Sommer, SGB V, SGBV SGB V § 64e Modellvorhaben zur umfas ... / 2.11 Nutzungsberechtigte (Abs. 11)

Rz. 40

Nutzungsberechtigt sind die teilnehmenden Leistungserbringer nach Abs. 4, Hochschulen, die nach landesrechtlichen Vorschriften anerkannten Hochschulkliniken, öffentlich geförderte außeruniversitäre Forschungseinrichtungen und sonstige öffentliche Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung, sofern die Daten gemeinnützigen wissenschaftlichen Vorhaben dienen (Satz 1). Die Nutzungsberechtigten dürfen die nach Abs. 10 zugänglich gemachten Daten nur für die genannten Zwecke nutzen (Satz 2). Eine Weitergabe an Dritte ist nur auf Antrag und im Rahmen eines zulässigen Nutzungszwecks gestattet. Einzeldatensätze können nur an Personen bereitgestellt werden, die Berufsgeheimnisträger nach § 203 StGB sind oder die vor dem Zugang entsprechend den Vorschriften des Verpflichtungsgesetzes zur Geheimhaltung verpflichtet wurden. Dabei hat der Träger der Dateninfrastruktur zu prüfen, welche Datenfelder weitergegeben werden. Die Zuständigkeit der Behörde, die die Verpflichtung nach dem Verpflichtungsgesetz vorzunehmen hat, richtet sich gemäß § 1 Abs. 4 Nr. 2 des Verpflichtungsgesetzes nach dem Recht des jeweiligen Bundeslandes. Als geeignete Verfahren nach Satz 4 Nr. 2 kommen der Zugriff an einem Gastarbeitsplatz in den Räumen des Trägers der Dateninfrastruktur oder über einen gesicherten Fernzugriff infrage. Hierfür stellt der Träger der Dateninfrastruktur eine geeignete technische Analyseplattform zur Verfügung. Bei der Entwicklung, Erprobung und Festlegung der Verfahren ist das Bundesamt für die Sicherheit in der Informationstechnik einzubeziehen, um ausreichende technische Sicherheit zu gewährleisten. Bei der Datenverarbeitung haben die Nutzungsberechtigten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen (Satz 3). Eine unbeabsichtigte Bezugsherstellung ist dem Träger der Dateninfrastruktur zu melden (Satz 4). Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt (Satz 5). Beides ergibt sich bereits aus den allgemeinen datenschutzrechtlichen Grundsätzen. Die zuständige Datenschutzaufsichtsbehörde ist verpflichtet, den Träger der Dateninfrastruktur zu informieren, wenn Nutzungsberechtigte die Daten widerrechtlich verarbeiten (Satz 6). Bei einem Verstoß des Nutzungsberechtigten gegen die geltenden datenschutzrechtlichen Vorschriften oder die Auflagen des Trägers der Dateninfrastruktur wird der Nutzungsberechtigte für einen Zeitraum bis zu 2 Jahren vom Datenzugang ausgeschlossen (Satz 7).