§ 10 DaTraV, Datenbereitstellung

(1) 1 Das Forschungsdatenzentrum stellt den Nutzungsberechtigten mit der bewilligenden Entscheidung nach § 8 Absatz 3 die Daten aufbereitet und zusammengefasst zur Verfügung. 2 Die Bereitstellung der Daten kann dadurch erfolgen, dass das Forschungsdatenzentrum

• 1. den Nutzungsberechtigten standardisierte Datensätze in aggregierter und anonymisierter Form zur Verfügung stellt,
• 2. mit den Auswertungsprogrammen nach § 8 Absatz 2 die Daten, die beim Forschungsdatenzentrum für die Aufgaben nach § 303d Absatz 1 SGB V vorgehalten werden, auswertet und den Nutzungsberechtigten die aggregierten Ergebnismengen übermittelt,
• 3. pseudonymisierte Einzeldatensätze zugänglich macht, wenn der antragstellende Nutzungsberechtigte nachvollziehbar darlegt, dass die Nutzung der pseudonymisierten Einzeldatensätze für einen nach § 303e Absatz 2 SGB V zulässigen Nutzungszweck erforderlich ist.

(2) 1 Pseudonymisierte Einzeldatensätze werden nur solchen Nutzungsberechtigten bereitgestellt, die

• 1. einer Geheimhaltungspflicht nach § 203 StGB unterliegen oder
• 2. vor dem Zugang zu den Daten vom Forschungsdatenzentrum zur Geheimhaltung verpflichtet wurden.

2 Die pseudonymisierten Einzeldatensätze werden in gesicherter physischer oder virtueller Umgebung unter Kontrolle des Forschungsdatenzentrums bereitgestellt. 3 Hierzu legt das Forschungsdatenzentrum im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik die erforderlichen spezifischen, technischen und organisatorischen Maßnahmen fest, um die Datenverarbeitung durch den Nutzungsberechtigten auf das erforderliche Maß zu beschränken und um das Risiko einer Identifizierung einzelner Betroffener zu minimieren. 4 Einzeldatensätze werden an die Nutzungsberechtigten nicht herausgegeben. 5 Um die Gleichbehandlung der Nutzungsberechtigten zu gewährleisten, soll der Zugang der Nutzungsberechtigten zu den pseudonymisierten Einzeldatensätzen auf 30 Arbeitstage pro Antrag begrenzt werden. 6 Der Zugang kann zusammenhängend oder in einzelnen Tageskontingenten in Anspruch genommen werden. 7 In begründeten Ausnahmefällen kann dieser Zeitraum verlängert werden.

(3) 1 Das Forschungsdatenzentrum bewertet vor einer Bereitstellung der beantragten Daten das spezifische Risiko, dass mittels der beantragten Daten oder durch eine Zusammenführung nach § 7 Absatz 1 Satz 2 Nummer 6 die Versicherten wieder identifiziert werden können, und minimiert dieses Risiko unter angemessener Wahrung des angestrebten wissenschaftlichen Nutzens durch geeignete Maßnahmen. 2 Das Forschungsdatenzentrum legt die Vorgaben zur Risikobewertung der bereitzustellenden Daten fest und beteiligt dabei den Arbeitskreis der Nutzungsberechtigten nach § 303d Absatz 2 SGB V, einschließlich der für die Wahrnehmung der Interessen der Patientinnen und Patienten und der Selbsthilfe chronisch kranker und behinderter Menschen auf Bundesebene maßgeblichen in der Verordnung nach § 140g SGB V genannten oder nach der Verordnung anerkannten Organisationen.

(4) 1 Mit der Bereitstellung der Daten an den Nutzungsberechtigten nach Absatz 1 Nummer 1 und 2 trägt dieser die Verantwortung für die pflichtgemäße Datenverarbeitung im Rahmen des nach § 8 Absatz 3 bewilligten Nutzungszwecks. 2 Die Nutzungsberechtigten dürfen die nach Absatz 1 Nummer 1 und 2 zugänglich gemachten Daten

• 1. nur für die bewilligten Zwecke nutzen und
• 2. nur an Dritte weitergeben, soweit das Forschungsdatenzentrum die Weitergabe an im Antrag benannte Dritte nach § 7 Absatz 5 im Rahmen des bewilligten Nutzungszweck genehmigt hat; die Genehmigung kann nur erfolgen, wenn der Nutzungsberechtigte sicherstellt, dass eine Datenverarbeitung durch Dritte für andere Zwecke als die der Beratung ausgeschlossen ist.

(5) Das Forschungsdatenzentrum schließt einen Nutzungsberechtigten für einen Zeitraum von bis zu 2 Jahren vom Datenzugang aus, wenn es von der zuständigen Datenschutzaufsichtsbehörde darüber informiert wird, dass der Nutzungsberechtigte die vom Forschungsdatenzentrum zugänglich gemachten Daten

• 1. außerhalb der bewilligten Zwecke verarbeitet und die Datenschutzaufsichtsbehörde wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/ 679 des Europäischen Parlaments und des Rates vom 27. 4. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. 5. 2016, S. 1; L 314 vom 22. 11. 2016, S. 72; L 127 vom 23. 5. 2018, S. 2) in der jeweils geltenden Fassung gegenüber dem Nutzungsberechtigten ergriffen hat oder
• 2. entgegen der erteilten Auflagen verarbeitet und die Datenschutzaufsichtsbehörde wegen eines solchen Verstoßes eine Maßnahme nach Artikel 58 Absatz 2 Buchstabe b bis j der Verordnung (EU) 2016/679 gegenüber dem Nutzungsberechtigten ergriffen hat.