(1) Digitale Pflegeanwendungen müssen die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten.
(2) Digitale Pflegeanwendungen müssen zudem
2. |
die von dem Bundesinstitut für Arzneimittel und Medizinprodukte nach § 78a Absatz 8 des Elften Buches Sozialgesetzbuch festgelegten Prüfkriterien für die von digitalen Pflegeanwendungen nachzuweisenden Anforderungen an den Datenschutz umsetzen. |
(3) Die personenbezogenen Daten, die im Rahmen der Nutzung einer digitalen Pflegeanwendung und der sie erforderlichenfalls ergänzenden Unterstützungsleistungen verarbeitet werden, dürfen nur aufgrund einer Einwilligung nach Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1) und ausschließlich zu den folgenden Zwecken verarbeitet werden:
2. |
zur dauerhaften Gewährleistung der Sicherheit, Funktionstauglichkeit, der altersgerechten Nutzbarkeit und der qualitätsorientierten Weiterentwicklung der Versorgung mit der digitalen Pflegeanwendung. |
1Die Einwilligung zu der Datenverarbeitung nach Satz 1 Nummer 2 ist getrennt von einer Einwilligung in die Datenverarbeitung für Zwecke nach Satz 1 Nummer 1 einzuholen. 2Soweit die Verarbeitung personenbezogener Daten Dritter, die eine ergänzende Unterstützungsleistung erbringen, nicht besondere Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zum Gegenstand hat, darf die Verarbeitung nur aufgrund einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 und zu den Zwecken nach Satz 1 Nummer 1 und 2 erfolgen. 3Für die Einwilligung nach Satz 3 gelten die Anforderungen von Satz 2 entsprechend. 4Gesetzliche Datenverarbeitungsbefugnisse bleiben unberührt.
(4) Die Verarbeitung personenbezogener Daten zu den Zwecken nach Absatz 3 Satz 1 darf im Rahmen der Versorgung mit einer digitalen Pflegeanwendung oder sie erforderlichenfalls ergänzenden Unterstützungsleistungen durch die digitale Pflegeanwendung selbst sowie bei einer Verarbeitung personenbezogener Daten im Auftrag nur im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen.
(5) Eine Verarbeitung personenbezogener Daten zu anderen als den in Absatz 3 Satz 1 genannten Zwecken, insbesondere zu Werbezwecken, ist ausgeschlossen; Absatz 3 Satz 5 gilt entsprechend.