§ 342 Angebot und Nutzung der elektronischen Patientenakte

(1) Die Krankenkassen sind verpflichtet, jedem Versicherten spätestens ab dem 1. Januar 2021 auf Antrag und mit Einwilligung des Versicherten eine nach § 325 Absatz 1 von der Gesellschaft für Telematik zugelassene elektronische Patientenakte zur Verfügung zu stellen, die jeweils rechtzeitig den Anforderungen gemäß Absatz 2 entspricht.

(2) Die elektronische Patientenakte muss technisch insbesondere gewährleisten, dass

1.

spätestens ab dem 1. Januar 2021

a): die Daten nach § 341 Absatz 2 Nummer 1 und 6 barrierefrei bereitgestellt werden können;
b): die Versicherten über eine Benutzeroberfläche eines geeigneten Endgeräts ihre Rechte gemäß den §§ 336 und 337 barrierefrei wahrnehmen können;
c): die Versicherten über eine Benutzeroberfläche eines geeigneten Endgeräts oder mittels der dezentralen Infrastruktur der Leistungserbringer eine Einwilligung nicht nur in den Zugriff durch zugriffsberechtigte Leistungserbringer auf Daten in der elektronischen Patientenakte insgesamt, sondern auch in den Zugriff entweder ausschließlich auf Daten nach § 341 Absatz 2 Nummer 1 oder auf Daten nach § 341 Absatz 2 Nummer 6 barrierefrei erteilen können;
d): den Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts die Protokolldaten gemäß § 309 Absatz 1 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und in auswertbarer Form sowie barrierefrei bereitgestellt werden;
e): durch eine entsprechende technische Voreinstellung die Dauer der Zugriffsberechtigung durch zugriffsberechtigte Leistungserbringer standardmäßig auf eine Woche beschränkt ist;
f): die Versicherten die Dauer der Zugriffsberechtigungen auf einen Zeitraum von mindestens einem Tag bis zu höchstens 18 Monate selbst festlegen können;
g): die Versicherten bis einschließlich 31. Dezember 2021 jeweils bei ihrem Zugriff auf die elektronische Patientenakte mittels der Benutzeroberfläche eines geeigneten Endgeräts gemäß § 336 Absatz 2 vor der Speicherung eigener Dokumente in der elektronischen Patientenakte auf die fehlende Möglichkeit hingewiesen werden, die Einwilligung zum Zugriff durch zugriffsberechtigte Leistungserbringer sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte nach Nummer 2 Buchstabe b und c zu beschränken;
h): die Versicherten bis einschließlich 31. Dezember 2021 über eine Benutzeroberfläche eines geeigneten Endgeräts gemäß § 336 Absatz 2 vor Erteilung einer Einwilligung in den Zugriff durch zugriffsberechtigte Leistungserbringer auf die fehlende Möglichkeit hingewiesen werden, die Zugriffsberechtigung sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte nach Nummer 2 Buchstabe b zu beschränken und

2.

zusätzlich spätestens ab dem 1. Januar 2022

a): die Daten nach § 341 Absatz 2 Nummer 2 bis 5, 7, 8 und 11 zur Verfügung gestellt werden können;
b): die Versicherten oder durch sie befugte Vertreter über die Benutzeroberfläche eines geeigneten Endgeräts gemäß § 336 Absatz 2 eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 in den Zugriff sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte barrierefrei erteilen können;
c): die Versicherten, die nicht gemäß § 336 die Benutzeroberfläche eines geeigneten Endgeräts nutzen möchten, den Zugriffsberechtigten nach § 352 mittels der dezentralen Infrastruktur der Leistungserbringer eine Einwilligung in den Zugriff mindestens auf Kategorien von Dokumenten und Datensätzen, insbesondere medizinische Fachgebietskategorien, erteilen können;
d): bei einem Wechsel der Krankenkasse die Daten nach § 341 Absatz 2 Nummer 1 bis 8, 10 bis 13 aus der bisherigen elektronischen Patientenakte in der elektronischen Patientenakte der gewählten Krankenkasse zur Verfügung gestellt werden können;
e): durch die Versicherten befugte Vertreter die Rechte gemäß Nummer 1 Buchstabe b, d und f wahrnehmen können;
f): die Versicherten die Dauer der Zugriffsberechtigungen abweichend von Nummer 1 Buchstabe f auf einen Zeitraum von mindestens einem Tag bis zu einer frei gewählten Dauer oder auch unbefristet selbst festlegen können;
g): die Versicherten jeweils bei ihrem Zugriff auf die elektronische Patientenakte mittels der Benutzeroberfläche eines geeigneten Endgeräts gemäß § 336 Absatz 2 vor dem Löschen von Daten in der elektronischen Patientenakte auf die möglichen versorgungsrelevanten Folgen hingewiesen werden und

3.

zusätzlich spätestens sechs Monate, nachdem das dafür bestimmte Register zur Verfügung steht, die Versicherten mittels der Benutzeroberfläche eines geeigneten Endgeräts und unter Nutzung der elektronischen Gesundheitskarte oder einer digitalen Identität der Versicherten nach § 291 Absatz 8 die Abgabe, Änderung sowie den Widerruf einer elektronischen Erklärung zur Organ- und Gewebespende in dem Register vornehmen können, und

4.

zusätzlich spätestens ab dem 1. Januar 2023

a): die Daten nach § 341 Absatz 2 Nummer 12 und 13 zur Verfügung gestellt werden können;
b): Daten der Versicherten in digitalen Gesundheitsanwendungen nach § 33a mit Einwilligung der Versicherten vom Hersteller einer digitalen Gesundheitsanwendung nach § 33a über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte der Versicherten nach § 341 Absatz 2 Nummer 9 übermittelt und dort gespeichert werden können;
c): die Versicherten über die Benutzeroberfläche eines geeigneten Endgeräts nach § 336 Absatz 2 auf Informationen des Nationalen Gesundheitsportals nach § 395 barrierefrei zugreifen können und

5.

zusätzlich spätestens ab dem 1. Januar 2024 die Daten nach § 341 Absatz 2 Nummer 10 zur Verfügung gestellt werden können,

6.

zusätzlich spätestens ab dem 1. Juli 2024 die Versicherten oder durch sie befugte Vertreter die Daten, die in der elektronischen Patientenakte gespeichert sind, nach § 363 zu Forschungszwecken zur Verfügung stellen können,

7.

zusätzlich spätestens ab dem 1. August 2024 die Versicherten den Sofortnachrichtendienst mit Leistungserbringern und mit Krankenkassen als sicheres Übermittlungsverfahren nach § 311 Absatz 6 über die Benutzeroberfläche nach Nummer 1 Buchstabe b nutzen können und

8.

zusätzlich spätestens ab dem 1. Oktober 2024 die Versicherten oder durch sie befugte Vertreter über die Benutzeroberfläche eines geeigneten Endgeräts nach § 336 Absatz 2 auf Daten des elektronischen Medikationsplans nach § 334 Absatz 1 Satz 2 Nummer 4, soweit diese nicht auf der elektronischen Gesundheitskarte gespeichert sind, und auf Daten der elektronischen Patientenkurzakte nach § 334 Absatz 1 Satz 2 Nummer 7 barrierefrei zugreifen und die Rechte gemäß Nummer 1 Buchstabe b, d und f in Verbindung mit Nummer 2 Buchstabe e und f wahrnehmen können.

(3) Jede Krankenkasse richtet eine Ombudsstelle ein. Die Versicherten können sich mit ihren Anliegen im Zusammenhang mit der elektronischen Patientenakte an die Ombudsstelle ihrer Krankenkasse wenden. Die Ombudsstellen beraten die Versicherten bei allen Fragen und Problemen bei der Nutzung der elektronischen Patientenakte. Sie informieren insbesondere über das Verfahren bei der Beantragung der elektronischen Patientenakte, Ansprüche der Versicherten nach diesem Titel, die Funktionsweise und die möglichen Inhalte der elektronischen Patientenakte.

(4) Die Krankenkasse hat sicherzustellen, dass die Anbieter die nach § 325 Absatz 1 zugelassenen Komponenten und Dienste der elektronischen Patientenakte laufend in der Weise weiterentwickeln, dass die elektronische Patientenakte dem jeweils aktuellen Stand der Technik und den jeweils aktuellen Festlegungen der Gesellschaft für Telematik nach § 354 entspricht.

(5) Bis alle Krankenkassen ihren jeweiligen Verpflichtungen nach den Absätzen 1, 2 und 4 nachgekommen sind, prüft der Spitzenverband Bund der Krankenkassen jährlich zum Stichtag 1. Januar eines Jahres, erstmals zum 1. Januar 2021, ob die Krankenkassen ihren Versicherten eine von der Gesellschaft für Telematik zugelassene elektronische Patientenakte nach Maßgabe der Absätze 1, 2 und 4 zur Verfügung gestellt haben. Ist eine Krankenkasse ihrer jeweiligen Verpflichtung nach den Absätzen 1, 2 und 4 nicht nachgekommen, so stellt der Spitzenverband Bund der Krankenkassen dies durch Bescheid fest. In dem Bescheid ist die betroffene Krankenkasse über die Sanktionierung gemäß § 270 Absatz 3 zu informieren. Klagen gegen den Bescheid haben keine aufschiebende Wirkung. Der Spitzenverband Bund der Krankenkassen teilt dem Bundesamt für Soziale Sicherung erstmals bis zum 15. Januar 2021 mit, welche Krankenkassen ihrer Verpflichtung nach Absatz 1 nicht nachgekommen sind. Die Mitteilung nach Satz 5 erfolgt jeweils zum 15. Januar des Jahres, an dem der Spitzenverband Bund der Krankenkassen durch Bescheid festgestellt hat, dass eine Krankenkasse ihrer jeweiligen Verpflichtung nach den Absätzen 1, 2 und 4 nicht nachgekommen ist. Der Spitzenverband Bund der Krankenkassen veröffentlicht ab dem 1. Januar 2021 eine Übersicht derjenigen Krankenkassen, die ihren Versicherten eine von der Gesellschaft für Telematik zugelassene elektronische Patientenakte nach Maßgabe der Absätze 1, 2 und 4 zur Verfügung stellen, auf seiner Internetseite. Die Übersicht ist laufend zu aktualisieren.

(6) Die Krankenkassen dürfen von ihnen genutzte Komponenten und Dienste der elektronischen Patientenakte Unternehmen der privaten Krankenversicherung oder den sonstigen Einrichtungen gemäß § 362 Absatz 1 zur Verfügung stellen und in deren Auftrag betreiben. Soweit auch der Betrieb der elektronischen Patientenakte für das Unternehmen der privaten Krankenversicherung oder der sonstigen Einrichtung gemäß § 362 Absatz 1 erfolgt, sind geeignete technische und organisatorische Maßnahmen zur sicheren Trennung der Datenbestände zu treffen. Die Entwicklungs- und Betriebskosten für die elektronische Patientenakte sind dem Unternehmen der privaten Krankenversicherung oder der sonstigen Einrichtung gemäß § 362 Absatz 1 in angemessener Höhe anteilig in Rechnung zu stellen.

(7) Die Krankenkassen sind verpflichtet, spätestens bis zum 1. Januar 2022 sicherzustellen, dass Versicherte in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 1 und zusätzlich spätestens bis zum 1. Oktober 2024 in Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 4 und 7 ihre Rechte gemäß § 336 Absatz 1 und 2 und § 337 Absatz 1 bis 3 sowie das Auslesen der Protokolldaten in den Anwendungen barrierefrei mittels einer Benutzeroberfläche sowohl eines geeigneten mobilen Endgeräts als auch eines geeigneten stationären Endgeräts entsprechend der Anforderungen gemäß Absatz 2 wahrnehmen können. Dabei sind technische Verfahren vorzusehen, die zur Authentifizierung einen hohen Sicherheitsstandard gewährleisten. Satz 1 gilt nicht für Daten in einer Anwendung nach § 334 Absatz 1 Satz 2 Nummer 4, soweit diese auf der elektronischen Gesundheitskarte gespeichert sind.

§ 343 Informationspflichten der Krankenkassen

(1) Die Krankenkassen haben den Versicherten, bevor sie ihnen gemäß § 342 Absatz 1 Satz 1 eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial über die elektronische Patientenakte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache und barrierefrei zur Verfügung zu stellen. Das Informationsmaterial muss über alle relevanten Umstände der Datenverarbeitung für die Einrichtung der elektronischen Patientenakte, die Übermittlung von Daten in die elektronische Patientenakte und die Verarbeitung von Daten in der elektronischen Patientenakte durch Leistungserbringer einschließlich der damit verbundenen Datenverarbeitungsvorgänge in den verschiedenen Bestandteilen der Telematikinfrastruktur und die für die Datenverarbeitung datenschutzrechtlich Verantwortlichen informieren. Das Informationsmaterial enthält insbesondere Informationen über

1.: den jeweiligen Anbieter der von der Krankenkasse zur Verfügung gestellten elektronischen Patientenakte,
2.: die Funktionsweise der elektronischen Patientenakte, einschließlich der Art der in ihr zu verarbeitenden Daten gemäß § 341 Absatz 2,
3.: die Freiwilligkeit der Einrichtung der elektronischen Patientenakte und das Recht auf jederzeitige teilweise oder vollständige Löschung,
4.: das Erfordernis der vorherigen Einwilligung in die Datenverarbeitung in der elektronischen Patientenakte gegenüber Krankenkassen, Anbietern und Leistungserbringern sowie die Möglichkeit des Widerrufs der Einwilligung,
5.: die für den Zweck der Einrichtung der elektronischen Patientenakte erforderliche Datenverarbeitung durch die Krankenkassen und die Anbieter gemäß § 344 Absatz 1,
6.: den Anspruch gemäß § 337 auf selbständige Speicherung und Löschung von Daten in der elektronischen Patientenakte und über die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte einschließlich des Hinweises, dass die Krankenkassen keinen Zugriff auf die in der elektronischen Patientenakte gespeicherten Daten haben,
7.: den Anspruch auf Übertragung von bei der Krankenkasse gespeicherten Daten in die elektronische Patientenakte nach § 350 Absatz 1 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
8.: den Anspruch auf Übertragung von Behandlungsdaten in die elektronische Patientenakte durch Leistungserbringer nach den §§ 347 bis 349 und die Verarbeitung dieser Daten durch die Leistungserbringer, Krankenkassen und Anbieter in der elektronischen Patientenakte,
9.: den Anspruch auf Übertragung von Daten aus elektronischen Gesundheitsakten in die elektronische Patientenakte nach § 351 und die Verarbeitung dieser Daten durch die Krankenkassen und Anbieter in der elektronischen Patientenakte,
10.: die Voraussetzungen für den Zugriff von Leistungserbringern auf Daten in der elektronischen Patientenakte nach § 352 und die Verarbeitung dieser Daten durch den Leistungserbringer,
11.: die Möglichkeit, bei der Datenverarbeitung nach Nummer 10 beim Leistungserbringer durch technische Zugriffsfreigabe in die konkrete Datenverarbeitung einzuwilligen,
12.: die fehlende Möglichkeit, vor dem 1. Januar 2022 die Einwilligung sowohl auf spezifische Dokumente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der elektronischen Patientenakte nach § 342 Absatz 2 Nummer 2 Buchstabe b zu beschränken,
13.: die fehlende Möglichkeit, die Einwilligung mittels der dezentralen Infrastruktur der Leistungserbringer auf spezifische Dokumente und Datensätze zu beschränken,
14.: das Angebot von zusätzlichen Anwendungen nach § 345 Absatz 1 und über deren Funktionsweise einschließlich der Art der in ihr zu verarbeitenden Daten, den Speicherort und die Zugriffsrechte,
15.: die sichere Nutzung von Komponenten, die den Zugriff der Versicherten auf die elektronische Patientenakte über eine Benutzeroberfläche geeigneter Endgeräte ermöglichen,
16.: die Möglichkeit und die Voraussetzungen, gemäß § 363 Daten der elektronischen Patientenakte freiwillig für die in § 303e Absatz 2 Nummer 2, 4, 5 und 7 aufgeführten Forschungszwecke freizugeben,
17.: die Rechte der Versicherten gegenüber der Krankenkasse als dem für die Datenverarbeitung Verantwortlichen nach Artikel 4 Nummer 7 der Verordnung (EU) 2016/679,
18.: die Möglichkeit, den Zugriff von Leistungserbringern nach Nummer 10 auf Daten in der elektronischen Patientenakte nach § 352 auch Ärzten, die bei einer für den Öffentlichen Gesundheitsdienst zuständigen Behörde tätig sind, und Fachärzten für Arbeitsmedizin sowie Ärzten, die über die Zusatzbezeichnung „Betriebsmedizin“ verfügen, zu erteilen,
19.: die Möglichkeit, ab dem 1. Januar 2022 über die Benutzeroberfläche eines geeigneten Endgeräts einem Vertreter die Befugnis zu erteilen, die Rechte des Versicherten im Rahmen der Führung seiner elektronischen Patientenakte innerhalb der erteilten Vertretungsbefugnis wahrzunehmen,
20.: mögliche versorgungsrelevante Folgen, die daraus resultieren können, dass der Versicherte von seinen Rechten Gebrauch macht, sich gegen die Nutzung einer elektronischen Patientenakte zu entscheiden, Zugriffe auf Daten der elektronischen Patientenakte nicht zu erteilen oder Daten der elektronischen Patientenakte zu löschen und
21.: die Möglichkeit für die Versicherten, ab dem 1. Januar 2023 Daten aus ihren digitalen Gesundheitsanwendungen nach § 33a mit ihrer Einwilligung vom Hersteller einer solchen Anwendung über den Anbieter der elektronischen Patientenakte in ihre elektronische Patientenakte zu übermitteln.

(2) Zur Unterstützung der Krankenkassen bei der Erfüllung ihrer Informationspflichten nach Absatz 1 hat der Spitzenverband Bund der Krankenkassen im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit spätestens bis zum 30. November 2020 geeignetes Informationsmaterial, auch in elektronischer Form, zu erstellen und den Krankenkassen zur verbindlichen Nutzung zur Verfügung zu stellen.

§ 344 Einwilligung der Versicherten und Zulässigkeit der Datenverarbeitung durch die Krankenkassen und Anbieter der elektronischen Patientenakte

(1) Hat der Versicherte nach vorheriger Information gemäß § 343 gegenüber der Krankenkasse in die Einrichtung der elektronischen Patientenakte eingewilligt, so dürfen die Krankenkasse, der Anbieter der elektronischen Patientenakte sowie der Anbieter von einzelnen Diensten und Komponenten der elektronischen Patientenakte die zum Zweck der Einrichtung erforderlichen administrativen personenbezogenen Daten verarbeiten. Die Krankenkasse darf versichertenbezogene Daten über den Anbieter der elektronischen Patientenakte in die elektronische Patientenakte übermitteln.

(2) Macht der Versicherte nach vorheriger Information gemäß § 343 von seinen Ansprüchen gemäß den §§ 347 bis 351 Gebrauch, dürfen auf Grund der Einwilligung des Versicherten die Krankenkassen, der Anbieter der elektronischen Patientenakte und die Anbieter von einzelnen Diensten und Komponenten der elektronischen Patientenakte die zu diesem Zweck übermittelten personenbezogenen Daten speichern. Die Kenntnisnahme der Daten und der Zugriff auf die Daten nach den §§ 347 bis 351 ist nicht zulässig.

(3) Auf Verlangen des Versicherten gegenüber der Krankenkasse hat der Anbieter auf Veranlassung der Krankenkasse die elektronische Patientenakte vollständig zu löschen.

(4) Sofern es für die Durchsetzung von datenschutzrechtlichen Ansprüchen der Versicherten gegenüber den für die Verarbeitung von Daten in der elektronischen Patientenakte Verantwortlichen notwendig ist, sind die in § 352 genannten Leistungserbringer verpflichtet, die Verantwortlichen bei der Umsetzung zu unterstützen.

§ 345 Angebot und Nutzung zusätzlicher Inhalte und Anwendungen

(1) Versicherte können den Krankenkassen Daten aus der elektronischen Patientenakte zum Zweck der Nutzung zusätzlicher von den Krankenkassen angebotener Anwendungen zur Verfügung stellen. Die Krankenkassen dürfen die Daten nach Satz 1 zu diesem Zweck verarbeiten, soweit die Versicherten hierzu ihre vorherige Einwilligung erteilt haben. Diese zusätzlichen Anwendungen der Krankenkassen dürfen die Wirksamkeit der Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit sowie die Verfügbarkeit und Nutzbarkeit der nach § 325 zugelassenen elektronischen Patientenakte nicht beeinträchtigen. Die Krankenkassen müssen die erforderlichen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit der zusätzlichen Anwendungen ergreifen.

(2) Die Zurverfügungstellung von Daten nach Absatz 1 ist nur nach Erhalt des Informationsmaterials nach § 343 Absatz 1 zulässig. § 335 Absatz 3 gilt entsprechend.