(1) Das Forschungsdatenzentrum macht die ihm vom Spitzenverband Bund der Krankenkassen und von der Vertrauensstelle übermittelten Daten nach Maßgabe der Absätze 2 bis 6 den in Satz 2 genannten Nutzungsberechtigten auf Antrag zugänglich. Nutzungsberechtigt sind natürliche und juristische Personen im Anwendungsbereich der Verordnung (EU) 2016/679, soweit diese nach Absatz 2 zur Verarbeitung der Daten berechtigt sind.

(2) Die dem Forschungsdatenzentrum übermittelten Daten dürfen von den Nutzungsberechtigten verarbeitet werden, soweit dies für folgende Zwecke erforderlich ist:

1.

Wahrnehmung von Steuerungsaufgaben durch die Kollektivvertragspartner,

2.

Verbesserung der Qualität der Versorgung sowie Verbesserung der Sicherheitsstandards der Prävention, Versorgung und Pflege,

3.

Planung von Leistungsressourcen, zum Beispiel Krankenhausplanung oder Pflegestrukturplanungsempfehlungen nach § 8a Absatz 4 des Elften Buches,

4.

wissenschaftliche Forschung zu Fragestellungen aus den Bereichen Gesundheit und Pflege, Analysen des Versorgungsgeschehens, sowie Grundlagenforschung im Bereich der Lebenswissenschaften,

5.

Unterstützung politischer Entscheidungsprozesse zur Weiterentwicklung der gesetzlichen Kranken- und Pflegeversicherung,

6.

Analysen zur Wirksamkeit sektorenübergreifender Versorgungsformen sowie zur Wirksamkeit von Einzelverträgen der Kranken- und Pflegekassen,

7.

Wahrnehmung von Aufgaben der Gesundheitsberichterstattung, anderer Berichtspflichten des Bundes nach diesem oder dem Elften Buch und der amtlichen Statistik sowie Berichtspflichten der Länder,

8.

Wahrnehmung gesetzlicher Aufgaben in den Bereichen öffentliche Gesundheit und Epidemiologie,

9.

Entwicklung, Weiterentwicklung und Überwachung der Sicherheit von Arzneimitteln, Medizinprodukten, Untersuchungs- und Behandlungsmethoden, Hilfs- und Heilmitteln, digitalen Gesundheits- und Pflegeanwendungen sowie Systemen der Künstlichen Intelligenz im Gesundheitswesen einschließlich des Trainings, der Validierung und des Testens dieser Systeme der Künstlichen Intelligenz oder

10.

Nutzenbewertung von Arzneimitteln, Medizinprodukten, Untersuchungs- und Behandlungsmethoden, Hilfs- und Heilmitteln sowie digitalen Gesundheits- und Pflegeanwendungen, Verhandlung von Vergütungsbeträgen oder Festlegung von Höchstbeträgen und Schwellenwerten nach § 134 sowie Vereinbarung oder Festsetzung von Erstattungsbeträgen von Arzneimitteln nach § 130b.

(3) Das Forschungsdatenzentrum macht einem Nutzungsberechtigten auf Antrag Daten zugänglich, wenn die Voraussetzungen nach Absatz 2 erfüllt sind. In dem Antrag hat der antragstellende Nutzungsberechtigte nachvollziehbar darzulegen, dass Umfang und Struktur der beantragten Daten geeignet und erforderlich sind, um die angestrebten Zwecke nach Absatz 2 zu erfüllen. Das Forschungsdatenzentrum kann einen Antrag dem Arbeitskreis nach § 303d Absatz 2 mit einer Bitte um Stellungnahme zu der Plausibilität des Antrags innerhalb von höchstens vier Wochen vorlegen. Liegen die Voraussetzungen nach Absatz 2 vor, übermittelt das Forschungsdatenzentrum dem antragstellenden Nutzungsberechtigten die entsprechend den Anforderungen des Nutzungsberechtigten ausgewählten Daten anonymisiert und aggregiert. Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch anonymisierte und aggregierte Daten mit kleinen Fallzahlen übermitteln, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass ein nach Absatz 2 zulässiger Nutzungszweck, insbesondere die Durchführung eines Forschungsvorhabens, die Übermittlung dieser Daten erfordert.

(3a) Das Forschungsdatenzentrum lehnt einen Antrag nach Absatz 3 ab, wenn

1.

durch das Zugänglichmachen der beantragten Daten ein unangemessenes Risiko für die öffentliche Sicherheit und Ordnung oder den Schutz personenbezogener Daten entstehen würde und dieses Risiko nicht durch Auflagen und weitere Maßnahmen ausreichend minimiert werden kann,

2.

der begründete Verdacht besteht, die Daten könnten für einen anderen Zweck als die in Absatz 2 genannten Zwecke verarbeitet werden,

3.

die Bearbeitung eines oder mehrerer Anträge des gleichen Nutzungsberechtigten die Kapazitäten des Forschungsdatenzentrums unverhältnismäßig bindet und dadurch die Arbeitsfähigkeit des Forschungsdatenzentrums gefährdet.

Die Nutzung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten ist insbesondere für folgende Zwecke verboten:

1.

Entscheidungen hinsichtlich des Abschlusses oder der Ausgestaltung eines Versicherungsvertrags mit Bezug auf eine natürliche Person oder eine Gruppe natürlicher Personen,

2.

Treffen von Entscheidungen zum Nachteil einer natürlichen Person auf der Grundlage ihrer elektronischen Gesundheitsdaten,

3.

Entwicklung von Produkten oder Dienstleistungen, die Einzelpersonen oder der Gesellschaft insgesamt schaden können, insbesondere illegale Drogen, alkoholische Getränke und Tabakerzeugnisse,

4.

Nutzung der Daten für Marktforschung, Werbung und Vertriebstätigkeiten für Arzneimittel, Medizinprodukte und sonstige Produkte.

(4) Das Forschungsdatenzentrum kann einem Nutzungsberechtigten entsprechend seinen Anforderungen auch pseudonymisierte Einzeldatensätze bereitstellen, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach Absatz 2 zulässigen Nutzungszweck, insbesondere für die Durchführung eines Forschungsvorhabens, erforderlich ist. Das Forschungsdatenzentrum stellt einem Nutzungsberechtigten die pseudonymisierten Einzeldatensätze ohne Sichtbarmachung der Pseudonyme mit einer temporären Arbeitsnummer für die Verarbeitung unter Kontrolle des Forschungsdatenzentrums bereit, soweit

1.

gewährleistet ist, dass diese Daten nur solchen Personen bereitgestellt werden, die einer Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, und

2.

durch geeignete technische und organisatorische Maßnahmen sichergestellt wird, dass die Verarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß beschränkt und insbesondere ein Kopieren der Daten verhindert werden kann.

Personen, die nicht der Geheimhaltungspflicht nach § 203 des Strafgesetzbuches unterliegen, können pseudonymisierte Einzeldatensätze nach Satz 2 bereitgestellt werden, wenn sie vor dem Zugang zur Geheimhaltung verpflichtet wurden. § 1 Absatz 2, 3 und 4 Nummer 2 des Verpflichtungsgesetzes gilt entsprechend. (4a) Das Forschungsdatenzentrum kann entsprechend den Anforderungen der Nutzungsberechtigten die in Absatz 4 genannten pseudonymisierten Einzeldatensätze mit pseudonymisierten Daten von gesetzlich geregelten medizinischen Registern, die unter Bundesverwaltung stehen, verknüpfen und die so verknüpften Datensätze einem Nutzungsberechtigten für die in Absatz 2 Nummer 4 genannten Zwecke bereitstellen. Eine Verknüpfung nach Satz 1 ist nur zulässig, soweit

1.

die Voraussetzungen nach den Absätzen 4 und 5 erfüllt sind,

2.

die Verknüpfung für die zu untersuchende Forschungsfrage erforderlich ist,

3.

der Nutzungsberechtigte dem Forschungsdatenzentrum nachweist, dass die zu verknüpfenden Daten des gesetzlich geregelten medizinischen Registers von dem Nutzungsberechtigten entsprechend den anwendbaren rechtlichen Anforderungen für den jeweiligen in Absatz 2 Nummer 4 genannten Zweck verarbeitet werden dürfen, und

4.

schutzwürdige Interessen der betroffenen Person nicht beeinträchtigt werden oder das öffentliche Interesse an der wissenschaftlichen Forschung das Geheimhaltungsinteresse der betroffenen Person überwiegt und das spezifische Re-Identifikationsrisiko in Bezug auf die zu verknüpfenden Daten bewertet und unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen minimiert worden ist.

Das Bundesministerium für Gesundheit wird im Benehmen mit dem Bundesministerium für Bildung und Forschung ermächtigt, durch Rechtsverordnung ohne Zustimmung des Bundesrates das Nähere zu regeln

1.

zu dem technischen Verfahren zur Verknüpfung der Daten, einschließlich der hierfür erforderlichen Datenverarbeitung, und

2.

zu der Auswahl jener gesetzlich geregelten medizinischen Register, deren Daten nach Satz 1 verknüpft werden dürfen.

(5) Die Nutzungsberechtigten dürfen die nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten

1.

nur für die Zwecke nutzen, für die sie zugänglich gemacht werden,

2.

nicht an Dritte weitergeben, es sei denn, das Forschungsdatenzentrum genehmigt auf Antrag eine Bereitstellung der beantragten Daten an einen Dritten im Rahmen eines nach Absatz 2 zulässigen Nutzungszwecks.

Die Nutzungsberechtigten haben bei der Verarbeitung der nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten darauf zu achten, keinen Bezug zu Personen, Leistungserbringern oder Leistungsträgern herzustellen. Wird ein Bezug zu Personen, Leistungserbringern oder Leistungsträgern unbeabsichtigt hergestellt, so ist dies dem Forschungsdatenzentrum unverzüglich zu melden. Die Verarbeitung der bereitgestellten Daten zum Zwecke der Herstellung eines Personenbezugs, zum Zwecke der Identifizierung von Leistungserbringern oder Leistungsträgern sowie zum Zwecke der bewussten Verschaffung von Kenntnissen über fremde Betriebs- und Geschäftsgeheimnisse ist untersagt. (5a) Ergeben sich konkrete Anhaltspunkte dafür, dass Antragstellende oder Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den Auflagen des Forschungsdatenzentrums entspricht, kann das Forschungsdatenzentrum diese Anhaltspunkte der zuständigen Datenschutzaufsichtsbehörde und dem Arbeitskreis zur Sekundärnutzung nach § 303d Absatz 2 zur Stellungnahme mit Fristsetzung von zehn Arbeitstagen vorlegen. Darüber ist der Antragsteller oder Nutzungsberechtigte zu informieren. Während dieser Frist ruht der Zugang des Antragstellenden oder Nutzungsberechtigten zu den Daten des Forschungsdatenzentrums.

(6) Stellt die zuständige Datenschutzaufsichtsbehörde fest, dass Nutzungsberechtigte die vom Forschungsdatenzentrum nach Absatz 3 oder Absatz 4 zugänglich gemachten Daten in einer Art und Weise verarbeitet haben, die nicht den geltenden datenschutzrechtlichen Vorschriften oder den diesbezüglichen Auflagen des Forschungsdatenzentrums entspricht, und hat sie wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen, informiert sie das Forschungsdatenzentrum. In diesem Fall schließt das Forschungsdatenzentrum den Nutzungsberechtigten für einen Zeitraum von bis zu zwei Jahren vom Datenzugang aus.