(1) Digitale Pflegeanwendungen müssen die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten.
(2) Digitale Pflegeanwendungen müssen zudem
- 1.
die nach § 78a Absatz 7 des Elften Buches Sozialgesetzbuch vom Bundesamt für Sicherheit in der Informationstechnik festgelegten Anforderungen an die Datensicherheit erfüllen und
- 2.
die von dem Bundesinstitut für Arzneimittel und Medizinprodukte nach § 78a Absatz 8 des Elften Buches Sozialgesetzbuch festgelegten Prüfkriterien für die von digitalen Pflegeanwendungen nachzuweisenden Anforderungen an den Datenschutz umsetzen.
(3) Die personenbezogenen Daten, die im Rahmen der Nutzung einer digitalen Pflegeanwendung und der sie erforderlichenfalls ergänzenden Unterstützungsleistungen verarbeitet werden, dürfen nur aufgrund einer Einwilligung nach Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1) und ausschließlich zu den folgenden Zwecken verarbeitet werden:
- 1.
zur Gewährung und Erbringung der ergänzenden Unterstützungsleistungen nach § 39a des Elften Buches Sozialgesetzbuch sowie der bestimmungsgemäßen Versorgung mit der digitalen Pflegeanwendung nach § 40a des Elften Buches Sozialgesetzbuch,
- 2.
zur dauerhaften Gewährleistung der Sicherheit, Funktionstauglichkeit, der altersgerechten Nutzbarkeit und der qualitätsorientierten Weiterentwicklung der Versorgung mit der digitalen Pflegeanwendung.
Die Einwilligung zu der Datenverarbeitung nach Satz 1 Nummer 2 ist getrennt von einer Einwilligung in die Datenverarbeitung für Zwecke nach Satz 1 Nummer 1 einzuholen. Soweit die Verarbeitung personenbezogener Daten Dritter, die eine ergänzende Unterstützungsleistung erbringen, nicht besondere Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 zum Gegenstand hat, darf die Verarbeitung nur aufgrund einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 und zu den Zwecken nach Satz 1 Nummer 1 und 2 erfolgen. Für die Einwilligung nach Satz 3 gelten die Anforderungen von Satz 2 entsprechend. Gesetzliche Datenverarbeitungsbefugnisse bleiben unberührt.
(4) Die Verarbeitung personenbezogener Daten zu den Zwecken nach Absatz 3 Satz 1 darf im Rahmen der Versorgung mit einer digitalen Pflegeanwendung oder sie erforderlichenfalls ergänzenden Unterstützungsleistungen durch die digitale Pflegeanwendung selbst sowie bei einer Verarbeitung personenbezogener Daten im Auftrag nur im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen.
(5) Eine Verarbeitung personenbezogener Daten zu anderen als den in Absatz 3 Satz 1 genannten Zwecken, insbesondere zu Werbezwecken, ist ausgeschlossen; Absatz 3 Satz 5 gilt entsprechend.