Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Abschnitt 2 - Digitale Gesundheitsanwendungen-Verordnung (DiGAV)

V. v. 08.04.2020 BGBl. I S. 768 (Nr. 18); zuletzt geändert durch Artikel 1 V. v. 22.09.2021 BGBl. I S. 4355
Geltung ab 21.04.2020; FNA: 860-5-55 Sozialgesetzbuch
2 frühere Fassungen | wird in 2 Vorschriften zitiert

Abschnitt 2 Anforderungen an Sicherheit, Funktionstauglichkeit, Datenschutz und -sicherheit sowie Qualität digitaler Gesundheitsanwendungen

§ 3 Anforderungen an Sicherheit und Funktionstauglichkeit



(1) Der Nachweis der Sicherheit und Funktionstauglichkeit gilt, vorbehaltlich des Absatzes 2, durch die CE-Konformitätskennzeichnung des Medizinproduktes grundsätzlich als erbracht.

(2) 1Aus begründetem Anlass darf das Bundesinstitut für Arzneimittel und Medizinprodukte zusätzliche Prüfungen vornehmen. 2Hierzu kann es von dem Hersteller der digitalen Gesundheitsanwendung die Vorlage der erforderlichen Unterlagen, insbesondere die für das Konformitätsbewertungsverfahren notwendigen Erklärungen und Bescheinigungen, verlangen.


§ 4 Anforderungen an Datenschutz und Datensicherheit



(1) Digitale Gesundheitsanwendungen müssen die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten.

(2) 1Im Rahmen einer digitalen Gesundheitsanwendung dürfen personenbezogene Daten nur aufgrund einer Einwilligung der Versicherten nach Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1) und ausschließlich zu den folgenden Zwecken verarbeitet werden:

1.
zu dem bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die Nutzer,

2.
zu dem Nachweis positiver Versorgungseffekte im Rahmen einer Erprobung nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch,

3.
zu der Nachweisführung bei Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch,

4.
zu der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der digitalen Gesundheitsanwendung.

2Die Einwilligung zu der Datenverarbeitung nach Satz 1 Nummer 4 ist getrennt von einer Einwilligung in die Datenverarbeitung für Zwecke nach Satz 1 Nummer 1 bis 3 einzuholen. 3Datenverarbeitungsbefugnisse nach anderen Vorschriften bleiben unberührt.

(3) Die Verarbeitung von personenbezogenen Daten zu den Zwecken nach Absatz 2 darf im Rahmen einer digitalen Gesundheitsanwendung durch die digitale Gesundheitsanwendung selbst sowie bei einer Verarbeitung personenbezogener Daten im Auftrag nur im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen.

(4) 1Eine Verarbeitung von personenbezogenen Daten zu anderen als den in Absatz 2 Satz 1 genannten Zwecken, insbesondere zu Werbezwecken, ist ausgeschlossen. 2Die Befugnis zur Datenverarbeitung nach anderen Vorschriften nach Absatz 2 Satz 3 bleibt unberührt.

(5) Der Hersteller digitaler Gesundheitsanwendungen verpflichtet alle für ihn tätigen Personen, die Zugang zu personenbezogenen Daten der Versicherten haben, auf Verschwiegenheit.

(6) 1Das Nähere zu den Anforderungen nach den vorstehenden Absätzen bestimmt sich nach Anlage 1. 2Der Hersteller fügt seinem Antrag die Erklärung nach Anlage 1 bei. 3Erweisen sich die Vorgaben der Anlage 1 im Hinblick auf die Eigenschaften der digitalen Gesundheitsanwendung als ungeeignet, kann die digitale Gesundheitsanwendung im Einzelfall von den Vorgaben der Anlage 1 abweichen, wenn die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik durch eine abweichende Umsetzung gleichermaßen umgesetzt werden. 4In seinem Antrag legt der Hersteller die Abweichung von den Vorgaben der Anlage 1 dar und begründet diese.

(7) Ab dem 1. Januar 2023 müssen digitale Gesundheitsanwendungen abweichend von den Anforderungen an die Datensicherheit nach Absatz 6 die von dem Bundesamt für Sicherheit in der Informationstechnik nach § 139e Absatz 10 des Fünften Buches Sozialgesetzbuch festgelegten Anforderungen an die Datensicherheit erfüllen.

(8) Ab dem 1. April 2023 müssen digitale Gesundheitsanwendungen, abweichend von den Anforderungen an den Datenschutz nach Absatz 6, die von dem Bundesinstitut für Arzneimittel und Medizinprodukte nach § 139e Absatz 11 des Fünften Buches Sozialgesetzbuch festgelegten Prüfkriterien für die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an den Datenschutz umsetzen.




§ 5 Anforderungen an Qualität



(1) 1Digitale Gesundheitsanwendungen sind so zu gestalten, dass sie die Anforderungen der technischen und semantischen Interoperabilität umsetzen. 2Insbesondere muss die digitale Gesundheitsanwendung ermöglichen, dass von der digitalen Gesundheitsanwendung verarbeitete Daten in geeigneten interoperablen Formaten exportiert und im Rahmen der Versorgung genutzt werden können. 3Zudem muss die digitale Gesundheitsanwendung interoperable Schnittstellen verwenden, wenn es im Rahmen der bestimmungsgemäßen Nutzung der digitalen Gesundheitsanwendung vorgesehen ist, dass die digitale Gesundheitsanwendung Daten mit vom Versicherten genutzten Medizingeräten oder mit vom Versicherten getragenen Sensoren zur Messung und Übertragung von Vitalwerten (Wearables) austauscht.

(2) Digitale Gesundheitsanwendungen sind so zu gestalten, dass sie robust gegen Störungen und Fehlbedienungen sind.

(3) 1Digitale Gesundheitsanwendungen sind so zu gestalten, dass die Anforderungen des Verbraucherschutzes nach Maßgabe der Anlage 2 umgesetzt werden. 2Insbesondere müssen digitale Gesundheitsanwendungen den Versicherten vor Beginn der Nutzung Informationen zu Funktionsumfang und Zweckbestimmung der digitalen Gesundheitsanwendung und zu den vertraglichen Bedingungen der Nutzung zur Verfügung stellen.

(4) Digitale Gesundheitsanwendungen müssen frei von Werbung sein.

(5) 1Digitale Gesundheitsanwendungen sind so zu gestalten, dass die Versicherten diese leicht und intuitiv bedienen können. 2Digitale Gesundheitsanwendungen müssen während der Dauer der Führung der digitalen Gesundheitsanwendung im Verzeichnis für digitale Gesundheitsanwendungen, mindestens aber für den Zeitraum der Verwendung der digitalen Gesundheitsanwendung zu Lasten der gesetzlichen Krankenkassen nach § 33a Absatz 1 des Fünften Buches Sozialgesetzbuch, Maßnahmen zur Unterstützung der Versicherten vorsehen.

(6) Digitale Gesundheitsanwendungen setzen die Anforderungen an die Barrierefreiheit nach Maßgabe der Anlage 2 um.

(7) Ist es nach dem Zweck der Verwendung einer digitalen Gesundheitsanwendung erforderlich, dass Leistungserbringer in die Nutzung der Anwendung einbezogen werden, gewährleistet die Anwendung, dass die Leistungserbringer in geeigneter Weise informiert und unterstützt werden.

(8) 1Die von digitalen Gesundheitsanwendungen verwendeten medizinischen Inhalte müssen dem allgemein anerkannten Stand der medizinischen Erkenntnisse entsprechen. 2Sofern die digitale Gesundheitsanwendung die Versicherten mit Gesundheitsinformationen unterstützt, müssen die Gesundheitsinformationen ebenfalls dem allgemein anerkannten fachlichen Standard entsprechen und zielgruppengerecht aufbereitet sein.

(9) Digitale Gesundheitsanwendungen müssen Maßnahmen zur Unterstützung der Patientensicherheit vorsehen.

(10) 1Das Nähere zu den Anforderungen nach den vorstehenden Absätzen bestimmt sich nach Anlage 2. 2Erweisen sich die Vorgaben der Anlage 2 im Hinblick auf die Eigenschaften der digitalen Gesundheitsanwendung als ungeeignet, kann die digitale Gesundheitsanwendung im Einzelfall von den Vorgaben der Anlage abweichen, wenn die Anforderung durch eine abweichende Umsetzung gleichermaßen erreicht wird. 3In seinem Antrag legt der Hersteller die Abweichung von den Vorgaben der Anlage 2 dar und begründet diese.

(11) Der Hersteller fügt seinem Antrag eine Erklärung nach Maßgabe der Anlage 2 bei.


§ 6 Qualitätsanforderungen nach § 5 Absatz 1; Festlegungen zur Interoperabilität



1Als interoperable Formate nach § 5 Absatz 1 gelten Festlegungen für die semantische und syntaktische Interoperabilität von Daten in der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch. 2Solange keine Festlegung für die semantische und syntaktische Interoperabilität von Daten in der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch getroffen worden sind, gelten auch offene, international anerkannte Schnittstellen- und Semantikstandards und vom Hersteller der digitalen Gesundheitsanwendung bereitgestellte Profile über offenen, international anerkannten Schnittstellen- und Semantikstandards als interoperable Formate. 3Der Hersteller muss von ihm bereitgestellte Profile nach Satz 2 zur freien Nutzung in einem anerkannten Verzeichnis veröffentlichen.




§ 6a Interoperabilität von digitalen Gesundheitsanwendungen mit der elektronischen Patientenakte



(1) 1Digitale Gesundheitsanwendungen sind ab dem 1. Januar 2023 so zu gestalten, dass die von der digitalen Gesundheitsanwendung verarbeiteten Daten mit Einwilligung des Versicherten in die elektronische Patientenakte des Versicherten nach § 341 des Fünften Buches Sozialgesetzbuch übermittelt werden können. 2Hierzu muss die digitale Gesundheitsanwendung ab dem 1. Januar 2023 über die von der Gesellschaft für Telematik nach § 354 Absatz 2 Nummer 6 des Fünften Buches Sozialgesetzbuch für den Datenaustausch festgelegte Schnittstelle verfügen.

(2) Ab dem 1. Januar 2023 ermöglichen digitale Gesundheitsanwendungen den Datenexport in die elektronische Patientenakte gemäß einer Festlegung für die semantische und syntaktische Interoperabilität von Daten der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch.

(3) Die Hersteller digitaler Gesundheitsanwendungen setzen die Fortschreibungen der Festlegungen nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch innerhalb von sechs Monaten nach deren Veröffentlichung um.




§ 7 Nachweis durch Zertifikate



(1) 1Das Bundesinstitut für Arzneimittel und Medizinprodukte kann von dem Hersteller die Vorlage von Zertifikaten verlangen, die die Erfüllung der Anforderungen nach den §§ 4 bis 6 bestätigen, sofern entsprechende Zertifikate aufgrund von Sicherheits-, Qualitäts- oder Umweltnormen vorgesehen sind oder sonstige anerkannte Zertifikate zum Nachweis der Anforderungen nach den §§ 4 bis 6 geeignet sind. 2Das nach Satz 1 vorzulegende Zertifikat darf zum Zeitpunkt der Übermittlung an das Bundesinstitut für Arzneimittel und Medizinprodukte nicht älter als zwölf Monate sein. 3Mit der Vorlage eines entsprechenden Zertifikates gilt der Nachweis der in dem Zertifikat bestätigten Anforderung nach § 4 bis 6 grundsätzlich als erbracht. 4§ 3 Absatz 2 gilt entsprechend.

(2) 1Der Nachweis nach Absatz 1 erfolgt unter Vorlage eines Zertifikates einer nach den Vorgaben der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30) für diese Tätigkeit akkreditierten Zertifizierungsstelle. 2Die Zertifizierungsstelle muss für Zertifizierungen nach § 4 zusätzlich nach § 39 des Bundesdatenschutzgesetzes akkreditiert und zugelassen sein. 3Das Bundesinstitut für Arzneimittel und Medizinprodukte darf auf seinen Internetseiten bekannt machen, welche Zertifikate geeignet sind, die Erfüllung der Anforderungen nach den §§ 4 bis 6 zu belegen.

(3) 1Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit die Vorlage von Berichten über die Durchführung von Penetrationstests oder die Vorlage von Sicherheitsgutachten über die Komponenten und Dienste der digitalen Gesundheitsanwendung verlangen. 2Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit spätestens ab dem 1. April 2022 zudem die Vorlage eines geeigneten Zertifikats oder Nachweises über ein Informationssicherheitsmanagement verlangen. 3Ab dem 1. Januar 2023 ist die Erfüllung der Anforderungen an die Datensicherheit durch ein Zertifikat des Bundesamts für Sicherheit in der Informationstechnik nach § 139e Absatz 10 des Fünften Buches Sozialgesetzbuch nachzuweisen. 4Die Verpflichtung nach Satz 2 und 3 gilt sowohl für Hersteller digitaler Gesundheitsanwendungen, deren digitale Gesundheitsanwendung bereits in das Verzeichnis für digitale Gesundheitsanwendungen aufgenommen wurde, als auch für Hersteller, die die Aufnahme einer digitalen Gesundheitsanwendung in das Verzeichnis für digitale Gesundheitsanwendungen erstmalig beantragen; im erstgenannten Fall ist der Nachweis im Verfahren nach § 139e Absatz 6 Satz 1 des Fünften Buches Sozialgesetzbuch zu erbringen.

(4) 1Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfüllung der Anforderungen an den Datenschutz spätestens ab dem 1. April 2023 die Vorlage eines Zertifikats nach § 139e Absatz 11 Satz 2 des Fünften Buches Sozialgesetzbuch verlangen. 2Die Verpflichtung nach Satz 1 gilt sowohl für Hersteller digitaler Gesundheitsanwendungen, deren digitale Gesundheitsanwendung bereits in das Verzeichnis für digitale Gesundheitsanwendungen aufgenommen wurde, als auch für Hersteller, die die Aufnahme einer digitalen Gesundheitsanwendung in das Verzeichnis für digitale Gesundheitsanwendungen erstmalig beantragen; im erstgenannten Fall ist der Nachweis im Verfahren nach § 139e Absatz 6 Satz 1 des Fünften Buches Sozialgesetzbuch zu erbringen.