2.1 Einwilligung des Versicherten (Abs. 1 in der bis zum 14.1.2025 gültigen Fassung)
Rz. 3
Zugriffsberechtigte (Leistungserbringer und andere zugriffsberechtigte Personen, z. B. berufsmäßige Gehilfen oder Apotheker) dürfen auf personenbezogene Daten der Versicherten in einer Anwendung der Telematikinfrastruktur zugreifen, soweit die Versicherten hierzu ihre vorherige Einwilligung erteilt haben (Satz 1). Eine bestimmte Form ist für die Einwilligung nicht vorgeschrieben. Der Kreis der zugriffsberechtigten Personen sowie die Voraussetzungen für den Zugriff ergeben sich aus §§ 352, 356, 357 und 359. Die Einwilligung des Versicherten ist vor dem Zugriff zu erteilen. Sie wird durch eine eindeutige bestätigende Handlung mittels einer technischen Zugriffsfreigabe erteilt (Satz 2). Zugriffsberechtigte dürfen anschließend auf
- die Patientenakte,
- die Erklärung zur Organ- und Gewebespende einschließlich möglicher Hinweise des Versicherten,
- die Vorsorgevollmacht oder Patientenverfügung,
- den Medikationsplan nach § 31a,
- die Notfalldaten oder
- die Patientenkurzakte
(§ 334 Abs. 1 Satz 2 Nr. 1 bis 5 und 7) zugreifen.
Rz. 3a
Die datenschutzrechtliche Einwilligung ist an § 183 BGB zu orientieren und kann als vorherige Einverständniserklärung in jeden Einzelakt einer Datenerhebung oder -verwendung eingeordnet werden. Nur die vorherige Zustimmung – auch durch einen Vertreter – und nicht etwa erst eine nachträgliche Genehmigung verleiht ihr eigene Legitimationskraft. Denn auf bereits begonnene Prozesse des Datenumgangs kann der Betroffene kaum wirksam Einfluss nehmen und etwaige Folgen können nicht wieder rückgängig gemacht werden (Hecheltjen, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 339 Rz. 22).
2.2 Widerspruch des Versicherten (Abs. 1 i. d. F. ab 15.1.2025)
Rz. 3b
Zugriffsberechtigte dürfen für
- Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin,
- die Beurteilung der Arbeitsfähigkeit des Beschäftigten,
- die medizinische Diagnostik,
- die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder
- die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich
auf personenbezogene Daten, insbesondere auf Gesundheitsdaten der Versicherten zugreifen (Satz 1).
Zugriffsberechtigt sind
- behandelnde Ärzte und Zahnärzte sowie ihre berufsmäßigen Gehilfen einschließlich der Auszubildenden,
- Apotheker und deren pharmazeutisches Personal,
- behandelnde Psychotherapeuten und ihre berufsmäßigen Gehilfen oder Auszubildenden,
- Gesundheits- und Krankenpfleger sowie Gesundheits- und Kinderkrankenpfleger,
- Altenpfleger,
- Pflegefachfrauen und Pflegefachmänner,
- Hebammen, Heilmittelerbringer und ihre berufsmäßigen Gehilfen und
- Notfallsanitäter,
die in der gesetzlichen Kranken und Unfallversicherung tätig werden (§ 352 Satz 1 Nr. 1 bis 15, 19, Satz 2). Der Datenzugriff ist in engem zeitlichem Zusammenhang mit der Behandlung zulässig und auf Anwendungen nach § 334 Abs. 1 Satz 2 Nr. 1, 4, 5 und 7 beschränkt (Patientenakte, Medikationsplan, Notfalldaten, Patientenkurzakte). Der Versicherte kann dem Zugriff widersprechen (Opt-out). Die Form des Widerspruchs ist nicht gesetzlich geregelt.
Rz. 3c
Der Zugriff auf Daten in einer Anwendung nach § 334 Abs. 1 Satz 2 Nr. 2 bis 5 (Hinweise auf Organ- oder Gewebespende, Vorsorgevollmacht, Patientenverfügung, Medikationsplan, Notfalldaten) und auf Daten nach § 341 Abs. 2 Nr. 7 Buchst. a und b und Nr. 16 ist mit einer vorherigen Einwilligung des Versicherten möglich (§§ 356, 357 und 359; Satz 2).
Rz. 3d
Der zeitliche Zusammenhang mit der Behandlung wird mittels der elektronischen Gesundheitskarte oder der digitalen Identität des Versicherten (§ 291 Abs. 8 Satz 1) nachgewiesen (Satz 3). Davon ist auszugehen, wenn die elektronische Gesundheitskarte oder die digitale Identität des Versicherten als leistungsberechtigender Nachweis zur Behandlung im selben Behandlungsquartal bzw. Abrechnungsquartal vorgelegen hat (BT-Drs. 20/9048 S. 110 f.). Entsprechendes gilt für den Zugriff von Apothekern auf Daten der elektronischen Patientenakte im Rahmen der Versorgung des Versicherten. Auch hier ist technisch nachzuweisen, dass die elektronische Gesundheitskarte oder die digitale Identität des Versicherten beim Zugriff auf die elektronische Patientenakte vorgelegen hat. Die in der elektronischen Patientenakte vorgesehenen Anforderungen zum Zugriff im engen zeitlichen Zusammenhang mit der Behandlung ergeben sich aus § 342 Abs. 2 Nr. 1 Buchst. l und m.
2.3 Einwilligung des Versicherten (Abs. 1a)
Rz. 3e
Zugriffsberechtigte Leistungserbringer des öffentlichen Gesundheitsdienstes oder in der Betriebsmedizin Tätige (§ 352 Satz 1 Nr. 16 bis 18) dürfen nur nach vorheriger Einwilligung des Versicherten auf Daten zugreifen (Satz 1). Die Zugriffsberechtigung auf Daten zu Organ- oder Gewebespenden oder Vorsorgevollmachten oder Patientenverfügungen für Ärzte oder Psychotherapeuten (§§ 356, 357) wird dadurch nicht eingeschränkt (Satz 2).
2.4 Ärztliche Verordnungen (Abs. 2)
Rz. 4
Zugriffsberechtigte (Leistungserbringer und andere zugriffsberechtigte Personen, z. B. berufsmäßige Gehilfen oder Apotheker) dürfen auf personenbezogene Daten (insbesondere Gesundheitsdaten) der Versicherten in einer elektronischen Verordnung (§ 334 Abs. 1 Satz 2 Nr. 6) zugreifen. Der...