Hinweis: Zum jetzigen Zeitpunkt gibt es noch keine akkreditierten Zertifizierstellen zur Durchführung einer Zertifizierung gemäß der Datenschutzkriterien nach § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI. Die Prozesse hierfür sind gegenwärtig noch in Arbeit und es wird erst dann die Vorlage eines Zertifikats eingefordert werden, wenn dies technisch und organisatorisch möglich ist. Sobald hier konkretere Zeiträume genannt werden können, werden diese auf der Webseite des BfArM veröffentlicht. Bis dahin gelten nach Abstimmung mit dem BfDI weiterhin die in § 4 und der Anlage 1 der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) genannten Anforderungen an den Datenschutz. Es wird allerdings empfohlen, sich bereits mit den veröffentlichten Datenschutzkriterien auseinanderzusetzen.
Das BfArM hat die Prüfkriterien für die Anforderungen an den Datenschutz bei digitalen Gesundheitsanwendungen (DiGA) und digitalen Pflegeanwendungen (DiPA) im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aktualisiert. Diese Kriterien werden künftig Grundlage für neue Zertifikate sein, mit denen Hersteller von Gesundheits- und Pflegeanwendungen nachweisen, dass ihre Anwendungen datenschutzkonform sind. Diese umfassen sowohl die Anforderungen der europäischen Datenschutz-Grundverordnung als auch die erweiterten Anforderungen für DiGA und DiPA.
Seit rund drei Jahren können in Deutschland DiGA von Ärztinnen und Ärzten sowie Psychotherapeutinnen und Psychotherapeuten verschrieben und von den gesetzlichen Krankenkassen erstattet werden. Damit Patientinnen und Patienten solche Anwendungen sicher nutzen können, werden sie vom BfArM u. a. auf die Einhaltung der Datenschutzanforderungen geprüft. Wenn dabei Mängel auffallen, müssen die Hersteller nachbessern. Mit der Ersten Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung (1. DiGAVÄndV) und der Änderung des § 139e Fünftes Buch Sozialgesetzbuch (SGB V) hat der Gesetzgeber erweiterte Regelungen geschaffen, welche künftig eine noch intensivere Prüfung und die Vorlage eines Datenschutzzertifikats vorsehen.
Das BfArM ist europaweit eine der ersten Behörden, die ein spezielles Datenschutzzertifikat entwickeln und so die Rechte von Patientinnen und Patienten mit Blick auf den Datenschutz gezielt stärken. Die Zertifizierung erfolgt zukünftig durch eine akkreditierte Stelle. Nach erfolgreicher Umsetzung, Prüfung und Auditierung wird das Zertifikat ausgestellt und dem BfArM vorgelegt, wenn DiGA-Hersteller die Aufnahmen ins DiGA-Verzeichnis bzw. DiPA-Hersteller die Aufnahme ins DiPA-Verzeichnis beantragen.
In die Umsetzung der gesetzlichen Regelungen in konkrete Prüfkriterien hatte das BfArM auch den BfDI und das BSI eingebunden. Im Rahmen des innerdeutschen sowie europäischen Abstimmungsprozesses können sich noch Änderungen der Prüfkriterien ergeben. Konkretisierungen der Prüfkriterien und die dazugehörigen Prüfmethoden werden separat, innerhalb des Prüfprogramms, welches sich derzeit noch in der Erstellung befindet, festgelegt.
Achtung: Das Zertifikat befindet sich weiterhin in der Entwicklung. Daher sind weitere Änderungen an den Prüfkriterien möglich.