Digitale Gesundheitsanwendungen-Verordnung / § 4 Anforderungen an Datenschutz und Datensicherheit

(1) Digitale Gesundheitsanwendungen müssen die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten.

(2) ¹Im Rahmen einer digitalen Gesundheitsanwendung dürfen personenbezogene Daten nur aufgrund einer Einwilligung der Versicherten nach Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1) und ausschließlich zu den folgenden Zwecken verarbeitet werden:

1.	zu dem bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die Nutzer,

2.	zu dem Nachweis positiver Versorgungseffekte im Rahmen einer Erprobung nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch,

3.	zu der Nachweisführung der[1] [Bis 25.03.2024: bei] Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch,

4.	zu der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der digitalen Gesundheitsanwendung.

²Die Einwilligung zu der Datenverarbeitung nach Satz 1 Nummer 4 ist getrennt von einer Einwilligung in die Datenverarbeitung für Zwecke nach Satz 1 Nummer 1 bis 3 einzuholen. ³Datenverarbeitungsbefugnisse nach anderen Vorschriften bleiben unberührt.

(3) Die Verarbeitung von personenbezogenen Daten zu den Zwecken nach Absatz 2 darf im Rahmen einer digitalen Gesundheitsanwendung^[2] [Bis 30.09.2021: Im Rahmen einer digitalen Gesundheitsanwendung darf die Verarbeitung von personenbezogenen Daten] durch die digitale Gesundheitsanwendung selbst sowie bei einer Verarbeitung personenbezogener Daten im Auftrag nur im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen.

(4) ¹Eine Verarbeitung von personenbezogenen Daten zu anderen als den in Absatz 2 Satz 1 genannten Zwecken, insbesondere zu Werbezwecken, ist ausgeschlossen. ²Die Befugnis zur Datenverarbeitung nach anderen Vorschriften nach Absatz 2 Satz 3 bleibt unberührt.

(5) Der Hersteller digitaler Gesundheitsanwendungen verpflichtet alle für ihn tätigen Personen, die Zugang zu personenbezogenen Daten der Versicherten haben, auf Verschwiegenheit.

(6) ¹Das Nähere zu den Anforderungen nach den vorstehenden Absätzen bestimmt sich nach Anlage 1. ²Der Hersteller fügt seinem Antrag die Erklärung nach Anlage 1 bei. ³Erweisen sich die Vorgaben der Anlage 1 im Hinblick auf die Eigenschaften der digitalen Gesundheitsanwendung als ungeeignet, kann die digitale Gesundheitsanwendung im Einzelfall von den Vorgaben der Anlage 1 abweichen, wenn die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik durch eine abweichende Umsetzung gleichermaßen umgesetzt werden. ⁴In seinem Antrag legt der Hersteller die Abweichung von den Vorgaben der Anlage 1 dar und begründet diese.

(7)^[3] Ab dem 1. Januar 2025^[4] [Bis 28.12.2022: 1. Januar 2023] müssen digitale Gesundheitsanwendungen abweichend von den Anforderungen an die Datensicherheit nach Absatz 6 die von dem Bundesamt für Sicherheit in der Informationstechnik nach § 139e Absatz 10 des Fünften Buches Sozialgesetzbuch festgelegten Anforderungen an die Datensicherheit erfüllen.

(8)^[5] Ab dem 1. August 2024^[6] [Bis 28.12.2022: 1. April 2023] müssen digitale Gesundheitsanwendungen, abweichend von den Anforderungen an den Datenschutz nach Absatz 6, die von dem Bundesinstitut für Arzneimittel und Medizinprodukte nach § 139e Absatz 11 des Fünften Buches Sozialgesetzbuch festgelegten Prüfkriterien für die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an den Datenschutz umsetzen.

[1] Geändert durch Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz - DigiG) vom 22.03.2024. Anzuwenden ab 26.03.2024.

[2] Geändert durch Erste Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung vom 22.09.2021. Anzuwenden ab 01.10.2021.

[3] Abs. 7 angefügt durch DVPMG. Anzuwenden ab 09.06.2021.

[4] Geändert durch Gesetz zur Pflegepersonalbemessung im Krankenhaus sowie zur Anpassung weiterer Regelungen im Krankenhauswesen und in der Digitalisierung (Krankenhauspflegeentlastungsgesetz - KHPflEG) vom 20.12.2022. Anzuwenden ab 29.12.2022.

[5] Abs. 8 eingefügt durch Erste Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung vom 22.09.2021. Anzuwenden ab 01.10.2021.

[6] Geändert durch Gesetz zur Pflegepersonalbemessung im Krankenhaus sowie zur Anpassung weiterer Regelungen im Krankenhauswesen...