§ 299 SGB V Datenverarbeitung für Zwecke der Qualitätssicherung

(1) Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, zugelassenen Krankenhäuser und übrigen Leistungserbringer gemäß § 135a Absatz 2 sowie die nach Satz 2 festgelegten Empfänger der Daten sind befugt und verpflichtet, personen- oder einrichtungsbezogene Daten der Versicherten und der Leistungserbringer für Zwecke der Qualitätssicherung nach § 135a Absatz 2, § 135b Absatz 2 oder § 137a Absatz 3 zu verarbeiten, soweit dies erforderlich und in Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses nach § 27b Absatz 2, § 135b Absatz 2, § 136 Absatz 1 Satz 1, den §§ 136b, 136c Absatz 1 und 2 sowie in Vereinbarungen nach § 137d vorgesehen ist. In den Richtlinien, Beschlüssen und Vereinbarungen nach Satz 1 sind diejenigen Daten, die von den Leistungserbringern zu verarbeiten sind, sowie deren Empfänger festzulegen und die Erforderlichkeit darzulegen. Der Gemeinsame Bundesausschuss hat bei der Festlegung der Daten nach Satz 2 in Abhängigkeit von der jeweiligen Maßnahme der Qualitätssicherung insbesondere diejenigen Daten zu bestimmen, die für die Ermittlung der Qualität von Diagnostik oder Behandlung mit Hilfe geeigneter Qualitätsindikatoren, für die Erfassung möglicher Begleiterkrankungen und Komplikationen, für die Feststellung der Sterblichkeit sowie für eine geeignete Validierung oder Risikoadjustierung bei der Auswertung der Daten medizinisch oder methodisch notwendig sind. Die Richtlinien und Beschlüsse sowie Vereinbarungen nach Satz 1 haben darüber hinaus sicherzustellen, dass
1.
in der Regel die Datenerhebung auf eine Stichprobe der betroffenen Patienten begrenzt wird und die versichertenbezogenen Daten pseudonymisiert werden,
2.
die Auswertung der Daten, soweit sie nicht im Rahmen der Qualitätsprüfungen durch die Kassenärztlichen Vereinigungen erfolgt, von einer unabhängigen Stelle vorgenommen wird und
3.
eine qualifizierte Information der betroffenen Patienten in geeigneter Weise stattfindet.
Abweichend von Satz 4 Nummer 1 können die Richtlinien, Beschlüsse und Vereinbarungen
1.
auch eine Vollerhebung der Daten aller betroffenen Patienten vorsehen, sofern dies aus gewichtigen medizinisch fachlichen oder gewichtigen methodischen Gründen, die als Bestandteil der Richtlinien, Beschlüsse und Vereinbarungen dargelegt werden müssen, erforderlich ist;
2.
auch vorsehen, dass von einer Pseudonymisierung der versichertenbezogenen Daten abgesehen werden kann, wenn für die Qualitätssicherung die Überprüfung der ärztlichen Behandlungsdokumentation fachlich oder methodisch erforderlich ist und
a)
die technische Beschaffenheit des die versichertenbezogenen Daten speichernden Datenträgers eine Pseudonymisierung nicht zulässt und die Anfertigung einer Kopie des speichernden Datenträgers, um auf dieser die versichertenbezogenen Daten zu pseudonymisieren, mit für die Qualitätssicherung nicht hinnehmbaren Qualitätsverlusten verbunden wäre oder
b)
die Richtigkeit der Behandlungsdokumentation Gegenstand der Qualitätsprüfung nach § 135b Absatz 2 ist;
die Gründe sind in den Richtlinien, Beschlüssen und Vereinbarungen darzulegen.
Auch Auswahl, Umfang und Verfahren der Stichprobe sind in den Richtlinien und Beschlüssen sowie den Vereinbarungen nach Satz 1 festzulegen und von den an der vertragsärztlichen Versorgung teilnehmenden Ärzten und den übrigen Leistungserbringern zu erheben und zu übermitteln. Es ist auszuschließen, dass die Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweilige Verbände Kenntnis von Daten erlangen, die über den Umfang der ihnen nach den §§ 295, 300, 301, 301a und 302 zu übermittelnden Daten hinausgeht; dies gilt nicht für die Kassenärztlichen Vereinigungen in Bezug auf die für die Durchführung der Qualitätsprüfung nach § 135b Absatz 2 sowie die für die Durchführung der Aufgaben einer Datenannahmestelle oder für Einrichtungsbefragungen zur Qualitätssicherung aus Richtlinien nach § 136 Absatz 1 Satz 1 erforderlichen Daten. Eine über die in den Richtlinien nach § 136 Absatz 1 Satz 1 festgelegten Zwecke hinausgehende Verarbeitung dieser Daten, insbesondere eine Zusammenführung mit anderen Daten, ist unzulässig. Aufgaben zur Qualitätssicherung sind von den Kassenärztlichen Vereinigungen räumlich und personell getrennt von ihren anderen Aufgaben wahrzunehmen. Abweichend von Satz 4 Nummer 1 zweiter Halbsatz können die Richtlinien und Beschlüsse des Gemeinsamen Bundesausschusses nach § 135b Absatz 2, § 136 Absatz 1 Satz 1 und § 136b und die Vereinbarungen nach § 137d vorsehen, dass den Leistungserbringern nach Satz 1 die Daten der von ihnen behandelten Versicherten versichertenbezogen für Zwecke der Qualitätssicherung im erforderlichen Umfang übermittelt werden. Die Leistungserbringer dürfen diese versichertenbezogenen Daten mit den Daten, die bei ihnen zu den Versicherten bereits vorliegen, zusammenführen und für die in den Richtlinien, Beschlüssen oder Vereinbarungen nach Satz 1 festgelegten Zwecke verarbeiten.
(1a) Die Krankenkassen sind befugt und verpflichtet, nach § 284 Absatz 1 erhobene und gespeicherte Sozialdaten für Zwecke der Qualitätssicherung nach § 135a Absatz 2, § 135b Absatz 2 oder § 137a Absatz 3 zu verarbeiten, soweit dies erforderlich und in Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses nach § 27b Absatz 2, § 135b Absatz 2, § 136 Absatz 1 Satz 1, den §§ 136b, 136c Absatz 1 und 2, § 137 Absatz 3 und § 137b Absatz 1 sowie in Vereinbarungen nach § 137d vorgesehen ist. In den Richtlinien, Beschlüssen und Vereinbarungen nach Satz 1 sind diejenigen Daten, die von den Krankenkassen für Zwecke der Qualitätssicherung zu verarbeiten sind, sowie deren Empfänger festzulegen und die Erforderlichkeit darzulegen. Absatz 1 Satz 3 bis 7 gilt entsprechend.
(2) Das Verfahren zur Pseudonymisierung der Daten wird durch die an der vertragsärztlichen Versorgung teilnehmenden Ärzte und übrigen Leistungserbringer gemäß § 135a Absatz 2 angewendet. Es ist in den Richtlinien und Beschlüssen sowie den Vereinbarungen nach Absatz 1 Satz 1 unter Berücksichtigung der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik festzulegen. Das Verfahren zur Pseudonymisierung der Daten kann in den Richtlinien, Beschlüssen und Vereinbarungen auch auf eine von den Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweiligen Verbänden räumlich, organisatorisch und personell getrennte Stelle übertragen werden, wenn das Verfahren für die in Satz 1 genannten Leistungserbringer einen unverhältnismäßig hohen Aufwand bedeuten würde; für Verfahren zur Qualitätsprüfung nach § 135b Absatz 2 kann dies auch eine gesonderte Stelle bei den Kassenärztlichen Vereinigungen sein. Die Gründe für die Übertragung sind in den Richtlinien, Beschlüssen und Vereinbarungen darzulegen. Bei einer Vollerhebung nach Absatz 1 Satz 5 hat die Pseudonymisierung durch eine von den Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweiligen Verbänden räumlich organisatorisch und personell getrennten Vertrauensstelle zu erfolgen.
(2a) Enthalten die für Zwecke des Absatz 1 Satz 1 verarbeiteten Daten noch keine den Anforderungen des § 290 Absatz 1 Satz 2 entsprechende Krankenversichertennummer und ist in Richtlinien des Gemeinsamen Bundesausschusses vorgesehen, dass die Pseudonymisierung auf der Grundlage der Krankenversichertennummer nach § 290 Absatz 1 Satz 2 erfolgen soll, kann der Gemeinsame Bundesausschuss in den Richtlinien ein Übergangsverfahren regeln, das einen Abgleich der für einen Versicherten vorhandenen Krankenversichertennummern ermöglicht. In diesem Fall hat er in den Richtlinien eine von den Krankenkassen und ihren Verbänden räumlich, organisatorisch und personell getrennte eigenständige Vertrauensstelle zu bestimmen, die dem Sozialgeheimnis nach § 35 Absatz 1 des Ersten Buches unterliegt, an die die Krankenkassen für die in das Qualitätssicherungsverfahren einbezogenen Versicherten die vorhandenen Krankenversichertennummern übermitteln. Weitere Daten dürfen nicht übermittelt werden. Der Gemeinsame Bundesausschuss hat in den Richtlinien die Dauer der Übergangsregelung und den Zeitpunkt der Löschung der Daten bei der Stelle nach Satz 2 festzulegen.
(3) Zur Auswertung der für Zwecke der Qualitätssicherung nach § 135a Abs. 2 erhobenen Daten bestimmen in den Fällen des § 136 Absatz 1 Satz 1 und § 136b der Gemeinsame Bundesausschuss und im Falle des § 137d die Vereinbarungspartner eine unabhängige Stelle. Diese darf Auswertungen nur für Qualitätssicherungsverfahren mit zuvor in den Richtlinien, Beschlüssen oder Vereinbarungen festgelegten Auswertungszielen durchführen. Daten, die für Zwecke der Qualitätssicherung nach § 135a Abs. 2 für ein Qualitätssicherungsverfahren verarbeitet werden, dürfen nicht mit für andere Zwecke als die Qualitätssicherung erhobenen Datenbeständen zusammengeführt und ausgewertet werden. Für die unabhängige Stelle gilt § 35 Absatz 1 des Ersten Buches entsprechend.
(4) Der Gemeinsame Bundesausschuss kann zur Durchführung von Patientenbefragungen für Zwecke der Qualitätssicherung in den Richtlinien und Beschlüssen nach den §§ 136 bis 136b eine zentrale Stelle (Versendestelle) bestimmen, die die Auswahl der zu befragenden Versicherten und die Versendung der Fragebögen übernimmt. In diesem Fall regelt er in den Richtlinien oder Beschlüssen die Einzelheiten des Verfahrens; insbesondere legt er die Auswahlkriterien fest und bestimmt, wer welche Daten an die Versendestelle zu übermitteln hat. Dabei kann er auch die Übermittlung nicht pseudonymisierter personenbezogener Daten der Versicherten und nicht pseudonymisierter personen- oder einrichtungsbezogener Daten der Leistungserbringer vorsehen, soweit dies für die Auswahl der Versicherten oder die Versendung der Fragebögen erforderlich ist. Der Rücklauf der ausgefüllten Fragebögen darf nicht über die Versendestelle erfolgen. Die Versendestelle muss von den Krankenkassen und ihren Verbänden, den Kassenärztlichen Vereinigungen und ihren Verbänden, der Vertrauensstelle nach Absatz 2 Satz 5, dem Institut nach § 137a und sonstigen nach Absatz 1 Satz 2 festgelegten Datenempfängern räumlich, organisatorisch und personell getrennt sein. Die Versendestelle darf über die Daten nach Satz 2 hinaus weitere Behandlungs-, Leistungs- oder Sozialdaten von Versicherten auf Grund anderer Vorschriften nur verarbeiten, sofern diese Datenverarbeitung organisatorisch, personell und räumlich von der Datenverarbeitung für den Zweck der Versendestelle nach Satz 1 getrennt ist und nicht zum Zweck der Qualitätssicherung in den Richtlinien und Beschlüssen nach den §§ 136 bis 136b erfolgt. Die Versendestelle hat die ihr übermittelten Identifikationsmerkmale der Versicherten in gleicher Weise geheim zu halten wie derjenige, von dem sie sie erhalten hat; sie darf diese Daten anderen Personen oder Stellen nicht zugänglich machen. Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, zugelassenen Krankenhäuser und übrigen Leistungserbringer gemäß § 135a Absatz 2 sowie die Krankenkassen sind befugt und verpflichtet, die vom Gemeinsamen Bundesausschuss nach Satz 2 festgelegten Daten an die Stelle nach Satz 1 zu übermitteln. Die Daten nach Satz 8 sind von der Versendestelle spätestens sechs Monate nach Versendung der Fragebögen zu löschen, es sei denn, dass es aus methodischen Gründen der Befragung erforderlich ist, bestimmte Daten länger zu verarbeiten. Dann sind diese Daten spätestens 24 Monate nach Versendung der Fragebögen zu löschen. Der Gemeinsame Bundesausschuss kann Patientenbefragungen auch in digitaler Form vorsehen; die Sätze 1 bis 10 gelten entsprechend.
(5) Der Gemeinsame Bundesausschuss ist befugt und berechtigt, abweichend von Absatz 3 Satz 3 transplantationsmedizinische Qualitätssicherungsdaten, die aufgrund der Richtlinien nach § 136 Absatz 1 Satz 1 Nummer 1 erhoben werden, nach § 15e des Transplantationsgesetzes an die Transplantationsregisterstelle zu übermitteln sowie von der Transplantationsregisterstelle nach § 15f des Transplantationsgesetzes übermittelte Daten für die Weiterentwicklung von Richtlinien und Beschlüssen zur Qualitätssicherung transplantationsmedizinischer Leistungen nach den §§ 136 bis 136c zu verarbeiten.
(6) Der Gemeinsame Bundesausschuss ist befugt und berechtigt, abweichend von Absatz 3 Satz 3 die Daten, die ihm von der Registerstelle des Implantateregisters Deutschland nach § 29 Absatz 1 Nummer 4 des Implantateregistergesetzes übermittelt werden, für die Umsetzung und Weiterentwicklung von Richtlinien und Beschlüssen zur Qualitätssicherung implantationsmedizinischer Leistungen nach den §§ 136 bis 136c zu verarbeiten.