Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477) (SGB 5) : Überwachung von Funktionsfähigkeit und Sicherheit

Sozialgesetzbuch (SGB) Fünftes Buch (V) - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes v. 20. Dezember 1988, BGBl. I S. 2477): Inhaltsverzeichnis

Elftes Kapitel
Telematikinfrastruktur

Vierter Abschnitt
Überwachung von Funktionsfähigkeit und Sicherheit

§ 329 Maßnahmen zur Abwehr von Gefahren für die Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur

(1) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik verpflichtet, unverzüglich die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr entsprechend dem Stand der Technik zu treffen. Die Gesellschaft für Telematik informiert das Bundesamt für Sicherheit in der Informationstechnik unverzüglich über die Gefahr und die getroffenen Maßnahmen.

(2) Anbieter von nach § 311 Absatz 6

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

sowie § 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

zugelassenen Komponenten oder Diensten und Anbieter von Anwendungen für nach § 327

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Komponenten oder Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit dieser Komponenten oder Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur oder wesentlicher Teile führen können oder bereits geführt haben.

(3) Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden. Die Gesellschaft für Telematik kann Anbietern, die eine Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

sowie § 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

oder eine Bestätigung nach § 327

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

besitzen, zur Beseitigung oder Vermeidung von Störungen nach Absatz 2 verbindliche Anweisungen erteilen.

(4) Die Gesellschaft für Telematik hat die ihr nach Absatz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

(5) Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Absatz 4 zu informieren.

§ 330 Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse der Telematikinfrastruktur

(1) Die Gesellschaft für Telematik sowie die gemäß § 307

(1) Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden. Die Verantwortlichkeit nach Satz 1 erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten. Für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 durch Verantwortliche nach Satz 1 erfolgt in der Anlage zu diesem Gesetz eine Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 der Verordnung (EU) 2016/679. Soweit eine Datenschutz-Folgenabschätzung nach Satz 3 erfolgt, gilt für die Verantwortlichen nach Satz 1 Artikel 35 Absatz 1 bis 7 der Verordnung (EU) 2016/679 sowie § 38 Absatz 1 Satz 2 des Bundesdatenschutzgesetzes nicht.

(2) Der Betrieb der durch die Gesellschaft für Telematik spezifizierten und zugelassenen Zugangsdienste nach § 306 Absatz 2 Nummer 2 Buchstabe a liegt in der Verantwortung des jeweiligen Anbieters des Zugangsdienstes. Der Anbieter eines Zugangsdienstes darf personenbezogene Daten der Versicherten ausschließlich für Zwecke des Aufbaus und des Betriebs seines Zugangsdienstes verarbeiten. § 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ist entsprechend anzuwenden.

(3) Die Gesellschaft für Telematik erteilt einen Auftrag nach § 323 Absatz 2 Satz 1 zum alleinverantwortlichen Betrieb des gesicherten Netzes nach § 306 Absatz 2 Nummer 2 Buchstabe b, einschließlich der für den Betrieb notwendigen Dienste. Der Anbieter des gesicherten Netzes ist innerhalb des gesicherten Netzes verantwortlich für die Übertragung von personenbezogenen Daten, insbesondere von Gesundheitsdaten der Versicherten, zwischen Leistungserbringern, Kostenträgern sowie Versicherten und für die Übertragung im Rahmen der Anwendungen der elektronischen Gesundheitskarte. Der Anbieter des gesicherten Netzes darf die Daten ausschließlich zum Zweck der Datenübertragung verarbeiten. § 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ist entsprechend anzuwenden.

(4) Der Betrieb der Dienste der Anwendungsinfrastruktur nach § 306 Absatz 2 Nummer 3 erfolgt durch den jeweiligen Anbieter. Die Anbieter sind für die Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten der Versicherten, zum Zweck der Nutzung des jeweiligen Dienstes der Anwendungsinfrastruktur verantwortlich.

(5) Die Gesellschaft für Telematik ist Verantwortliche für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben nach § 311 Absatz 1 die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist. Die Gesellschaft für Telematik richtet für die Betroffenen eine koordinierende Stelle ein. Die koordinierende Stelle erteilt den Betroffenen allgemeine Informationen zur Telematikinfrastruktur sowie Auskunft über Zuständigkeiten innerhalb der Telematikinfrastruktur, insbesondere zur datenschutzrechtlichen Verantwortlichkeit nach dieser Vorschrift.

verantwortlichen Anbieter, die eine Zulassung für Komponenten oder Dienste nach § 311 Absatz 6

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

sowie § 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

oder eine Bestätigung nach § 327

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

besitzen, sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu treffen und fortlaufend zu aktualisieren. Dabei ist der jeweilige Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Telematikinfrastruktur insgesamt oder von solchen Diensten der Telematikinfrastruktur steht, die durch Störungen verursacht werden können.

(2) Die Gesellschaft für Telematik hat mindestens alle zwei Jahre über die Erfüllung der Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur geeignete Nachweise zu erbringen. Der Nachweis kann jeweils insbesondere durch Audits, Prüfungen oder Zertifizierungen erfolgen, die von geeigneten und unabhängigen externen Stellen durchgeführt werden.

(3) Die Gesellschaft für Telematik informiert das Bundesministerium für Gesundheit und das Bundesamt für Sicherheit in der Informationstechnik in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Absatz 2. Die Gesellschaft für Telematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

sowie § 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

oder Inhabern einer Bestätigung nach § 327

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

geeignete Nachweise zur Erfüllung ihrer Pflichten nach Absatz 1 verlangen.

(4) Die Meldepflichten nach Artikel 33 der Verordnung (EU) 2016/679 bleiben unberührt.

§ 331 Maßnahmen zur Überwachung des Betriebs zur Gewährleistung der Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur

(1) Die Gesellschaft für Telematik hat ab dem 1. Januar 2021 für Komponenten und Dienste der Telematikinfrastruktur sowie für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs zu treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten.

(2) Die Gesellschaft für Telematik legt fest, welche näheren Angaben ihr die Anbieter der Komponenten und Dienste offenzulegen haben, damit die Überwachung nach Absatz 1 durchgeführt werden kann.

(3) Die Verpflichtung der Gesellschaft für Telematik nach § 330 Absatz 1 Satz 1,

(1) Die Gesellschaft für Telematik sowie die gemäß § 307 verantwortlichen Anbieter, die eine Zulassung für Komponenten oder Dienste nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu treffen und fortlaufend zu aktualisieren. Dabei ist der jeweilige Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Telematikinfrastruktur insgesamt oder von solchen Diensten der Telematikinfrastruktur steht, die durch Störungen verursacht werden können.

(2) Die Gesellschaft für Telematik hat mindestens alle zwei Jahre über die Erfüllung der Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur geeignete Nachweise zu erbringen. Der Nachweis kann jeweils insbesondere durch Audits, Prüfungen oder Zertifizierungen erfolgen, die von geeigneten und unabhängigen externen Stellen durchgeführt werden.

(3) Die Gesellschaft für Telematik informiert das Bundesministerium für Gesundheit und das Bundesamt für Sicherheit in der Informationstechnik in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Absatz 2. Die Gesellschaft für Telematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder Inhabern einer Bestätigung nach § 327 geeignete Nachweise zur Erfüllung ihrer Pflichten nach Absatz 1 verlangen.

(4) Die Meldepflichten nach Artikel 33 der Verordnung (EU) 2016/679 bleiben unberührt.

zur Vermeidung von Störungen angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst auch den Einsatz von geeigneten Systemen zur Erkennung von Störungen und Angriffen. Der Einsatz der Systeme erfolgt im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik.

(4) Die Gesellschaft für Telematik darf die für den Einsatz der Systeme nach Absatz 3 erforderlichen Daten verarbeiten. Die im Rahmen des Einsatzes dieser Systeme verarbeiteten Daten sind unverzüglich zu löschen, wenn sie für die Vermeidung von Störungen nach § 330 Absatz 1 Satz 1

(1) Die Gesellschaft für Telematik sowie die gemäß § 307 verantwortlichen Anbieter, die eine Zulassung für Komponenten oder Dienste nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu treffen und fortlaufend zu aktualisieren. Dabei ist der jeweilige Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Telematikinfrastruktur insgesamt oder von solchen Diensten der Telematikinfrastruktur steht, die durch Störungen verursacht werden können.

(2) Die Gesellschaft für Telematik hat mindestens alle zwei Jahre über die Erfüllung der Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur geeignete Nachweise zu erbringen. Der Nachweis kann jeweils insbesondere durch Audits, Prüfungen oder Zertifizierungen erfolgen, die von geeigneten und unabhängigen externen Stellen durchgeführt werden.

(3) Die Gesellschaft für Telematik informiert das Bundesministerium für Gesundheit und das Bundesamt für Sicherheit in der Informationstechnik in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Absatz 2. Die Gesellschaft für Telematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder Inhabern einer Bestätigung nach § 327 geeignete Nachweise zur Erfüllung ihrer Pflichten nach Absatz 1 verlangen.

(4) Die Meldepflichten nach Artikel 33 der Verordnung (EU) 2016/679 bleiben unberührt.

nicht mehr erforderlich sind, spätestens jedoch nach zehn Jahren.

(5) Die Gesellschaft für Telematik darf, soweit es für die Durchführung der Maßnahmen nach Absatz 1 und im Rahmen der Vorkehrungen nach Absatz 3 erforderlich ist, die für den Zugriff auf Anwendungen nach § 334 Absatz 1 Satz 2

(1) Die Anwendungen der Telematikinfrastruktur dienen der Verbesserung der Wirtschaftlichkeit, der Qualität und der Transparenz der Versorgung. Anwendungen sind:

1.
die elektronische Patientenakte nach § 341,
2.
Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende,
3.
Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen nach § 1901a des Bürgerlichen Gesetzbuchs,
4.
der Medikationsplan nach § 31a einschließlich Daten zur Prüfung der Arzneimitteltherapiesicherheit (elektronischer Medikationsplan),
5.
medizinische Daten, soweit sie für die Notfallversorgung erforderlich sind (elektronische Notfalldaten),
6.
elektronische Verordnungen und
7.
die elektronische Patientenkurzakte nach § 358.

(2) Die Anwendungen nach Absatz 1 Satz 2 Nummer 1 bis 5 werden von der elektronischen Gesundheitskarte unterstützt. Die Anwendungen nach Absatz 1 Satz 2 Nummer 2, 3 und 5 werden ab dem 1. Juli 2023 technisch in die Anwendung nach Absatz 1 Satz 2 Nummer 7 überführt.

(3) Die Gesellschaft für Telematik kann über die in Absatz 1 genannten Anwendungen hinaus bereits Festlegungen und Maßnahmen zu zusätzlichen Anwendungen der Telematikinfrastruktur treffen, die insbesondere dem weiteren Ausbau des elektronischen Austausches von Befunden, Diagnosen, Therapieempfehlungen, Behandlungsberichten, Formularen, Erklärungen und Unterlagen dienen. Die Zulassung gemäß § 325 Absatz 1 darf erst erfolgen, wenn die insoweit erforderlichen gesetzlichen Rahmenbedingungen, wie insbesondere die Bestimmung als Anwendung der Telematikinfrastruktur in Absatz 1 sowie die Zugriffsberechtigungen auf Daten der Anwendung, in Kraft getreten sind.

(4) Beim Bundesinstitut für Arzneimittel und Medizinprodukte wird zum 1. Januar 2021 eine Meldestelle für die Nutzer von Anwendungen nach Absatz 1 eingerichtet, die versorgungsrelevante Fehlerkonstellationen bei der Nutzung dieser Anwendungen im medizinischen Versorgungsalltag in nicht personenbezogener Form erfasst und systematisch bewertet. Das Bundesinstitut für Arzneimittel und Medizinprodukte übermittelt seine Bewertung der Gesellschaft für Telematik, die diese bei der Weiterentwicklung der Anwendungen nach Absatz 1 zu berücksichtigen hat.

erforderlichen Komponenten zur Identifikation und Authentifizierung im Rahmen von hierzu erstellten Prüfnutzeridentitäten nutzen. Die Nutzung darf ausschließlich für Prüfzwecke erfolgen und die Einzelheiten sind im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit festzulegen. Es muss dabei technisch und organisatorisch gewährleistet sein, dass ein Zugriff auf personenbezogene Daten von Nutzern der Telematikinfrastruktur ausgeschlossen ist, die keine Prüfnutzeridentitäten verwenden. Die Prüfnutzeridentitäten dürfen von höchstens sieben, nach dem Sicherheitsüberprüfungsgesetz überprüften Mitarbeitern der Gesellschaft für Telematik genutzt werden. Die Zugriffe nach Satz 1 müssen protokolliert und jährlich oder auf Anforderung der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgelegt werden. Die Protokolldaten müssen enthalten, durch wen und zu welchem Zweck die Komponenten nach Satz 1 eingesetzt wurden und sind für drei Jahre zu speichern. Die nach Satz 1 erforderlichen Komponenten sind der Gesellschaft für Telematik auf Verlangen durch die jeweils für die Ausgabe zuständige Stelle gegen Kostenerstattung zur Verfügung zu stellen.

(6) Die für die Aufgaben nach dem Zehnten und diesem Kapitel beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik pauschal in Höhe der Kosten für zehn Vollzeitäquivalente zu erstatten. Zusätzlich werden die Kosten des Bundesamts für Sicherheit in der Informationstechnik für erforderliche Unterstützungsleistungen Dritter durch die Gesellschaft für Telematik in Höhe der tatsächlich anfallenden Kosten erstattet. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung für Unterstützungsleistungen nach Satz 2 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

§ 332 Anforderungen an die Wartung von Diensten

(1) Dienstleister, die mit der Herstellung und der Wartung des Anschlusses von informationstechnischen Systemen der Leistungserbringer an die Telematikinfrastruktur einschließlich der Wartung hierfür benötigter Komponenten sowie der Anbindung an Dienste der Telematikinfrastruktur beauftragt werden, müssen besondere Sorgfalt bei der Herstellung und Wartung des Anschlusses an die Telematikinfrastruktur walten lassen und über die notwendige Fachkunde verfügen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme und Komponenten zu gewährleisten.

(2) Die Erfüllung der Anforderungen nach Absatz 1 muss den Leistungserbringern auf Verlangen auf geeignete Weise nachgewiesen werden.

(3) Zur Erfüllung der Anforderungen nach Absatz 1 und des Nachweises nach Absatz 2 können die maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene den von ihnen vertretenen Leistungserbringern in Abstimmung mit der Gesellschaft für Telematik Hinweise geben. Der Gesellschaft für Telematik obliegt hierbei die Beachtung der notwendigen sicherheitstechnischen und betrieblichen Voraussetzungen zur Wahrung der Sicherheit und Funktionsfähigkeit der Telematikinfrastruktur.

§ 333 Überprüfung durch das Bundesamt für Sicherheit in der Informationstechnik

(1) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen unverzüglich, spätestens aber innerhalb von zwei Wochen vor:

1.
die Zulassungen nach § 311 Absatz 6

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

sowie den §§ 324

(1) Anbieter von Betriebsleistungen haben einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach Maßgabe von § 311 Absatz 6 und § 325 zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistungen gewährleistet sind und
3.
der Anbieter sich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden.

(2) Die Gesellschaft für Telematik kann die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Funktionalität, Interoperabilität und des notwendigen Sicherheitsniveaus erforderlich ist.

(3) Die Gesellschaft für Telematik oder die von ihr beauftragten Organisationen veröffentlicht oder veröffentlichen

1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Absatz 1 Satz 1 Nummer 2 erfüllt sein müssen sowie
2.
eine Liste mit den zugelassenen Anbietern.

und 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

und Bestätigungen nach § 327

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

einschließlich der zugrunde gelegten Dokumentation,
2.
eine Aufstellung der nach den §§ 329 bis 331
§ 329 Maßnahmen zur Abwehr von Gefahren für die Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur

(1) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik verpflichtet, unverzüglich die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr entsprechend dem Stand der Technik zu treffen. Die Gesellschaft für Telematik informiert das Bundesamt für Sicherheit in der Informationstechnik unverzüglich über die Gefahr und die getroffenen Maßnahmen.

(2) Anbieter von nach § 311 Absatz 6 sowie § 325 zugelassenen Komponenten oder Diensten und Anbieter von Anwendungen für nach § 327 bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Komponenten oder Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit dieser Komponenten oder Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur oder wesentlicher Teile führen können oder bereits geführt haben.

(3) Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden. Die Gesellschaft für Telematik kann Anbietern, die eine Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, zur Beseitigung oder Vermeidung von Störungen nach Absatz 2 verbindliche Anweisungen erteilen.

(4) Die Gesellschaft für Telematik hat die ihr nach Absatz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

(5) Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Absatz 4 zu informieren.

§ 330 Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse der Telematikinfrastruktur

(1) Die Gesellschaft für Telematik sowie die gemäß § 307 verantwortlichen Anbieter, die eine Zulassung für Komponenten oder Dienste nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu treffen und fortlaufend zu aktualisieren. Dabei ist der jeweilige Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Telematikinfrastruktur insgesamt oder von solchen Diensten der Telematikinfrastruktur steht, die durch Störungen verursacht werden können.

(2) Die Gesellschaft für Telematik hat mindestens alle zwei Jahre über die Erfüllung der Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur geeignete Nachweise zu erbringen. Der Nachweis kann jeweils insbesondere durch Audits, Prüfungen oder Zertifizierungen erfolgen, die von geeigneten und unabhängigen externen Stellen durchgeführt werden.

(3) Die Gesellschaft für Telematik informiert das Bundesministerium für Gesundheit und das Bundesamt für Sicherheit in der Informationstechnik in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Absatz 2. Die Gesellschaft für Telematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder Inhabern einer Bestätigung nach § 327 geeignete Nachweise zur Erfüllung ihrer Pflichten nach Absatz 1 verlangen.

(4) Die Meldepflichten nach Artikel 33 der Verordnung (EU) 2016/679 bleiben unberührt.

§ 331 Maßnahmen zur Überwachung des Betriebs zur Gewährleistung der Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur

(1) Die Gesellschaft für Telematik hat ab dem 1. Januar 2021 für Komponenten und Dienste der Telematikinfrastruktur sowie für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs zu treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten.

(2) Die Gesellschaft für Telematik legt fest, welche näheren Angaben ihr die Anbieter der Komponenten und Dienste offenzulegen haben, damit die Überwachung nach Absatz 1 durchgeführt werden kann.

(3) Die Verpflichtung der Gesellschaft für Telematik nach § 330 Absatz 1 Satz 1, zur Vermeidung von Störungen angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst auch den Einsatz von geeigneten Systemen zur Erkennung von Störungen und Angriffen. Der Einsatz der Systeme erfolgt im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik.

(4) Die Gesellschaft für Telematik darf die für den Einsatz der Systeme nach Absatz 3 erforderlichen Daten verarbeiten. Die im Rahmen des Einsatzes dieser Systeme verarbeiteten Daten sind unverzüglich zu löschen, wenn sie für die Vermeidung von Störungen nach § 330 Absatz 1 Satz 1 nicht mehr erforderlich sind, spätestens jedoch nach zehn Jahren.

(5) Die Gesellschaft für Telematik darf, soweit es für die Durchführung der Maßnahmen nach Absatz 1 und im Rahmen der Vorkehrungen nach Absatz 3 erforderlich ist, die für den Zugriff auf Anwendungen nach § 334 Absatz 1 Satz 2 erforderlichen Komponenten zur Identifikation und Authentifizierung im Rahmen von hierzu erstellten Prüfnutzeridentitäten nutzen. Die Nutzung darf ausschließlich für Prüfzwecke erfolgen und die Einzelheiten sind im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit festzulegen. Es muss dabei technisch und organisatorisch gewährleistet sein, dass ein Zugriff auf personenbezogene Daten von Nutzern der Telematikinfrastruktur ausgeschlossen ist, die keine Prüfnutzeridentitäten verwenden. Die Prüfnutzeridentitäten dürfen von höchstens sieben, nach dem Sicherheitsüberprüfungsgesetz überprüften Mitarbeitern der Gesellschaft für Telematik genutzt werden. Die Zugriffe nach Satz 1 müssen protokolliert und jährlich oder auf Anforderung der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgelegt werden. Die Protokolldaten müssen enthalten, durch wen und zu welchem Zweck die Komponenten nach Satz 1 eingesetzt wurden und sind für drei Jahre zu speichern. Die nach Satz 1 erforderlichen Komponenten sind der Gesellschaft für Telematik auf Verlangen durch die jeweils für die Ausgabe zuständige Stelle gegen Kostenerstattung zur Verfügung zu stellen.

(6) Die für die Aufgaben nach dem Zehnten und diesem Kapitel beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik pauschal in Höhe der Kosten für zehn Vollzeitäquivalente zu erstatten. Zusätzlich werden die Kosten des Bundesamts für Sicherheit in der Informationstechnik für erforderliche Unterstützungsleistungen Dritter durch die Gesellschaft für Telematik in Höhe der tatsächlich anfallenden Kosten erstattet. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung für Unterstützungsleistungen nach Satz 2 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
3.
sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderliche Informationen.

(2) Ergibt die Bewertung der in Absatz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen.

(3) Die Gesellschaft für Telematik ist befugt, Anbietern von zugelassenen Diensten und bestätigten Anwendungen nach § 311 Absatz 6

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

sowie nach den §§ 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

und 327

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

verbindliche Anweisungen zur Beseitigung der Sicherheitsmängel zu erteilen, die von der Gesellschaft für Telematik oder vom Bundesamt für Sicherheit in der Informationstechnik festgestellt wurden.

(4) Die dem Bundesamt für Sicherheit in der Informationstechnik entstandenen Kosten der Überprüfung trägt der Anbieter von zugelassenen Diensten und bestätigten Anwendungen nach § 311 Absatz 6

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

sowie den §§ 325

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

und 327

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.

Referenzen

§ 329 Maßnahmen zur Abwehr von Gefahren für die Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

§ 330 Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse der Telematikinfrastruktur

(1) Die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 liegt in der Verantwortung derjenigen, die diese Komponenten für die Zwecke der Authentifizierung und elektronischen Signatur sowie zur Verschlüsselung, Entschlüsselung und sicheren Verarbeitung von Daten in der zentralen Infrastruktur nutzen, soweit sie über die Mittel der Datenverarbeitung mitentscheiden. Die Verantwortlichkeit nach Satz 1 erstreckt sich insbesondere auf die ordnungsgemäße Inbetriebnahme, Wartung und Verwendung der Komponenten. Für die Verarbeitung personenbezogener Daten mittels der Komponenten der dezentralen Infrastruktur nach § 306 Absatz 2 Nummer 1 durch Verantwortliche nach Satz 1 erfolgt in der Anlage zu diesem Gesetz eine Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 10 der Verordnung (EU) 2016/679. Soweit eine Datenschutz-Folgenabschätzung nach Satz 3 erfolgt, gilt für die Verantwortlichen nach Satz 1 Artikel 35 Absatz 1 bis 7 der Verordnung (EU) 2016/679 sowie § 38 Absatz 1 Satz 2 des Bundesdatenschutzgesetzes nicht.

(2) Der Betrieb der durch die Gesellschaft für Telematik spezifizierten und zugelassenen Zugangsdienste nach § 306 Absatz 2 Nummer 2 Buchstabe a liegt in der Verantwortung des jeweiligen Anbieters des Zugangsdienstes. Der Anbieter eines Zugangsdienstes darf personenbezogene Daten der Versicherten ausschließlich für Zwecke des Aufbaus und des Betriebs seines Zugangsdienstes verarbeiten. § 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ist entsprechend anzuwenden.

(3) Die Gesellschaft für Telematik erteilt einen Auftrag nach § 323 Absatz 2 Satz 1 zum alleinverantwortlichen Betrieb des gesicherten Netzes nach § 306 Absatz 2 Nummer 2 Buchstabe b, einschließlich der für den Betrieb notwendigen Dienste. Der Anbieter des gesicherten Netzes ist innerhalb des gesicherten Netzes verantwortlich für die Übertragung von personenbezogenen Daten, insbesondere von Gesundheitsdaten der Versicherten, zwischen Leistungserbringern, Kostenträgern sowie Versicherten und für die Übertragung im Rahmen der Anwendungen der elektronischen Gesundheitskarte. Der Anbieter des gesicherten Netzes darf die Daten ausschließlich zum Zweck der Datenübertragung verarbeiten. § 3 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ist entsprechend anzuwenden.

(4) Der Betrieb der Dienste der Anwendungsinfrastruktur nach § 306 Absatz 2 Nummer 3 erfolgt durch den jeweiligen Anbieter. Die Anbieter sind für die Verarbeitung personenbezogener Daten, insbesondere von Gesundheitsdaten der Versicherten, zum Zweck der Nutzung des jeweiligen Dienstes der Anwendungsinfrastruktur verantwortlich.

(5) Die Gesellschaft für Telematik ist Verantwortliche für die Verarbeitung personenbezogener Daten in der Telematikinfrastruktur, soweit sie im Rahmen ihrer Aufgaben nach § 311 Absatz 1 die Mittel der Datenverarbeitung bestimmt und insoweit keine Verantwortlichkeit nach den vorstehenden Absätzen begründet ist. Die Gesellschaft für Telematik richtet für die Betroffenen eine koordinierende Stelle ein. Die koordinierende Stelle erteilt den Betroffenen allgemeine Informationen zur Telematikinfrastruktur sowie Auskunft über Zuständigkeiten innerhalb der Telematikinfrastruktur, insbesondere zur datenschutzrechtlichen Verantwortlichkeit nach dieser Vorschrift.

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

§ 331 Maßnahmen zur Überwachung des Betriebs zur Gewährleistung der Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur

(1) Die Gesellschaft für Telematik sowie die gemäß § 307 verantwortlichen Anbieter, die eine Zulassung für Komponenten oder Dienste nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu treffen und fortlaufend zu aktualisieren. Dabei ist der jeweilige Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Telematikinfrastruktur insgesamt oder von solchen Diensten der Telematikinfrastruktur steht, die durch Störungen verursacht werden können.

(2) Die Gesellschaft für Telematik hat mindestens alle zwei Jahre über die Erfüllung der Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur geeignete Nachweise zu erbringen. Der Nachweis kann jeweils insbesondere durch Audits, Prüfungen oder Zertifizierungen erfolgen, die von geeigneten und unabhängigen externen Stellen durchgeführt werden.

(3) Die Gesellschaft für Telematik informiert das Bundesministerium für Gesundheit und das Bundesamt für Sicherheit in der Informationstechnik in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Absatz 2. Die Gesellschaft für Telematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder Inhabern einer Bestätigung nach § 327 geeignete Nachweise zur Erfüllung ihrer Pflichten nach Absatz 1 verlangen.

(4) Die Meldepflichten nach Artikel 33 der Verordnung (EU) 2016/679 bleiben unberührt.

(1) Die Gesellschaft für Telematik sowie die gemäß § 307 verantwortlichen Anbieter, die eine Zulassung für Komponenten oder Dienste nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu treffen und fortlaufend zu aktualisieren. Dabei ist der jeweilige Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Telematikinfrastruktur insgesamt oder von solchen Diensten der Telematikinfrastruktur steht, die durch Störungen verursacht werden können.

(2) Die Gesellschaft für Telematik hat mindestens alle zwei Jahre über die Erfüllung der Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur geeignete Nachweise zu erbringen. Der Nachweis kann jeweils insbesondere durch Audits, Prüfungen oder Zertifizierungen erfolgen, die von geeigneten und unabhängigen externen Stellen durchgeführt werden.

(3) Die Gesellschaft für Telematik informiert das Bundesministerium für Gesundheit und das Bundesamt für Sicherheit in der Informationstechnik in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Absatz 2. Die Gesellschaft für Telematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder Inhabern einer Bestätigung nach § 327 geeignete Nachweise zur Erfüllung ihrer Pflichten nach Absatz 1 verlangen.

(4) Die Meldepflichten nach Artikel 33 der Verordnung (EU) 2016/679 bleiben unberührt.

(1) Die Anwendungen der Telematikinfrastruktur dienen der Verbesserung der Wirtschaftlichkeit, der Qualität und der Transparenz der Versorgung. Anwendungen sind:

1.
die elektronische Patientenakte nach § 341,
2.
Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Erklärungen zur Organ- und Gewebespende,
3.
Hinweise der Versicherten auf das Vorhandensein und den Aufbewahrungsort von Vorsorgevollmachten oder Patientenverfügungen nach § 1901a des Bürgerlichen Gesetzbuchs,
4.
der Medikationsplan nach § 31a einschließlich Daten zur Prüfung der Arzneimitteltherapiesicherheit (elektronischer Medikationsplan),
5.
medizinische Daten, soweit sie für die Notfallversorgung erforderlich sind (elektronische Notfalldaten),
6.
elektronische Verordnungen und
7.
die elektronische Patientenkurzakte nach § 358.

(2) Die Anwendungen nach Absatz 1 Satz 2 Nummer 1 bis 5 werden von der elektronischen Gesundheitskarte unterstützt. Die Anwendungen nach Absatz 1 Satz 2 Nummer 2, 3 und 5 werden ab dem 1. Juli 2023 technisch in die Anwendung nach Absatz 1 Satz 2 Nummer 7 überführt.

(3) Die Gesellschaft für Telematik kann über die in Absatz 1 genannten Anwendungen hinaus bereits Festlegungen und Maßnahmen zu zusätzlichen Anwendungen der Telematikinfrastruktur treffen, die insbesondere dem weiteren Ausbau des elektronischen Austausches von Befunden, Diagnosen, Therapieempfehlungen, Behandlungsberichten, Formularen, Erklärungen und Unterlagen dienen. Die Zulassung gemäß § 325 Absatz 1 darf erst erfolgen, wenn die insoweit erforderlichen gesetzlichen Rahmenbedingungen, wie insbesondere die Bestimmung als Anwendung der Telematikinfrastruktur in Absatz 1 sowie die Zugriffsberechtigungen auf Daten der Anwendung, in Kraft getreten sind.

(4) Beim Bundesinstitut für Arzneimittel und Medizinprodukte wird zum 1. Januar 2021 eine Meldestelle für die Nutzer von Anwendungen nach Absatz 1 eingerichtet, die versorgungsrelevante Fehlerkonstellationen bei der Nutzung dieser Anwendungen im medizinischen Versorgungsalltag in nicht personenbezogener Form erfasst und systematisch bewertet. Das Bundesinstitut für Arzneimittel und Medizinprodukte übermittelt seine Bewertung der Gesellschaft für Telematik, die diese bei der Weiterentwicklung der Anwendungen nach Absatz 1 zu berücksichtigen hat.

§ 333 Überprüfung durch das Bundesamt für Sicherheit in der Informationstechnik

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Anbieter von Betriebsleistungen haben einen Anspruch auf Zulassung, wenn

1.
die zu verwendenden Komponenten und Dienste nach Maßgabe von § 311 Absatz 6 und § 325 zugelassen sind,
2.
der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistungen gewährleistet sind und
3.
der Anbieter sich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.
Die Zulassung kann mit Nebenbestimmungen versehen werden.

(2) Die Gesellschaft für Telematik kann die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Funktionalität, Interoperabilität und des notwendigen Sicherheitsniveaus erforderlich ist.

(3) Die Gesellschaft für Telematik oder die von ihr beauftragten Organisationen veröffentlicht oder veröffentlichen

1.
die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Absatz 1 Satz 1 Nummer 2 erfüllt sein müssen sowie
2.
eine Liste mit den zugelassenen Anbietern.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

§ 329 Maßnahmen zur Abwehr von Gefahren für die Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur

(1) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik verpflichtet, unverzüglich die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr entsprechend dem Stand der Technik zu treffen. Die Gesellschaft für Telematik informiert das Bundesamt für Sicherheit in der Informationstechnik unverzüglich über die Gefahr und die getroffenen Maßnahmen.

(2) Anbieter von nach § 311 Absatz 6 sowie § 325 zugelassenen Komponenten oder Diensten und Anbieter von Anwendungen für nach § 327 bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Komponenten oder Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit dieser Komponenten oder Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur oder wesentlicher Teile führen können oder bereits geführt haben.

(3) Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden. Die Gesellschaft für Telematik kann Anbietern, die eine Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, zur Beseitigung oder Vermeidung von Störungen nach Absatz 2 verbindliche Anweisungen erteilen.

(4) Die Gesellschaft für Telematik hat die ihr nach Absatz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

(5) Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Absatz 4 zu informieren.

§ 330 Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse der Telematikinfrastruktur

(1) Die Gesellschaft für Telematik sowie die gemäß § 307 verantwortlichen Anbieter, die eine Zulassung für Komponenten oder Dienste nach § 311 Absatz 6 sowie § 325 oder eine Bestätigung nach § 327 besitzen, sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur zu treffen und fortlaufend zu aktualisieren. Dabei ist der jeweilige Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Telematikinfrastruktur insgesamt oder von solchen Diensten der Telematikinfrastruktur steht, die durch Störungen verursacht werden können.

(2) Die Gesellschaft für Telematik hat mindestens alle zwei Jahre über die Erfüllung der Anforderungen an die Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse der Telematikinfrastruktur geeignete Nachweise zu erbringen. Der Nachweis kann jeweils insbesondere durch Audits, Prüfungen oder Zertifizierungen erfolgen, die von geeigneten und unabhängigen externen Stellen durchgeführt werden.

(3) Die Gesellschaft für Telematik informiert das Bundesministerium für Gesundheit und das Bundesamt für Sicherheit in der Informationstechnik in geeigneter Weise über erkannte Sicherheitsmängel und die Nachweise nach Absatz 2. Die Gesellschaft für Telematik kann von den Inhabern einer Zulassung für Komponenten oder Dienste der Telematikinfrastruktur nach § 311 Absatz 6 sowie § 325 oder Inhabern einer Bestätigung nach § 327 geeignete Nachweise zur Erfüllung ihrer Pflichten nach Absatz 1 verlangen.

(4) Die Meldepflichten nach Artikel 33 der Verordnung (EU) 2016/679 bleiben unberührt.

§ 331 Maßnahmen zur Überwachung des Betriebs zur Gewährleistung der Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur

(1) Die Gesellschaft für Telematik hat ab dem 1. Januar 2021 für Komponenten und Dienste der Telematikinfrastruktur sowie für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs zu treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten.

(2) Die Gesellschaft für Telematik legt fest, welche näheren Angaben ihr die Anbieter der Komponenten und Dienste offenzulegen haben, damit die Überwachung nach Absatz 1 durchgeführt werden kann.

(3) Die Verpflichtung der Gesellschaft für Telematik nach § 330 Absatz 1 Satz 1, zur Vermeidung von Störungen angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst auch den Einsatz von geeigneten Systemen zur Erkennung von Störungen und Angriffen. Der Einsatz der Systeme erfolgt im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik.

(4) Die Gesellschaft für Telematik darf die für den Einsatz der Systeme nach Absatz 3 erforderlichen Daten verarbeiten. Die im Rahmen des Einsatzes dieser Systeme verarbeiteten Daten sind unverzüglich zu löschen, wenn sie für die Vermeidung von Störungen nach § 330 Absatz 1 Satz 1 nicht mehr erforderlich sind, spätestens jedoch nach zehn Jahren.

(5) Die Gesellschaft für Telematik darf, soweit es für die Durchführung der Maßnahmen nach Absatz 1 und im Rahmen der Vorkehrungen nach Absatz 3 erforderlich ist, die für den Zugriff auf Anwendungen nach § 334 Absatz 1 Satz 2 erforderlichen Komponenten zur Identifikation und Authentifizierung im Rahmen von hierzu erstellten Prüfnutzeridentitäten nutzen. Die Nutzung darf ausschließlich für Prüfzwecke erfolgen und die Einzelheiten sind im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit festzulegen. Es muss dabei technisch und organisatorisch gewährleistet sein, dass ein Zugriff auf personenbezogene Daten von Nutzern der Telematikinfrastruktur ausgeschlossen ist, die keine Prüfnutzeridentitäten verwenden. Die Prüfnutzeridentitäten dürfen von höchstens sieben, nach dem Sicherheitsüberprüfungsgesetz überprüften Mitarbeitern der Gesellschaft für Telematik genutzt werden. Die Zugriffe nach Satz 1 müssen protokolliert und jährlich oder auf Anforderung der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgelegt werden. Die Protokolldaten müssen enthalten, durch wen und zu welchem Zweck die Komponenten nach Satz 1 eingesetzt wurden und sind für drei Jahre zu speichern. Die nach Satz 1 erforderlichen Komponenten sind der Gesellschaft für Telematik auf Verlangen durch die jeweils für die Ausgabe zuständige Stelle gegen Kostenerstattung zur Verfügung zu stellen.

(6) Die für die Aufgaben nach dem Zehnten und diesem Kapitel beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik pauschal in Höhe der Kosten für zehn Vollzeitäquivalente zu erstatten. Zusätzlich werden die Kosten des Bundesamts für Sicherheit in der Informationstechnik für erforderliche Unterstützungsleistungen Dritter durch die Gesellschaft für Telematik in Höhe der tatsächlich anfallenden Kosten erstattet. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung für Unterstützungsleistungen nach Satz 2 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest.

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.

(1) Im Rahmen des Auftrags nach § 306 Absatz 1 hat die Gesellschaft für Telematik nach Maßgabe der Anforderungen gemäß § 306 Absatz 3 folgende Aufgaben:

1.
zur Schaffung der Telematikinfrastruktur:
a)
Erstellung der funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts,
b)
Festlegung von Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung, soweit diese Festlegung nicht nach § 355 durch die Kassenärztliche Bundesvereinigung oder die Deutsche Krankenhausgesellschaft erfolgt,
c)
Erstellung von Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und Überwachung der Umsetzung dieser Vorgaben,
d)
Sicherstellung der notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen und
e)
Festlegung von Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren zur Verwaltung
aa)
der Zugriffsberechtigungen nach dem Fünften Abschnitt und
bb)
der Steuerung der Zugriffe auf Daten nach § 334 Absatz 1 Satz 2,
2.
Aufbau der Telematikinfrastruktur und insoweit Festlegung der Rahmenbedingungen für Betriebsleistungen sowie Vergabe von Aufträgen für deren Erbringung an Anbieter von Betriebsleistungen oder Zulassung von Betriebsleistungen,
3.
Betrieb des elektronischen Verzeichnisdienstes nach § 313,
4.
Zulassung der Komponenten und Dienste der Telematikinfrastruktur einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste,
5.
Zulassung der sicheren Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur,
6.
Festlegung der Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 und Durchführung der Verfahren zur Bestätigung des Vorliegens dieser Voraussetzungen,
7.
Gewährleistung einer diskriminierungsfreien Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung nach § 306 Absatz 1 Satz 2 Nummer 2 unter vorrangiger Berücksichtigung der elektronischen Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung, der Rentenversicherung und der Unfallversicherung dienen,
8.
Aufbau, Pflege und Betrieb des Interoperabilitätsverzeichnisses nach § 385,
9.
Koordinierung der Ausgabeprozesse der in der Telematikinfrastruktur genutzten Identifikations- und Authentifizierungsmittel, insbesondere der Karten und Ausweise gemäß den §§ 291 und 340, im Benehmen mit den Kartenherausgebern, Überwachung der Ausgabeprozesse und Vorgabe von verbindlichen Maßnahmen, die bei Sicherheitsmängeln zu ergreifen sind,
10.
Entwicklung und Zurverfügungstellung der Komponenten der Telematikinfrastruktur, die den Zugriff der Versicherten auf die Anwendung zur Übermittlung ärztlicher Verordnungen nach § 334 Absatz 1 Satz 2 Nummer 6 nach Maßgabe des § 360 Absatz 5 ermöglichen, als Dienstleistungen von allgemeinem wirtschaftlichem Interesse,
11.
Unterstützung des Robert Koch-Instituts bei der Entwicklung und dem Betrieb des elektronischen Melde- und Informationssystems nach § 14 des Infektionsschutzgesetzes und
12.
Betrieb von Komponenten und Diensten der zentralen Infrastruktur gemäß § 306 Absatz 2 Nummer 2, die zur Gewährleistung der Sicherheit oder für die Aufrechterhaltung der Funktionsfähigkeit der Telematikinfrastruktur von wesentlicher Bedeutung sind, nach Maßgabe des § 323 Absatz 2 Satz 3.

(2) Die Gesellschaft für Telematik hat Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen der Datensicherheit berühren, im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen und Festlegungen und Maßnahmen nach Absatz 1 Nummer 1, die Fragen des Datenschutzes berühren, im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen. Bei der Gestaltung der Verfahren nach Absatz 1 Nummer 1 Buchstabe e berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können.

(3) Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen vereinbar sind und dass andererseits die Vorgaben für die Telematikinfrastruktur und ihre Anwendungen mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Die Datensicherheit ist dabei nach dem Stand der Technik zu gewährleisten.

(4) Bei der Wahrnehmung ihrer Aufgaben hat die Gesellschaft für Telematik die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Sie hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist.

(5) Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter mit Ausnahme der Bundesrepublik Deutschland oder Dritte beauftragt werden. Hierbei hat die Gesellschaft für Telematik die Interoperabilität, die Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten.

(6) Die Gesellschaft für Telematik legt in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sichere Verfahren zur Übermittlung medizinischer Daten über die Telematikinfrastruktur fest. Die festgelegten Verfahren veröffentlicht die Gesellschaft für Telematik auf ihrer Internetseite. Der Anbieter eines Dienstes für ein Übermittlungsverfahren muss die Anwendung der festgelegten Verfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren nach Satz 3 gilt § 325. Die für das Zulassungsverfahren erforderlichen Festlegungen hat die Gesellschaft für Telematik zu treffen und auf ihrer Internetseite zu veröffentlichen. Die Kosten, die nach diesem Absatz bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehen, sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(7) Bei der Vergabe von Aufträgen durch die Gesellschaft für Telematik ist unterhalb der Schwellenwerte nach § 106 des gesetzes gegen Wettbewerbsbeschränkungen die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz. AT 07.02.2017 B1; BAnz. AT 07.02.2017 B2) anzuwenden. Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Teil 4 des gesetzes gegen Wettbewerbsbeschränkungen bleibt unberührt.

(1) Die Komponenten und Dienste der Telematikinfrastruktur bedürfen der Zulassung durch die Gesellschaft für Telematik.

(2) Die Gesellschaft für Telematik lässt die Komponenten und Dienste der Telematikinfrastruktur auf Antrag der Anbieter zu, wenn die Komponenten und Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(3) Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität von Komponenten und Diensten der Telematikinfrastruktur auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt durch eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik. Abweichend von Satz 2 kann die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine andere Form des Nachweises der Sicherheit festlegen, wenn eine Sicherheitszertifizierung auf Grund des geringen Gefährdungspotentials der zu prüfenden Dienste und Komponenten nicht erforderlich ist oder der hierfür erforderliche Aufwand außer Verhältnis steht und die andere Form des Nachweises die Sicherheit gleichwertig gewährleistet. Die Vorgaben müssen geeignet sein, abgestuft im Verhältnis zum Gefährdungspotential Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Dienste und Komponenten sicherzustellen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik festgelegt.

(4) Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit, der Sicherheit der Telematikinfrastruktur oder wesentlicher Teile hiervon erforderlich ist. Soweit die befristete Genehmigung der Aufrechterhaltung der Sicherheit dient, ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen.

(5) Die Gesellschaft für Telematik kann auch Hersteller und Anbieter von Komponenten und Diensten der Telematikinfrastruktur zulassen. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien für Hersteller und Anbieter legt die Gesellschaft für Telematik im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Zulassung kann mit Nebenbestimmungen versehen werden.

(6) Die Gesellschaft für Telematik bestimmt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die Komponenten und Dienste, deren Zulassung nach Absatz 2 verpflichtend auch der Zulassung der jeweiligen Hersteller oder Anbieter nach Absatz 5 bedarf.

(7) Aussagen über die Qualität der Prozesse bei der Entwicklung, dem Betrieb, der Wartung und der Pflege der Komponenten und Dienste, die aus Zulassungen von Herstellern und Anbietern nach Absatz 5 stammen, können bei Zulassungen von Komponenten und Diensten nach Absatz 2 berücksichtigt werden.

(8) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten sowie mit den zugelassenen Herstellern und Anbietern von Komponenten und Diensten auf ihrer Internetseite.

(1) Für weitere Anwendungen ohne Nutzung der elektronischen Gesundheitskarte nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a darf die Telematikinfrastruktur nur verwendet werden, wenn

1.
es sich um eine Anwendung des Gesundheitswesens, der Rehabilitation, der Pflege oder um eine Anwendung zum Zwecke der Gesundheits- und Pflegeforschung handelt,
2.
die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur nicht beeinträchtigt werden,
3.
im Fall der Verarbeitung personenbezogener Daten die dafür geltenden Vorschriften zum Datenschutz eingehalten und die erforderlichen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik getroffen werden, um die Anforderungen an die Sicherheit der Anwendung im Hinblick auf die Schutzbedürftigkeit der Daten zu gewährleisten und
4.
bei den dafür erforderlichen technischen Systemen und Verfahren Barrierefreiheit für den Versicherten gewährleistet ist.

(2) Weitere Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a bedürfen zur Nutzung der Telematikinfrastruktur der Bestätigung durch die Gesellschaft für Telematik. Die Gesellschaft für Telematik legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit das Nähere zu den erforderlichen Voraussetzungen für die Nutzung der Telematikinfrastruktur fest und veröffentlicht diese Voraussetzungen auf ihrer Internetseite.

(3) Die Erfüllung der Voraussetzungen muss der Anbieter einer Anwendung in einem Bestätigungsverfahren nachweisen. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden.

(4) Die Einzelheiten des Bestätigungsverfahrens nach Absatz 2 sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht sie auf ihrer Internetseite.

(5) Die Gesellschaft für Telematik veröffentlicht eine Liste mit den bestätigten Anwendungen auf ihrer Internetseite.

(6) Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach § 311 Absatz 1 Satz 1 Nummer 1 Buchstabe e festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest und veröffentlicht diese auf ihrer Internetseite.

(7) Die für die Wahrnehmung von Aufgaben nach Absatz 2 bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(8) Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a kann die Gesellschaft für Telematik von dem jeweiligen Anbieter Entgelte verlangen. Die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem, im Elften Buch oder im Implantateregistergesetz geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, oder für technische Verfahren zu telemedizinischen Konsilien nach § 367 genutzt werden. Davon unberührt bleibt die Verpflichtung eines Anbieters von Anwendungen nach § 306 Absatz 1 Satz 2 Nummer 2 Buchstabe a, die Kosten für seinen Anschluss an die zentrale Telematikinfrastruktur zu tragen.