Was ist die CMS-0057-F Final Rule?
CMS-0057-F ist die Regel, die Vorabgenehmigungen und den Datenaustausch zwischen KostentrĂ€gern in einen technischen Umsetzungstermin verwandelt. Die am 8. Februar 2024 im Federal Register veröffentlichte CMS Interoperability and Prior Authorization Final Rule gibt regulierten KrankenversicherungsplĂ€nen ein festes Datum vor â den 1. Januar 2027 â, bis zu dem vier produktive FHIR APIs betrieben werden mĂŒssen. Hinzu kommen operative Regeln zur Vorabgenehmigung, die bereits seit einem Jahr zuvor in Kraft sind. CMS schĂ€tzt, dass die Regel dem Gesundheitssystem ĂŒber zehn Jahre hinweg rund 15 Milliarden US-Dollar einsparen wird, hauptsĂ€chlich durch die Reduzierung von Reibungsverlusten bei der Vorabgenehmigung.
Im Mittelpunkt der Regel stehen vier HL7 FHIR R4 APIs. Eine davon betreiben Sie möglicherweise bereits in irgendeiner Form. Drei sind neu.
- Patient Access API: Ermöglicht es Mitgliedern, ihre Abrechnungs-, klinischen und Vorabgenehmigungsdaten in Apps von Drittanbietern abzurufen.
- Provider Access API: Teilt Abrechnungs- und klinische Daten fĂŒr die einem Leistungserbringer zugeordneten Mitglieder, und zwar in groĂen Mengen (Bulk).
- Payer-to-Payer API: ĂbertrĂ€gt die Vorgeschichte eines Mitglieds zu seinem neuen Plan, wenn es den KostentrĂ€ger wechselt.
- Prior Authorization API: FĂŒhrt den elektronischen Vorabgenehmigungsprozess von Anfang bis Ende durch.
Das Muster ist bei allen vier APIs dasselbe. Jede stellt Daten, die Sie bereits besitzen, ĂŒber eine standardisierte Schnittstelle einem bestimmten Personenkreis zur VerfĂŒgung. Deshalb liegt der eigentliche Aufwand weniger im Aufbau der APIs selbst als in den dahinterliegenden Daten. Wie dieser Aufwand im Einzelnen aussieht, unterscheidet sich je nach APIÂ â die folgenden Abschnitte behandeln jede API gesondert.
Wer muss die Vorschriften einhalten, und wer ist befreit?
Die Regel gilt fĂŒr sechs Arten von KostentrĂ€gern: Medicare-Advantage-Organisationen, staatliche Medicaid- und CHIP-Fee-for-Service-Programme, Medicaid Managed Care Organizations, CHIP Managed Care Entities sowie Anbieter von Qualified Health Plans auf den bundesweit betriebenen Börsen. Wenn Sie eine dieser Organisationen betreiben, mĂŒssen Sie alle vier APIs aufbauen.
Viele Organisationen fallen nicht unter die Regel. Das traditionelle Medicare, arbeitgeberfinanzierte ERISA-selbstversicherte PlĂ€ne, eigenstĂ€ndige Part-D-ArzneimittelplĂ€ne und Medigap sind nicht erfasst. Delegierte Einheiten sind eine hĂ€ufigere Quelle von Verwirrung. Ein Nutzungsmanagement-Anbieter, TPA, MSO oder IPA wird durch CMS-0057-F selbst nicht reguliert. Die Verpflichtung verbleibt beim KostentrĂ€ger, auch fĂŒr Funktionen, die der KostentrĂ€ger auslagert. In der Praxis bedeutet das: Ein Plan, der die Vorabgenehmigung delegiert, muss dennoch eine konforme Prior Authorization API bereitstellen. Er muss diese API also entweder ĂŒber das System des Anbieters aufbauen oder vom Anbieter verlangen, dass er sie bereitstellt. Der Anbieter wird auf kommerziellem Wege einbezogen, nicht weil die Regel ihn namentlich nennt.
Es gibt eine Ausnahme, die es wert ist, festgehalten zu werden, da sie das Detail ist, das die meisten Menschen falsch verstehen. QHP-Anbieter auf den Börsen sind nicht an die Entscheidungsfristen fĂŒr Vorabgenehmigungen gebunden. Diese gelten fĂŒr Medicare Advantage, Medicaid und CHIP. Alles andere gilt weiterhin fĂŒr QHPs: alle vier APIs, die Regel zur Angabe spezifischer AblehnungsgrĂŒnde und die öffentliche Berichterstattung ĂŒber Kennzahlen. Wenn Sie also einen QHP betreiben, planen Sie den API-Aufbau in vollem Umfang und lassen Sie die Entscheidungsfrist auĂer Acht.
Zwei Fristen, zwei Arten von Arbeit
Die Regel hat zwei Termine im Kalender gesetzt, und sie erfordern unterschiedliche Teams.
Der erste, der 1. Januar 2026, liegt bereits hinter uns. Seitdem mĂŒssen betroffene KostentrĂ€ger (QHPs ausgenommen, was die Fristen betrifft) Vorabgenehmigungsentscheidungen innerhalb von 72 Stunden bei dringenden Anfragen und sieben Kalendertagen bei Standardanfragen treffen, fĂŒr jede Ablehnung einen spezifischen Grund angeben und jĂ€hrlich Kennzahlen zur Vorabgenehmigung auf ihrer Website veröffentlichen. Der erste dieser öffentlichen Berichte war bis zum 31. MĂ€rz 2026 fĂ€llig, umfasste das Kalenderjahr 2025 und wird jĂ€hrlich wiederholt. Dies ist eine Aufgabe fĂŒr Politik und Prozesse. Sie können sie mit Ănderungen an ArbeitsablĂ€ufen und Governance-Strukturen erfĂŒllen.
Der zweite Termin, der 1. Januar 2027, ist die API-Frist â und der schwierigere. Er ist technischer Natur, und Sie können ihn nicht mit einem Memo schlieĂen. Die vier folgenden Abschnitte beschreiben, was diese technische Umsetzung konkret beinhaltet.
Patient Access API
Patient Access ist die eine API, die die meisten betroffenen PlĂ€ne bereits in irgendeiner Form betreiben, da sie auf die Regel von 2020 zurĂŒckgeht. Ein Mitglied autorisiert eine Drittanbieter-App, und der Plan gibt seine Daten ĂŒber einen mit OAuth 2.0 gesicherten SMART on FHIR-Flow an diese zurĂŒck. Das Mitglied hĂ€lt die Autorisierung und kann sie widerrufen.
Was darĂŒber ĂŒbermittelt wird, ist umfangreich: abgerechnete AnsprĂŒche und Begegnungsdaten im CARIN-Blue-Button-Format, klinische Daten als USCDI und, fĂŒr PlĂ€ne mit Arzneimittelabdeckung, Formulardaten. CMS-0057-F fĂŒgt bis zum 1. Januar 2027 eine Sache hinzu: Informationen zur Vorabgenehmigung â Status und spezifischer Grund â, fĂŒr alles auĂer Arzneimitteln.
Der Aufwand liegt selten beim Endpunkt selbst. Er liegt in der DatenqualitĂ€t dahinter: korrekte Zuordnung von AnsprĂŒchen, AktualitĂ€t des Feeds und Verantwortlichkeit fĂŒr LĂŒcken. PlĂ€ne melden CMS jĂ€hrlich auch Nutzungskennzahlen zur Patient Access API. Gut umgesetzt ist diese API mehr als eine Compliance-FlĂ€che. Dieselbe saubere, mitgliedsorientierte Datenschicht kann auch Ihre eigene Mitglieder-App oder Ihr Portal unterstĂŒtzen.
Provider Access API
Provider Access ist neu, und hier unterschĂ€tzen Teams den Aufwand â denn es ist nicht nur ein Endpunkt. Es gibt einem im Netzwerk befindlichen Leistungserbringer Zugang zu den Abrechnungs- und Begegnungsdaten, klinischen USCDI-Daten und Vorabgenehmigungsinformationen der ihm zugeordneten Mitglieder, geliefert als Bulk-Export.
Das Authentifizierungsmodell unterscheidet sich von Patient Access. Kein Patient klickt auf âGenehmigen". Der Plan authentifiziert die Leistungserbringerorganisation als System ĂŒber SMART Backend Services und fĂŒhrt einen FHIR Bulk Data-Export ĂŒber die zugeordnete Mitgliedergruppe des Leistungserbringers durch. Der Aufwand liegt nicht beim Export, sondern bei der Governance drumherum:
- Zuordnung (Attribution). Der Plan muss wissen, welche Leistungserbringer eine Behandlungsbeziehung mit welchen Mitgliedern haben, und diese Zuordnungslisten aktuell halten.
- Opt-out. Mitglieder können die Weitergabe ihrer Daten an Leistungserbringer ablehnen, und der Plan muss diese Entscheidung respektieren und nachverfolgen.
Wenn diese beiden Punkte korrekt umgesetzt sind, ist der Export selbst Routine.
Payer-to-Payer API
Payer-to-Payer ist zunĂ€chst ein IdentitĂ€ts- und Einwilligungsprojekt, bevor es ein API-Projekt ist. Wenn ein Mitglied Ihrem Plan beitritt, haben Sie eine Woche Zeit, den vorherigen KostentrĂ€ger nach bis zu fĂŒnf Jahren Vorgeschichte zu fragen â AnsprĂŒche, klinische Daten und Vorabgenehmigungsunterlagen â, damit Sie mit Kontext statt mit einer leeren Akte beginnen. Wenn ein Mitglied den Plan verlĂ€sst, befinden Sie sich auf der anderen Seite dieses Austauschs und antworten dem neuen Plan. Kostendaten, Leistungserbringerabrechnungen und Kostenbeteiligungen der Versicherten sind ausgenommen.
Die Ăbertragung selbst ist der einfache Teil. Die schwierigen Teile sind die zwei HĂŒrden davor. Member Matching: Sie und der andere Plan mĂŒssen sich darĂŒber einigen, dass Sie ĂŒber dieselbe Person sprechen, die in verschiedenen Systemen unter unterschiedlichen Kennungen gefĂŒhrt wird, ohne gemeinsamen SchlĂŒssel. Einwilligung: Anders als bei Provider Access werden keine Daten ĂŒbertragen, wenn das Mitglied nicht ausdrĂŒcklich zustimmt. Sie benötigen daher eine Möglichkeit, diese Zustimmung zu erfassen und zu berĂŒcksichtigen. Bei Mitgliedern, die gleichzeitig bei mehr als einem Plan versichert sind, erfolgt der Austausch mindestens vierteljĂ€hrlich statt einmalig bei der Einschreibung.
Prior Authorization API
Die ersten drei APIs veröffentlichen oder verschieben Daten. Die Prior Authorization API ist ein anderes Wesen: Sie fĂŒhrt eine Transaktion durch. Ein Leistungserbringer stellt Ihrem Plan eine Frage, und Ihr Plan muss innerhalb einer festgelegten Frist mit einer echten Entscheidung antworten. Dies ist eine GeschĂ€ftsprozessintegration, keine Datenbereitstellung â weshalb sie die schwierigste der vier APIs ist und den umfassendsten Satz an Standards erfordert.
Drei Da-Vinci-ImplementierungsleitfĂ€den greifen ineinander, um diesen Prozess zu steuern. Es beginnt mit CRD, Coverage Requirements Discovery. Wenn ein Leistungserbringer einen Artikel oder eine Leistung anordnet oder plant, löst ein Hook aus dem EHR aus, und Ihr Plan antwortet in Echtzeit: Ist eine Vorabgenehmigung erforderlich, und welche Dokumentation wird benötigt? Falls ja, ĂŒbergibt DTR, Documentation Templates and Rules, dem EHR einen intelligenten Fragebogen und fĂŒllt vor, was aus der Akte entnommen werden kann, damit der Leistungserbringer keine Daten erneut eingeben muss, die das System bereits kennt. SchlieĂlich ĂŒbermittelt PAS, Prior Authorization Support, die Anfrage und gibt die Entscheidung zurĂŒck: genehmigt, abgelehnt mit einem spezifischen Grund oder ausstehend fĂŒr weitere Informationen. CMS empfiehlt diese LeitfĂ€den, schreibt sie aber nicht formal vor.
Hier muss auch ein hĂ€ufiges MissverstĂ€ndnis korrigiert werden. FHIR ersetzt X12 nicht. Der PAS-Leitfaden ist darauf ausgelegt, die HIPAA-mandatierte X12-278-Transaktion zu transportieren, sodass die zugrunde liegende Anfrage und Antwort weiterhin X12 sind. Ein KostentrĂ€ger kann das Backend als rein FHIR-basiert, rein X12-basiert oder als Hybrid beider AnsĂ€tze betreiben und dabei die Anforderungen der Regel erfĂŒllen. ZusĂ€tzliche klinische Dokumentation wird ĂŒber einen separaten Da-Vinci-Mechanismus, CDex, ĂŒbermittelt, anstatt in die Genehmigungsnachricht selbst gepresst zu werden.
Ein weiteres Element verbindet die KostentrĂ€gerseite mit den Leistungserbringern. Ab der Leistungsperiode 2027 bestĂ€tigen förderfĂ€hige Kliniker und KrankenhĂ€user im Rahmen des Medicare Promoting Interoperability-Programms, dass sie mindestens eine Vorabgenehmigung elektronisch ĂŒber eine Prior Authorization API angefordert haben. Diese MaĂnahme ist das Nachfragesignal. Deshalb ist Ihre Prior Authorization API nicht nur ein Compliance-Endpunkt, sondern etwas, das Ihr Leistungserbringernetzwerk nun erwartet wird zu nutzen.
Was sich gegenĂŒber der Regel von 2020 geĂ€ndert hat
Wenn CMS-0057-F vertraut erscheint, liegt das daran, dass sie auf CMS-9115-F aufbaut, der Interoperability and Patient Access Final Rule von 2020. Diese frĂŒhere Regel hat die Patient Access API und die Provider Directory API eingefĂŒhrt. Sie sah auch einen Payer-to-Payer-Datenaustausch vor, aber CMS hat diese Bestimmung nie durchgesetzt, und sie war nie API-basiert.
CMS-0057-F vollendet das Werk. Sie behĂ€lt die frĂŒheren APIs bei, baut Payer-to-Payer als durchsetzbare FHIR API neu auf, fĂŒgt Provider Access und Prior Authorization hinzu, integriert Vorabgenehmigungsdaten in Patient Access und ergĂ€nzt die operativen Fristen sowie die öffentliche Berichterstattung. Die Richtung ist konsistent. Umfang und Durchsetzungskraft sind neu. CMS hat der Regel keine spezifische Geldstrafe beigefĂŒgt, setzt sie jedoch ĂŒber die Befugnisse durch, die es bereits gegenĂŒber den einzelnen Programmen besitzt â Medicare-Advantage-VertrĂ€ge, Medicaid- und CHIP-Aufsicht sowie QHP-Zertifizierung. Das Risiko ist vertraglich und regulatorisch, nicht als veröffentlichter Dollarbetrag.
Wie Health Samurai helfen kann
Payerbox ist die CMS-0057-F-Plattform von Health Samurai fĂŒr KrankenversicherungsplĂ€ne, aufgebaut auf unserem FHIR-R4-nativen Aidbox-Kern. Sie implementiert alle vier APIs mit ProduktionsunterstĂŒtzung fĂŒr die Da-Vinci-LeitfĂ€den zur Vorabgenehmigung â CRD, DTR und PAS.
Das Designprinzip entspricht dem, was ein enger Zeitplan tatsĂ€chlich erfordert: integrieren, nicht ersetzen. Ihre Abrechnungsplattform, Ihr UM-System und Ihr Verzeichnis bleiben, wo sie sind. Payerbox sitzt davor, liest ihre Daten und ĂŒbersetzt sie in konformes FHIR fĂŒr jede API. Der Mehrwert liegt nicht darin, DatensĂ€tze in ein neues System zu verschieben, sondern darin, die DatensĂ€tze, die Sie bereits besitzen, korrekt ĂŒber eine Standardschnittstelle bereitzustellen.
Diese FHIR-Schicht zahlt sich auch nach der Frist weiterhin aus. Der Datenspeicher, den Sie fĂŒr die vier APIs aufbauen, ist gleichzeitig ein Analysedatenspeicher: Dieselben normalisierten Daten flieĂen in die Risikoanpassung, Stars- und QualitĂ€tskennzahlen sowie die Bevölkerungsgesundheit ein. Compliance-Ausgaben werden zu einem wiederverwendbaren Datenwert statt zu einer einmaligen HĂŒlle, und die nĂ€chste regulatorische Anforderung trifft auf Daten, die Sie bereits standardisiert haben.
Dies ist Produktionssoftware, kein Versprechen auf Folien. Payerbox ist heute bei KostentrĂ€gern im Einsatz. VillageCareMAX betreibt seine Patient Access API auf Payerbox und belegte Platz 2 mit 91 von 100 Punkten in Flexpa's unabhĂ€ngigem KostentrĂ€ger-Scorecard vom November 2025 â damit ist es nicht nur im Einsatz, sondern zĂ€hlt zu den besten. Ein delegierter Vorabgenehmigungsanbieter betreibt den vollstĂ€ndigen Payerbox-ePA-Stack â CRD, DTR und PAS â in der Produktion. Und wir halten den Stack konform, indem wir ihn zum HL7 Da Vinci Connectathon Burden Reduction Track bringen.
Wenn Sie eine EinschĂ€tzung auf Architektenebene erhalten möchten, wo Ihr Plan im Hinblick auf die Januar-2027-Frist steht, fĂŒhrt Health Samurai eine CMS-0057-F-BereitschaftsprĂŒfung durch. Wir erfassen Ihre Verpflichtungen, analysieren Ihre Quellsysteme und zeigen Ihnen, wie eine Payerbox-Implementierung fĂŒr Ihren verbleibenden Zeitplan aussieht.
Siehe auch: CMS-Compliance-Implementierung und Aidbox g(10)-Zertifizierung.




