Rz. 32
Das BSI legt im Einvernehmen mit dem BfArM und im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstmals bis zum 1.1.2024 und dann i. d. R. jährlich die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an die Datensicherheit (Abs. 2 Satz 2 Nr. 2) fest (Satz 1). Neben den Vorgaben der DiGAV hat das BSI eine technische Richtlinie (TR 03161) erarbeitet und darin Sicherheitsanforderungen an digitale Gesundheitsanwendungen definiert. Die Erfüllung der Anforderungen der technischen Richtlinie ist dabei keine Voraussetzung für die Aufnahme einer digitalen Gesundheitsanwendung, da maßgeblich hierfür ausschließlich die Vorgaben der DiGAV sind. Einer parallelen Anwendung beider Regelwerke steht zudem entgegen, dass die Regelungen der technischen Richtlinie die besonderen Eigenschaften digitaler Gesundheitsanwendungen nur unvollständig erfassen. Um die beständige Aktualisierung der Datensicherheitsanforderungen im Hinblick auf den im Wandel begriffenen Stand der Technik zu gewährleisten und gleichzeitig die Bedürfnisse und Eigenschaften digitaler Gesundheitsanwendungen bei den Festlegungen vollumfänglich berücksichtigen zu können, werden diese zukünftig vom BSI und vom BfArM gemeinsam und im Einvernehmen mit dem BfDI getroffen. Eine Aktualisierung der Anforderungen soll dabei i. d. R. im Jahresrhythmus erfolgen. Sollten bisher unbekannte Bedrohungs- und Angriffsszenarien unterjährig bekanntwerden, kann ausnahmsweise eine kurzfristige Aktualisierung geboten sein (BT-Drs. 19/27652 S. 109).
Rz. 33
Das BSI bietet ab dem 1.6.2024 Verfahren zur Prüfung der Einhaltung der Anforderungen nach Satz 1 sowie Verfahren zur Bestätigung der Einhaltung der Anforderungen nach Satz 1 durch entsprechende Zertifikate an (Satz 2). Die Festlegungen sind so zu gestalten, dass auch Verfahren zum Umgang mit Fremdsoftware und Bibliotheken berücksichtigt werden. Die Festlegungen können Grundlage eines beim BSI einzurichtenden Zertifizierungsverfahrens sein und die Selbsterklärung nach der DiGAV perspektivisch ersetzen. Dabei gilt es Prozesse zu definieren, die die Datensicherheit umfassend gewährleisten, zugleich aber auch der kleinteiligen Anbieterstruktur und der begrenzten finanziellen Leistungsfähigkeit der Hersteller Rechnung tragen. Bis entsprechende Nachweise in Form von Zertifikaten vorliegen, kann das BfArM nach den Regelungen der DiGAV auch die Vorlage von Prüfberichten zu Penetrationstests oder Sicherheitsgutachten unabhängiger Dritter verlangen, die die Sicherheit der digitalen Gesundheitsanwendungen einschließlich aller Backend-Komponenten und Dienste umfassen (BT-Drs. 19/27652 S. 109).
Rz. 34
Der Nachweis nach Satz 1 ist spätestens ab dem 1.1.2025 durch ein Zertifikat nach Satz 2 zu führen (Satz 3).
Rz. 34a
Alle Fristen des Absatzes werden vor dem Hintergrund der hohen Komplexität der Festlegungen und des erforderlichen Zeitbedarfs zur Einrichtung der Prüfverfahren und -prozesse angepasst (BT-Drs. 20/4708 S. 106). Für die Zeit der Verlängerung wird weiterhin anhand der bestehenden Vorgaben und Verfahren nach Maßgabe der DiGAV geprüft (BT-Drs. 20/3876 S. 49).
Rz. 34b
Der Versicherte kann in ein Authentifizierungsverfahrens einwilligen, das einem niedrigeren Sicherheitsniveau entspricht (Satz 4). Dem hat eine ausführliche Beratung voranzugehen. Die Regelungen sollen dem Versicherten niedrigschwellige Authentifizierungsverfahren ermöglichen (BT-Drs. 20/9048 S. 97). Im Rahmen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) ist es möglich, bestimmte, regelmäßig vorzuhaltende technische und organisatorische Maßnahmen zur Umsetzung der Datensicherheit nach Art. 32 DSGVO auf den ausdrücklichen Wunsch der betroffenen Person hin ihr gegenüber im Einzelfall in vertretbarem Umfang nicht anzuwenden. Diese Reduzierung der technischen und organisatorischen Maßnahmen muss dabei freiwillig und eigeninitiativ erfolgen, wobei die betroffene Person in verständlicher Art und Weise über den Umstand der Absenkung der Datensicherheit und deren Konsequenzen informiert sein muss. Die Freiwilligkeit muss gewährleistet sein, indem immer auch ein Authentifizierungsverfahren zur Verfügung gestellt wird, das einen hohen Sicherheitsstandard erfüllt. Das BSI sieht bei den Festlegungen nach Satz 1 vor, dass versichertenalternativ zu Verfahren mit hohem Sicherheitsstandard auch andere Verfahren mit einem angemessenen niedrigeren Sicherheitsstandard angeboten werden. Der Versicherte ist zuvor umfassend über die Besonderheiten des alternativen technischen Verfahrens und die dabei eventuell auftretenden Gefährdungen zu informieren. Er hat schriftlich oder elektronisch zu erklären, dieses Verfahren nutzen zu wollen. Ziel der Regelung ist es, Versicherten unabhängig von der technischen Ausstattung ihrer Endgeräte Authenti...