§ 361 SGB V Zugriff auf ärztliche Verordnungen in der Telematikinfrastruktur

(1) Auf Daten der Versicherten in vertragsärztlichen elektronischen Verordnungen dürfen ausschließlich folgende Personen zugreifen:
1.
Ärzte, Zahnärzte sowie Psychotherapeuten, die in die Behandlung der Versicherten eingebunden sind, mit einem Zugriff, der die Verarbeitung von Daten, die von ihnen nach § 360 übermittelt wurden, ermöglicht, soweit dies für die Versorgung des Versicherten erforderlich ist;
2.
im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 1 auch Personen, die als berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätig sind, soweit der Zugriff im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und der Zugriff unter Aufsicht einer Person nach Nummer 1 erfolgt,
a)
bei Personen nach Nummer 1,
b)
in einem Krankenhaus oder
c)
in einer Vorsorgeeinrichtung oder Rehabilitationseinrichtung nach § 107 Absatz 2 oder in einer Rehabilitationseinrichtung nach § 15 Absatz 2 des Sechsten Buches oder bei einem Leistungserbringer der Heilbehandlung einschließlich medizinischer Rehabilitation nach § 26 Absatz 1 Satz 1 des Siebten Buches oder in der Haus- oder Heimpflege nach § 44 des Siebten Buches;
3.
Apotheker mit einem Zugriff, der die Verarbeitung von Daten ermöglicht, soweit dies für die Versorgung des Versicherten mit verordneten Arzneimitteln erforderlich ist und ihnen die für den Zugriff erforderlichen Zugangsdaten nach § 360 Absatz 9 vorliegen;
4.
im Rahmen der jeweiligen Zugriffsberechtigung nach Nummer 3 auch zum pharmazeutischen Personal der Apotheke gehörende Personen, deren Zugriff
a)
im Rahmen der von ihnen zulässigerweise zu erledigenden Tätigkeiten erforderlich ist und
b)
unter Aufsicht eines Apothekers erfolgt, soweit nach apothekenrechtlichen Vorschriften eine Beaufsichtigung der mit dem Zugriff verbundenen pharmazeutischen Tätigkeit vorgeschrieben ist;
5.
sonstige Erbringer ärztlich verordneter Leistungen nach diesem Buch mit einem Zugriff, der die Verarbeitung von Daten ermöglicht, soweit dies für die Versorgung der Versicherten mit der ärztlich verordneten Leistung erforderlich ist und ihnen die für den Zugriff erforderlichen Zugangsdaten nach § 360 Absatz 9 vorliegen.
Auf Dispensierinformationen nach § 360 Absatz 11 dürfen nur die Versicherten zugreifen. Die Zugriffsrechte nach Satz 1 gelten für die dort genannten Zugriffsberechtigten auch, wenn sie im Rahmen einer Tätigkeit nach dem Siebten Buch auf ärztliche Verordnungen nach § 27 Absatz 1 des Siebten Buches zugreifen.
(2) Auf Daten der Versicherten in vertragsärztlichen elektronischen Verordnungen dürfen zugriffsberechtigte Leistungserbringer und andere zugriffsberechtigte Personen nach Absatz 1 und nach Maßgabe des § 339 Absatz 2 nur zugreifen mit
1.
einem ihrer Berufszugehörigkeit entsprechenden elektronischen Heilberufsausweis in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen,
2.
einem ihrer Berufszugehörigkeit entsprechenden elektronischen Berufsausweis in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen oder
3.
einer digitalen Identität nach § 340 Absatz 6 in Verbindung mit einer Komponente zur Authentifizierung von Leistungserbringerinstitutionen.
Es ist nachprüfbar elektronisch zu protokollieren, wer auf die Daten zugegriffen hat.
(3) Die in Absatz 1 genannten zugriffsberechtigten Personen, die weder über einen elektronischen Heilberufsausweis noch über einen elektronischen Berufsausweis verfügen, dürfen nach Maßgabe des Absatz 1 nur zugreifen, wenn
1.
sie für diesen Zugriff von Personen autorisiert sind, die verfügen über
a)
einen ihrer Berufszugehörigkeit entsprechenden elektronischen Heilberufsausweis oder
b)
einen ihrer Berufszugehörigkeit entsprechenden elektronischen Berufsausweis und
2.
nachprüfbar elektronisch protokolliert wird,
a)
wer auf die Daten zugegriffen hat und
b)
von welcher Person nach Nummer 1 die zugreifende Person autorisiert wurde.
(4) Der elektronische Heilberufsausweis und der elektronische Berufsausweis müssen über eine Möglichkeit zur sicheren Authentifizierung und zur Erstellung qualifizierter elektronischer Signaturen verfügen.
(5) Die Übermittlung von Daten der elektronischen Verordnung nach § 360 Absatz 2 zum grenzüberschreitenden Austausch von Gesundheitsdaten zum Zweck der Unterstützung einer Behandlung des Versicherten an einen in einem anderen Mitgliedstaat der Europäischen Union nach dem Recht des jeweiligen Mitgliedstaats zum Zugriff auf Verordnungsdaten berechtigten Leistungserbringer über die jeweiligen nationalen eHealth-Kontaktstellen bedarf der vorherigen Einwilligung durch den Versicherten in die Nutzung des Übermittlungsverfahrens. Zusätzlich ist erforderlich, dass der Versicherte zum Zeitpunkt der Einlösung der Verordnung die Übermittlung an die nationale eHealth-Kontaktstelle des Mitgliedstaats, in dem die Verordnung eingelöst wird, durch eine eindeutige bestätigende Handlung technisch freigibt. Abweichend von den Absätzen 1 bis 4 sowie von § 339 finden für die Verarbeitung der Daten durch einen Leistungserbringer in einem anderen Mitgliedstaat der Europäischen Union die Bestimmungen des Mitgliedstaats Anwendung, in dem die Verordnung eingelöst wird. Hierbei finden die gemeinsamen europäischen Vereinbarungen zum grenzüberschreitenden Austausch von Gesundheitsdaten Berücksichtigung. Der Spitzenverband Bund der Krankenkassen, Deutsche Verbindungsstelle Krankenversicherung – Ausland hat die Versicherten über die Voraussetzungen und das Verfahren bei der Übermittlung und Nutzung von Daten der elektronischen Verordnung zum grenzüberschreitenden Austausch von Gesundheitsdaten über die nationale eHealth-Kontaktstelle zu informieren.