Bundesgesetzblatt  Bundesgesetzblatt Teil I  2021  Nr. 67 vom 24.09.2021  - Seite 4355 bis 4359 - Erste Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung

860-5-55
Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4355 Erste Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung Vom 22. September 2021 Auf Grund des § 139e Absatz 7 und 9 Satz 1 Nummer 1, 2, 4, 5 und 6 des Fünften Buches Sozialgesetzbuch, der zuletzt durch Artikel 1 des Gesetzes vom 3. Juni 2021 (BGBl. I S. 1309) geändert worden ist, verordnet das Bundesministerium für Gesundheit: Artikel 1 Änderung der Digitale Gesundheitsanwendungen-Verordnung bilität von Daten der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch,". bb) In Nummer 22 werden nach den Wörtern ,,und Profilen" die Wörter ,,sowie zu den menschenlesbaren Exportformaten" eingefügt. b) Folgender Absatz 5 wird angefügt: ,,(5) Angaben des Herstellers nach Absatz 1 Satz 2, die nach § 20 Absatz 2 zur Veröffentlichung in dem Verzeichnis für digitale Gesundheitsanwendungen bestimmt sind, erfolgen in deutscher Sprache." 2. § 4 wird wie folgt geändert a) In Absatz 3 werden die Wörter ,,Im Rahmen einer digitalen Gesundheitsanwendung darf die Verarbeitung von personenbezogenen Daten" durch die Wörter ,,Die Verarbeitung von personenbezogenen Daten zu den Zwecken nach Absatz 2 darf im Rahmen einer digitalen Gesundheitsanwendung" ersetzt. b) Folgender Absatz 8 wird angefügt: ,,(8) Ab dem 1. April 2023 müssen digitale Gesundheitsanwendungen, abweichend von den Anforderungen an den Datenschutz nach Ab- Die Digitale Gesundheitsanwendungen-Verordnung vom 8. April 2020 (BGBl. I S. 768), die durch Artikel 7 des Gesetzes vom 3. Juni 2021 (BGBl. I S. 1309) geändert worden ist, wird wie folgt geändert: 1. § 2 wird wie folgt geändert: a) Absatz 1 Satz 2 wird wie folgt geändert: aa) Nach Nummer 21 wird folgende Nummer 21a eingefügt: ,,21a. den von der digitalen Gesundheitsanwendung nach § 4 Absatz 1 Satz 1 Nummer 1 verarbeiteten Daten, zu deren Darstellbarkeit mittels internationaler Semantikstandards und, bei Antragstellung ab 1. August 2022, zu deren Abbildbarkeit mittels der jeweils geltenden Festlegung für die semantische und syntaktische Interopera- 4356 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 satz 6, die von dem Bundesinstitut für Arzneimittel und Medizinprodukte nach § 139e Absatz 11 des Fünften Buches Sozialgesetzbuch festgelegten Prüfkriterien für die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an den Datenschutz umsetzen." 3. Die §§ 6 und 6a werden wie folgt gefasst: ,,§ 6 Qualitätsanforderungen nach § 5 Absatz 1; Festlegungen zur Interoperabilität Als interoperable Formate nach § 5 Absatz 1 gelten Festlegungen für die semantische und syntaktische Interoperabilität von Daten in der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch. Solange keine Festlegung für die semantische und syntaktische Interoperabilität von Daten in der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch getroffen worden sind, gelten auch offene, international anerkannte Schnittstellen- und Semantikstandards und vom Hersteller der digitalen Gesundheitsanwendung bereitgestellte Profile über offenen, international anerkannten Schnittstellen- und Semantikstandards als interoperable Formate. Der Hersteller muss von ihm bereitgestellte Profile nach Satz 2 zur freien Nutzung in einem anerkannten Verzeichnis veröffentlichen. § 6a Interoperabilität von digitalen Gesundheitsanwendungen mit der elektronischen Patientenakte (1) Digitale Gesundheitsanwendungen sind ab dem 1. Januar 2023 so zu gestalten, dass die von der digitalen Gesundheitsanwendung verarbeiteten Daten mit Einwilligung des Versicherten in die elektronische Patientenakte des Versicherten nach § 341 des Fünften Buches Sozialgesetzbuch übermittelt werden können. Hierzu muss die digitale Gesundheitsanwendung ab dem 1. Januar 2023 über die von der Gesellschaft für Telematik nach § 354 Absatz 2 Nummer 6 des Fünften Buches Sozialgesetzbuch für den Datenaustausch festgelegte Schnittstelle verfügen. (2) Ab dem 1. Januar 2023 ermöglichen digitale Gesundheitsanwendungen den Datenexport in die elektronische Patientenakte gemäß einer Festlegung für die semantische und syntaktische Interoperabilität von Daten der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch. (3) Die Hersteller digitaler Gesundheitsanwendungen setzen die Fortschreibungen der Festlegungen nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch innerhalb von sechs Monaten nach deren Veröffentlichung um." 4. § 7 wird wie folgt geändert: a) Absatz 3 wird wie folgt geändert: aa) In Satz 2 wird die Angabe ,,1. Januar 2022" durch die Angabe ,,1. April 2022" ersetzt. bb) In Satz 4 wird die Angabe ,,Satz 3" durch die Angabe ,,Satz 2 und 3" ersetzt. b) Folgender Absatz 4 wird angefügt: ,,(4) Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfüllung der Anforderungen an den Datenschutz spätestens ab dem 1. April 2023 die Vorlage eines Zertifikats nach § 139e Absatz 11 Satz 2 des Fünften Buches Sozialgesetzbuch verlangen. Die Verpflichtung nach Satz 1 gilt sowohl für Hersteller digitaler Gesundheitsanwendungen, deren digitale Gesundheitsanwendung bereits in das Verzeichnis für digitale Gesundheitsanwendungen aufgenommen wurde, als auch für Hersteller, die die Aufnahme einer digitalen Gesundheitsanwendung in das Verzeichnis für digitale Gesundheitsanwendungen erstmalig beantragen; im erstgenannten Fall ist der Nachweis im Verfahren nach § 139e Absatz 6 Satz 1 des Fünften Buches Sozialgesetzbuch zu erbringen." 5. Dem § 18 Absatz 1 wird folgender Satz angefügt: ,,Im Umfang geringfügige und lediglich redaktionelle Änderungen der Angaben und Informationen in dem Verzeichnis für digitale Gesundheitsanwendungen stellen keine wesentlichen Veränderungen nach Satz 1 dar. Der Hersteller teilt dem Bundesinstitut für Arzneimittel und Medizinprodukte die Erforderlichkeit redaktioneller Änderungen durch einfache Anzeige mit." 6. In § 19 Absatz 2 wird das Wort ,,einmalig" gestrichen. 7. § 21 wird wie folgt geändert: a) In § 21 Absatz 2 Satz 2 werden die Wörter ,,Verzeichnis nach § 291e" durch die Wörter ,,Interoperabilitätsverzeichnis nach § 385" ersetzt. b) Absatz 3 wird wie folgt geändert: aa) In Satz 1 werden die Wörter ,,spätestens ab dem 1. Januar 2021" gestrichen. bb) In Satz 6 werden die Wörter ,,Verzeichnis nach § 291e" durch die Wörter ,,Interoperabilitätsverzeichnis nach § 385" ersetzt. c) In Absatz 4 werden die Wörter ,,Spätestens ab dem 1. Januar 2021 veröffentlicht das Bundesinstitut für Arzneimittel und Medizinprodukte" durch die Wörter ,,Das Bundesinstitut für Arzneimittel und Medizinprodukte veröffentlicht" ersetzt. 8. § 26 wird wie folgt geändert: a) In Absatz 3 wird die Angabe ,,Satz 6 und 7" durch die Angabe ,,Satz 6 und 9" ersetzt. b) Folgender Absatz 4 wird angefügt: ,,(4) Die einfache Anzeige im Umfang geringfügiger und lediglich redaktioneller Änderungen von Angaben und Informationen nach § 18 Absatz 1 Satz 2 und 3 ist hiervon ausgenommen." Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4357 9. Die Anlage 1 (Fragebogen gemäß § 4 Absatz 6) wird wie folgt geändert: a) Der Abschnitt ,,Datenschutz" wird wie folgt geändert: aa) In Nummer 13 wird in der Spalte ,,Anforderung" der vierte Spiegelstrich gestrichen. bb) In Nummer 34 werden in der Spalte ,,Anforderung" nach den Wörtern ,,und von wem" die Wörter ,,bei dem Hersteller gespeicherte" eingefügt. b) Der Abschnitt ,,Datensicherheit" wird wie folgt geändert: aa) Der Unterabschnitt ,,Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten" wird wie folgt geändert: aaa) Nummer 1 wird wie folgt gefasst: ,,1. Informationssicherheits- und Servicemanagement Hat der Hersteller der digitalen Gesundheitsanwendung ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001 oder gemäß ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik) umgesetzt und kann ab dem 1. April 2022 auf Verlangen des Bundesinstituts für Arzneimittel und Medizinprodukte ein entsprechendes anerkanntes Zertifikat vorlegen?" bbb) Nummer 15 wird wie folgt gefasst: ,,15. Authentisierung Sofern Informationen zur Identität oder Authentizität der die digitale Gesundheitsanwendung nutzenden Person oder zur Authentizität von Komponenten der digitalen Gesundheitsanwendung über dedizierte Sitzungen (,,Sessions") zwischen Komponenten der digitalen Gesundheitsanwendung geteilt werden: Die digitale Gesundheitsanwendung nutzt keine Sessions." ­ Werden alle Sitzungsdaten sowohl beim Austausch als auch bei der Speicherung mit technischen Maßnahmen, die dem Schutzbedarf der digitalen Gesundheitsanwendung angemessenen, sind geschützt und werden ggf. genutzte Session-IDs zufällig, mit ausreichender Entropie und über etablierte Verfahren erzeugt? ­ Werden alle in einer Instanz einer digitalen Gesundheitsanwendung aufgebauten Sitzungen mit dem Abbruch oder der Beendigung der Nutzung der digitalen Gesundheitsanwendung invalidiert? ­ Kann die die digitale Gesundheitsanwendung nutzende Person auch die explizite Invalidierung einer Sitzung erzwingen? ­ Besitzen Sitzungen eine maximale Gültigkeitsdauer und werden inaktive oder unterbrochene Sitzungen automatisch nach einer bestimmten Zeit invalidiert? ­ Resultiert die Invalidierung einer Sitzung im Löschen aller Sitzungsdaten und ist sichergestellt, dass eine einmal ungültig gewordene Sitzung auch bei Kenntnis einzelner Sitzungsdaten nicht wieder aktiviert werden kann? 4358 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 ccc) Folgende Nummer 15a wird eingefügt: ,,15a Authentisierung Kann die digitale Gesundheitsanwendung bis spätestens zum 1. Januar 2023 eine Authentisierung von GKV-Versicherten als die die digitale Gesundheitsanwendung nutzenden Personen über die sichere digitale Identität nach § 291 Absatz 8 des Fünften Buches Sozialgesetzbuch unterstützen?" bb) In dem Unterabschnitt ,,Zusatzanforderungen bei digitalen Gesundheitsanwendungen mit sehr hohem Schutzbedarf" wird Nummer 6 gestrichen. 10. Anlage 2 (Fragebogen gemäß den §§ 5 und 6) wird wie folgt geändert: a) Der Abschnitt ,,Interoperabilität" wie folgt geändert: aa) Nummer 1 wird wie folgt gefasst: ,,Kann der Versicherte die über digitale Gesundheitsanwendungen verarbeiteten Daten in einem interoperablen Format aus der digitalen Gesundheitsanwendung exportieren? 1. § 5 Absatz 1 und § 6 Ja, die über die digitale Gesundheitsanwendung verarbeiteten Daten können durch den Versicherten aus der digitalen Gesundheitsanwendung in einem interoperablen Format (Syntax und Semantik) exportiert und dem Versicherten für die weitere Nutzung bereitgestellt werden. Die Übermittlung nach Satz 1 erfolgt gemäß einer Festlegung für die semantische und syntaktische Interoperabilität von Daten der elektronischen Patientenakte nach § 355 Absatz 2a des Fünften Buches Sozialgesetzbuch. Solange eine solche Festlegung nicht vorliegt, erfolgt die Übermittlung in einem offenen anerkannten internationalen Standard oder in einem vom Hersteller offen gelegten Profil über einen offenen anerkannten internationalen Standard." bb) In Nummer 2 werden in der Spalte ,,Anforderung" die Wörter ,,spätestens ab dem 1. Januar 2021" gestrichen. cc) Nummer 3 wird wie folgt gefasst: ,,Verfügt die digitale Gesundheitsanwendung über standardisierte Schnittstellen zu persönlichen Medizingeräten? 3. § 5 Absatz 1 und § 6 Ja, die digitale Gesundheitsanwendung ist in der Lage, Daten aus vom Versicherten genutzten Medizingeräten der vom Versicherten getragenen Sensoren zur Messung und Übertragung von Vitalwerten (Wearables) zu erfassen, und unterstützt hierzu ein offengelegtes und dokumentiertes Profil des ISO/IEEE 11073 Standards. Sofern ein solches geeignetes Profil nicht vorliegt, unterstützt die digitale Gesundheitsanwendung eine andere offengelegte und dokumentierte Schnittstelle (Syntax, Semantik), welche im Interoperabilitätsverzeichnis nach § 385 des Fünften Buches Sozialgesetzbuch empfohlen ist. Sofern eine solche geeignete Schnittstelle nicht vorliegt, unterstützt die digitale Gesundheitsanwendung eine andere offengelegte und dokumentierte Schnittstelle, welche entweder im Interoperabilitätsverzeichnis nach § 385 des Fünften Buches Sozialgesetzbuch gelistet ist oder für welche vom Hersteller ein entsprechender Antrag gestellt wurde?" Im Rahmen der bestimmungsgemäßen Nutzung der digitalen Gesundheitsanwendung ist nicht vorgesehen, dass die digitale Gesundheitsanwendung Daten mit vom Versicherten genutzten Medizingeräten oder mit vom Versicherten getragenen Sensoren zur Messung und Übertragung von Vitalwerten (Wearables) austauscht." Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4359 dd) Die bisherige Nummer 4 wird durch die folgende Nummern 4 und 4a ersetzt: ,,Sind die für die Herstellung der Interoperabilität der digitalen Gesundheitsanwendung genutzten Standards und Profile veröffentlicht und können diskriminierungsfrei genutzt werden? 4. § 5 Absatz 1 und § 6 Ja, die für die Herstellung der Interoperabilität der digitalen Gesundheitsanwendung genutzten Standards und Profile sind vollständig veröffentlicht, auf der Anwendungswebseite verlinkt, können diskriminierungsfrei genutzt und von Dritten in ihren Systemen implementiert werden. Ja, sofern der Hersteller eigene Profilierungen vorgenommen hat, sind diese in einem anerkannten Verzeichnis veröffentlicht. Der Hersteller hat keine eigenen Profilierungen vorgenommen." 4a. §6 ee) Folgende Nummer 5 wird angefügt: ,,Bietet die digitale Gesundheitsanwendung dem Versicherten geeignete Möglichkeiten für die Datenübertragung in die elektronische Patientenakte? 5. § 6a Ja, die digitale Gesundheitsanwendung ermöglicht es dem Versicherten ab dem 1. Januar 2023, die von der digitalen Gesundheitsanwendung verarbeiteten Daten mit seiner Einwilligung jederzeit in seine elektronische Patientenakte zu übermitteln. Zudem bietet die digitale Gesundheitsanwendung dem Nutzer die Möglichkeit einer regelmäßigen, automatisierten Übermittlung der von der digitalen Gesundheitsanwendung verarbeiteten Daten von der digitalen Gesundheitsanwendung in die elektronische Patientenakte. Der Hersteller ermöglicht dem Nutzer eine an den bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung sowie an den Versorgungskontext angepasste Konfiguration der regelmäßigen automatisierten Übermittlung. Der Hersteller beendet die Datenübertragung in die elektronische Patientenakte, sobald der Verordnungszeitraum und damit die Nutzung der digitalen Gesundheitsanwendung zu Lasten der gesetzlichen Krankenversicherung beendet ist, und weist den Versicherten vorab sowie zum entsprechenden Zeitpunkt darauf hin." b) In dem Abschnitt ,,Nutzerfreundlichkeit und Barrierefreiheit" werden in Nummer 3 in der Spalte ,,Anforderung" die Wörter ,,spätestens ab dem 1. Januar 2021" gestrichen. Artikel 2 Inkrafttreten Diese Verordnung tritt am 1. Oktober 2021 in Kraft. Bonn, den 22. September 2021 Der Bundesminister für Gesundheit Jens Spahn