Rz. 11
Ausschließlich die gematik ist (ergänzend zu § 311 Abs. 1 Nr. 10) berechtigt und verpflichtet, Zugangswege zu elektronischen Verordnungen über mobile Endgeräte zu entwickeln und zur Nutzung anzubieten (Satz 1). Gleichzeitig stellt sie die Funktionalität und Interoperabilität sicher (Satz 2). Die Sicherheit ist durch ein externes Gutachten nachzuweisen (Satz 3, 4). Die entsprechende App stellt einen integralen Teil der Telematikinfrastruktur dar. Die Aufgabenübertragung ist aus Gründen der öffentlichen Gesundheit, insbesondere der Versorgungssicherheit und zum Schutz sensibler personenbezogener Versicherten-, Verordnungs- und Dispensierdaten geboten. Auf diese Weise werden die freie Apothekenwahl der Versicherten (§ 31 Abs. 1 Satz 5) und das grundsätzliche Verbot von Werbung für verschreibungspflichtige Arzneimittel (§ 10 Abs. 1 Heilmittelwerbegesetz) gewahrt. Nach der DSGVO stehen personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, als Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO unter besonderem Schutz (Art. 9 DSGVO zum Schutz dieser sensiblen Daten). Deswegen ist eine gesetzliche Festlegung auf die gematik erforderlich (BT-Drs. 19/18793 S. 128 f.). Das Prüfverfahren und die Auswahl des Sicherheitsgutachters für das externe Sicherheitsgutachten entscheidet die gematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (Satz 5), das auch das Gutachten bestätigt (Satz 6). Erst mit der Bestätigung dürfen die Komponenten durch die gematik zur Verfügung gestellt werden (Satz 7).
Rz. 12
Bestätigte Komponenten dürfen den Versicherten auch durch die Krankenkassen und durch die Unternehmen der privaten Krankenversicherung über die Benutzeroberfläche gemäß § 342 zur Verfügung gestellt werden (Satz 8). § 11 Abs. 1 und 1a Apothekengesetz sowie § 31 Abs. 1 Satz 5 bis 7 bleiben unberührt (Satz 9). Entscheiden sich die Krankenkassen, ihren Versicherten dies anzubieten, ist die Möglichkeit für den Zugriff des Versicherten auf elektronische Verordnungen als zusätzliche Funktionalität der Benutzeroberfläche umzusetzen, die die Krankenkassen den Versicherten bereits für den Zugriff und die Verwaltung der elektronischen Patientenakte zur Verfügung stellen (BT-Drs. 20/9048 S. 128). Dabei soll die App der Krankenkassen diesbezüglich dieselben Funktionen anbieten, die die gematik als E-Rezept-App entwickelt und festgelegt hat. Hierbei haben die Krankenkassen sicherzustellen, dass die von ihnen für den Zugriff, die Verwaltung und Einlösung von E-Rezepten angebotene ePA-App dieselben technischen Spezifikationen, Anforderungen sowie Datenschutz- und Datensicherheitsvorgaben berücksichtigt, die die gematik für die von ihr angebotene E-Rezept-App festgelegt hat. Mit der Integration der E-Rezept-App-Funktionalitäten in die ePA-App der Krankenkassen wird Versicherten ermöglicht, E-Rezepte komfortabel über die ePA-App zu verwalten und einzulösen. Zusätzliche Aufwände für die Versicherten, wie beispielsweise zusätzliche Authentifizierungsverfahren oder die Verwaltung und Nutzung von 2 getrennten Apps, können vermieden werden. Analog zu den gesetzlichen Krankenkassen wird auch für die Unternehmen der privaten Krankenversicherungen die Möglichkeit geschaffen, ihren Versicherten eine Benutzeroberfläche (App) anzubieten, über die diese auf ihre elektronischen Verordnungen zugreifen, diese verwalten und einlösen können.
Rz. 13
Die gematik ist zuständig und verantwortlich, die Funktionsfähigkeit und Interoperabilität der Komponenten sicherzustellen (Satz 2). Die gematik ist somit verantwortlich, eine funktionsfähige Komponente verfügbar zu machen. Die Nutzung der Komponente erfolgt in der technischen Umgebung der Versicherten. Die Verantwortung während der Nutzung liegt daher bei dem Versicherten.
Rz. 14
Die Sicherheit der Komponenten und der Zugriffsmöglichkeiten für Versicherte ist durch ein externes Sicherheitsgutachten nachzuweisen (Satz 3). Darin ist unter Berücksichtigung des Gefährdungspotenzials nachzuweisen, dass die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Komponente sichergestellt sind (Satz 54). Die Festlegung der Prüfverfahren und die Auswahl des Sicherheitsgutachters für das externe Sicherheitsgutachten erfolgt durch die gematik (Satz 5). Die gematik hat darüber das Einvernehmen mit dem BSI herzustellen.
Rz. 15
Das externe Sicherheitsgutachten muss dem BSI zur Prüfung vorgelegt und durch dieses bestätigt werden (Satz 6). Erst mit der Bestätigung des BSI dürfen die Komponenten durch die gematik zur Verfügung gestellt werden (Satz 7). Die Einhaltung der erforderlichen sicherheitstechnischen Anforderungen wird bereits durch den Nachweis mittels eines externen Sicherheitsgutachtens und die gemeinsame Abstimmung mit dem BSI über die Prüfverfahren und die Auswahl des Sicherheitsgutachters gewährleiste...