{"id":"bgbl1-2021-67-9","kind":"bgbl1","year":2021,"number":67,"date":"2021-09-24T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2021/67#page=51","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2021-67-9/","document_url":"https://media.offenegesetze.de/bgbl1/2021/bgbl1_2021_67.pdf#page=51","order":9,"title":"Erste Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung","law_date":"2021-09-22T00:00:00Z","page":4355,"pdf_page":51,"num_pages":5,"content":["Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4355\nErste Verordnung\nzur Änderung der Digitale Gesundheitsanwendungen-Verordnung\nVom 22. September 2021\nAuf Grund des § 139e Absatz 7 und 9 Satz 1 Num- bilität von Daten der elektronischen\nmer 1, 2, 4, 5 und 6 des Fünften Buches Sozialgesetz- Patientenakte nach § 355 Absatz 2a\nbuch, der zuletzt durch Artikel 1 des Gesetzes vom des Fünften Buches Sozialgesetz-\n3. Juni 2021 (BGBl. I S. 1309) geändert worden ist, ver- buch,“.\nordnet das Bundesministerium für Gesundheit: bb) In Nummer 22 werden nach den Wörtern\n„und Profilen“ die Wörter „sowie zu den\nArtikel 1 menschenlesbaren Exportformaten“ einge-\nÄnderung der fügt.\nDigitale Gesundheitsanwendungen-Verordnung b) Folgender Absatz 5 wird angefügt:\nDie Digitale Gesundheitsanwendungen-Verordnung „(5) Angaben des Herstellers nach Absatz 1\nvom 8. April 2020 (BGBl. I S. 768), die durch Artikel 7 Satz 2, die nach § 20 Absatz 2 zur Veröffent-\ndes Gesetzes vom 3. Juni 2021 (BGBl. I S. 1309) ge- lichung in dem Verzeichnis für digitale Gesund-\nändert worden ist, wird wie folgt geändert: heitsanwendungen bestimmt sind, erfolgen in\n1. § 2 wird wie folgt geändert: deutscher Sprache.“\na) Absatz 1 Satz 2 wird wie folgt geändert: 2. § 4 wird wie folgt geändert\naa) Nach Nummer 21 wird folgende Nummer 21a a) In Absatz 3 werden die Wörter „Im Rahmen\neingefügt: einer digitalen Gesundheitsanwendung darf die\nVerarbeitung von personenbezogenen Daten“\n„21a. den von der digitalen Gesundheits- durch die Wörter „Die Verarbeitung von perso-\nanwendung nach § 4 Absatz 1 Satz 1 nenbezogenen Daten zu den Zwecken nach Ab-\nNummer 1 verarbeiteten Daten, zu de- satz 2 darf im Rahmen einer digitalen Gesund-\nren Darstellbarkeit mittels internatio- heitsanwendung“ ersetzt.\nnaler Semantikstandards und, bei An-\ntragstellung ab 1. August 2022, zu b) Folgender Absatz 8 wird angefügt:\nderen Abbildbarkeit mittels der jeweils „(8) Ab dem 1. April 2023 müssen digitale\ngeltenden Festlegung für die seman- Gesundheitsanwendungen, abweichend von den\ntische und syntaktische Interopera- Anforderungen an den Datenschutz nach Ab-","4356 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021\nsatz 6, die von dem Bundesinstitut für Arznei- bb) In Satz 4 wird die Angabe „Satz 3“ durch die\nmittel und Medizinprodukte nach § 139e Ab- Angabe „Satz 2 und 3“ ersetzt.\nsatz 11 des Fünften Buches Sozialgesetzbuch\nfestgelegten Prüfkriterien für die von digitalen b) Folgender Absatz 4 wird angefügt:\nGesundheitsanwendungen nachzuweisenden An- „(4) Das Bundesinstitut für Arzneimittel und\nforderungen an den Datenschutz umsetzen.“ Medizinprodukte kann zum Nachweis der Erfül-\n3. Die §§ 6 und 6a werden wie folgt gefasst: lung der Anforderungen an den Datenschutz\nspätestens ab dem 1. April 2023 die Vorlage\n„§ 6\neines Zertifikats nach § 139e Absatz 11 Satz 2\nQualitätsanforderungen nach des Fünften Buches Sozialgesetzbuch verlan-\n§ 5 Absatz 1; Festlegungen zur Interoperabilität gen. Die Verpflichtung nach Satz 1 gilt sowohl\nfür Hersteller digitaler Gesundheitsanwendun-\nAls interoperable Formate nach § 5 Absatz 1\ngen, deren digitale Gesundheitsanwendung be-\ngelten Festlegungen für die semantische und\nreits in das Verzeichnis für digitale Gesundheits-\nsyntaktische Interoperabilität von Daten in der\nanwendungen aufgenommen wurde, als auch\nelektronischen Patientenakte nach § 355 Absatz 2a\nfür Hersteller, die die Aufnahme einer digitalen\ndes Fünften Buches Sozialgesetzbuch. Solange\nGesundheitsanwendung in das Verzeichnis für\nkeine Festlegung für die semantische und\ndigitale Gesundheitsanwendungen erstmalig\nsyntaktische Interoperabilität von Daten in der\nbeantragen; im erstgenannten Fall ist der Nach-\nelektronischen Patientenakte nach § 355 Absatz 2a\nweis im Verfahren nach § 139e Absatz 6 Satz 1\ndes Fünften Buches Sozialgesetzbuch getroffen\ndes Fünften Buches Sozialgesetzbuch zu er-\nworden sind, gelten auch offene, international\nbringen.“\nanerkannte Schnittstellen- und Semantikstandards\nund vom Hersteller der digitalen Gesundheits- 5. Dem § 18 Absatz 1 wird folgender Satz angefügt:\nanwendung bereitgestellte Profile über offenen,\ninternational anerkannten Schnittstellen- und „Im Umfang geringfügige und lediglich redaktio-\nSemantikstandards als interoperable Formate. Der nelle Änderungen der Angaben und Informationen\nHersteller muss von ihm bereitgestellte Profile nach in dem Verzeichnis für digitale Gesundheitsanwen-\nSatz 2 zur freien Nutzung in einem anerkannten dungen stellen keine wesentlichen Veränderungen\nVerzeichnis veröffentlichen. nach Satz 1 dar. Der Hersteller teilt dem Bundes-\ninstitut für Arzneimittel und Medizinprodukte die\n§ 6a Erforderlichkeit redaktioneller Änderungen durch\neinfache Anzeige mit.“\nInteroperabilität von\ndigitalen Gesundheitsanwendungen 6. In § 19 Absatz 2 wird das Wort „einmalig“ gestri-\nmit der elektronischen Patientenakte chen.\n(1) Digitale Gesundheitsanwendungen sind ab 7. § 21 wird wie folgt geändert:\ndem 1. Januar 2023 so zu gestalten, dass die von\nder digitalen Gesundheitsanwendung verarbeiteten a) In § 21 Absatz 2 Satz 2 werden die Wörter „Ver-\nDaten mit Einwilligung des Versicherten in die zeichnis nach § 291e“ durch die Wörter „Inter-\nelektronische Patientenakte des Versicherten nach operabilitätsverzeichnis nach § 385“ ersetzt.\n§ 341 des Fünften Buches Sozialgesetzbuch über-\nb) Absatz 3 wird wie folgt geändert:\nmittelt werden können. Hierzu muss die digitale\nGesundheitsanwendung ab dem 1. Januar 2023 aa) In Satz 1 werden die Wörter „spätestens ab\nüber die von der Gesellschaft für Telematik nach dem 1. Januar 2021“ gestrichen.\n§ 354 Absatz 2 Nummer 6 des Fünften Buches\nSozialgesetzbuch für den Datenaustausch fest- bb) In Satz 6 werden die Wörter „Verzeichnis\ngelegte Schnittstelle verfügen. nach § 291e“ durch die Wörter „Interopera-\nbilitätsverzeichnis nach § 385“ ersetzt.\n(2) Ab dem 1. Januar 2023 ermöglichen digitale\nGesundheitsanwendungen den Datenexport in die c) In Absatz 4 werden die Wörter „Spätestens ab\nelektronische Patientenakte gemäß einer Fest- dem 1. Januar 2021 veröffentlicht das Bundes-\nlegung für die semantische und syntaktische Inter- institut für Arzneimittel und Medizinprodukte“\noperabilität von Daten der elektronischen Patien- durch die Wörter „Das Bundesinstitut für Arznei-\ntenakte nach § 355 Absatz 2a des Fünften Buches mittel und Medizinprodukte veröffentlicht“ er-\nSozialgesetzbuch. setzt.\n(3) Die Hersteller digitaler Gesundheitsanwen- 8. § 26 wird wie folgt geändert:\ndungen setzen die Fortschreibungen der Fest-\nlegungen nach § 355 Absatz 2a des Fünften a) In Absatz 3 wird die Angabe „Satz 6 und 7“\nBuches Sozialgesetzbuch innerhalb von sechs durch die Angabe „Satz 6 und 9“ ersetzt.\nMonaten nach deren Veröffentlichung um.“\nb) Folgender Absatz 4 wird angefügt:\n4. § 7 wird wie folgt geändert:\n„(4) Die einfache Anzeige im Umfang gering-\na) Absatz 3 wird wie folgt geändert:\nfügiger und lediglich redaktioneller Änderungen\naa) In Satz 2 wird die Angabe „1. Januar 2022“ von Angaben und Informationen nach § 18 Ab-\ndurch die Angabe „1. April 2022“ ersetzt. satz 1 Satz 2 und 3 ist hiervon ausgenommen.“","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4357\n9. Die Anlage 1 (Fragebogen gemäß § 4 Absatz 6) wird wie folgt geändert:\na) Der Abschnitt „Datenschutz“ wird wie folgt geändert:\naa) In Nummer 13 wird in der Spalte „Anforderung“ der vierte Spiegelstrich gestrichen.\nbb) In Nummer 34 werden in der Spalte „Anforderung“ nach den Wörtern „und von wem“ die Wörter „bei\ndem Hersteller gespeicherte“ eingefügt.\nb) Der Abschnitt „Datensicherheit“ wird wie folgt geändert:\naa) Der Unterabschnitt „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten“ wird\nwie folgt geändert:\naaa) Nummer 1 wird wie folgt gefasst:\n„1. Informa- Hat der Hersteller der digitalen Ge-\ntions- sundheitsanwendung ein Informationssicher-\nsicher- heitsmanagementsystem (ISMS) gemäß ISO\nheits- und 27001 oder gemäß ISO 27001 auf der Basis\nService- von IT-Grundschutz (BSI-Standard 200-2:\nmanage- IT-Grundschutz-Methodik) umgesetzt und\nment kann ab dem 1. April 2022 auf Verlangen des\nBundesinstituts für Arzneimittel und Medizin-\nprodukte ein entsprechendes anerkanntes\nZertifikat vorlegen?“\nbbb) Nummer 15 wird wie folgt gefasst:\n„15. Authen- Sofern Informationen zur Identität oder Die digitale\ntisierung Authentizität der die digitale Gesundheits- Gesundheits-\nanwendung nutzenden Person oder zur anwendung\nAuthentizität von Komponenten der digitalen nutzt keine\nGesundheitsanwendung über dedizierte Sit- Sessions.“\nzungen („Sessions“) zwischen Komponenten\nder digitalen Gesundheitsanwendung geteilt\nwerden:\n– Werden alle Sitzungsdaten sowohl beim\nAustausch als auch bei der Speicherung\nmit technischen Maßnahmen, die dem\nSchutzbedarf der digitalen Gesundheits-\nanwendung angemessenen, sind geschützt\nund werden ggf. genutzte Session-IDs zu-\nfällig, mit ausreichender Entropie und über\netablierte Verfahren erzeugt?\n– Werden alle in einer Instanz einer digitalen\nGesundheitsanwendung aufgebauten Sit-\nzungen mit dem Abbruch oder der Be-\nendigung der Nutzung der digitalen Ge-\nsundheitsanwendung invalidiert?\n– Kann die die digitale Gesundheitsanwen-\ndung nutzende Person auch die explizite\nInvalidierung einer Sitzung erzwingen?\n– Besitzen Sitzungen eine maximale Gültig-\nkeitsdauer und werden inaktive oder unter-\nbrochene Sitzungen automatisch nach\neiner bestimmten Zeit invalidiert?\n– Resultiert die Invalidierung einer Sitzung\nim Löschen aller Sitzungsdaten und ist\nsichergestellt, dass eine einmal ungültig\ngewordene Sitzung auch bei Kenntnis ein-\nzelner Sitzungsdaten nicht wieder aktiviert\nwerden kann?","4358 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021\nccc) Folgende Nummer 15a wird eingefügt:\n„15a Authen- Kann die digitale Gesundheitsanwendung bis\ntisierung spätestens zum 1. Januar 2023 eine Authen-\ntisierung von GKV-Versicherten als die die\ndigitale Gesundheitsanwendung nutzenden\nPersonen über die sichere digitale Identität\nnach § 291 Absatz 8 des Fünften Buches\nSozialgesetzbuch unterstützen?“\nbb) In dem Unterabschnitt „Zusatzanforderungen bei digitalen Gesundheitsanwendungen mit sehr hohem\nSchutzbedarf“ wird Nummer 6 gestrichen.\n10. Anlage 2 (Fragebogen gemäß den §§ 5 und 6) wird wie folgt geändert:\na) Der Abschnitt „Interoperabilität“ wie folgt geändert:\naa) Nummer 1 wird wie folgt gefasst:\n„Kann der Versicherte die über digitale Gesundheitsanwendungen\nverarbeiteten Daten in einem interoperablen Format aus der digitalen\nGesundheitsanwendung exportieren?\n1. § 5 Ab- Ja, die über die digitale Gesundheitsanwendung\nsatz 1 verarbeiteten Daten können durch den Versicher-\nund § 6 ten aus der digitalen Gesundheitsanwendung in\neinem interoperablen Format (Syntax und\nSemantik) exportiert und dem Versicherten für\ndie weitere Nutzung bereitgestellt werden. Die\nÜbermittlung nach Satz 1 erfolgt gemäß einer\nFestlegung für die semantische und syntaktische\nInteroperabilität von Daten der elektronischen\nPatientenakte nach § 355 Absatz 2a des Fünften\nBuches Sozialgesetzbuch. Solange eine solche\nFestlegung nicht vorliegt, erfolgt die Übermittlung\nin einem offenen anerkannten internationalen\nStandard oder in einem vom Hersteller offen\ngelegten Profil über einen offenen anerkannten\ninternationalen Standard.“\nbb) In Nummer 2 werden in der Spalte „Anforderung“ die Wörter „spätestens ab dem 1. Januar 2021“\ngestrichen.\ncc) Nummer 3 wird wie folgt gefasst:\n„Verfügt die digitale Gesundheitsanwendung über standardisierte\nSchnittstellen zu persönlichen Medizingeräten?\n3. § 5 Ab- Ja, die digitale Gesundheitsanwendung ist in der Im Rahmen der\nsatz 1 Lage, Daten aus vom Versicherten genutzten bestimmungs-\nund § 6 Medizingeräten der vom Versicherten getragenen gemäßen Nutzung\nSensoren zur Messung und Übertragung von der digitalen\nVitalwerten (Wearables) zu erfassen, und unter- Gesundheitsan-\nstützt hierzu ein offengelegtes und dokumentier- wendung ist nicht\ntes Profil des ISO/IEEE 11073 Standards. Sofern vorgesehen, dass\nein solches geeignetes Profil nicht vorliegt, unter- die digitale\nstützt die digitale Gesundheitsanwendung eine Gesundheits-\nandere offengelegte und dokumentierte Schnitt- anwendung Daten\nstelle (Syntax, Semantik), welche im Interoperabi- mit vom Ver-\nlitätsverzeichnis nach § 385 des Fünften Buches sicherten genutz-\nSozialgesetzbuch empfohlen ist. Sofern eine ten Medizin-\nsolche geeignete Schnittstelle nicht vorliegt, geräten oder mit\nunterstützt die digitale Gesundheitsanwendung vom Versicherten\neine andere offengelegte und dokumentierte getragenen\nSchnittstelle, welche entweder im Interopera- Sensoren zur\nbilitätsverzeichnis nach § 385 des Fünften Messung und\nBuches Sozialgesetzbuch gelistet ist oder für Übertragung von\nwelche vom Hersteller ein entsprechender Antrag Vitalwerten\ngestellt wurde?“ (Wearables) aus-\ntauscht.“","Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 67, ausgegeben zu Bonn am 24. September 2021 4359\ndd) Die bisherige Nummer 4 wird durch die folgende Nummern 4 und 4a ersetzt:\n„Sind die für die Herstellung der Interoperabilität der digitalen Ge-\nsundheitsanwendung genutzten Standards und Profile veröffentlicht\nund können diskriminierungsfrei genutzt werden?\n4. § 5 Ab- Ja, die für die Herstellung der Interoperabilität\nsatz 1 der digitalen Gesundheitsanwendung genutzten\nund § 6 Standards und Profile sind vollständig veröffent-\nlicht, auf der Anwendungswebseite verlinkt, kön-\nnen diskriminierungsfrei genutzt und von Dritten\nin ihren Systemen implementiert werden.\n4a. §6 Ja, sofern der Hersteller eigene Profilierungen Der Hersteller\nvorgenommen hat, sind diese in einem anerkann- hat keine eigenen\nten Verzeichnis veröffentlicht. Profilierungen\nvorgenommen.“\nee) Folgende Nummer 5 wird angefügt:\n„Bietet die digitale Gesundheitsanwendung dem Versicherten ge-\neignete Möglichkeiten für die Datenübertragung in die elektronische\nPatientenakte?\n5. § 6a Ja, die digitale Gesundheitsanwendung ermög-\nlicht es dem Versicherten ab dem 1. Januar 2023,\ndie von der digitalen Gesundheitsanwendung\nverarbeiteten Daten mit seiner Einwilligung jeder-\nzeit in seine elektronische Patientenakte zu über-\nmitteln. Zudem bietet die digitale Gesundheitsan-\nwendung dem Nutzer die Möglichkeit einer regel-\nmäßigen, automatisierten Übermittlung der von\nder digitalen Gesundheitsanwendung verarbeite-\nten Daten von der digitalen Gesundheitsanwen-\ndung in die elektronische Patientenakte. Der\nHersteller ermöglicht dem Nutzer eine an den\nbestimmungsgemäßen Gebrauch der digitalen\nGesundheitsanwendung sowie an den Ver-\nsorgungskontext angepasste Konfiguration der\nregelmäßigen automatisierten Übermittlung. Der\nHersteller beendet die Datenübertragung in die\nelektronische Patientenakte, sobald der Verord-\nnungszeitraum und damit die Nutzung der digita-\nlen Gesundheitsanwendung zu Lasten der ge-\nsetzlichen Krankenversicherung beendet ist, und\nweist den Versicherten vorab sowie zum ent-\nsprechenden Zeitpunkt darauf hin.“\nb) In dem Abschnitt „Nutzerfreundlichkeit und Barrierefreiheit“ werden in Nummer 3 in der Spalte „Anforde-\nrung“ die Wörter „spätestens ab dem 1. Januar 2021“ gestrichen.\nArtikel 2\nInkrafttreten\nDiese Verordnung tritt am 1. Oktober 2021 in Kraft.\nBonn, den 22. September 2021\nDer Bundesminister für Gesundheit\nJens Spahn"]}