Bundesgesetzblatt  Bundesgesetzblatt Teil I  2021  Nr. 67 vom 24.09.2021  - Seite 4355 bis 4359 - Erste Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung

860-5-55
Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4355 Erste Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung Vom 22. September 2021 Auf Grund des § 139e Absatz 7 und 9 Satz 1 Num mer 1, 2, 4, 5 und 6 des Fünften Buches Sozialgesetz buch, der zuletzt durch Artikel 1 des Gesetzes vom 3. Juni 2021 (BGBl. I S. 1309) geändert worden ist, ver ordnet das Bundesministerium für Gesundheit: Artikel 1 Änderung der Digitale Gesundheitsanwendungen-Verordnung Die Digitale Gesundheitsanwendungen-Verordnung vom 8. April 2020 (BGBl. I S. 768), die durch Artikel 7 des Gesetzes vom 3. Juni 2021 (BGBl. I S. 1309) ge ändert worden ist, wird wie folgt geändert: 1. § 2 wird wie folgt geändert: a) Absatz 1 Satz 2 wird wie folgt geändert: aa) Nach Nummer 21 wird folgende Nummer 21a eingefügt: ,,21a. den von der digitalen Gesundheits anwendung nach § 4 Absatz 1 Satz 1 Nummer 1 verarbeiteten Daten, zu de ren Darstellbarkeit mittels internatio naler Semantikstandards und, bei An tragstellung ab 1. August 2022, zu deren Abbildbarkeit mittels der jeweils geltenden Festlegung für die seman tische und syntaktische Interopera bilität von Daten der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetz buch,". bb) In Nummer 22 werden nach den Wörtern ,,und Profilen" die Wörter ,,sowie zu den menschenlesbaren Exportformaten" einge fügt. b) Folgender Absatz 5 wird angefügt: ,,(5) Angaben des Herstellers nach Absatz 1 Satz 2, die nach § 20 Absatz 2 zur Veröffent lichung in dem Verzeichnis für digitale Gesund heitsanwendungen bestimmt sind, erfolgen in deutscher Sprache." 2. § 4 wird wie folgt geändert a) In Absatz 3 werden die Wörter ,,Im Rahmen einer digitalen Gesundheitsanwendung darf die Verarbeitung von personenbezogenen Daten" durch die Wörter ,,Die Verarbeitung von perso nenbezogenen Daten zu den Zwecken nach Ab satz 2 darf im Rahmen einer digitalen Gesund heitsanwendung" ersetzt. b) Folgender Absatz 8 wird angefügt: ,,(8) Ab dem 1. April 2023 müssen digitale Gesundheitsanwendungen, abweichend von den Anforderungen an den Datenschutz nach Ab 4356 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 satz 6, die von dem Bundesinstitut für Arznei mittel und Medizinprodukte nach § 139e Ab satz 11 des Fünften Buches Sozialgesetzbuch festgelegten Prüfkriterien für die von digitalen Gesundheitsanwendungen nachzuweisenden An forderungen an den Datenschutz umsetzen." 3. Die §§ 6 und 6a werden wie folgt gefasst: ,,§ 6 Qualitätsanforderungen nach § 5 Absatz 1; Festlegungen zur Interoperabilität Als interoperable Formate nach § 5 Absatz 1 gelten Festlegungen für die semantische und syntaktische Interoperabilität von Daten in der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch. Solange keine Festlegung für die semantische und syntaktische Interoperabilität von Daten in der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch getroffen worden sind, gelten auch offene, international anerkannte Schnittstellen- und Semantikstandards und vom Hersteller der digitalen Gesundheits anwendung bereitgestellte Profile über offenen, international anerkannten Schnittstellen- und Semantikstandards als interoperable Formate. Der Hersteller muss von ihm bereitgestellte Profile nach Satz 2 zur freien Nutzung in einem anerkannten Verzeichnis veröffentlichen. § 6a Interoperabilität von digitalen Gesundheitsanwendungen mit der elektronischen Patientenakte (1) Digitale Gesundheitsanwendungen sind ab dem 1. Januar 2023 so zu gestalten, dass die von der digitalen Gesundheitsanwendung verarbeiteten Daten mit Einwilligung des Versicherten in die elektronische Patientenakte des Versicherten nach § 341 des Fünften Buches Sozialgesetzbuch über mittelt werden können. Hierzu muss die digitale Gesundheitsanwendung ab dem 1. Januar 2023 über die von der Gesellschaft für Telematik nach § 354 Absatz 2 Nummer 6 des Fünften Buches Sozialgesetzbuch für den Datenaustausch fest gelegte Schnittstelle verfügen. (2) Ab dem 1. Januar 2023 ermöglichen digitale Gesundheitsanwendungen den Datenexport in die elektronische Patientenakte gemäß einer Fest legung für die semantische und syntaktische Inter operabilität von Daten der elektronischen Patien tenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch. (3) Die Hersteller digitaler Gesundheitsanwen dungen setzen die Fortschreibungen der Fest legungen nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch innerhalb von sechs Monaten nach deren Veröffentlichung um." 4. § 7 wird wie folgt geändert: a) Absatz 3 wird wie folgt geändert: aa) In Satz 2 wird die Angabe ,,1. Januar 2022" durch die Angabe ,,1. April 2022" ersetzt. bb) In Satz 4 wird die Angabe ,,Satz 3" durch die Angabe ,,Satz 2 und 3" ersetzt. b) Folgender Absatz 4 wird angefügt: ,,(4) Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfül lung der Anforderungen an den Datenschutz spätestens ab dem 1. April 2023 die Vorlage eines Zertifikats nach § 139e Absatz 11 Satz 2 des Fünften Buches Sozialgesetzbuch verlan gen. Die Verpflichtung nach Satz 1 gilt sowohl für Hersteller digitaler Gesundheitsanwendun gen, deren digitale Gesundheitsanwendung be reits in das Verzeichnis für digitale Gesundheits anwendungen aufgenommen wurde, als auch für Hersteller, die die Aufnahme einer digitalen Gesundheitsanwendung in das Verzeichnis für digitale Gesundheitsanwendungen erstmalig beantragen; im erstgenannten Fall ist der Nach weis im Verfahren nach § 139e Absatz 6 Satz 1 des Fünften Buches Sozialgesetzbuch zu er bringen." 5. Dem § 18 Absatz 1 wird folgender Satz angefügt: ,,Im Umfang geringfügige und lediglich redaktio nelle Änderungen der Angaben und Informationen in dem Verzeichnis für digitale Gesundheitsanwen dungen stellen keine wesentlichen Veränderungen nach Satz 1 dar. Der Hersteller teilt dem Bundes institut für Arzneimittel und Medizinprodukte die Erforderlichkeit redaktioneller Änderungen durch einfache Anzeige mit." 6. In § 19 Absatz 2 wird das Wort ,,einmalig" gestri chen. 7. § 21 wird wie folgt geändert: a) In § 21 Absatz 2 Satz 2 werden die Wörter ,,Ver zeichnis nach § 291e" durch die Wörter ,,Inter operabilitätsverzeichnis nach § 385" ersetzt. b) Absatz 3 wird wie folgt geändert: aa) In Satz 1 werden die Wörter ,,spätestens ab dem 1. Januar 2021" gestrichen. bb) In Satz 6 werden die Wörter ,,Verzeichnis nach § 291e" durch die Wörter ,,Interopera bilitätsverzeichnis nach § 385" ersetzt. c) In Absatz 4 werden die Wörter ,,Spätestens ab dem 1. Januar 2021 veröffentlicht das Bundes institut für Arzneimittel und Medizinprodukte" durch die Wörter ,,Das Bundesinstitut für Arznei mittel und Medizinprodukte veröffentlicht" er setzt. 8. § 26 wird wie folgt geändert: a) In Absatz 3 wird die Angabe ,,Satz 6 und 7" durch die Angabe ,,Satz 6 und 9" ersetzt. b) Folgender Absatz 4 wird angefügt: ,,(4) Die einfache Anzeige im Umfang gering fügiger und lediglich redaktioneller Änderungen von Angaben und Informationen nach § 18 Ab satz 1 Satz 2 und 3 ist hiervon ausgenommen." Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4357 9. Die Anlage 1 (Fragebogen gemäß § 4 Absatz 6) wird wie folgt geändert: a) Der Abschnitt ,,Datenschutz" wird wie folgt geändert: aa) In Nummer 13 wird in der Spalte ,,Anforderung" der vierte Spiegelstrich gestrichen. bb) In Nummer 34 werden in der Spalte ,,Anforderung" nach den Wörtern ,,und von wem" die Wörter ,,bei dem Hersteller gespeicherte" eingefügt. b) Der Abschnitt ,,Datensicherheit" wird wie folgt geändert: aa) Der Unterabschnitt ,,Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten" wird wie folgt geändert: aaa) Nummer 1 wird wie folgt gefasst: ,,1. Informa tions sicher heits- und Service manage ment Hat der Hersteller der digitalen Ge sundheitsanwendung ein Informationssicher heitsmanagementsystem (ISMS) gemäß ISO 27001 oder gemäß ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik) umgesetzt und kann ab dem 1. April 2022 auf Verlangen des Bundesinstituts für Arzneimittel und Medizin produkte ein entsprechendes anerkanntes Zertifikat vorlegen?" bbb) Nummer 15 wird wie folgt gefasst: ,,15. Authen tisierung Sofern Informationen zur Identität oder Authentizität der die digitale Gesundheits anwendung nutzenden Person oder zur Authentizität von Komponenten der digitalen Gesundheitsanwendung über dedizierte Sit zungen (,,Sessions") zwischen Komponenten der digitalen Gesundheitsanwendung geteilt werden: ­ Werden alle Sitzungsdaten sowohl beim Austausch als auch bei der Speicherung mit technischen Maßnahmen, die dem Schutzbedarf der digitalen Gesundheits anwendung angemessenen, sind geschützt und werden ggf. genutzte Session-IDs zu fällig, mit ausreichender Entropie und über etablierte Verfahren erzeugt? ­ Werden alle in einer Instanz einer digitalen Gesundheitsanwendung aufgebauten Sit zungen mit dem Abbruch oder der Be endigung der Nutzung der digitalen Ge sundheitsanwendung invalidiert? ­ Kann die die digitale Gesundheitsanwen dung nutzende Person auch die explizite Invalidierung einer Sitzung erzwingen? ­ Besitzen Sitzungen eine maximale Gültig keitsdauer und werden inaktive oder unter brochene Sitzungen automatisch nach einer bestimmten Zeit invalidiert? ­ Resultiert die Invalidierung einer Sitzung im Löschen aller Sitzungsdaten und ist sichergestellt, dass eine einmal ungültig gewordene Sitzung auch bei Kenntnis ein zelner Sitzungsdaten nicht wieder aktiviert werden kann? Die digitale Gesundheitsanwendung nutzt keine Sessions." 4358 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 ccc) Folgende Nummer 15a wird eingefügt: ,,15a Authen tisierung Kann die digitale Gesundheitsanwendung bis spätestens zum 1. Januar 2023 eine Authen tisierung von GKV-Versicherten als die die digitale Gesundheitsanwendung nutzenden Personen über die sichere digitale Identität nach § 291 Absatz 8 des Fünften Buches Sozialgesetzbuch unterstützen?" bb) In dem Unterabschnitt ,,Zusatzanforderungen bei digitalen Gesundheitsanwendungen mit sehr hohem Schutzbedarf" wird Nummer 6 gestrichen. 10. Anlage 2 (Fragebogen gemäß den §§ 5 und 6) wird wie folgt geändert: a) Der Abschnitt ,,Interoperabilität" wie folgt geändert: aa) Nummer 1 wird wie folgt gefasst: ,,Kann der Versicherte die über digitale Gesundheitsanwendungen verarbeiteten Daten in einem interoperablen Format aus der digitalen Gesundheitsanwendung exportieren? 1. § 5 Ab satz 1 und § 6 Ja, die über die digitale Gesundheitsanwendung verarbeiteten Daten können durch den Versicher ten aus der digitalen Gesundheitsanwendung in einem interoperablen Format (Syntax und Semantik) exportiert und dem Versicherten für die weitere Nutzung bereitgestellt werden. Die Übermittlung nach Satz 1 erfolgt gemäß einer Festlegung für die semantische und syntaktische Interoperabilität von Daten der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch. Solange eine solche Festlegung nicht vorliegt, erfolgt die Übermittlung in einem offenen anerkannten internationalen Standard oder in einem vom Hersteller offen gelegten Profil über einen offenen anerkannten internationalen Standard." bb) In Nummer 2 werden in der Spalte ,,Anforderung" die Wörter ,,spätestens ab dem 1. Januar 2021" gestrichen. cc) Nummer 3 wird wie folgt gefasst: ,,Verfügt die digitale Gesundheitsanwendung über standardisierte Schnittstellen zu persönlichen Medizingeräten? 3. § 5 Ab satz 1 und § 6 Ja, die digitale Gesundheitsanwendung ist in der Lage, Daten aus vom Versicherten genutzten Medizingeräten der vom Versicherten getragenen Sensoren zur Messung und Übertragung von Vitalwerten (Wearables) zu erfassen, und unter stützt hierzu ein offengelegtes und dokumentier tes Profil des ISO/IEEE 11073 Standards. Sofern ein solches geeignetes Profil nicht vorliegt, unter stützt die digitale Gesundheitsanwendung eine andere offengelegte und dokumentierte Schnitt stelle (Syntax, Semantik), welche im Interoperabi litätsverzeichnis nach § 385 des Fünften Buches Sozialgesetzbuch empfohlen ist. Sofern eine solche geeignete Schnittstelle nicht vorliegt, unterstützt die digitale Gesundheitsanwendung eine andere offengelegte und dokumentierte Schnittstelle, welche entweder im Interopera bilitätsverzeichnis nach § 385 des Fünften Buches Sozialgesetzbuch gelistet ist oder für welche vom Hersteller ein entsprechender Antrag gestellt wurde?" Im Rahmen der bestimmungsgemäßen Nutzung der digitalen Gesundheitsan wendung ist nicht vorgesehen, dass die digitale Gesundheitsanwendung Daten mit vom Versicherten genutz ten Medizingeräten oder mit vom Versicherten getragenen Sensoren zur Messung und Übertragung von Vitalwerten (Wearables) aus tauscht." Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4359 dd) Die bisherige Nummer 4 wird durch die folgende Nummern 4 und 4a ersetzt: ,,Sind die für die Herstellung der Interoperabilität der digitalen Ge sundheitsanwendung genutzten Standards und Profile veröffentlicht und können diskriminierungsfrei genutzt werden? 4. § 5 Ab satz 1 und § 6 Ja, die für die Herstellung der Interoperabilität der digitalen Gesundheitsanwendung genutzten Standards und Profile sind vollständig veröffent licht, auf der Anwendungswebseite verlinkt, kön nen diskriminierungsfrei genutzt und von Dritten in ihren Systemen implementiert werden. 4a. §6 Ja, sofern der Hersteller eigene Profilierungen vorgenommen hat, sind diese in einem anerkann ten Verzeichnis veröffentlicht. Der Hersteller hat keine eigenen Profilierungen vorgenommen." ee) Folgende Nummer 5 wird angefügt: ,,Bietet die digitale Gesundheitsanwendung dem Versicherten ge eignete Möglichkeiten für die Datenübertragung in die elektronische Patientenakte? 5. § 6a Ja, die digitale Gesundheitsanwendung ermög licht es dem Versicherten ab dem 1. Januar 2023, die von der digitalen Gesundheitsanwendung verarbeiteten Daten mit seiner Einwilligung jeder zeit in seine elektronische Patientenakte zu über mitteln. Zudem bietet die digitale Gesundheitsan wendung dem Nutzer die Möglichkeit einer regel mäßigen, automatisierten Übermittlung der von der digitalen Gesundheitsanwendung verarbeite ten Daten von der digitalen Gesundheitsanwen dung in die elektronische Patientenakte. Der Hersteller ermöglicht dem Nutzer eine an den bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung sowie an den Ver sorgungskontext angepasste Konfiguration der regelmäßigen automatisierten Übermittlung. Der Hersteller beendet die Datenübertragung in die elektronische Patientenakte, sobald der Verord nungszeitraum und damit die Nutzung der digita len Gesundheitsanwendung zu Lasten der ge setzlichen Krankenversicherung beendet ist, und weist den Versicherten vorab sowie zum ent sprechenden Zeitpunkt darauf hin." b) In dem Abschnitt ,,Nutzerfreundlichkeit und Barrierefreiheit" werden in Nummer 3 in der Spalte ,,Anforde rung" die Wörter ,,spätestens ab dem 1. Januar 2021" gestrichen. Artikel 2 Inkrafttreten Diese Verordnung tritt am 1. Oktober 2021 in Kraft. Bonn, den 22. September 2021 Der Bundesminister für Gesundheit Jens Spahn