Rz. 4
Die Gesellschafter der gematik schaffen die insbesondere für die Nutzung der elektronischen Gesundheitskarte und ihrer Anwendungen erforderliche interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur (Telematikinfrastruktur; § 306 Abs. 1). Die Aufgaben werden durch die gematik wahrgenommen. Die Norm konkretisiert den gesetzlichen Auftrag.
Rz. 5
Die gematik erstellt die funktionalen und technischen Vorgaben, einschließlich eines Sicherheitskonzepts (Nr. 1 Buchst. a). Hierfür ist es erforderlich, ein Gesamtkonzept und die hierfür notwendigen technischen Standards zur Ausgestaltung der Telematikinfrastruktur zu erstellen und fortzuschreiben. In diesem Zusammenhang sind technische Festlegungen u. a. in Form von Lasten- und Pflichtenheften zu treffen (BT-Drs. 15/4924 S. 10 zu § 291b). Dazu gehört auch ein Sicherheitskonzept (BT-Drs. 18/5293 S. 47).
Rz. 6
Ausgehend von einer Bedrohungsanalyse und Schutzbedarfsbetrachtung hat das zu erstellende Sicherheitskonzept die Grundsätze des Datenschutzes und der Datensicherheit festzulegen. Einen Teil des von der gematik zu schaffenden Sicherheitskonzepts bildet die gemeinsame Sicherheitsrichtlinie für den elektronischen Heilberufsausweis oder Berufsausweise nach § 291a Abs. 5e. Die Sicherheitsrichtlinie muss darüber hinaus Regelungen bei Verlust des Ausweises und Missbrauchsverdacht vorsehen (BT-Drs. 15/4924 S. 10 zu § 291b).
Rz. 7
Die gematik legt Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung fest (Nr. 1 Buchst. b). Schon in der Aufbauphase müssen die Komponenten und Dienste soweit definiert werden, dass diese entsprechend den getroffenen Festlegungen geprüft und zertifiziert werden können. Dementsprechend hat die Gesellschaft für Telematik ein Test- und Zertifizierungskonzept zu erstellen sowie dessen Entwicklung zu einem Zulassungsverfahren für neue Komponenten der Telematikinfrastruktur zu betreiben. Hintergrund ist, dass Anbieter in die Lage versetzt werden sollen, Einzelkomponenten (z. B. Geräte, Dienste, Software) zu entwickeln und im freien Wettbewerb anzubieten (BT-Drs. 15/4924 S. 11 zu § 291b).
Rz. 8
Die gematik erstellt Vorgaben für den sicheren Betrieb der Telematikinfrastruktur und überwacht ihre Umsetzung (Nr. 1 Buchst. c). Im Rahmen der Überwachung des Betriebs kann die gematik regelmäßige externe Sicherheitsprüfungen und Berichte fordern.
Rz. 9
Die gematik stellt die für die Telematikinfrastruktur notwendigen Test-, Bestätigungs- und Zertifizierungsmaßnahmen sicher (Nr. 1 Buchst. d). Dazu gehören auch Testmaßnahmen zur sicheren Signierung und Verschlüsselung von Dokumenten.
Rz. 10
Die gematik entwickelt Verfahren für den Datenzugriff durch Leistungserbringer und ihre Gehilfen (Nr. 1 Buchst. e). Eingeschlossen sind Verfahren zur Authentisierung der Zugriffe durch den Versicherten. Dazu gehört die Festlegung technischer Verfahren und Komponenten, einschließlich der Ausgabeverfahren für notwendige Schlüssel und Zertifikate.
Rz. 11
Die gematik baut die Telematikinfrastruktur auf, legt die erforderlichen Rahmenbedingungen für Betriebsleistungen fest, vergibt dazu Aufträge an Anbieter von Betriebsleistungen oder lässt Betriebsleistungen zu (Nr. 2).
Rz. 12
Die gematik betreibt den elektronischen Verzeichnisdienst der Telematikinfrastruktur nach § 313 (Nr. 3). Sie kann Dritte mit dem Betrieb beauftragen (§ 313 Abs. 1 Satz 2).
Rz. 13
Die gematik lässt die Komponenten und Dienste der Telematikinfrastruktur, einschließlich der Verfahren zum Zugriff auf diese Komponenten und Dienste zu (Nr. 4). Andere Komponenten und Dienste dürfen nicht eingesetzt werden, um zu gewährleisten, dass die Komponenten oder Dienste funktionsfähig, interoperabel und sicher sind. Die Zulassung wird durch den Anbieter beantragt. Anbieter sind Hersteller, Zwischenhändler und Lieferanten von Komponenten und Diensten (BT-Drs. 18/5293 S. 48). Die Entscheidung über die Zulassung ist ein gebundener Verwaltungsakt (§ 31 SGB X). Dieser kann mit Nebenbestimmungen (§ 32 Abs. 1 SGB X) versehen werden. Es sind nur Nebenbestimmungen zulässig, die sicherstellen sollen, dass die gesetzlichen Voraussetzungen der Zulassung erfüllt werden.
Rz. 14
Die gematik lässt sichere Dienste für Verfahren zur Übermittlung medizinischer und pflegerischer Dokumente über die Telematikinfrastruktur zu (Nr. 5). Damit ist z. B. der sichere Austausch elektronischer Briefe in der vertragsärztlichen Versorgung (§ 383) auch ohne den Einsatz der elektronischen Gesundheitskarte möglich. Die Richtlinie zu den elektronischen Briefen legt fest, dass für die Übermittlung des elektronischen Briefs zugelassene Dienste genutzt werden. Die gematik hat dazu die Anwendung "Kommunikation im Medizinwesen" (KIM) als ein sicheres Übermittlungsverfahren festgelegt.
Rz. 15
Die gematik legt die Voraussetzungen für die Nutzung der Telematikinfrastruktur für weitere Anwendungen und für Zwecke der Gesundheitsforschung (§ 306 Abs. 1 Satz 2 Nr. 2) fest und regelt das Verfahren, in dem die entsprechende...