(1) 1Das Bundesinstitut für Arzneimittel und Medizinprodukte kann von dem Hersteller die Vorlage von Zertifikaten verlangen, die die Erfüllung der Anforderungen nach den §§ 4 bis 6 bestätigen, sofern entsprechende Zertifikate aufgrund von Sicherheits-, Qualitäts- oder Umweltnormen vorgesehen sind oder sonstige anerkannte Zertifikate zum Nachweis der Anforderungen nach den §§ 4 bis 6 geeignet sind. 2Das nach Satz 1 vorzulegende Zertifikat darf zum Zeitpunkt der Übermittlung an das Bundesinstitut für Arzneimittel und Medizinprodukte nicht älter als zwölf Monate sein. 3Mit der Vorlage eines entsprechenden Zertifikates gilt der Nachweis der in dem Zertifikat bestätigten Anforderung nach § 4 bis 6 grundsätzlich als erbracht. 4§ 3 Absatz 2 gilt entsprechend.
(2) 1Der Nachweis nach Absatz 1 erfolgt unter Vorlage eines Zertifikates einer nach den Vorgaben der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30) für diese Tätigkeit akkreditierten Zertifizierungsstelle. 2Die Zertifizierungsstelle muss für Zertifizierungen nach § 4 zusätzlich nach § 39 des Bundesdatenschutzgesetzes akkreditiert und zugelassen sein. 3Das Bundesinstitut für Arzneimittel und Medizinprodukte darf auf seinen Internetseiten bekannt machen, welche Zertifikate geeignet sind, die Erfüllung der Anforderungen nach den §§ 4 bis 6 zu belegen.
(3) 1Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit die Vorlage von Berichten über die Durchführung von Penetrationstests oder die Vorlage von Sicherheitsgutachten über die Komponenten und Dienste der digitalen Gesundheitsanwendung verlangen. 2Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit spätestens ab dem 1. April 2022 [Bis 30.09.2021: 1. Januar 2022] zudem die Vorlage eines geeigneten Zertifikats oder Nachweises über ein Informationssicherheitsmanagement verlangen. 3Ab dem 1. Januar 2024 [Bis 28.12.2022: 1. Januar 2023] ist die Erfüllung der Anforderungen an die Datensicherheit durch ein Zertifikat des Bundesamts für Sicherheit in der Informationstechnik nach § 139e Absatz 10 des Fünften Buches Sozialgesetzbuch nachzuweisen. 4Die Verpflichtung nach Satz 2 und 3 [Bis 30.09.2021: Satz 3] gilt sowohl für Hersteller digitaler Gesundheitsanwendungen, deren digitale Gesundheitsanwendung bereits in das Verzeichnis für digitale Gesundheitsanwendungen aufgenommen wurde, als auch für Hersteller, die die Aufnahme einer digitalen Gesundheitsanwendung in das Verzeichnis für digitale Gesundheitsanwendungen erstmalig beantragen; im erstgenannten Fall ist der Nachweis im Verfahren nach § 139e Absatz 6 Satz 1 des Fünften Buches Sozialgesetzbuch zu erbringen.
(3) Insbesondere kann das Bundesinstitut für Arzneimittel zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit spätestens ab dem 1. Januar 2022 von dem Hersteller der digitalen Gesundheitsanwendung die Vorlage geeigneter Zertifikate oder Nachweise verlangen.
(4) 1Das Bundesinstitut für Arzneimittel und Medizinprodukte kann zum Nachweis der Erfüllung der Anforderungen an den Datenschutz spätestens ab dem 1. August 2024 [Bis 28.12.2022: 1. April 2023] die Vorlage eines Zertifikats nach § 139e Absatz 11 Satz 2 des Fünften Buches Sozialgesetzbuch verlangen. 2Die Verpflichtung nach Satz 1 gilt sowohl für Hersteller digitaler Gesundheitsanwendungen, deren digitale Gesundheitsanwendung bereits in das Verzeichnis für digitale Gesundheitsanwendungen aufgenommen wurde, als auch für Hersteller, die die Aufnahme einer digitalen Gesundheitsanwendung in das Verzeichnis für digitale Gesundheitsanwendungen erstmalig beantragen; im erstgenannten Fall ist der Nachweis im Verfahren nach § 139e Absatz 6 Satz 1 des Fünften Buches Sozialgesetzbuch zu erbringen.