § 303e Absatz 5 Satz 1 Nummer 2 Daten weitergibt oder
3.
entgegen § 303e Absatz 5 Satz 4 dort genannte Daten verarbeitet.

(2) Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen Anderen zu bereichern oder einen Anderen zu schädigen, so ist die Strafe Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.

(3) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, der Bundesbeauftragte für den Datenschutz oder die zuständige Aufsichtsbehörde.

(4) (weggefallen)

(1) Die Krankenkassen haben den Versicherten, bevor sie ihnen gemäß § 342 Absatz 1 Satz 1 eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Das Informationsmaterial enthält insbesondere Informationen über

1.
den jeweiligen Anbieter der von der Krankenkasse zur Verfügung gestellten elektronischen Patientenakte,
2.
die Funktionsweise der elektronischen Patientenakte, einschließlich der Art der in ihr zu verarbeitenden Daten gemäß § 341 Absatz 2,
3.
die Freiwilligkeit der Einrichtung der elektronischen Patientenakte und das Recht auf jederzeitige teilweise oder vollständige Löschung,
4.
das Erfordernis der vorherigen Einwilligung in die Datenverarbeitung in der elektronischen Patientenakte gegenüber Krankenkassen, Anbietern und Leistungserbringern sowie die Möglichkeit des Widerrufs der Einwilligung,
5.
die für den Zweck der Einrichtung der elektronischen Patientenakte erforderliche Datenverarbeitung durch die Krankenkassen und die Anbieter gemäß § 344 Absatz 1,
6.
den Anspruch gemäß § 337 auf selbständige Speicherung und Löschung von Daten in der elektronischen Patientenakte und über die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte einschließlich des Hinweises, dass die Krankenkassen keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten haben,
7.
den Anspruch auf Übertragung von bei der Krankenkasse gespeicherten Daten in die elektronische Patientenakte nach § 350 Absatz 1 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
8.
den Anspruch auf Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Leistungserbringer nach den §§ 347 bis 349 und die Verarbeitung dieser Daten durch die Leistungserbringer, Krankenkassen und Anbieter in der elektronischen Patientenakte,
9.
den Anspruch auf Übertragung von Daten aus elektronischen Gesundheitsakten in die elektronische Patientenakte nach § 351 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
10.
die Voraussetzungen für den Zugriff von Leistungserbringern auf Daten in der elektronischen Patientenakte nach § 352 und die Verarbeitung dieser Daten durch den Leistungserbringer,
11.
die Möglichkeit, bei der Datenverarbeitung nach Nummer 10 beim Leistungserbringer durch technische Zugriffsfreigabe in die konkrete Datenverarbeitung einzuwilligen,
12.
die fehlende Möglichkeit, vor dem 1. Januar 2022 die Einwilligung sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte nach § 342 Absatz 2 Nummer 2 Buchstabe b zu beschränken,
13.
die fehlende Möglichkeit, die Einwilligung mittels der dezentralen Infrastruktur der Leistungserbringer auf spezifische Dokumente und Datensätze zu beschränken,
14.
das Angebot von zusätzlichen Anwendungen nach § 345 Absatz 1 und über deren Funktionsweise einschließlich der Art der in ihr zu verarbeitenden Daten, den Speicherort und die Zugriffsrechte,
15.
die sichere Nutzung von Komponenten, die den Zugriff der Versicherten auf die elektronische Patientenakte über eine Benutzeroberfläche geeigneter Endgeräte ermöglichen,
16.
die Möglichkeit und die Voraussetzungen, gemäß § 363 Daten der elektronischen Patientenakte freiwillig für die in § 303e Absatz 2 Nummer 2, 4, 5 und 7 aufgeführten Forschungszwecke freizugeben,
17.
die Rechte der Versicherten gegenüber der Krankenkasse als dem für die Datenverarbeitung Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679,
18.
die Möglichkeit, den Zugriff von Leistungserbringern nach Nummer 10 auf Daten in der elektronischen Patientenakte nach § 352 auch Ärzten, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, und Fachärzten für Arbeitsmedizin sowie Ärzten, die über die Zusatzbezeichnung „Betriebsmedizin“ verfügen, zu erteilen,
19.
die Möglichkeit, ab dem 1. Januar 2022 über die Benutzeroberfläche eines geeigneten Endgeräts einem Vertreter die Befugnis zu erteilen, die Rechte des Versicherten im Rahmen der Führung seiner elektronischen Patientenakte innerhalb der erteilten Vertretungsbefugnis wahrzunehmen, und
20.
mögliche versorgungsrelevante Folgen, die daraus resultieren können, dass der Versicherte von seinen Rechten Gebrauch macht, sich gegen die Nutzung einer elektronischen Patientenakte zu entscheiden, Zugriffe auf Daten der elektronischen Patientenakte nicht zu erteilen oder Daten der elektronischen Patientenakte zu löschen.

(2) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 1 hat der Spitzenverband Bund der Krankenkassen im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit spätestens bis zum 30. November 2020 geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.

(1) Die Krankenkassen haben den Versicherten, bevor sie ihnen gemäß § 342 Absatz 1 Satz 1 eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Das Informationsmaterial enthält insbesondere Informationen über

1.
den jeweiligen Anbieter der von der Krankenkasse zur Verfügung gestellten elektronischen Patientenakte,
2.
die Funktionsweise der elektronischen Patientenakte, einschließlich der Art der in ihr zu verarbeitenden Daten gemäß § 341 Absatz 2,
3.
die Freiwilligkeit der Einrichtung der elektronischen Patientenakte und das Recht auf jederzeitige teilweise oder vollständige Löschung,
4.
das Erfordernis der vorherigen Einwilligung in die Datenverarbeitung in der elektronischen Patientenakte gegenüber Krankenkassen, Anbietern und Leistungserbringern sowie die Möglichkeit des Widerrufs der Einwilligung,
5.
die für den Zweck der Einrichtung der elektronischen Patientenakte erforderliche Datenverarbeitung durch die Krankenkassen und die Anbieter gemäß § 344 Absatz 1,
6.
den Anspruch gemäß § 337 auf selbständige Speicherung und Löschung von Daten in der elektronischen Patientenakte und über die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte einschließlich des Hinweises, dass die Krankenkassen keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten haben,
7.
den Anspruch auf Übertragung von bei der Krankenkasse gespeicherten Daten in die elektronische Patientenakte nach § 350 Absatz 1 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
8.
den Anspruch auf Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Leistungserbringer nach den §§ 347 bis 349 und die Verarbeitung dieser Daten durch die Leistungserbringer, Krankenkassen und Anbieter in der elektronischen Patientenakte,
9.
den Anspruch auf Übertragung von Daten aus elektronischen Gesundheitsakten in die elektronische Patientenakte nach § 351 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
10.
die Voraussetzungen für den Zugriff von Leistungserbringern auf Daten in der elektronischen Patientenakte nach § 352 und die Verarbeitung dieser Daten durch den Leistungserbringer,
11.
die Möglichkeit, bei der Datenverarbeitung nach Nummer 10 beim Leistungserbringer durch technische Zugriffsfreigabe in die konkrete Datenverarbeitung einzuwilligen,
12.
die fehlende Möglichkeit, vor dem 1. Januar 2022 die Einwilligung sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte nach § 342 Absatz 2 Nummer 2 Buchstabe b zu beschränken,
13.
die fehlende Möglichkeit, die Einwilligung mittels der dezentralen Infrastruktur der Leistungserbringer auf spezifische Dokumente und Datensätze zu beschränken,
14.
das Angebot von zusätzlichen Anwendungen nach § 345 Absatz 1 und über deren Funktionsweise einschließlich der Art der in ihr zu verarbeitenden Daten, den Speicherort und die Zugriffsrechte,
15.
die sichere Nutzung von Komponenten, die den Zugriff der Versicherten auf die elektronische Patientenakte über eine Benutzeroberfläche geeigneter Endgeräte ermöglichen,
16.
die Möglichkeit und die Voraussetzungen, gemäß § 363 Daten der elektronischen Patientenakte freiwillig für die in § 303e Absatz 2 Nummer 2, 4, 5 und 7 aufgeführten Forschungszwecke freizugeben,
17.
die Rechte der Versicherten gegenüber der Krankenkasse als dem für die Datenverarbeitung Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679,
18.
die Möglichkeit, den Zugriff von Leistungserbringern nach Nummer 10 auf Daten in der elektronischen Patientenakte nach § 352 auch Ärzten, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, und Fachärzten für Arbeitsmedizin sowie Ärzten, die über die Zusatzbezeichnung „Betriebsmedizin“ verfügen, zu erteilen,
19.
die Möglichkeit, ab dem 1. Januar 2022 über die Benutzeroberfläche eines geeigneten Endgeräts einem Vertreter die Befugnis zu erteilen, die Rechte des Versicherten im Rahmen der Führung seiner elektronischen Patientenakte innerhalb der erteilten Vertretungsbefugnis wahrzunehmen, und
20.
mögliche versorgungsrelevante Folgen, die daraus resultieren können, dass der Versicherte von seinen Rechten Gebrauch macht, sich gegen die Nutzung einer elektronischen Patientenakte zu entscheiden, Zugriffe auf Daten der elektronischen Patientenakte nicht zu erteilen oder Daten der elektronischen Patientenakte zu löschen.

(2) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 1 hat der Spitzenverband Bund der Krankenkassen im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit spätestens bis zum 30. November 2020 geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.