(1) Im Rahmen der Aufgaben nach § 291a Absatz 7 Satz 2 hat die Gesellschaft für Telematik

1.

die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts zu erstellen,

2.

Inhalt und Struktur der Datensätze für deren Bereitstellung und Nutzung festzulegen,

3.

Vorgaben für den sicheren Betrieb der Telematikinfrastruktur zu erstellen und ihre Umsetzung zu überwachen,

4.

die notwendigen Test- und Zertifizierungsmaßnahmen sicherzustellen und

5.

Verfahren einschließlich der dafür erforderlichen Authentisierungsverfahren festzulegen zur Verwaltung

a)

der in § 291a Absatz 4 und 5a geregelten Zugriffsberechtigungen und

b)

der Steuerung der Zugriffe auf Daten nach § 291a Absatz 3.

Bei der Gestaltung der Verfahren nach Satz 1 Nummer 5 berücksichtigt die Gesellschaft für Telematik, dass die Telematikinfrastruktur schrittweise ausgebaut wird und die Zugriffsberechtigungen künftig auf weitere Leistungserbringergruppen ausgedehnt werden können. Soweit bei den Festlegungen und Maßnahmen nach Satz 1 Fragen der Datensicherheit berührt sind, sind diese im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen. Die Gesellschaft für Telematik hat die Interessen von Patienten zu wahren und die Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie zur Barrierefreiheit sicherzustellen. Die Gesellschaft für Telematik hat Aufgaben nur insoweit wahrzunehmen, als dies zur Schaffung einer interoperablen, kompatiblen und sicheren Telematikinfrastruktur erforderlich ist. Mit Teilaufgaben der Gesellschaft für Telematik können einzelne Gesellschafter oder Dritte beauftragt werden; hierbei sind durch die Gesellschaft für Telematik Interoperabilität, Kompatibilität und das notwendige Sicherheitsniveau der Telematikinfrastruktur zu gewährleisten. Die Kassenärztliche Bundesvereinigung trifft im Benehmen mit den übrigen Spitzenorganisationen nach § 291a Absatz 7 Satz 1, der Gesellschaft für Telematik, den maßgeblichen, fachlich betroffenen medizinischen Fachgesellschaften, der Bundespsychotherapeutenkammer, den maßgeblichen Bundesverbänden der Pflege, den für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbänden aus dem Bereich der Informationstechnologie im Gesundheitswesen, den für die Wahrnehmung der Interessen der Forschung im Gesundheitswesen maßgeblichen Bundesverbänden und dem Bundesinstitut für Arzneimittel und Medizinprodukte die notwendigen Festlegungen für die Inhalte der elektronischen Patientenakte nach § 291a Absatz 3 Satz 1 Nummer 4, um deren semantische und syntaktische Interoperabilität zu gewährleisten. Sie hat dabei internationale Standards einzubeziehen und die Festlegungen nach § 31a Absatz 4 und 5 sowie die Festlegungen zur Verfügbarmachung von Daten nach § 291a Absatz 3 Satz 1 Nummer 1 zu berücksichtigen. Über die Festlegungen nach Satz 7 entscheidet für die Kassenärztliche Bundesvereinigung der Vorstand. Um einen strukturierten Prozess zu gewährleisten, erstellt die Kassenärztliche Bundesvereinigung innerhalb von vier Wochen nach dem 11. Mai 2019 eine Verfahrensordnung zur Herstellung des Benehmens nach Satz 7. Innerhalb von vier Wochen nach Erstellung der Verfahrensordnung hat die Kassenärztliche Bundesvereinigung das Benehmen hierzu mit den nach Satz 7 zu Beteiligenden herzustellen. Die Gesellschaft für Telematik kann der Kassenärztlichen Bundesvereinigung zur Erfüllung ihrer Aufgabe nach Satz 7 angemessene Fristen, entsprechend dem Projektstand, setzen; hält die Kassenärztliche Bundesvereinigung die jeweilige Frist nicht ein, kann die Gesellschaft für Telematik die Deutsche Krankenhausgesellschaft mit der Erstellung der jeweiligen Festlegungen nach Satz 7 im Benehmen mit den in Satz 7 genannten Organisationen beauftragen. Satz 8 findet entsprechende Anwendung. Das Verfahren für das Vorgehen nach Fristablauf legt die Gesellschaft für Telematik fest. Die Festlegungen der Kassenärztlichen Bundesvereinigung nach Satz 7 oder die Festlegungen der Deutschen Krankenhausgesellschaft nach Satz 11 zweiter Halbsatz sind für alle Gesellschafter, für die Leistungserbringer und Krankenkassen sowie für ihre Verbände nach diesem Buch verbindlich. Sie können nur durch eine alternative Entscheidung der in der Gesellschaft für Telematik vertretenen Spitzenorganisationen der Leistungserbringer nach § 291a Absatz 7 Satz 1 in gleicher Sache ersetzt werden. Eine Entscheidung der Spitzenorganisationen nach Satz 15 erfolgt mit der einfachen Mehrheit der sich aus deren Geschäftsanteilen ergebenden Stimmen. Die Festlegungen nach den Sätzen 7, 11 zweiter Halbsatz und Satz 15 sind in das Interoperabilitätsverzeichnis nach § 291e aufzunehmen. Der Kassenärztlichen Bundesvereinigung sind die zur Erfüllung ihrer Aufgaben nach Satz 7 entstandenen Kosten durch die Gesellschaft für Telematik zu erstatten. Satz 18 gilt für die Deutsche Krankenhausgesellschaft entsprechend, sofern diese nach Satz 11 zweiter Halbsatz die Aufgabe nach Satz 7 erfüllt. Die Gesellschaft für Telematik nimmt auf europäischer Ebene, insbesondere im Zusammenhang mit den Arbeiten im Zusammenhang mit dem grenzüberschreitenden Austausch von Gesundheitsdaten, Aufgaben wahr. Dabei hat sie darauf hinzuwirken, dass einerseits die auf europäischer Ebene getroffenen Festlegungen mit den Vorgaben für die Telematikinfrastruktur und ihre Anwendungen und diese andererseits mit den europäischen Vorgaben vereinbar sind. Die Gesellschaft für Telematik hat die für den grenzüberschreitenden Austausch von Gesundheitsdaten erforderlichen Festlegungen zu treffen und hierbei die auf europäischer Ebene hierzu getroffenen Festlegungen zu berücksichtigen. Datenschutz und Datensicherheit sind dabei nach dem Stand der Technik zu gewährleisten. Das Bundesministerium für Gesundheit kann ihr dabei Weisungen erteilen. (1a) Die Komponenten und Dienste der Telematikinfrastruktur werden von der Gesellschaft für Telematik zugelassen. Die Zulassung wird auf Antrag des Anbieters einer Komponente oder des Anbieters eines Dienstes erteilt, wenn die Komponente oder der Dienst funktionsfähig, interoperabel und sicher ist. Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik prüft die Funktionsfähigkeit und Interoperabilität auf der Grundlage der von ihr veröffentlichten Prüfkriterien. Der Nachweis der Sicherheit erfolgt nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik durch eine Sicherheitszertifizierung. Hierzu entwickelt das Bundesamt für Sicherheit in der Informationstechnik geeignete Prüfvorschriften und veröffentlicht diese im Bundesanzeiger. Das Nähere zum Zulassungsverfahren und zu den Prüfkriterien wird von der Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik beschlossen. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den zugelassenen Komponenten und Diensten. Die für die Aufgaben nach den Sätzen 5, 6 und 12 beim Bundesamt für Sicherheit in der Informationstechnik entstehenden Kosten sind diesem durch die Gesellschaft für Telematik zu erstatten. Die Einzelheiten werden von dem Bundesamt für Sicherheit in der Informationstechnik und der Gesellschaft für Telematik einvernehmlich festgelegt. Die Gesellschaft für Telematik kann eine befristete Genehmigung zur Verwendung von nicht zugelassenen Komponenten und Diensten in der Telematikinfrastruktur erteilen, wenn dies zur Aufrechterhaltung der Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur erforderlich ist. Hinsichtlich der Sicherheit ist die Genehmigung im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu erteilen. Für die Verfahren zum Zugriff der Versicherten nach § 291a Absatz 5 Satz 9 legt abweichend von den Sätzen 5 bis 7 die Gesellschaft für Telematik im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den Umfang der Zulassung für die erforderlichen Komponenten und Dienste einschließlich der Anforderungen an die Sicherheit und das Nähere zum Zulassungsverfahren fest. Die Festlegungen nach Satz 13 sind von der Gesellschaft für Telematik bis zum 26. Mai 2019 zu veröffentlichen.

(1b) Die Gesellschaft für Telematik hat eine diskriminierungsfreie Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 zu gewährleisten. Dabei sind elektronische Anwendungen, die der Erfüllung von gesetzlichen Aufgaben der Kranken- und Pflegeversicherung dienen, vorrangig zu berücksichtigen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die erforderlichen Voraussetzungen bis zum 30. Juni 2016 fest und veröffentlicht diese auf ihrer Internetseite. Die Erfüllung dieser Voraussetzungen muss der Anbieter einer Anwendung gegenüber der Gesellschaft für Telematik in einem Bestätigungsverfahren nachweisen. Die Einzelheiten des Bestätigungsverfahrens sowie die dazu erforderlichen Prüfkriterien legt die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik bis zum 30. September 2016 fest und veröffentlicht sie auf ihrer Internetseite. Das Bestätigungsverfahren wird auf Antrag eines Anbieters einer Anwendung durchgeführt. Die Bestätigung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik veröffentlicht eine Liste mit den erteilten Bestätigungen auf ihrer Internetseite. Für Leistungserbringer in der gesetzlichen Kranken- und Pflegeversicherung, die die Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 nutzen wollen und für die noch keine sicheren Authentisierungsverfahren nach Absatz 1 Satz 1 Nummer 5 festgelegt sind, legt die Gesellschaft für Telematik diese Verfahren in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die nach diesem Absatz beim Bundesamt für Sicherheit in der Informationstechnik sowie bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich jeweils mit dem Bundesamt für Sicherheit in der Informationstechnik sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(1c) Betriebsleistungen sind auf der Grundlage der von der Gesellschaft für Telematik zu beschließenden Rahmenbedingungen zu erbringen. Zur Durchführung des operativen Betriebs der Telematikinfrastruktur vergibt die Gesellschaft für Telematik Aufträge oder erteilt in einem transparenten und diskriminierungsfreien Verfahren Zulassungen; sind nach Absatz 1 Satz 6 erster Halbsatz einzelne Gesellschafter oder Dritte beauftragt worden, so sind die Beauftragten für die Vergabe und für die Erteilung der Zulassung zuständig. Bei der Vergabe von Aufträgen sind abhängig vom Auftragswert die Vorschriften über die Vergabe öffentlicher Aufträge anzuwenden: der Vierte Teil des Gesetzes gegen Wettbewerbsbeschränkungen, die Vergabeverordnung sowie die Unterschwellenvergabeordnung in der Fassung der Bekanntmachung vom 2. Februar 2017 (BAnz AT 07.02.2017 B1, BAnz AT 07.02.2017 B2). Für die Verhandlungsvergabe von Leistungen gemäß § 8 Absatz 4 Nummer 17 der Unterschwellenvergabeordnung werden die Ausführungsbestimmungen vom Bundesministerium für Gesundheit festgelegt. Bei Zulassungsverfahren nach Satz 2 haben Anbieter von operativen Betriebsleistungen einen Anspruch auf Zulassung, wenn

1.

die zu verwendenden Komponenten und Dienste nach den Absätzen 1a und 1e zugelassen sind,

2.

der Anbieter den Nachweis erbringt, dass die Verfügbarkeit und Sicherheit der Betriebsleistung gewährleistet sind, und

3.

der Anbieter sich vertraglich verpflichtet, die Rahmenbedingungen für Betriebsleistungen der Gesellschaft für Telematik einzuhalten.

Die Zulassung kann mit Nebenbestimmungen versehen werden. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen können die Anzahl der Zulassungen beschränken, soweit dies zur Gewährleistung von Interoperabilität, Kompatibilität und des notwendigen Sicherheitsniveaus erforderlich ist. Die Gesellschaft für Telematik beziehungsweise die von ihr beauftragten Organisationen veröffentlichen

1.

die fachlichen und sachlichen Voraussetzungen, die für den Nachweis nach Satz 5 Nr. 2 erfüllt sein müssen, sowie

2.

eine Liste mit den zugelassenen Anbietern.

(1d) Die Gesellschaft für Telematik kann für die Zulassungen und Bestätigungen der Absätze 1a bis 1c und 1e Gebühren und Auslagen erheben. Die Gebührensätze sind so zu bemessen, dass sie den auf die Leistungen entfallenden durchschnittlichen Personal- und Sachaufwand nicht übersteigen. Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates die gebührenpflichtigen Tatbestände zu bestimmen und dabei feste Sätze oder Rahmensätze vorzusehen sowie Regelungen über die Gebührenentstehung, die Gebührenerhebung, die Erstattung von Auslagen, den Gebührenschuldner, Gebührenbefreiungen, die Fälligkeit, die Stundung, die Niederschlagung, den Erlass, Säumniszuschläge, die Verjährung und die Erstattung zu treffen. Für die Nutzung der Telematikinfrastruktur für Anwendungen nach § 291a Absatz 7 Satz 3 kann die Gesellschaft für Telematik Entgelte verlangen; die Nutzung ist unentgeltlich, sofern die Anwendungen in diesem Buch oder im Elften Buch geregelt sind oder zur Erfüllung einer gesetzlichen Verpflichtung, insbesondere gesetzlicher Meldepflichten im Gesundheitswesen, genutzt werden.

(1e) Die Gesellschaft für Telematik legt sichere Verfahren zur Übermittlung medizinischer Dokumente über die Telematikinfrastruktur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik und mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest und veröffentlicht diese Festlegungen auf ihrer Internetseite. Die Erfüllung dieser Festlegungen muss der Anbieter eines Dienstes für ein Übermittlungsverfahren gegenüber der Gesellschaft für Telematik in einem Zulassungsverfahren nachweisen. Die Kassenärztlichen Bundesvereinigungen können Anbieter eines zugelassenen Dienstes für ein sicheres Verfahren zur Übermittlung medizinischer Dokumente nach Satz 1 sein, sofern der Dienst nur Kassenärztlichen Vereinigungen sowie deren Mitgliedern zur Verfügung gestellt wird. Für das Zulassungsverfahren gilt Absatz 1a. Die für das Zulassungsverfahren erforderlichen Festlegungen sind auf der Internetseite der Gesellschaft für Telematik zu veröffentlichen. Die nach diesem Absatz bei dem Bundesamt für Sicherheit in der Informationstechnik und bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit entstehenden Kosten sind durch die Gesellschaft für Telematik zu erstatten. Die Gesellschaft für Telematik legt die Einzelheiten der Kostenerstattung einvernehmlich mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit fest.

(2) Der Gesellschaftsvertrag der Gesellschaft für Telematik, die auf der Grundlage des § 291a Absatz 7 in der bis zum 11. Mai 2019 geltenden Fassung gegründet worden ist, ist nach folgenden Grundsätzen anzupassen:

1.

Die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, und die in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen sind Gesellschafter der Gesellschaft für Telematik. Die Geschäftsanteile entfallen zu 51 Prozent auf die Bundesrepublik Deutschland, vertreten durch das Bundesministerium für Gesundheit, zu 24,5 Prozent auf den Spitzenverband Bund der Krankenkassen und zu 24,5 Prozent auf die anderen in § 291a Absatz 7 Satz 1 genannten Spitzenorganisationen. Die Gesellschafter können den Beitritt weiterer Spitzenorganisationen der Leistungserbringer auf Bundesebene und des Verbandes der Privaten Krankenversicherung beschließen; im Fall eines Beitritts sind die Geschäftsanteile innerhalb der Gruppen der Kostenträger und Leistungserbringer entsprechend anzupassen;

2.

unbeschadet zwingender gesetzlicher Mehrheitserfordernisse entscheiden die Gesellschafter mit der einfachen Mehrheit der sich aus den Geschäftsanteilen ergebenden Stimmen.

(2a) Die Gesellschaft für Telematik hat einen Beirat einzurichten, der sie in fachlichen Belangen berät. Er kann Angelegenheiten von grundsätzlicher Bedeutung der Gesellschafterversammlung der Gesellschaft für Telematik zur Befassung vorlegen und ist vor der Beschlussfassung zu Angelegenheiten von grundsätzlicher Bedeutung zu hören. Zu Angelegenheiten von grundsätzlicher Bedeutung gehören insbesondere:

1.

Fachkonzepte zu Anwendungen der elektronischen Gesundheitskarte,

2.

Planungen und Konzepte für Erprobung und Betrieb der Telematikinfrastruktur sowie

3.

Konzepte zur Evaluation von Erprobungsphasen und Anwendungen.

Hierzu sind dem Beirat die entsprechenden Informationen in verständlicher Form so rechtzeitig zur Verfügung zu stellen, dass er sich mit ihnen inhaltlich befassen kann. Die Gesellschaft für Telematik hat sich mit den Stellungnahmen des Beirats zu befassen und dem Beirat mitzuteilen, inwieweit sie die Empfehlungen des Beirats berücksichtigt. Der Vorsitzende des Beirats kann an den Gesellschafterversammlungen der Gesellschaft für Telematik teilnehmen. Der Beirat besteht aus vier Vertretern der Länder, drei Vertretern der für die Wahrnehmung der Interessen der Patienten und der Selbsthilfe chronisch Kranker und behinderter Menschen maßgeblichen Organisationen, drei Vertretern der Wissenschaft, einem durch das Bundesministerium für Gesundheit im Einvernehmen mit dem Bundesministerium für Bildung und Forschung zu benennenden Vertreter aus dem Bereich der Hochschulmedizin, drei Vertretern der für die Wahrnehmung der Interessen der Industrie maßgeblichen Bundesverbände aus dem Bereich der Informationstechnologie im Gesundheitswesen, einem Vertreter der für die Wahrnehmung der Interessen der an der hausarztzentrierten Versorgung teilnehmenden Vertragsärzte maßgeblichen Spitzenorganisation sowie der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und der oder dem Beauftragten der Bundesregierung für die Belange der Patientinnen und Patienten. Vertreter weiterer Gruppen und Bundesbehörden können berufen werden. Die Mitglieder des Beirats werden von der Gesellschafterversammlung der Gesellschaft für Telematik berufen; die Vertreter der Länder werden von den Ländern benannt. Die Gesellschafter und die Geschäftsführung der Gesellschaft für Telematik können an den Sitzungen des Beirats teilnehmen. (3) (weggefallen)

(4) Die Beschlüsse der Gesellschaft für Telematik zu den Regelungen, dem Aufbau und dem Betrieb der Telematikinfrastruktur sind für die Leistungserbringer und Krankenkassen sowie ihre Verbände nach diesem Buch verbindlich; dies gilt auch für Apothekerkammern der Länder für Beschlüsse über die Zuständigkeit für die Herausgabe von Komponenten zur Authentifizierung von Leistungserbringerinstitutionen, soweit dies nicht durch Bundes- oder Landesrecht geregelt ist. Vor der Beschlussfassung hat die Gesellschaft für Telematik dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem Bundesamt für Sicherheit in der Informationstechnik Gelegenheit zur Stellungnahme zu geben, sofern Belange des Datenschutzes oder der Datensicherheit berührt sind.

(5) (weggefallen)

(6) Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die Gesellschaft für Telematik in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik befugt, die erforderlichen technischen und organisatorischen Maßnahmen zur Abwehr dieser Gefahr zu treffen. Betreiber von nach den Absätzen 1a und 1e zugelassenen Diensten und Betreiber von Diensten für nach Absatz 1b bestätigte Anwendungen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser Dienste unverzüglich an die Gesellschaft für Telematik zu melden. Erheblich sind Störungen, die zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der in Satz 2 genannten Dienste oder zum Ausfall oder zur Beeinträchtigung der Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben. Die Gesellschaft für Telematik hat die ihr nach Satz 2 gemeldeten Störungen sowie darüber hinausgehende bedeutende Störungen, die zu beträchtlichen Auswirkungen auf die Sicherheit oder Funktionsfähigkeit der Telematikinfrastruktur führen können oder bereits geführt haben, unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden. Die Gesellschaft für Telematik hat das Bundesministerium für Gesundheit unverzüglich über Meldungen nach Satz 4 zu informieren. Die Gesellschaft für Telematik kann zur Gefahrenabwehr im Einzelfall insbesondere Komponenten und Dienste für den Zugang zur Telematikinfrastruktur sperren oder den weiteren Zugang zur Telematikinfrastruktur nur unter der Bedingung gestatten, dass die von der Gesellschaft für Telematik angeordneten Maßnahmen zur Beseitigung der Gefahr umgesetzt werden.

(6a) Dienstleister, die mit der Herstellung und der Wartung des Anschlusses von IT-Systemen der Leistungserbringer an die Telematikinfrastruktur, einschließlich der Wartung hierfür benötigter Komponenten sowie der Anbindung an Dienste der Telematikinfrastruktur, beauftragt werden, müssen über die notwendige Fachkunde verfügen, um Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der Leistungserbringer in Bezug auf Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu vermeiden, und besondere Sorgfalt bei der Herstellung und Wartung des Anschlusses an die Telematikinfrastruktur walten lassen. Die Erfüllung der Anforderungen nach Satz 1 muss den Leistungserbringern auf Verlangen nachgewiesen werden. Zur Erfüllung der Anforderungen nach Satz 1 und des Nachweises nach Satz 2 können die maßgeblichen Spitzenorganisationen der Leistungserbringer auf Bundesebene den von ihnen vertretenen Leistungserbringern in Abstimmung mit der Gesellschaft für Telematik Hinweise geben. Der Gesellschaft für Telematik obliegt hierbei die Beachtung der notwendigen sicherheitstechnischen und betrieblichen Voraussetzungen zur Wahrung der Sicherheit und Funktionsfähigkeit der Telematikinfrastruktur.

(7) Die Gesellschaft für Telematik kann für Komponenten und Dienste, die die Telematikinfrastruktur nutzen, aber außerhalb der Telematikinfrastruktur betrieben werden, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik solche Maßnahmen zur Überwachung des Betriebs treffen, die erforderlich sind, um die Sicherheit, Verfügbarkeit und Nutzbarkeit der Telematikinfrastruktur zu gewährleisten. Die Gesellschaft für Telematik legt hierzu fest, welche näheren Angaben ihr die Betreiber der Komponenten und Dienste offenzulegen haben, damit die Überwachung durchgeführt werden kann. Für die Erstattung der Kosten des Bundesamtes für Sicherheit in der Informationstechnik gilt Absatz 1a Satz 9 und 10 entsprechend.

(8) Die Gesellschaft für Telematik legt dem Bundesamt für Sicherheit in der Informationstechnik auf Verlangen die folgenden Unterlagen und Informationen vor:

1.

die Zulassungen und Bestätigungen nach den Absätzen 1a bis 1c und 1e einschließlich der zugrunde gelegten Dokumentation,

2.

eine Aufstellung der nach den Absätzen 6 und 7 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und

3.

sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen.

Ergibt die Bewertung der in Satz 1 genannten Informationen Sicherheitsmängel, so kann das Bundesamt für Sicherheit in der Informationstechnik der Gesellschaft für Telematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Die Gesellschaft für Telematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die Kosten der Überprüfung tragen

1.

die Gesellschaft für Telematik, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten,

2.

der Betreiber von zugelassenen Diensten und bestätigten Anwendungen nach den Absätzen 1a bis 1c und 1e, sofern das Bundesamt für Sicherheit in der Informationstechnik auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.