Rz. 35
Das BfArM legt im Einvernehmen mit dem BfDI und im Benehmen mit dem BSI erstmals bis zum 31.3.2022 und dann i. d. R. jährlich die Kriterien fest, nach denen der Nachweis nach Abs. 2 Satz 2 Nr. 2 zu prüfen ist (Satz 1). Der Nachweis ist ab dem 1.8.2024 durch ein Zertifikat nach Art. 42 der Verordnung (EU) 679/2016 zu führen (Satz 2). Die Frist wird vor dem Hintergrund der hohen Komplexität der Festlegungen und des erforderlichen Zeitbedarfs zur Einrichtung der Prüfverfahren und -prozesse angepasst (BT-Drs. 20/4708 S. 106). Für die Zeit der Verlängerung wird weiterhin anhand der bestehenden Vorgaben und Verfahren nach Maßgabe der DiGAV geprüft (BT-Drs. 20/3876 S. 49).
Rz. 36
Hersteller digitaler Gesundheitsanwendungen weisen die Erfüllung der datenschutzrechtlichen Anforderungen gemäß § 139e Abs. 2 Satz 2 Nr. 2 derzeit durch eine Selbsterklärung nach Anlage 1 zur DiGAV nach. Bisher haben es Akteure am Markt versäumt, etwa aufgrund von Verhaltensregeln nach Art. 40 der Verordnung (EU) 2016/679 die Voraussetzung für die Einführung von Verfahren zur Zertifizierung der Erfüllung datenschutzrechtlicher Vorgaben durch digitale Versorgungsprodukte zu schaffen, deren Vorlage das BfArM nach § 7 Abs. 1 DiGAV verlangen könnte. Zugleich standen bisher keine Stellen nach Art. 42 und 43 der Verordnung (EU) 2016/679 und nach § 39 BDSG zur Verfügung, die geeignete Prüfverfahren bereitstellen. Deswegen wird das BfArM beauftragt, im Einvernehmen mit dem BfDI sowie im Benehmen mit dem BSI Prüfkriterien zu erarbeiten. Die zu erarbeitenden Prüfkriterien sollen die geltenden abstrakten datenschutzrechtlichen Anforderungen etwa der Verordnung (EU) 2016/679 und des § 4 DiGAV in anwendungsgerechte Prüfungspunkte übersetzen. Durch die Beteiligung des BSI wird gewährleistet, dass inhaltliche Überschneidungen oder Widersprüche zu den nach § 139e Abs. 10 festzulegenden Anforderungen vermieden werden. Die Festlegung der Prüfkriterien erfolgt erstmalig bis zum 31.3.2022. Eine Aktualisierung hat im Hinblick auf die Fortentwicklung der rechtlichen und technischen Rahmenbedingungen i. d. R. jährlich zu erfolgen. Ausnahmsweise kann dabei auch eine unterjährige Anpassung erforderlich sein, wenn etwa aufgrund geänderter Rechtsprechung oder datenschutzrechtlicher Vorfälle Anpassungen veranlasst sind.
Es wird davon ausgegangen, dass Stellen i. S. d. Art. 42 und 43 der Verordnung (EU) 2016/679 und des § 39 BDSG auf Grundlage der festgelegten Prüfkriterien Prüfprogramme entwickeln und Verfahren zur Zertifizierung der Erfüllung datenschutzrechtlicher Anforderungen durch digitale Gesundheitsanwendungen bereitstellen. Sofern diese Verfahren zur Verfügung stehen, erfolgt am 1.4.2023 eine Ablösung der bisherigen Verfahren der Selbsterklärung durch das in Abs. 11 vorgesehene Nachweisverfahren. Der Nachweis der Erfüllung der datenschutzrechtlichen Anforderungen nach § 139e Abs. 2 Satz 2 Nr. 2 ist ab diesem Zeitpunkt unter Verwendung eines Zertifikates zu führen.
Im Übrigen bleibt es Kostenträgern, die digitale Versorgungsangebote etwa im Wege von Leistungen nach § 20 oder § 140a zur Verfügung stellen, unbenommen, in den maßgeblichen Regelwerken die in Abs. 11 vorgesehenen Anforderungen und Verfahren an den Nachweis der Erfüllung der Anforderungen an den Datenschutz im Rahmen der Leistungserbringung zu nutzen (BT-Drs. 19/29384 S. 195 f.).