jeweilige Verbände Kenntnis von Daten erlangen, die über den Umfang der ihnen nach den §§ 295, 300, 301, 301a und 302 zu übermittelnden Daten hinausgeht; dies gilt nicht für die Kassenärztlichen Vereinigungen in Bezug auf die für die Durchführung der Qualitätsprüfung nach § 135b Absatz 2 sowie die für die Durchführung der Aufgaben einer Datenannahmestelle oder für Einrichtungsbefragungen zur Qualitätssicherung aus Richtlinien nach § 136 Absatz 1 Satz 1 erforderlichen Daten. Eine über die in den Richtlinien nach § 136 Absatz 1 Satz 1 festgelegten Zwecke hinausgehende Verarbeitung dieser Daten, insbesondere eine Zusammenführung mit anderen Daten, ist unzulässig. Aufgaben zur Qualitätssicherung sind von den Kassenärztlichen Vereinigungen räumlich und personell getrennt von ihren anderen Aufgaben wahrzunehmen. Abweichend von Satz 4 Nummer 1 zweiter Halbsatz können die Richtlinien und Beschlüsse des Gemeinsamen Bundesausschusses nach § 135b Absatz 2, § 136 Absatz 1 Satz 1 und § 136b und die Vereinbarungen nach § 137d vorsehen, dass den Leistungserbringern nach Satz 1 die Daten der von ihnen behandelten Versicherten versichertenbezogen für Zwecke der Qualitätssicherung im erforderlichen Umfang übermittelt werden. Die Leistungserbringer dürfen diese versichertenbezogenen Daten mit den Daten, die bei ihnen zu den Versicherten bereits vorliegen, zusammenführen und für die in den Richtlinien, Beschlüssen oder Vereinbarungen nach Satz 1 festgelegten Zwecke verarbeiten.
(1a) Die Krankenkassen sind befugt und verpflichtet, nach § 284 Absatz 1 erhobene und gespeicherte Sozialdaten für Zwecke der Qualitätssicherung nach § 135a Absatz 2, § 135b Absatz 2 oder § 137a Absatz 3 zu verarbeiten, soweit dies erforderlich und in Richtlinien und Beschlüssen des Gemeinsamen Bundesausschusses nach § 27b Absatz 2, § 135b Absatz 2, § 136 Absatz 1 Satz 1, den §§ 136b, 136c Absatz 1 und 2, § 137 Absatz 3 und § 137b Absatz 1 sowie in Vereinbarungen nach § 137d vorgesehen ist. In
den Richtlinien, Beschlüssen und Vereinbarungen nach Satz 1 sind diejenigen Daten, die von den Krankenkassen für Zwecke der Qualitätssicherung zu verarbeiten sind, sowie deren Empfänger festzulegen und die Erforderlichkeit darzulegen. Absatz 1 Satz 3 bis 7 gilt entsprechend.
(2) Das Verfahren zur Pseudonymisierung der Daten wird durch die an der vertragsärztlichen Versorgung teilnehmenden Ärzte und übrigen Leistungserbringer gemäß § 135a Absatz 2 angewendet. Es ist in den Richtlinien und Beschlüssen sowie den Vereinbarungen nach Absatz 1 Satz 1 unter Berücksichtigung der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik festzulegen. Das Verfahren zur Pseudonymisierung der Daten kann in den Richtlinien, Beschlüssen und Vereinbarungen auch auf eine von den Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweiligen Verbänden räumlich, organisatorisch und personell getrennte Stelle übertragen werden, wenn das Verfahren für die in Satz 1 genannten Leistungserbringer einen unverhältnismäßig hohen Aufwand bedeuten würde; für Verfahren zur Qualitätsprüfung nach § 135b Absatz 2 kann dies auch eine gesonderte Stelle bei den Kassenärztlichen Vereinigungen sein. Die Gründe für die Übertragung sind in den Richtlinien, Beschlüssen und Vereinbarungen darzulegen. Bei einer Vollerhebung nach Absatz 1 Satz 5 hat die Pseudonymisierung durch eine von den Krankenkassen, Kassenärztlichen Vereinigungen oder deren jeweiligen Verbänden räumlich organisatorisch und personell getrennten Vertrauensstelle zu erfolgen.
(2a) Enthalten die für Zwecke des Absatz 1 Satz 1 verarbeiteten Daten noch keine den Anforderungen des § 290 Absatz 1 Satz 2 entsprechende Krankenversichertennummer und ist in Richtlinien des Gemeinsamen Bundesausschusses vorgesehen, dass die Pseudonymisierung auf der Grundlage der Krankenversichertennummer nach § 290 Absatz 1 Satz 2 erfolgen soll, kann der Gemeinsame Bundesausschuss in den Richtlinien ein Übergangs‑