SGB V

5. Sozialgesetzbuch: Gesetzliche Krankenversicherung

Fünftes Sozialgesetzbuch
Gesetzliche Krankenversicherung

Vom 20.12.1988

Zuletzt geändert am 5.12.2024

§ 299

Datenverarbeitung für Zwecke der Qualitätssicherung

(1) 1Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, zugelassenen Krankenhäuser und übrigen Leistungserbringer gemäß § 135a Absatz 2 sowie die nach Satz 2 festgelegten Empfänger der Daten sind befugt und verpflichtet, personen- oder einrichtungsbezogene Daten der Versicherten und der Leistungserbringer für Zwecke der Qualitätssicherung nach § 135a Absatz 2, § 135b Absatz 2 oder § 137a Absatz 3 zu verarbeiten, soweit dies erforderlich und in Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses nach § 27b Absatz 2, § 135b Absatz 2, § 136 Absatz 1 Satz 1 und § 136b sowie in Vereinbarungen nach § 137d vorgesehen ist. 2In den Richtlinien, Beschlüssen und Vereinbarungen nach Satz 1 sind diejenigen Daten, die von den Leistungserbringern zu verarbeiten sind, sowie deren Empfänger festzulegen und die Erforderlichkeit darzulegen. 3Der Gemeinsame Bundesausschuss hat bei der Festlegung der Daten nach Satz 2 in Abhängigkeit von der jeweiligen Maßnahme der Qualitätssicherung insbesondere diejenigen Daten zu bestimmen, die für die Ermittlung der Qualität von Diagnostik oder Behandlung mit Hilfe geeigneter Qualitätsindikatoren, für die Erfassung möglicher Begleiterkrankungen und Komplikationen, für die Feststellung der Sterblichkeit sowie für eine geeignete Validierung oder Risikoadjustierung bei der Auswertung der Daten medizinisch oder methodisch notwendig sind. Die Richtlinien und Beschlüsse sowie Vereinbarungen nach Satz 1 haben darüber hinaus sicherzustellen, dass

1. in der Regel die Datenerhebung auf eine Stichprobe der betroffenen Patienten begrenzt wird und die versichertenbezogenen Daten pseudonymisiert werden,
2. die Auswertung der Daten, soweit sie nicht im Rahmen der Qualitätsprüfungen durch die Kassenärztlichen Vereinigungen erfolgt, von einer unabhängigen Stelle vorgenommen wird und
3. eine qualifizierte Information der betroffenen Patienten in geeigneter Weise stattfindet.
Abweichend von Satz 4 Nummer 1 können die Richtlinien, Beschlüsse und Vereinbarungen
1. auch eine Vollerhebung der Daten aller betroffenen Patienten vorsehen, sofern dies aus gewichtigen medizinisch fachlichen oder gewichtigen methodischen Gründen, die als Bestandteil der Richtlinien, Beschlüsse und Vereinbarungen dargelegt werden müssen, erforderlich ist;
2. auch vorsehen, dass von einer Pseudonymisierung der versichertenbezogenen Daten abgesehen werden kann, wenn für die Qualitätssicherung die Überprüfung der ärztlichen Behandlungsdokumentation fachlich oder methodisch erforderlich ist und
a) die technische Beschaffenheit des die versichertenbezogenen Daten speichernden Datenträgers eine Pseudonymisierung nicht zulässt und die Anfertigung einer Kopie des speichernden Datenträgers, um auf dieser die versichertenbezogenen Daten zu pseudonymisieren, mit für die Qualitätssicherung nicht hinnehmbaren Qualitätsverlusten verbunden wäre oder
b) die Richtigkeit der Behandlungsdokumentation Gegenstand der Qualitätsprüfung nach § 135b Absatz 2 ist;
die Gründe sind in den Richtlinien, Beschlüssen und Vereinbarungen darzulegen.
6Auch Auswahl, Umfang und Verfahren der Stichprobe sind in den Richtlinien und Beschlüssen sowie den Vereinbarungen nach Satz 1 festzulegen und von den an der vertragsärztlichen Versorgung teilnehmenden Ärzten und den übrigen Leistungserbringern zu erheben und zu übermitteln. 7Es ist auszuschließen, dass die Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweilige Verbände Kenntnis von Daten erlangen, die über den Umfang der ihnen nach den §§ 295, 300, 301, 301a und 302 zu übermittelnden Daten hinausgeht; dies gilt nicht für die Kassenärztlichen Vereinigungen in Bezug auf die für die Durchführung der Qualitätsprüfung nach § 135b Absatz 2 sowie die für die Durchführung der Aufgaben einer Datenannahmestelle oder für Einrichtungsbefragungen zur Qualitätssicherung aus Richtlinien nach § 136 Absatz 1 Satz 1 erforderlichen Daten. 8Eine über die in den Richtlinien nach § 136 Absatz 1 Satz 1 festgelegten Zwecke hinausgehende Verarbeitung dieser Daten, insbesondere eine Zusammenführung mit anderen Daten, ist unzulässig. 9Aufgaben zur Qualitätssicherung sind von den Kassenärztlichen Vereinigungen räumlich und personell getrennt von ihren anderen Aufgaben wahrzunehmen. 10Abweichend von Satz 4 Nummer 1 zweiter Halbsatz können die Richtlinien und Beschlüsse des Gemeinsamen Bundesausschusses nach § 135b Absatz 2, § 136 Absatz 1 Satz 1 und § 136b und die Vereinbarungen nach § 137d vorsehen, dass den Leistungserbringern nach Satz 1 die Daten der von ihnen behandelten Versicherten versichertenbezogen für Zwecke der Qualitätssicherung im erforderlichen Umfang übermittelt werden. 11Die Leistungserbringer dürfen diese versichertenbezogenen Daten mit den Daten, die bei ihnen zu den Versicherten bereits vorliegen, zusammenführen und für die in den Richtlinien, Beschlüssen oder Vereinbarungen nach Satz 1 festgelegten Zwecke verarbeiten. Einrichtungsbezogene Daten der Krankenhäuser, deren Verarbeitung in Richtlinien des Gemeinsamen Bundesausschusses nach § 136 Absatz 1 Satz 1 Nummer 1 vorgesehen ist, sind nicht zu pseudonymisieren.

(1a) 1Die Krankenkassen sind befugt und verpflichtet, nach § 284 Absatz 1 erhobene und gespeicherte Sozialdaten für Zwecke der Qualitätssicherung nach § 135a Absatz 2, § 135b Absatz 2 oder § 137a Absatz 3 zu verarbeiten, soweit dies erforderlich und in Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses nach § 27b Absatz 2, § 135b Absatz 2, § 136 Absatz 1 Satz 1, § 136b, § 137 Absatz 3 und § 137b Absatz 1 sowie in Vereinbarungen nach § 137d vorgesehen ist. 2In den Richtlinien, Beschlüssen und Vereinbarungen nach Satz 1 sind diejenigen Daten, die von den Krankenkassen für Zwecke der Qualitätssicherung zu verarbeiten sind, sowie deren Empfänger festzulegen und die Erforderlichkeit darzulegen. 3Absatz 1 Satz 3 bis 7 gilt entsprechend.

(2) 1Das Verfahren zur Pseudonymisierung der Daten wird durch die an der vertragsärztlichen Versorgung teilnehmenden Ärzte und übrigen Leistungserbringer gemäß § 135a Absatz 2 angewendet. 2Es ist in den Richtlinien und Beschlüssen sowie den Vereinbarungen nach Absatz 1 Satz 1 unter Berücksichtigung der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik festzulegen. 3Das Verfahren zur Pseudonymisierung der Daten kann in den Richtlinien, Beschlüssen und Vereinbarungen auch auf eine von den Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweiligen Verbänden räumlich, organisatorisch und personell getrennte Stelle übertragen werden, wenn das Verfahren für die in Satz 1 genannten Leistungserbringer einen unverhältnismäßig hohen Aufwand bedeuten würde; für Verfahren zur Qualitätsprüfung nach § 135b Absatz 2 kann dies auch eine gesonderte Stelle bei den Kassenärztlichen Vereinigungen sein. 4Die Gründe für die Übertragung sind in den Richtlinien, Beschlüssen und Vereinbarungen darzulegen. 5Bei einer Vollerhebung nach Absatz 1 Satz 5 hat die Pseudonymisierung durch eine von den Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweiligen Verbänden räumlich organisatorisch und personell getrennten Vertrauensstelle zu erfolgen.

(2a) 1Enthalten die für Zwecke des Absatz 1 Satz 1 verarbeiteten Daten noch keine den Anforderungen des § 290 Absatz 1 Satz 2 entsprechende Krankenversichertennummer und ist in Richtlinien des Gemeinsamen Bundesausschusses vorgesehen, dass die Pseudonymisierung auf der Grundlage der Krankenversichertennummer nach § 290 Absatz 1 Satz 2 erfolgen soll, kann der Gemeinsame Bundesausschuss in den Richtlinien ein Übergangsverfahren regeln, das einen Abgleich der für einen Versicherten vorhandenen Krankenversichertennummern ermöglicht. 2In diesem Fall hat er in den Richtlinien eine von den Krankenkassen und ihren Verbänden räumlich, organisatorisch und personell getrennte eigenständige Vertrauensstelle zu bestimmen, die dem Sozialgeheimnis nach § 35 Absatz 1 des Ersten Buches unterliegt, an die die Krankenkassen für die in das Qualitätssicherungsverfahren einbezogenen Versicherten die vorhandenen Krankenversichertennummern übermitteln. 3Weitere Daten dürfen nicht übermittelt werden. 4Der Gemeinsame Bundesausschuss hat in den Richtlinien die Dauer der Übergangsregelung und den Zeitpunkt der Löschung der Daten bei der Stelle nach Satz 2 festzulegen.

(3) 1Zur Auswertung der für Zwecke der Qualitätssicherung nach § 135a Abs. 2 erhobenen Daten bestimmen in den Fällen des § 136 Absatz 1 Satz 1 und § 136b der Gemeinsame Bundesausschuss und im Falle des § 137d die Vereinbarungspartner eine unabhängige Stelle. 2Diese darf Auswertungen nur für Qualitätssicherungsverfahren mit zuvor in den Richtlinien, Beschlüssen oder Vereinbarungen festgelegten Auswertungszielen durchführen. 3Daten, die für Zwecke der Qualitätssicherung nach § 135a Abs. 2 für ein Qualitätssicherungsverfahren verarbeitet werden, dürfen nicht mit für andere Zwecke als die Qualitätssicherung erhobenen Datenbeständen zusammengeführt und ausgewertet werden. 4Für die unabhängige Stelle gilt § 35 Absatz 1 des Ersten Buches entsprechend. 5Abweichend von Satz 1 ist für die in § 136 Absatz 1 Satz 1 Nummer 1 genannten Maßnahmen zur datengestützten einrichtungsübergreifenden Qualitätssicherung das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen die unabhängige Stelle im Sinne des Satzes 1.

(4) 1Der Gemeinsame Bundesausschuss kann zur Durchführung von Patientenbefragungen für Zwecke der Qualitätssicherung in den Richtlinien und Beschlüssen nach den §§ 136 bis 136b eine zentrale Stelle (Versendestelle) bestimmen, die die Auswahl der zu befragenden Versicherten und die Versendung der Fragebögen übernimmt. 2In diesem Fall regelt er in den Richtlinien oder Beschlüssen die Einzelheiten des Verfahrens; insbesondere legt er die Auswahlkriterien fest und bestimmt, wer welche Daten an die Versendestelle zu übermitteln hat. 3Dabei kann er auch die Übermittlung nicht pseudonymisierter personenbezogener Daten der Versicherten und nicht pseudonymisierter personen- oder einrichtungsbezogener Daten der Leistungserbringer vorsehen, soweit dies für die Auswahl der Versicherten, die Versendung der Fragebögen, die Risikoadjustierung der Auswertungen oder die wissenschaftliche Begleitung der Patientenbefragungen erforderlich ist. 4Der Rücklauf der ausgefüllten Fragebögen darf nicht über die Versendestelle erfolgen. 5Die Versendestelle muss von den Krankenkassen und ihren Verbänden, den Kassenärztlichen Vereinigungen und ihren Verbänden, der Vertrauensstelle nach Absatz 2 Satz 5, dem Institut nach § 137a und sonstigen nach Absatz 1 Satz 2 festgelegten Datenempfängern räumlich, organisatorisch und personell getrennt sein. 6Die Versendestelle darf über die Daten nach Satz 2 hinaus weitere Behandlungs-, Leistungs- oder Sozialdaten von Versicherten auf Grund anderer Vorschriften nur verarbeiten, sofern diese Datenverarbeitung organisatorisch, personell und räumlich von der Datenverarbeitung für den Zweck der Versendestelle nach Satz 1 getrennt ist und nicht zum Zweck der Qualitätssicherung in den Richtlinien und Beschlüssen nach den §§ 136 bis 136b erfolgt. 7Die Versendestelle hat die ihr übermittelten Identifikationsmerkmale der Versicherten in gleicher Weise geheim zu halten wie derjenige, von dem sie sie erhalten hat; sie darf diese Daten anderen Personen oder Stellen nicht zugänglich machen. 8Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, zugelassenen Krankenhäuser und übrigen Leistungserbringer gemäß § 135a Absatz 2 sowie die Krankenkassen sind befugt und verpflichtet, die vom Gemeinsamen Bundesausschuss nach Satz 2 festgelegten Daten an die Stelle nach Satz 1 zu übermitteln. 9Die Daten nach Satz 8 sind von der Versendestelle spätestens sechs Monate nach Versendung der Fragebögen zu löschen, es sei denn, dass es aus methodischen Gründen der Befragung erforderlich ist, bestimmte Daten länger zu verarbeiten. 10Dann sind diese Daten spätestens 24 Monate nach Versendung der Fragebögen zu löschen. 11Die Versendestelle ist befugt und verpflichtet, personen- oder einrichtungsbezogene Daten der Versicherten und der Leistungserbringer an die in den in Satz 1 genannten Richtlinien und Beschlüssen festgelegten Empfänger zu übermitteln, soweit dies für die Durchführung der Patientenbefragung methodisch-fachlich erforderlich ist. 12Der Gemeinsame Bundesausschuss kann Patientenbefragungen auch in digitaler Form vorsehen; die Sätze 1 bis 11 gelten entsprechend.

(5) Der Gemeinsame Bundesausschuss ist befugt und berechtigt, abweichend von Absatz 3 Satz 3 transplantationsmedizinische Qualitätssicherungsdaten, die aufgrund der Richtlinien nach § 136 Absatz 1 Satz 1 Nummer 1 erhoben werden, nach § 15e des Transplantationsgesetzes an die Transplantationsregisterstelle zu übermitteln sowie von der Transplantationsregisterstelle nach § 15f des Transplantationsgesetzes übermittelte Daten für die Weiterentwicklung von Richtlinien und Beschlüssen zur Qualitätssicherung transplantationsmedizinischer Leistungen nach den §§ 136 bis 136c zu verarbeiten.

(6) Der Gemeinsame Bundesausschuss ist befugt und berechtigt, abweichend von Absatz 3 Satz 3 die Daten, die ihm von der Registerstelle des Implantateregisters Deutschland nach § 29 Absatz 1 Nummer 4 des Implantateregistergesetzes übermittelt werden, für die Umsetzung und Weiterentwicklung von Richtlinien und Beschlüssen zur Qualitätssicherung implantationsmedizinischer Leistungen nach den §§ 136 bis 136c zu verarbeiten.

(7) Das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen ist befugt, folgende personen- und einrichtungsbezogenen Daten der Versicherten und der Krankenhäuser zum Zweck der Veröffentlichung im Transparenzverzeichnis nach § 135d zu verarbeiten:

1. Daten, die das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen als unabhängige Stelle im Sinne des Absatzes 3 Satz 1 für die in § 136 Absatz 1 Satz 1 Nummer 1 genannten Maßnahmen zur datengestützten einrichtungsübergreifenden Qualitätssicherung erhält,
2. Auswertungen und Daten, die dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen nach § 21 Absatz 3d des Krankenhausentgeltgesetzes übermittelt werden,
3. die Daten aus den in § 136b Absatz 1 Satz 1 Nummer 3 genannten strukturierten Qualitätsberichten der zugelassenen Krankenhäuser,
4. Daten zur Erfüllung oder Nichterfüllung der nach § 135e Absatz 2 Satz 2 maßgeblichen Qualitätskriterien, die dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen im Wege der in § 275a Absatz 4 Satz 1, 3 und 4 genannten Übermittlung oder Information übermittelt werden oder in der in § 283 Absatz 5 Satz 1 genannten Datenbank des Medizinischen Dienstes Bund zugänglich sind, und
5. Daten, die dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen im Wege der in § 6a Absatz 7 des Krankenhausfinanzierungsgesetzes genannten Übermittlung übermittelt werden.
2Abweichend von Absatz 3 Satz 3 darf das Institut für Qualitätssicherung und Transparenz im Gesundheitswesen zum Zweck der Veröffentlichung im Transparenzverzeichnis nach § 135d die in Satz 1 genannten Daten zusammenführen und verarbeiten. Die in den Richtlinien nach § 136 Absatz 1 Satz 1 Nummer 1 für Maßnahmen zur datengestützten einrichtungsübergreifenden Qualitätssicherung bestimmten Datenannahmestellen sind verpflichtet, dem Institut für Qualitätssicherung und Transparenz im Gesundheitswesen zum Zweck der Veröffentlichung im Transparenzverzeichnis mitzuteilen, wie die in Satz 1 Nummer 1 genannten Daten, soweit sie den Zeitraum ab dem 1. Januar 2022 betreffen, einzelnen Standorten der Krankenhäuser zuzuordnen sind.