(1) Für die Erfüllung der Aufgaben nach Maßgabe der Zwecke dieses Gesetzes richtet das Robert Koch-Institut nach Weisung des Bundesministeriums für Gesundheit und nach Maßgabe der technischen Möglichkeiten ein elektronisches Melde- und Informationssystem ein. Das Robert Koch-Institut kann einen IT-Dienstleister des Bundes mit der technischen Umsetzung beauftragen. Die Zusammenarbeit von Bund und Ländern bei der Umsetzung des elektronischen Melde- und Informationssystems wird durch einen gemeinsamen Planungsrat koordiniert. Sofern eine Nutzungspflicht für das elektronische Melde- und Informationssystem besteht, ist den Anwendern mindestens eine kostenlose Software-Lösung bereitzustellen.
(2) Im elektronischen Melde- und Informationssystem können insbesondere folgende Daten fallbezogen verarbeitet und genutzt werden: 1. die Daten zu meldepflichtigen Krankheiten und Nachweisen von Krankheitserregern nach den §§ 6 und 7 und die Daten aus Benachrichtigungen nach den §§ 34 und 36, 2. die Daten, die bei den Meldungen nach dem IGV-Durchführungsgesetz und im Rahmen von § 12 erhoben worden sind, 3. die Daten, die im Rahmen der epidemiologischen Überwachung nach § 13 erhoben worden sind, 4. die im Verfahren zuständigen Behörden und Ansprechpartner, 5. die Daten über die von den zuständigen Behörden nach den §§ 25 bis 32 geführten Ermittlungen, getroffenen Maßnahmen und die daraus gewonnenen Erkenntnisse und 6. sonstige Informationen, die für die Bewertung, Verhütung und Bekämpfung der übertragbaren Krankheit von Bedeutung sind.
(3) Im elektronischen Melde- und Informationssystem werden die verarbeiteten Daten zu meldepflichtigen Krankheiten und Nachweisen von Krankheitserregern nach den §§ 6 und 7 und aus Benachrichtigungen nach den §§ 34 und 36 jeweils fallbezogen mit den Daten der zu diesem Fall geführten Ermittlungen, getroffenen Maßnahmen und den daraus gewonnenen Erkenntnissen automatisiert 1. pseudonymisiert, 2. den zuständigen Behörden übermittelt mit der Möglichkeit, dass sie diese Daten im Rahmen ihrer jeweiligen Zuständigkeit verarbeiten und nutzen können, 3. gegebenenfalls gemäß den Falldefinitionen nach § 11 Absatz 2 bewertet und 4. gemeinsam mit den Daten nach den Nummern 1 bis 3 nach einer krankheitsspezifischen Dauer gelöscht, es sei denn, es handelt sich um epidemiologische Daten, die nach den §§ 11 und 12 übermittelt wurden; § 1a bleibt unberührt.
(4) Im elektronischen Melde- und Informationssystem können die verarbeiteten Daten zu meldepflichtigen Krankheiten und Nachweisen von Krankheitserregern nach den §§ 6 und 7 und aus Benachrichtigungen nach den §§ 34 und 36 daraufhin automatisiert überprüft werden, ob sich diese Daten auf denselben Fall beziehen.
(5) Im elektronischen Melde- und Informationssystem können die verarbeiteten Daten zu meldepflichtigen Krankheiten und Nachweisen von Krankheitserregern nach den §§ 6 und 7 und aus Benachrichtigungen nach den §§ 34 und 36 daraufhin automatisiert überprüft werden, ob es ein gehäuftes Auftreten von übertragbaren Krankheiten gibt, bei denen ein epidemischer Zusammenhang wahrscheinlich ist.
(6) Der Zugriff auf gespeicherte Daten ist nur im gesetzlich bestimmten Umfang zulässig, sofern die Kenntnis der Daten zur Erfüllung der gesetzlichen Aufgaben der beteiligten Behörden erforderlich ist. Eine Wiederherstellung des Personenbezugs bei pseudonymisierten Daten ist nur zulässig, sofern diese Daten auf der Grundlage eines Gesetzes der beteiligten Behörde übermittelt werden dürfen. Es wird gewährleistet, dass auch im Bereich der Verschlüsselungstechnik und der Authentifizierung organisatorische und dem jeweiligen Stand der Technik entsprechende Maßnahmen getroffen werden, um den Datenschutz und die Datensicherheit und insbesondere die Vertraulichkeit und Integrität der im elektronischen Melde- und Informationssystem gespeicherten Daten sicherzustellen. Unter diesen Voraussetzungen kann die Übermittlung der Daten auch durch eine verschlüsselte Datenübertragung über das Internet erfolgen.
(7) Bis zur Einrichtung des elektronischen Melde- und Informationssystems kann das Robert Koch-Institut im Einvernehmen mit den zuständigen obersten Landesgesundheitsbehörden zur Erprobung für die freiwillig teilnehmenden meldepflichtigen Personen und für die zuständigen Gesundheitsämter Abweichungen von den Vorschriften des Melde- und Übermittlungsverfahrens zulassen.
(8) Das Bundesministerium für Gesundheit wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates, festzulegen, 1. dass beteiligte Behörden für die Erfüllung der Aufgaben nach diesem Gesetz das elektronische Melde- und Informationssystem zu nutzen und bei der Nutzung ein bestimmtes Verfahren einzuhalten haben, 2. dass Melde- und Benachrichtigungspflichtige oder bestimmte Gruppen von Melde- und Benachrichtigungspflichtigen ihrer Verpflichtung zur Meldung und Benachrichtigung durch Nutzung des elektronischen Melde- und Informationssystems nachzukommen haben und dabei nur Meldeportale oder elektronische Programme nutzen dürfen, die vom Robert Koch-Institut zugelassen sind, 3. welcher IT-Dienstleister des Bundes mit der technischen Umsetzung beauftragt wird und wie der gemeinsame Planungsrat besetzt wird, 4. welche funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts dem elektronischen Melde- und Informationssystem zugrunde liegen müssen, 5. welche notwendigen Test-, Authentifizierungs- und Zertifizierungsmaßnahmen sicherzustellen sind, 6. nach welcher krankheitsspezifischen Dauer die im elektronischen Melde- und Informationssystem verarbeiteten personenbezogenen Daten nach Absatz 3 Nummer 4 zu löschen sind und 7. welches Verfahren bei der Bildung der fallbezogenen Pseudonymisierung nach Absatz 3 anzuwenden ist; hierzu kann festgelegt werden, dass bei nichtnamentlichen Meldungen andere als die in § 10 Absatz 1 genannten Angaben übermittelt werden, die sofort nach Herstellung der fallbezogenen Pseudonymisierung zu löschen sind.
Sofern bei den Festlegungen und Maßnahmen Fragen der Datensicherheit berührt sind, sind diese Festlegungen und Maßnahmen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu treffen. Sofern bei den Festlegungen und Maßnahmen nach Satz 1 Fragen des Datenschutzes berührt sind, sind diese Festlegungen und Maßnahmen im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu treffen.
(9) Abweichungen von den in dieser Vorschrift getroffenen Regelungen des Verwaltungsverfahrens durch Landesrecht sind ausgeschlossen.