Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (SGB V)

Artikel 1 G. v. 20.12.1988 BGBl. I S. 2477, 2482; zuletzt geändert durch Artikel 6 G. v. 23.10.2024 BGBl. 2024 I Nr. 324
Geltung ab 01.01.1989; FNA: 860-5 Sozialgesetzbuch
| |

Zwölftes Kapitel Interoperabilität und Cybersicherheit im Gesundheitswesen; Nationales Gesundheitsportal

§ 385 Bedarfsidentifizierung und -priorisierung, Spezifikation, Entwicklung und Festlegung von Standards; Verordnungsermächtigung



(1) 1Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates zur Förderung der Interoperabilität und von offenen Standards und Schnittstellen die Einrichtung und Organisation eines bei der Gesellschaft für Telematik unterhaltenen Kompetenzzentrums für Interoperabilität im Gesundheitswesen sowie eines von dem Kompetenzzentrum eingesetzten Expertengremiums und deren jeweils notwendige Arbeitsstrukturen zu regeln sowie Regelungen zu treffen für die Erhebung von Gebühren und Auslagen für individuell zurechenbare öffentliche Leistungen, die durch das Kompetenzzentrum oder das Expertengremium erbracht werden. 2Das Kompetenzzentrum hat die Aufgabe, für informationstechnische Systeme, die im Gesundheitswesen eingesetzt werden,

1.
einen Bedarf an technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten zu identifizieren und zu priorisieren,

2.
natürliche Personen oder juristische Personen des öffentlichen oder privaten Rechts mit der Spezifikation von technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten zu beauftragen,

3.
technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen zu empfehlen,

4.
dem Bundesministerium für Gesundheit die verbindliche Festlegung von technischen, semantischen und syntaktischen Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen vorzuschlagen,

5.
technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten sowie Informationen über das Ergebnis beziehungsweise den Sachstand der Zertifizierung von informationstechnischen Systemen nach Nummer 7 in Verbindung mit § 387 sowie Informationen über das Vorliegen eines Testats im Sinne des § 393 Absatz 3 Nummer 2 einschließlich einer Kontrollliste zu den korrespondierenden Kriterien für Kunden im Sinne des § 393 Absatz 7 Satz 2 auf einer zu betreibenden Plattform zu veröffentlichen, wobei verbindliche Festlegungen im Sinne von Absatz 2 Satz 1 Nummer 1 gesondert auszuweisen sind,

6.
technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten selbst zu entwickeln,

7.
das Übereinstimmen mit den Interoperabilitätsanforderungen dieses Buches, des Siebten Buches und des Elften Buches sowie den Anforderungen nach der nach § 14a Absatz 1 Satz 2 des Infektionsschutzgesetzes erlassenen Rechtsverordnung durch eine Konformitätsbewertung nach § 387 zu überprüfen und hierüber ein Zertifikat auszustellen,

8.
durch Maßnahmen zur Kompetenzbildung das Verständnis für Sachverhalte der Interoperabilität im Gesundheitswesen zu fördern sowie mit den Mitteln der Öffentlichkeitsarbeit kommunikativ die Aufgaben des Kompetenzzentrums gemäß den Nummern 1 bis 7 zu begleiten und

9.
die Bundesregierung im Rahmen von Vorhaben und Gremien zur Förderung der Interoperabilität im Gesundheitswesen auf Bundesebene, in der Europäischen Union und im Rahmen bi- und multilateraler Abstimmungen zu unterstützen und die Aufgabe nach den Nummern 1 bis 4 und 6 auf Basis internationaler Standards vorzunehmen.

(2) 1Das Bundesministerium für Gesundheit kann in der Anlage zu der Rechtsverordnung nach Absatz 1 Satz 1

1.
technische, semantische und syntaktische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen und Softwarekomponenten für bestimmte Bereiche oder das gesamte Gesundheitswesen verbindlich festlegen,

2.
Fristen für die Umsetzung der verbindlichen Festlegungen nach Nummer 1 festlegen,

3.
Fristen für die Integration der Schnittstellen nach den §§ 371 bis 373 festlegen und

4.
Festlegungen zu offenen und standardisierten Schnittstellen für informationstechnische Systeme nach den §§ 371 bis 373 treffen, die zur Meldung und Vermittlung von Videosprechstunden genutzt werden.

2Auf die Plattform nach Absatz 1 Satz 2 Nummer 5 können auch technische und semantische Standards, Profile, Leitfäden, Informationsmodelle, Referenzarchitekturen, Softwarekomponenten und Leitlinien der Pflege eingestellt werden. 3Das Kompetenzzentrum wird bei der Wahrnehmung seiner Aufgaben nach Satz 2 durch das Expertengremium unterstützt.

(3) In der Rechtsverordnung nach Absatz 1 Satz 1 ist das Nähere zu regeln zu

1.
der Zusammensetzung der Gremien nach Absatz 1 Satz 1, einschließlich der Neuwahl des Expertengremiums, die spätestens zum 31. Dezember 2024 abgeschlossen sein muss,

2.
dem Verfahrensablauf zur Benennung von Experten sowie den fachlichen Anforderungen an die zu benennenden Experten,

3.
de jeweiligen Abstimmungsmodalitäten der in den Nummern 1 und 2 genannten Gremien, einschließlich der Beschlussfähigkeit,

4.
der Einrichtung eines Expertenkreises sowie der Einrichtung von Arbeitskreisen, einschließlich deren Zusammensetzung unter Berücksichtigung der jeweiligen fachlichen Betroffenheit,

5.
der Aufwandsentschädigung für die Experten,

6.
den Einzelheiten der Aufgabenwahrnehmung nach Absatz 1 Satz 2 sowie den hierbei anzuwendenden Verfahren,

7.
der jeweiligen Zuständigkeit der Gremien nach Absatz 1 Satz 1 für die Wahrnehmung der Aufgaben nach Absatz 1 Satz 2 sowie der Pflicht des Kompetenzzentrums, dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Gelegenheit zur Stellungnahme zu geben,

8.
den Fristen für einzelne Aufgaben nach Absatz 1 Satz 2,

9.
dem Inhalt, Betrieb und der Pflege der Plattform nach Absatz 1 Satz 2 Nummer 5,

10.
den Berichtspflichten des Kompetenzzentrums und des Expertengremiums gegenüber dem Bundesministerium für Gesundheit und der Fachöffentlichkeit sowie den jeweiligen Berichtsinhalten,

11.
dem Verfahrensablauf zur Beauftragung von natürlichen oder juristischen Personen des öffentlichen oder privaten Rechts mit der Erstellung von Spezifikationen nach Absatz 1 Satz 2 Nummer 2,

12.
dem Verfahrensablauf und den Anforderungen zur Überprüfung der fachlichen Eignung als Voraussetzung zur Beauftragung von natürlichen oder juristischen Personen mit der Erstellung von Spezifikationen nach Absatz 1 Satz 2 Nummer 2,

13.
dem Verfahrensablauf für standardisierte Kommentierungs- und Stellungnahmeverfahren im Rahmen der Aufgabenerfüllung nach Absatz 1 Satz 2,

14.
dem Verfahrensablauf und den Fristen der Konformitätsbewertung, einschließlich den Eigenschaften und der Ausstellung des Zertifikats nach Absatz 1 Satz 2 Nummer 7,

15.
dem Verfahrensablauf für die Akkreditierung einer Konformitätsbewertungsstelle im Sinne der Absätze 8 und 9 durch das Kompetenzzentrum,

16.
den Festlegungen der Berichtspflichten für Hersteller von informationstechnischen Systemen über die Weiterentwicklungen ihrer Systeme, die Auswirkungen auf die Einhaltung der Interoperabilitätsanforderungen haben, und

17.
der Einrichtung einer Beschwerdestelle, bei der Hinweise auf das negative Abweichen eines zertifizierten Systems von den verbindlichen Interoperabilitätsanforderungen gemeldet und geprüft werden können.

(4) 1Die Beauftragung mit der Erstellung einer Spezifikation im Sinne des Absatzes 1 Satz 2 Nummer 2 setzt voraus, dass durch das Kompetenzzentrum vor der Beauftragung die besondere fachliche Eignung der jeweiligen natürlichen oder juristischen Person festgestellt wurde. 2Nähere Regelungen hierzu bleiben nach Absatz 3 Nummer 12 der Rechtsverordnung nach Absatz 1 Satz 1 vorbehalten. 3Satz 1 findet keine Anwendung auf juristische Personen, denen vor dem 1. Januar 2024 in diesem oder einem anderen Gesetz die Spezifikation von Standards, Profilen, Leitfäden, Informationsmodellen, Referenzarchitekturen oder Softwarekomponenten als eigenverantwortliche Aufgabe übertragen wurde. 4Die fachliche Eignung der juristischen Personen nach Satz 3 wird vermutet. 5Das Bundesministerium für Gesundheit kann in der Rechtsverordnung nach Absatz 1 Satz 1 für einen öffentlichen Auftraggeber im Sinne des § 99 Nummer 1 bis 3 des Gesetzes gegen Wettbewerbsbeschränkungen ein ausschließliches Leistungserbringungsrecht zur Erstellung einer konkreten Spezifikation im Sinne des Absatzes 1 Satz 2 Nummer 2 festsetzen.

(5) Sofern nach den §§ 355, 372, 373 und 374a bereits gesetzliche Aufträge zur Spezifikation von technischen, semantischen oder syntaktischen Standards, Profilen oder Leitfäden bestehen, sind Absatz 1 Satz 2 Nummer 2, Absatz 3 Nummer 11 und Absatz 4 erst ab dem 1. Januar 2025 anzuwenden.

(6) Sofern auf der Plattform im Sinne des Absatzes 1 Satz 2 Nummer 5 Angaben im Sinne des § 387 Absatz 5 zu der Versagung, der Rücknahme oder den Widerruf eines Zertifikats veröffentlicht wurden, können diese Angaben auf Antrag eines Berechtigten im Sinne des § 387 Absatz 1 nach angemessener Zeit gelöscht werden.

(7) Die Konformitätsbewertung und Zertifikatsausstellung nach Absatz 1 Satz 2 Nummer 7 und § 387 kann auch durch vom Kompetenzzentrum akkreditierte Stellen erfolgen.

(8) 1Bei dem Kompetenzzentrum kann von Konformitätsbewertungsstellen ein Antrag auf Akkreditierung nach Absatz 3 Nummer 15 gestellt werden. 2Voraussetzung für die Akkreditierung der Konformitätsbewertungsstelle ist, dass ihre Befähigung zur Wahrnehmung ihrer Aufgaben sowie die Einhaltung der Kriterien gemäß der Rechtsverordnung nach Absatz 1 Satz 1 für das Verfahren, für das die Stelle akkreditiert werden soll, durch das Kompetenzzentrum entsprechend dem in der Rechtsverordnung nach Absatz 1 Satz 1 niedergelegten Verfahren, festgestellt wurden. 3Die Akkreditierung kann unter Auflagen erteilt werden und ist zu befristen. 4Das Kompetenzzentrum nimmt die Akkreditierung zurück, wenn nachträglich bekannt wird, dass eine Stelle bei Antragstellung die Voraussetzungen nicht erfüllt hat. 5Sie widerruft die Akkreditierung, wenn die Voraussetzungen für eine Akkreditierung nachträglich weggefallen sind. 6An Stelle des Widerrufs kann das Ruhen der Akkreditierung angeordnet werden.

(9) 1Das Kompetenzzentrum überwacht die Erfüllung der in Absatz 8 festgelegten Voraussetzungen an die akkreditierten Stellen. 2Das Kompetenzzentrum macht die akkreditierten Stellen im Sinne des Absatzes 8 mit einer Kennnummer auf der Plattform nach Absatz 1 Satz 2 Nummer 5 bekannt.




§ 386 Recht auf Interoperabilität



(1) Die Leistungserbringer tauschen Patientendaten nach diesem Buch im interoperablen Format aus.

(2) 1Die in Absatz 1 genannten Stellen oder Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a haben den Versicherten auf deren Verlangen ihre personenbezogenen Gesundheitsdaten unverzüglich und kostenfrei im interoperablen Format herauszugeben. 2Die Versicherten können verlangen, dass auch ihre personenbezogenen Gesundheitsdaten von den in Satz 1 genannten Stellen an einen Leistungserbringer nach diesem Buch oder den Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a im interoperablen Format oder an ihre Krankenkasse nach Absatz 4 Satz 2 übermittelt werden. 3§ 630f Absatz 3 und § 630g des Bürgerlichen Gesetzbuchs bleiben hiervon unberührt.

(3) Das geltende interoperable Format ergibt sich aus der Rechtsverordnung nach § 385 Absatz 1 Satz 1 und Absatz 2 Satz 1 Nummer 1; das geltende interoperable Format bei der Übermittlung aus und in digitale Gesundheitsanwendungen ergibt sich aus den Interoperabilitätsanforderungen nach § 5 Absatz 1 in Verbindung mit § 7 der Digitale Gesundheitsanwendungen-Verordnung.

(4) 1Die Krankenkassen sollen die Versicherten bei der Verfolgung ihrer Ansprüche nach Absatz 2 unterstützen. 2Die Unterstützung der Krankenkassen nach Absatz 2 Satz 1 soll insbesondere umfassen, mit Einwilligung der Versicherten deren personenbezogene Gesundheitsdaten bei den Leistungserbringern nach Absatz 2 stellvertretend für die Versicherten anzufordern.

(5) Die auf Grundlage der Einwilligung der Versicherten bei den Leistungserbringern oder dem Datenverantwortlichen einer digitalen Gesundheitsanwendung nach § 33a oder einer digitalen Pflegeanwendung nach § 40a des Elften Buches erhobenen Daten dürfen von den Krankenkassen ausschließlich zur Unterstützung der Versicherten bei der Durchsetzung des Herausgabeanspruches nach Absatz 2 Satz 1 in Verbindung mit § 284 Absatz 1 Satz 1 Nummer 21 und mit Einwilligung des Versicherten zur Vorbereitung von Versorgungsinnovationen, der Information der Versicherten und der Unterbreitung von Angeboten nach § 284 Absatz 1 Satz 1 Nummer 19 verarbeitet werden.




§ 387 Konformitätsbewertung



(1) Auf Antrag eines Herstellers oder Anbieters eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll, führt das Kompetenzzentrum oder eine akkreditierte Stelle im Sinne von § 385 Absatz 8 eine Konformitätsbewertung auf die Übereinstimmung des Systems mit den geltenden Interoperabilitätsanforderungen durch.

(2) 1Die nach Absatz 1 zu prüfenden Interoperabilitätsanforderungen sind solche, die entsprechend § 385 Absatz 2 Satz 1 Nummer 1 für verbindlich erklärt wurden. 2Für die Schnittstellen der informationstechnischen Systeme im Sinne des § 371 Absatz 1 und 2 gelten ergänzend die Festlegungen des § 372 oder des § 373 als auf Einhaltung zu überprüfende Interoperabilitätsanforderungen.

(3) Sofern das zu prüfende informationstechnische System die Interoperabilitätsanforderungen entsprechend Absatz 2 erfüllt, stellt das Kompetenzzentrum oder die jeweilige akkreditierte Stelle im Sinne von § 385 Absatz 8 hierüber ein Zertifikat aus.

(4) 1Die Gültigkeitsdauer des Zertifikats über die Einhaltung der Interoperabilitätsanforderungen darf drei Jahre ab Ausstellung des Zertifikats nicht überschreiten. 2Das Zertifikat ist zurückzunehmen, wenn nachträglich bekannt wird, dass die Voraussetzungen zur Erteilung nicht vorgelegen haben. 3Das Zertifikat ist zu widerrufen, wenn die Voraussetzungen zur Erteilung nicht mehr gegeben sind.

(5) Die Angaben über gestellte Anträge, die Ausstellung, die Versagung, die Rücknahme oder den Widerruf eines Zertifikats sind vom Kompetenzzentrum auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 zu veröffentlichen.

(6) Die Stellen für die Durchführung der Konformitätsbewertung nach § 372 Absatz 3 sind, abweichend von Absatz 1, bis einschließlich 31. Dezember 2024 die Kassenärztlichen Bundesvereinigungen.

(7) 1Das Nähere zum Konformitätsbewertungsverfahren im Sinne dieser Norm regelt die Rechtsverordnung nach § 385 Absatz 1 Satz 1 und Absatz 2. 2In dieser sind insbesondere die Gebühren und Auslagen niederzulegen, die die Gesellschaft für Telematik für die durch das Kompetenzzentrum oder die jeweilige akkreditierte Stelle im Sinne von § 385 Absatz 8 durchgeführten Konformitätsbewertungen gegenüber den Antragstellern erhebt.




§ 388 Verbindlichkeitsmechanismen



(1) 1Ein Inverkehrbringen und -halten eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll und für das verbindliche Festlegungen nach § 385 Absatz 2 Satz 1 Nummer 1 gelten, darf durch einen Hersteller oder Anbieter dieses Systems ab dem 1. Januar 2025 nur erfolgen, wenn

1.
das Kompetenzzentrum für Interoperabilität im Gesundheitswesen zuvor durch die Ausstellung eines Zertifikats gemäß dem in § 387 niedergelegten Verfahren bestätigt hat, dass das informationstechnische System den verbindlichen Interoperabilitätsanforderungen dieses Buches entspricht oder

2.
eine akkreditierte Stelle im Sinne von § 385 Absatz 8 zuvor durch die Ausstellung eines Zertifikats gemäß dem in § 387 niedergelegten Verfahren bestätigt hat, dass das informationstechnische System den verbindlichen Interoperabilitätsanforderungen dieses Buches entspricht und der Hersteller oder Anbieter des informationstechnischen Systems dieses Zertifikat dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen vorgelegt hat.

2Die Pflichten nach Satz 1 entstehen bei wesentlichen Änderungen an Bestandssystemen, die deren Interoperabilität betreffen, erneut.

(2) 1Von den Pflichten nach Absatz 1 sind informationstechnische Systeme ausgenommen, die im Rahmen der wissenschaftlichen Forschung oder zu gemeinnützigen Zwecken oder durch juristische Personen des öffentlichen Rechts in Erfüllung eines gesetzlichen Auftrags entwickelt werden. 2Von einem gemeinnützigen Zweck ist auszugehen, wenn die Voraussetzungen des § 52 Absatz 1 der Abgabenordnung nachgewiesen sind.

(3) 1Wer als Hersteller oder Anbieter eines informationstechnischen Systems, das im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden soll, gegen die Pflichten des Absatzes 1 verstößt, kann auf Unterlassen des Inverkehrbringens in Anspruch genommen werden. 2Der Anspruch auf Unterlassung steht jedem Mitbewerber zu, der Waren oder Dienstleistungen in nicht unerheblichem Maße und nicht nur gelegentlich vertreibt oder nachfragt, sowie den Krankenkassen. 3Wer beharrlich die Pflichten des Absatzes 1 vorsätzlich oder fahrlässig verletzt, ist den redlichen Mitbewerbern zum Ersatz des hieraus entstehenden Schadens verpflichtet. 4Bei der Bemessung des Schadensersatzes kann auch der Gewinn, den der unredliche Mitbewerber durch das unrechtmäßige Inverkehrbringen erzielt hat, berücksichtigt werden.

(4) Für die Geltendmachung der Ansprüche nach Absatz 3 ist der ordentliche Rechtsweg gegeben.

(5) Die Aufgaben und Zuständigkeiten der Kartellbehörden nach dem Gesetz gegen Wettbewerbsbeschränkungen bleiben unberührt.




§ 389 Beachtung der Festlegungen und Empfehlungen bei Finanzierung aus Mitteln der gesetzlichen Krankenversicherung



Elektronische Anwendungen im Gesundheitswesen dürfen aus Mitteln der gesetzlichen Krankenversicherung nur ganz oder teilweise finanziert werden, wenn die Anbieter der elektronischen Anwendungen die Empfehlungen und verbindlichen *) Festlegungen nach § 385 Absatz 2 Satz 1 Nummer 1 beachten.


---
*)
Anm. d. Red.: Die nicht durchführbare Änderung in Artikel 1 Nummer 75 G. v. 3. Juni 2021 (BGBl. I S. 1309) wurde sinngemäß konsolidiert.




§ 390 IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung



(1) Die Kassenärztlichen Bundesvereinigungen legen in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung fest.

(2) Die Richtlinie nach Absatz 1 umfasst insbesondere auch

1.
Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur, die in der vertragsärztlichen und vertragszahnärztlichen Versorgung genutzt werden, und

2.
Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssicherheit (Steigerung der Security-Awareness).

(3) Die in der Richtlinie festzulegenden Anforderungen müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential und dem Schutzbedarf der verarbeiteten Informationen, in Bezug auf die primären Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen und vertragszahnärztlichen Leistungserbringer zu vermeiden.

(4) Die in der Richtlinie festzulegenden Anforderungen müssen dem Stand der Technik entsprechen, sind jährlich inhaltlich zu überprüfen und zu korrigieren sowie spätestens alle zwei Jahre an den Stand der Technik und an das Gefährdungspotential anzupassen.

(5) 1Die in der Richtlinie festzulegenden Anforderungen sowie deren Anpassungen erfolgen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, der Bundesärztekammer, der Bundeszahnärztekammer, der Deutschen Krankenhausgesellschaft und den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen. 2Die Anforderungen nach Absatz 2 Nummer 1 legen die Kassenärztlichen Bundesvereinigungen zusätzlich im Benehmen mit der Gesellschaft für Telematik fest.

(6) 1Die Richtlinie nach Absatz 1 ist für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich. 2Die Richtlinie ist nicht anzuwenden für die vertragsärztliche und vertragszahnärztliche Versorgung im Krankenhaus, soweit dort bereits angemessene Vorkehrungen nach § 391 getroffen werden.

(7) 1Die Kassenärztlichen Bundesvereinigungen müssen die Mitarbeiterinnen und Mitarbeiter der Anbieter von informationstechnischen Systemen, die im Gesundheitswesen eingesetzt werden, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik auf deren Antrag zertifizieren, wenn diese Personen über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen. 2Die Vorgaben für die Zertifizierung werden von den Kassenärztlichen Bundesvereinigungen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik sowie im Benehmen mit den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen erstellt und regelmäßig überarbeitet. 3Die Vorgaben nach Satz 2 werden jeweils auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 veröffentlicht. 4In Bezug auf die Anforderungen nach Absatz 2 Nummer 1 legen die Kassenärztlichen Bundesvereinigungen die Vorgaben für die Zertifizierung der Mitarbeiterinnen und Mitarbeiter der Anbieter nach Satz 1 im Benehmen mit der Gesellschaft für Telematik fest.




§ 391 IT-Sicherheit in Krankenhäusern



(1) Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

(2) Vorkehrungen nach Absatz 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeiterinnen und Mitarbeitern.

(3) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

(4) Die Krankenhäuser können die Verpflichtungen nach den Absätzen 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.




§ 392 IT-Sicherheit der gesetzlichen Krankenkassen



(1) Krankenkassen sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Krankenkasse und die Sicherheit der verarbeiteten Versicherteninformationen maßgeblich sind.

(2) Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht.

(3) Die Krankenkassen erfüllen die Verpflichtungen nach Absatz 1 insbesondere, indem sie den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Krankenkassen in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(4) 1Die Krankenkassen sind verpflichtet, repräsentiert durch ihre Verbände und den Spitzenverband Bund der Krankenkassen, in einem gemeinsamen bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Krankenkassen im Sinne des Absatzes 3 mitzuwirken. 2Die Krankenkassen, repräsentiert durch ihre Verbände und den Spitzenverband Bund der Krankenkassen, haben darauf hinzuwirken, dass der branchenspezifische Sicherheitsstandard auch Vorgaben enthält zu

1.
geeigneten Maßnahmen zur Erhöhung der Cybersecurity-Awareness,

2.
dem Einsatz von Systemen zur Angriffserkennung, die geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten, wobei diese dazu in der Lage sein sollten, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen (Maßnahmen zur Aufrechterhaltung der Betriebskontinuität) und

3.
an IT-Dienstleister zu stellende Sicherheitsanforderungen gemäß Absatz 6, sofern diese Leistungen für die Krankenkassen zur Wahrnehmung ihrer gesetzlichen Aufgaben erbringen.

(5) Die Verpflichtung nach Absatz 1 gilt für alle Krankenkassen, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene organisatorische und technische Vorkehrungen zu treffen haben.

(6) Sofern eine Krankenkasse im Rahmen ihrer Aufgabenerfüllung IT-Dienstleistungen eines Dritten in Anspruch nimmt und eine Störung der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Dritten zu einer Beeinträchtigung der Funktionsfähigkeit der jeweiligen Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen führen kann, muss die Krankenkasse durch geeignete vertragliche Vereinbarungen sicherstellen, dass die Einhaltung des branchenspezifischen Sicherheitsstandards im Sinne des Absatzes 3 durch den Dritten gewährleistet wird.




§ 393 Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung



(1) Leistungserbringer im Sinne des Vierten Kapitels und Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsdatenverarbeiter dürfen Sozialdaten und Gesundheitsdaten auch im Wege des Cloud-Computing-Dienstes verarbeiten, sofern die Voraussetzungen der Absätze 2 bis 4 erfüllt sind.

(2) Die Verarbeitung von Sozial- und Gesundheitsdaten im Wege des Cloud-Computing-Dienstes darf nur

1.
im Inland,

2.
in einem Mitgliedstaat der Europäischen Union oder

3.
in einem diesem nach § 35 Absatz 7 des Ersten Buches gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat

erfolgen und sofern die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt.

(3) Eine Verarbeitung nach Absatz 1 ist nur zulässig, wenn zusätzlich zu den Anforderungen des Absatzes 2

1.
nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen worden sind,

2.
ein aktuelles C5-Testat der datenverarbeitenden Stelle im Hinblick auf die C5-Basiskriterien für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt und

3.
die im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden umgesetzt sind.

(4) 1Bis zum 30. Juni 2025 gilt als aktuelles C5-Testat im Sinne des Absatzes 3 Nummer 2 ein C5-Typ1-Testat. 2Ab dem 1. Juli 2025 gilt als aktuelles C5-Testat im Sinne des Absatzes 3 Nummer 2 ein aktuelles C5-Typ2-Testat. 3Eine Verarbeitung nach Absatz 3 Nummer 2 ist ferner auch zulässig, soweit für die im Rahmen des Cloud-Computing-Dienstes eingesetzten Cloud-Systeme und die Cloud-Technik anstelle eines aktuellen C5-Testats ein Testat oder Zertifikat nach einem Standard vorliegt, dessen Befolgung ein im Vergleich zum C5-Standard vergleichbares oder höheres Sicherheitsniveau sicherstellt. 4Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festzulegen, welche Standards die Anforderungen nach Satz 3 erfüllen.

(5) Technische und organisatorische Maßnahmen gelten als angemessen im Sinne von Absatz 3 Nummer 1, wenn folgende Anforderungen erfüllt werden:

1.
in der vertragsärztlichen und vertragszahnärztlichen Versorgung die Voraussetzungen des § 390,

2.
in zugelassenen Krankenhäusern die Voraussetzungen des § 391 und

3.
von Krankenkassen die Voraussetzungen des Branchenspezifischen Sicherheitsstandards für gesetzliche Kranken- und Pflegeversicherer (B3S-GKV/PV).

(6) 1In allen anderen Fällen gelten technische und organisatorische Maßnahmen als angemessen im Sinne von Absatz 3 Nummer 1, wenn sie gleichwertig zu den Anforderungen nach § 391 sind. 2Der Angemessenheitsmaßstab nach Satz 1 gilt nicht, soweit Verarbeiter nach Absatz 1 ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

(7) 1Informationen über die nach Absatz 3 Nummer 2 testierten Cloud-Systeme und testierte Cloud-Technik werden von dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen auf der Plattform nach § 385 Absatz 1 Satz 2 Nummer 5 auf Antrag veröffentlicht. 2Dem Antrag nach Satz 1 ist eine Kontrollliste zu den korrespondierenden Kriterien für Kunden anzufügen.

(8) Die Vorschriften des Zehnten Buches und des Bundesdatenschutzgesetzes bleiben unberührt.




§ 394 (aufgehoben)