§ 4 DiGAV, Anforderungen an Datenschutz und Datensicherheit

(1) Digitale Gesundheitsanwendungen müssen die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten.

(2) 1 Im Rahmen einer digitalen Gesundheitsanwendung dürfen personenbezogene Daten nur aufgrund einer Einwilligung der Versicherten nach Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. 4. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) (Datenschutz-Grundverordnung) (ABl. L 119 vom 4. 5. 2016, S. 1) und ausschließlich zu den folgenden Zwecken verarbeitet werden:

• 1. zu dem bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die Nutzer,
• 2. zu dem Nachweis positiver Versorgungseffekte im Rahmen einer Erprobung nach § 139e Absatz 4 SGB V,
• 3. zu der Nachweisführung der Vereinbarungen nach § 134 Absatz 1 Satz 3 SGB V,

Nummer 3 geändert durch G vom 22. 3. 2024 (BGBl. 2024 I Nr. 101) (26. 3. 2024).

• 4. zu der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der digitalen Gesundheitsanwendung.

(3) Die Verarbeitung von personenbezogenen Daten zu den Zwecken nach Absatz 2 darf im Rahmen einer digitalen Gesundheitsanwendung durch die digitale Gesundheitsanwendung selbst sowie bei einer Verarbeitung personenbezogener Daten im Auftrag nur im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 SGB I gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen.

Absatz 3 geändert durch V vom 22. 9. 2021 (BGBl. I S. 4355).

(4) 1 Eine Verarbeitung von personenbezogenen Daten zu anderen als den in Absatz 2 Satz 1 genannten Zwecken, insbesondere zu Werbezwecken, ist ausgeschlossen. 2 Die Befugnis zur Datenverarbeitung nach anderen Vorschriften nach Absatz 2 Satz 3 bleibt unberührt.

(5) Der Hersteller digitaler Gesundheitsanwendungen verpflichtet alle für ihn tätigen Personen, die Zugang zu personenbezogenen Daten der Versicherten haben, auf Verschwiegenheit.

(6) 1 Das Nähere zu den Anforderungen nach den vorstehenden Absätzen bestimmt sich nach Anlage 1. 2 Der Hersteller fügt seinem Antrag die Erklärung nach Anlage 1 bei. 3 Erweisen sich die Vorgaben der Anlage 1 im Hinblick auf die Eigenschaften der digitalen Gesundheitsanwendung als ungeeignet, kann die digitale Gesundheitsanwendung im Einzelfall von den Vorgaben der Anlage 1 abweichen, wenn die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik durch eine abweichende Umsetzung gleichermaßen umgesetzt werden. 4 In seinem Antrag legt der Hersteller die Abweichung von den Vorgaben der Anlage 1 dar und begründet diese.

(7) Ab dem 1. 1. 2025 müssen digitale Gesundheitsanwendungen abweichend von den Anforderungen an die Datensicherheit nach Absatz 6 die von dem Bundesamt für Sicherheit in der Informationstechnik nach § 139e Absatz 10 SGB V festgelegten Anforderungen an die Datensicherheit erfüllen.

Absatz 7 angefügt durch G vom 3. 6. 2021 (BGBl. I S. 1309), geändert durch G vom 20. 12. 2022 (BGBl. I S. 2793).

(8) Ab dem 1. 8. 2024 müssen digitale Gesundheitsanwendungen, abweichend von den Anforderungen an den Datenschutz nach Absatz 6, die von dem Bundesinstitut für Arzneimittel und Medizinprodukte nach § 139e Absatz 11 SGB V festgelegten Prüfkriterien für die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an den Datenschutz umsetzen.

Absatz 8 angefügt durch V vom 22. 9. 2021 (BGBl. I S. 4355), geändert durch G vom 20. 12. 2022 (BGBl. I S. 2793).