860-5-55
Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021
4355
Erste Verordnung
zur Änderung der Digitale Gesundheitsanwendungen-Verordnung
Vom 22. September 2021
Auf Grund des § 139e Absatz 7 und 9 Satz 1 Num
mer 1, 2, 4, 5 und 6 des Fünften Buches Sozialgesetz
buch, der zuletzt durch Artikel 1 des Gesetzes vom
3. Juni 2021 (BGBl. I S. 1309) geändert worden ist, ver
ordnet das Bundesministerium für Gesundheit:
Artikel 1
Änderung der
Digitale Gesundheitsanwendungen-Verordnung
Die Digitale Gesundheitsanwendungen-Verordnung
vom 8. April 2020 (BGBl. I S. 768), die durch Artikel 7
des Gesetzes vom 3. Juni 2021 (BGBl. I S. 1309) ge
ändert worden ist, wird wie folgt geändert:
1. § 2 wird wie folgt geändert:
a) Absatz 1 Satz 2 wird wie folgt geändert:
aa) Nach Nummer 21 wird folgende Nummer 21a
eingefügt:
,,21a. den von der digitalen Gesundheits
anwendung nach § 4 Absatz 1 Satz 1
Nummer 1 verarbeiteten Daten, zu de
ren Darstellbarkeit mittels internatio
naler Semantikstandards und, bei An
tragstellung ab 1. August 2022, zu
deren Abbildbarkeit mittels der jeweils
geltenden Festlegung für die seman
tische und syntaktische Interopera
bilität von Daten der elektronischen
Patientenakte nach § 355 Absatz 2a
des Fünften Buches Sozialgesetz
buch,".
bb) In Nummer 22 werden nach den Wörtern
,,und Profilen" die Wörter ,,sowie zu den
menschenlesbaren Exportformaten" einge
fügt.
b) Folgender Absatz 5 wird angefügt:
,,(5) Angaben des Herstellers nach Absatz 1
Satz 2, die nach § 20 Absatz 2 zur Veröffent
lichung in dem Verzeichnis für digitale Gesund
heitsanwendungen bestimmt sind, erfolgen in
deutscher Sprache."
2. § 4 wird wie folgt geändert
a) In Absatz 3 werden die Wörter ,,Im Rahmen
einer digitalen Gesundheitsanwendung darf die
Verarbeitung von personenbezogenen Daten"
durch die Wörter ,,Die Verarbeitung von perso
nenbezogenen Daten zu den Zwecken nach Ab
satz 2 darf im Rahmen einer digitalen Gesund
heitsanwendung" ersetzt.
b) Folgender Absatz 8 wird angefügt:
,,(8) Ab dem 1. April 2023 müssen digitale
Gesundheitsanwendungen, abweichend von den
Anforderungen an den Datenschutz nach Ab
4356
Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021
satz 6, die von dem Bundesinstitut für Arznei
mittel und Medizinprodukte nach § 139e Ab
satz 11 des Fünften Buches Sozialgesetzbuch
festgelegten Prüfkriterien für die von digitalen
Gesundheitsanwendungen nachzuweisenden An
forderungen an den Datenschutz umsetzen."
3. Die §§ 6 und 6a werden wie folgt gefasst:
,,§ 6
Qualitätsanforderungen nach
§ 5 Absatz 1; Festlegungen zur Interoperabilität
Als interoperable Formate nach § 5 Absatz 1
gelten Festlegungen für die semantische und
syntaktische Interoperabilität von Daten in der
elektronischen Patientenakte nach § 355 Absatz 2a
des Fünften Buches Sozialgesetzbuch. Solange
keine Festlegung für die semantische und
syntaktische Interoperabilität von Daten in der
elektronischen Patientenakte nach § 355 Absatz 2a
des Fünften Buches Sozialgesetzbuch getroffen
worden sind, gelten auch offene, international
anerkannte Schnittstellen- und Semantikstandards
und vom Hersteller der digitalen Gesundheits
anwendung bereitgestellte Profile über offenen,
international anerkannten Schnittstellen- und
Semantikstandards als interoperable Formate. Der
Hersteller muss von ihm bereitgestellte Profile nach
Satz 2 zur freien Nutzung in einem anerkannten
Verzeichnis veröffentlichen.
§ 6a
Interoperabilität von
digitalen Gesundheitsanwendungen
mit der elektronischen Patientenakte
(1) Digitale Gesundheitsanwendungen sind ab
dem 1. Januar 2023 so zu gestalten, dass die von
der digitalen Gesundheitsanwendung verarbeiteten
Daten mit Einwilligung des Versicherten in die
elektronische Patientenakte des Versicherten nach
§ 341 des Fünften Buches Sozialgesetzbuch über
mittelt werden können. Hierzu muss die digitale
Gesundheitsanwendung ab dem 1. Januar 2023
über die von der Gesellschaft für Telematik nach
§ 354 Absatz 2 Nummer 6 des Fünften Buches
Sozialgesetzbuch für den Datenaustausch fest
gelegte Schnittstelle verfügen.
(2) Ab dem 1. Januar 2023 ermöglichen digitale
Gesundheitsanwendungen den Datenexport in die
elektronische Patientenakte gemäß einer Fest
legung für die semantische und syntaktische Inter
operabilität von Daten der elektronischen Patien
tenakte nach § 355 Absatz 2a des Fünften Buches
Sozialgesetzbuch.
(3) Die Hersteller digitaler Gesundheitsanwen
dungen setzen die Fortschreibungen der Fest
legungen nach § 355 Absatz 2a des Fünften
Buches Sozialgesetzbuch innerhalb von sechs
Monaten nach deren Veröffentlichung um."
4. § 7 wird wie folgt geändert:
a) Absatz 3 wird wie folgt geändert:
aa) In Satz 2 wird die Angabe ,,1. Januar 2022"
durch die Angabe ,,1. April 2022" ersetzt.
bb) In Satz 4 wird die Angabe ,,Satz 3" durch die
Angabe ,,Satz 2 und 3" ersetzt.
b) Folgender Absatz 4 wird angefügt:
,,(4) Das Bundesinstitut für Arzneimittel und
Medizinprodukte kann zum Nachweis der Erfül
lung der Anforderungen an den Datenschutz
spätestens ab dem 1. April 2023 die Vorlage
eines Zertifikats nach § 139e Absatz 11 Satz 2
des Fünften Buches Sozialgesetzbuch verlan
gen. Die Verpflichtung nach Satz 1 gilt sowohl
für Hersteller digitaler Gesundheitsanwendun
gen, deren digitale Gesundheitsanwendung be
reits in das Verzeichnis für digitale Gesundheits
anwendungen aufgenommen wurde, als auch
für Hersteller, die die Aufnahme einer digitalen
Gesundheitsanwendung in das Verzeichnis für
digitale Gesundheitsanwendungen erstmalig
beantragen; im erstgenannten Fall ist der Nach
weis im Verfahren nach § 139e Absatz 6 Satz 1
des Fünften Buches Sozialgesetzbuch zu er
bringen."
5. Dem § 18 Absatz 1 wird folgender Satz angefügt:
,,Im Umfang geringfügige und lediglich redaktio
nelle Änderungen der Angaben und Informationen
in dem Verzeichnis für digitale Gesundheitsanwen
dungen stellen keine wesentlichen Veränderungen
nach Satz 1 dar. Der Hersteller teilt dem Bundes
institut für Arzneimittel und Medizinprodukte die
Erforderlichkeit redaktioneller Änderungen durch
einfache Anzeige mit."
6. In § 19 Absatz 2 wird das Wort ,,einmalig" gestri
chen.
7. § 21 wird wie folgt geändert:
a) In § 21 Absatz 2 Satz 2 werden die Wörter ,,Ver
zeichnis nach § 291e" durch die Wörter ,,Inter
operabilitätsverzeichnis nach § 385" ersetzt.
b) Absatz 3 wird wie folgt geändert:
aa) In Satz 1 werden die Wörter ,,spätestens ab
dem 1. Januar 2021" gestrichen.
bb) In Satz 6 werden die Wörter ,,Verzeichnis
nach § 291e" durch die Wörter ,,Interopera
bilitätsverzeichnis nach § 385" ersetzt.
c) In Absatz 4 werden die Wörter ,,Spätestens ab
dem 1. Januar 2021 veröffentlicht das Bundes
institut für Arzneimittel und Medizinprodukte"
durch die Wörter ,,Das Bundesinstitut für Arznei
mittel und Medizinprodukte veröffentlicht" er
setzt.
8. § 26 wird wie folgt geändert:
a) In Absatz 3 wird die Angabe ,,Satz 6 und 7"
durch die Angabe ,,Satz 6 und 9" ersetzt.
b) Folgender Absatz 4 wird angefügt:
,,(4) Die einfache Anzeige im Umfang gering
fügiger und lediglich redaktioneller Änderungen
von Angaben und Informationen nach § 18 Ab
satz 1 Satz 2 und 3 ist hiervon ausgenommen."
Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021
4357
9. Die Anlage 1 (Fragebogen gemäß § 4 Absatz 6) wird wie folgt geändert:
a) Der Abschnitt ,,Datenschutz" wird wie folgt geändert:
aa) In Nummer 13 wird in der Spalte ,,Anforderung" der vierte Spiegelstrich gestrichen.
bb) In Nummer 34 werden in der Spalte ,,Anforderung" nach den Wörtern ,,und von wem" die Wörter ,,bei
dem Hersteller gespeicherte" eingefügt.
b) Der Abschnitt ,,Datensicherheit" wird wie folgt geändert:
aa) Der Unterabschnitt ,,Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten" wird
wie folgt geändert:
aaa) Nummer 1 wird wie folgt gefasst:
,,1.
Informa
tions
sicher
heits- und
Service
manage
ment
Hat der Hersteller der digitalen Ge
sundheitsanwendung ein Informationssicher
heitsmanagementsystem (ISMS) gemäß ISO
27001 oder gemäß ISO 27001 auf der Basis
von IT-Grundschutz (BSI-Standard 200-2:
IT-Grundschutz-Methodik) umgesetzt und
kann ab dem 1. April 2022 auf Verlangen des
Bundesinstituts für Arzneimittel und Medizin
produkte ein entsprechendes anerkanntes
Zertifikat vorlegen?"
bbb) Nummer 15 wird wie folgt gefasst:
,,15.
Authen
tisierung
Sofern Informationen zur Identität oder
Authentizität der die digitale Gesundheits
anwendung nutzenden Person oder zur
Authentizität von Komponenten der digitalen
Gesundheitsanwendung über dedizierte Sit
zungen (,,Sessions") zwischen Komponenten
der digitalen Gesundheitsanwendung geteilt
werden:
Werden alle Sitzungsdaten sowohl beim
Austausch als auch bei der Speicherung
mit technischen Maßnahmen, die dem
Schutzbedarf der digitalen Gesundheits
anwendung angemessenen, sind geschützt
und werden ggf. genutzte Session-IDs zu
fällig, mit ausreichender Entropie und über
etablierte Verfahren erzeugt?
Werden alle in einer Instanz einer digitalen
Gesundheitsanwendung aufgebauten Sit
zungen mit dem Abbruch oder der Be
endigung der Nutzung der digitalen Ge
sundheitsanwendung invalidiert?
Kann die die digitale Gesundheitsanwen
dung nutzende Person auch die explizite
Invalidierung einer Sitzung erzwingen?
Besitzen Sitzungen eine maximale Gültig
keitsdauer und werden inaktive oder unter
brochene Sitzungen automatisch nach
einer bestimmten Zeit invalidiert?
Resultiert die Invalidierung einer Sitzung
im Löschen aller Sitzungsdaten und ist
sichergestellt, dass eine einmal ungültig
gewordene Sitzung auch bei Kenntnis ein
zelner Sitzungsdaten nicht wieder aktiviert
werden kann?
Die digitale
Gesundheitsanwendung
nutzt keine
Sessions."
4358
Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021
ccc) Folgende Nummer 15a wird eingefügt:
,,15a Authen
tisierung
Kann die digitale Gesundheitsanwendung bis
spätestens zum 1. Januar 2023 eine Authen
tisierung von GKV-Versicherten als die die
digitale Gesundheitsanwendung nutzenden
Personen über die sichere digitale Identität
nach § 291 Absatz 8 des Fünften Buches
Sozialgesetzbuch unterstützen?"
bb) In dem Unterabschnitt ,,Zusatzanforderungen bei digitalen Gesundheitsanwendungen mit sehr hohem
Schutzbedarf" wird Nummer 6 gestrichen.
10. Anlage 2 (Fragebogen gemäß den §§ 5 und 6) wird wie folgt geändert:
a) Der Abschnitt ,,Interoperabilität" wie folgt geändert:
aa) Nummer 1 wird wie folgt gefasst:
,,Kann der Versicherte die über digitale Gesundheitsanwendungen
verarbeiteten Daten in einem interoperablen Format aus der digitalen
Gesundheitsanwendung exportieren?
1.
§ 5 Ab
satz 1
und § 6
Ja, die über die digitale Gesundheitsanwendung
verarbeiteten Daten können durch den Versicher
ten aus der digitalen Gesundheitsanwendung in
einem interoperablen Format (Syntax und
Semantik) exportiert und dem Versicherten für
die weitere Nutzung bereitgestellt werden. Die
Übermittlung nach Satz 1 erfolgt gemäß einer
Festlegung für die semantische und syntaktische
Interoperabilität von Daten der elektronischen
Patientenakte nach § 355 Absatz 2a des Fünften
Buches Sozialgesetzbuch. Solange eine solche
Festlegung nicht vorliegt, erfolgt die Übermittlung
in einem offenen anerkannten internationalen
Standard oder in einem vom Hersteller offen
gelegten Profil über einen offenen anerkannten
internationalen Standard."
bb) In Nummer 2 werden in der Spalte ,,Anforderung" die Wörter ,,spätestens ab dem 1. Januar 2021"
gestrichen.
cc) Nummer 3 wird wie folgt gefasst:
,,Verfügt die digitale Gesundheitsanwendung über standardisierte
Schnittstellen zu persönlichen Medizingeräten?
3.
§ 5 Ab
satz 1
und § 6
Ja, die digitale Gesundheitsanwendung ist in der
Lage, Daten aus vom Versicherten genutzten
Medizingeräten der vom Versicherten getragenen
Sensoren zur Messung und Übertragung von
Vitalwerten (Wearables) zu erfassen, und unter
stützt hierzu ein offengelegtes und dokumentier
tes Profil des ISO/IEEE 11073 Standards. Sofern
ein solches geeignetes Profil nicht vorliegt, unter
stützt die digitale Gesundheitsanwendung eine
andere offengelegte und dokumentierte Schnitt
stelle (Syntax, Semantik), welche im Interoperabi
litätsverzeichnis nach § 385 des Fünften Buches
Sozialgesetzbuch empfohlen ist. Sofern eine
solche geeignete Schnittstelle nicht vorliegt,
unterstützt die digitale Gesundheitsanwendung
eine andere offengelegte und dokumentierte
Schnittstelle, welche entweder im Interopera
bilitätsverzeichnis nach § 385 des Fünften
Buches Sozialgesetzbuch gelistet ist oder für
welche vom Hersteller ein entsprechender Antrag
gestellt wurde?"
Im Rahmen der
bestimmungsgemäßen Nutzung
der digitalen
Gesundheitsan
wendung ist nicht
vorgesehen, dass
die digitale
Gesundheitsanwendung Daten
mit vom Versicherten genutz
ten Medizingeräten oder mit
vom Versicherten
getragenen
Sensoren zur
Messung und
Übertragung von
Vitalwerten
(Wearables) aus
tauscht."
Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021
4359
dd) Die bisherige Nummer 4 wird durch die folgende Nummern 4 und 4a ersetzt:
,,Sind die für die Herstellung der Interoperabilität der digitalen Ge
sundheitsanwendung genutzten Standards und Profile veröffentlicht
und können diskriminierungsfrei genutzt werden?
4.
§ 5 Ab
satz 1
und § 6
Ja, die für die Herstellung der Interoperabilität
der digitalen Gesundheitsanwendung genutzten
Standards und Profile sind vollständig veröffent
licht, auf der Anwendungswebseite verlinkt, kön
nen diskriminierungsfrei genutzt und von Dritten
in ihren Systemen implementiert werden.
4a.
§6
Ja, sofern der Hersteller eigene Profilierungen
vorgenommen hat, sind diese in einem anerkann
ten Verzeichnis veröffentlicht.
Der Hersteller
hat keine eigenen
Profilierungen
vorgenommen."
ee) Folgende Nummer 5 wird angefügt:
,,Bietet die digitale Gesundheitsanwendung dem Versicherten ge
eignete Möglichkeiten für die Datenübertragung in die elektronische
Patientenakte?
5.
§ 6a
Ja, die digitale Gesundheitsanwendung ermög
licht es dem Versicherten ab dem 1. Januar 2023,
die von der digitalen Gesundheitsanwendung
verarbeiteten Daten mit seiner Einwilligung jeder
zeit in seine elektronische Patientenakte zu über
mitteln. Zudem bietet die digitale Gesundheitsan
wendung dem Nutzer die Möglichkeit einer regel
mäßigen, automatisierten Übermittlung der von
der digitalen Gesundheitsanwendung verarbeite
ten Daten von der digitalen Gesundheitsanwen
dung in die elektronische Patientenakte. Der
Hersteller ermöglicht dem Nutzer eine an den
bestimmungsgemäßen Gebrauch der digitalen
Gesundheitsanwendung sowie an den Ver
sorgungskontext angepasste Konfiguration der
regelmäßigen automatisierten Übermittlung. Der
Hersteller beendet die Datenübertragung in die
elektronische Patientenakte, sobald der Verord
nungszeitraum und damit die Nutzung der digita
len Gesundheitsanwendung zu Lasten der ge
setzlichen Krankenversicherung beendet ist, und
weist den Versicherten vorab sowie zum ent
sprechenden Zeitpunkt darauf hin."
b) In dem Abschnitt ,,Nutzerfreundlichkeit und Barrierefreiheit" werden in Nummer 3 in der Spalte ,,Anforde
rung" die Wörter ,,spätestens ab dem 1. Januar 2021" gestrichen.
Artikel 2
Inkrafttreten
Diese Verordnung tritt am 1. Oktober 2021 in Kraft.
Bonn, den 22. September 2021
Der Bundesminister für Gesundheit
Jens Spahn