Mit dem Digitale-Versorgung-Gesetz (DVG) soll die Gesundheitsfürsorge ins 21. Jahrhundert katapultiert werden. Nun können online Anwendungen und Gesundheits-Apps nicht nur verschrieben, sondern auch von der Krankenkasse erstattet werden. Aber was sagt der Datenschutz zu hoch sensiblen Gesundheitsdaten, die in Apps erhoben werden?
Digitale Gesundheitsanwendungen und das DiGA-Verzeichnis
Eine App, die gezielt Rückenschule für Bandscheibenvorfälle anbietet oder Yoga für Übergewichtige – das sind nur zwei Beispiele für DiGA, also digitale Gesundheitsanwendungen, auch Apps auf Rezept genannt. Durch das sog. Digitale-Versorgung-Gesetz können Apps, die nicht nur der Regeneration, sondern auch der Gesundheitsprophylaxe dienen, von Ärzt:innen verschrieben und von Patient:innen über die Krankenkasse abgerechnet werden. Bis es so weit ist, müssen die Apps aber vorher die DiGA-Zulassung des Bundesamts für Arzneimittel und Medizinprodukte erhalten. Zentral für diese Zulassung sind nicht nur Punkte wie der Nachweis des sogenannten positiven Versorgungseffekts, sondern vor allem auch die Sicherheit der erhobenen personenbezogenen Daten.
Da sich die Apps oftmals sehr speziellen Themengebieten widmen (wie depressiven Phasen, Tinnitus-Erkrankungen oder der Migräne-Therapie), sind die Daten, die dort eingespeist werden müssen, damit die Apps richtig funktionieren, ebenso speziell und damit sensibel. Die Rede ist von sog. Gesundheitsdaten, die nach Art. 9 DSGVO eine besonders schützenswerte Kategorie der personenbezogenen Daten darstellen.
Bisher wurden im sog. DiGA-Verzeichnis des Bundesamts für Arzneimittel und Medizinprodukte (BfArM) nur knapp über zehn dieser Anwendungen überhaupt zugelassen – davon acht bisher nur vorläufig – denn die Hürden für die Anerkennung sind hoch: Neben Qualitäts- und Sicherheitsstandards müssen insbesondere die bereits angesprochenen datenschutzrechtlichen Aspekte der online Anwendungen stimmen. Die Nachfrage für die Zertifizierung ist hoch: Mehr als 500 Anträge warten laut offizieller Seite bereits auf eine Zulassung.
Datenschutz im Gesundheitsbereich
In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird. Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert.
Digitale Gesundheitsanwendungen & Datenschutz
Einer der Dreh- und Angelpunkte bei den digitalen Gesundheitsanwendungen ist der Gedanke des gesteigerten Versorgungseffekts, also dass medizinische Versorgung überall dort, wo auch das Internet hin reicht, ankommen soll – „prozedural und strukturell positive Versorgungseffekte“ verspricht das BfArM im knapp 140 Seiten langen Leitfaden. In diesem werden auch die Datensicherheit und die geforderten Datensicherheitskonzepte thematisiert. Definiert werden:
Die Art der zu verarbeitenden Daten, deren Schutzstufen und der jeweilige Schutzbedarf
Die Zwecke für die Einwilligung der Datenverarbeitung sowie
Die erlaubten Standorte der Datenverarbeitung.
Bei den letzten beiden Punkten gibt es jeweils Zusätze, die die Regelungen der DSGVO ergänzen. So sind Ausnahmen bei der Datenverarbeitung durch andere gesetzliche Regelungen zulässig, etwa bei der Abrechnung mit der Krankenkasse (vgl. §302 SGB V). Dieser Tatsache sollten sich sowohl Entwickler:innen der App als auch Anwender:innen bewusst sein – die eingegeben Daten können u.a. an die Krankenkasse weitergegeben werden.
Auch dem letzten Punkt, dem Standort der Datenverarbeitung, sollte ein genaues Augenmerk geschenkt werden: So ist es zulässig, die mit der App erhobenen Daten auch außerhalb der EU und somit außerhalb des Wirkungsbereichs der DSGVO zu speichern, wenn es ein entsprechendes Datenschutz-Abkommen gibt, wie etwa mit der Schweiz. Allerdings wird hier auch noch das bereits gekippte EU-US Privacy Shield genannt, für das es noch immer kein Folgeabkommen gibt. Im Zweifelsfall sollten Anwender:innen von DiGA, die den Datenschutz ernst nehmen, darauf achten, dass die gewünschte App die Daten nicht ins außereuropäische Ausland transferiert. Für die Hersteller:innen von DiGA-Apps bedeutet es wiederum, den Datenschutz nicht nur für das Prüfungsverfahren, sondern auch darüber hinaus mit zu denken: Der Speicherort für sensible Daten ist enorm wichtig und läuft bei Orten, die nicht im Anwendungsbereich der DSGVO liegen Gefahr, durch gekippte Abkommen als unsicher eigenstuft zu werden.
Datenschutzkonforme DiGA- Apps: Welche Datenschutz- und Informationssicherheitskriterien müssen erfüllt werden?
Neben dem Datenschutz bei den digitalen Gesundheitsanwendungen spielen auch die Informationssicherheitskriterien eine wichtige Rolle. Abseits der Grundsätze für die Verarbeitung von personenbezogenen Daten nach Art. 5 DSGVO (Vertraulichkeit, Integrität und Sicherheit) richten sie sich weitgehend nach den Vorgaben des BSI (Bundesamts für Sicherheit und Informationstechnik). Sie gliedern sich in zwei Bereiche:
Basisanforderungen: Diese sind für alle digitalen Gesundheitsanforderungen notwendig.
Zusatzanforderungen: Diese gelten bei Daten mit sehr hohem Schutzbedarf, bei denen laut Leitfaden „der Schutz personenbezogener Daten unbedingt gewährleistet sein muss. Anderenfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen.“ Um diese Daten zu sichern sind u. a. Maßnahmen wie Zwei-Faktor-Authentifizierungen oder Penetrationstests vorgeschrieben.
Für eine digitale Gesundheitsanwendung ist der Datenschutz also nicht nur für die Zulassung, sondern vor allem auch in der weiteren Anwendung eine Erfüllung der Datenschutz- und Informationssicherheitskriterien wichtig. Dies sollte von Entwickler:innen berücksichtigt werden, denn für die Anwender:innen spielen diese Punkte eine immer wichtigere Rolle. Schließlich werden DiGA-Apps intimste Daten anvertraut.
Autorin: Kathrin Strauß
Artikel veröffentlicht: 26.04.2021