Sommer, SGB V § 388 Verbindlichkeitsmechanismen / 2.1 Pflichten der Hersteller oder Anbieter (Abs. 1)

Rz. 5

Die Vorschrift erfasst ab 1.1.2025 informationstechnische Systeme, die im Gesundheitswesen zur Verarbeitung von personenbezogenen Gesundheitsdaten angewendet werden (Satz 1). Diese Systeme dürfen nur in den allgemeinen Verkehr gebracht und dort gehalten werden, wenn bestimmte Voraussetzungen erfüllt sind. Verantwortlich ist der Hersteller oder Anbieter des Systems. Entsprechende Systeme sind u. a. im niedergelassenen Bereich die Praxisverwaltungssysteme (PVS) und im stationären Bereich die Klinischen Informationssysteme (KIS). Die Voraussetzungen sind zu erfüllen, wenn für das entsprechende IT-System verbindliche Interoperabilitätsfestlegungen (§ 385 Abs. 2 Satz 1 Nr. 1) gelten. Der relevante Zeitpunkt für das Entstehen der Pflicht nach Satz 1 ist das Inverkehrbringen (§ 384 Nr. 8). Der Verbindlichkeitsmechanismus wird nicht auf Medizinprodukte nach der Verordnung (EU) 2017/745 und In-vitro-Diagnostika nach der Verordnung (EU) 2017/746 angewendet.

Rz. 6

Die Systeme dürfen nur angeboten und betrieben werden, wenn das Kompetenzzentrum für Interoperabilität im Gesundheitswesen zuvor durch ein Zertifikat (§ 387) bestätigt hat, dass das System den verbindlichen Interoperabilitätsanforderungen entspricht (Nr. 1). Neben den Anforderungen des SGB V sind dabei auch Anforderungen des SGB XI oder des Infektionsschutzgesetzes zu berücksichtigen (z. B. Anforderungen aufgrund der Rechtsverordnung nach § 14a IfSG; BT-Drs. 20/9048 S. 146).

Rz. 7

Das Zertifikat kann auch von einer akkreditierten Stelle ausgestellt werden (Nr. 2). Der Hersteller oder Anbieter des Systems muss das Zertifikat einer akkreditierten Stelle dem Kompetenzzentrum für Interoperabilität im Gesundheitswesen vorlegen und darüber einen Nachweis führen. Das Kompetenzzentrum ist damit informiert und kann entsprechende Informationen im Internet veröffentlichen oder auch Ordnungswidrigkeiten nach § 397 Abs. 2a Nr. 5 und 6 verfolgen.

Rz. 8

Bei wesentlichen Änderungen an einem Bestandssystem sind die Voraussetzungen nach Satz 1 erneut zu erfüllen (Satz 2). Wesentlich sind Änderungen, die nicht nur zum Erhalt des Systems oder der Wiederherstellung dessen ursprünglichen Zustands im Sinne einer Fehler- oder Schadensbehebung dienen, sondern die ursprünglich vorgesehenen Funktionen, die Systemarchitektur oder Leistung des Systems maßgeblich verändern bzw. erweitern und dies bei der ursprünglichen Konformitätsbewertung i. S. v. Satz 1 Nr. 1 unbeachtlich blieb (BT-Drs. 20/9048 S. 146). Hierbei sind nur solche Änderungen beachtlich, die sich auf das Einhalten der maßgeblichen Interoperabilitätsanforderungen überhaupt auswirken könnten. Beispielsweise dürften reine Änderungen des Frontends regelmäßig für die Bewertung nicht relevant sein, ebenso wie Hotfixes oder Patches zur Behebung von Sicherheitslücken.