Symbolbild für digitale Gesundheitsanwendungen

Digitale Gesundheitsanwendungen und Datenschutz: Darauf kommt es an

Digitale Gesundheitsanwendungen (DiGA) sind eine Chance für das deutsche Gesundheitssystem, denn gerade das Gesundheitswesen steht vor großen Herausforderungen. Alles über die Anforderungen an den Datenschutz digitaler Gesundheitsanwendungen erfahren Sie in diesem Artikel. 

2023-01-30

Logo

Digitale Gesundheitsanwendungen und Datenschutz: Darauf kommt es an

Digitale Gesundheitsanwendungen (DiGA) sind eine Chance für das deutsche Gesundheitssystem, denn gerade das Gesundheitswesen steht vor großen Herausforderungen. Finanzielle Belastungen, zunehmende psychische Erkrankungen, demografischer Wandel und Landflucht erhöhen zunehmend den Druck auf das Gesundheitssystem in Deutschland.

Auch die Politik hat erkannt, dass hier die Digitalisierung unterstützen kann. Dies birgt allerdings auch Risiken für den Datenschutz. Gerade gesundheitsbezogene Daten müssen bei der digitalen Verarbeitung bestmöglich geschützt werden. DiGA-Hersteller sind daher darauf angewiesen, zertifizierbaren Normen zu folgen, die sie bei der Umsetzung von Datenschutz und Informationssicherheit unterstützen. Mehr über die Anforderungen an den Datenschutz digitaler Gesundheitsanwendungen erfahren Sie in diesem Artikel. 
 

Sie benötigen Unterstützung?

Egal ob Datenschutz-Software oder externer Datenschutzbeauftragter: Unser Team besteht aus mehr als 80 Datenschutzexperten, die Sie gerne umfassend zum Thema beraten. Gemeinsam machen wir Ihr Unternehmen fit in Sachen Datenschutz! Nehmen Sie jederzeit Kontakt zu uns auf.

Hier mehr erfahren

Das Wichtigste in Kürze 

  • Digitale Gesundheitsanwendungen sind Medizinprodukte, die bei der Diagnose und Therapie von Krankheiten helfen und Patienten bei einer gesundheitsfördernden Lebensweise unterstützen können.
  • Für die sogenannten DiGA gelten die Risikogruppe I und IIa, die besonders strenge Anforderungen an den Datenschutz nach dem DiGAV stellen.
  • Hersteller digitaler Gesundheitsanwendungen müssen ein besonders strenges Verfahren zur Aufnahme in das DiGA-Verzeichnis durchlaufen.
  • Es ist empfehlenswert, sich die Checkliste der DiGAV (Anlagen) genau anzusehen und auch die ISO-Normen 27001 und 27701 zu prüfen.

Was sind digitale Gesundheitsanwendungen?

Digitale Gesundheitsanwendungen sollen bei der Diagnose und Therapie von Krankheiten unterstützen, aber auch eine gesundheitsfördernde und selbstbestimmte Lebensführung fördern. Anders als bei einem persönlichen Gespräch beim Hausarzt sind diese online verfügbar, insbesondere als App auf dem Smartphone oder Tablet (die sogenannte App auf Rezept). Sie sind also eine Art „digitale Helfer“, die Patienten nicht nur beratend unterstützen, sondern zum Teil auch die Diagnose und Therapie übernehmen können.

DiGA werden nach der MDR (EU-Medizinprodukteverordnung) als Medizinprodukte der Risikoklasse I oder IIa eingestuft und unterliegen damit besonders strengen Vorschriften nach der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV).

Folgende Eigenschaften zeichnen eine digitale Gesundheitsanwendung aus:

  • Medizinprodukt der Risikoklasse I oder IIa
  • Hauptanwendungen basieren auf digitalen Technologien
  • Klarer medizinischer Zweck steht im Vordergrund
  • Unterstützung bei der Diagnose, Therapie und Beratung hinsichtlich Krankheiten, Verletzungen oder Behinderungen
  • Ziel ist nicht die Primärprävention
  • Nutzung (auch) von Patienten, nicht ausschließlich vom behandelnden Arzt

Was ist das DiGA-Verzeichnis? 

Das DiGA-Verzeichnis ist eine Auflistung digitaler Gesundheitsanwendungen, die das Prüfverfahren des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) erfolgreich durchlaufen haben und demnach auf dem deutschen Markt zugelassen sind. Ziel des Verzeichnisses ist es, eine vertrauensvolle und transparente Prüfung und Nutzung der Anwendungen durch Ärzte und Patienten zu gewährleisten.

Über die reine Auflistung hinaus werden umfassende Informationen über die DiGA bereitgestellt, wie etwa folgende:

  • Datum der Aufnahme in das Verzeichnis
  • Nachgewiesener positiver Versorgungs-Effekt
  • Vorgelegte Studien beim Prüfverfahren
  • Preise und Vergütungsbeträge
  • Mehrkosten
  • Notwendige ärztliche Leistungen

Zusätzlich werden die DiGA auch nach Funktionen und Anwendungsbereichen gruppiert und gefiltert, sodass Patienten und Leistungserbringer die passende Anwendung für den gewünschten Zweck einfach suchen und filtern können.

Anforderungen des Datenschutzes an digitale Gesundheitsanwendungen

Selbstverständlich gilt auch für digitale Gesundheitsanwendungen der Schutzstandard der DSGVO. Alle Regelungen der DSGVO müssen daher auch hier Anwendung finden. Dazu zählen insbesondere Risikoanalysen, der Grundsatz der Datenminimierung und die strengen Löschfristen.

Allerdings wird der Datenschutz hinsichtlich der DiGA durch die DiGAV noch verschärft und ergänzt, insbesondere für den Zweck und der Rechtsgrundlage der Datenverarbeitung und den Standort, an dem die Daten verarbeitet werden dürfen.

Der Zweck der Datenverarbeitung

Die DSGVO sieht vor, dass Daten nur aus einem legitimen, unternehmerischen Zweck erhoben werden dürfen. Dabei ist auch darauf zu achten, dass der Zweck nicht unwichtiger ist als das Risiko, das durch die Datenerhebung für die betroffenen Personen besteht.

Die DiGAV bestimmt, dass Daten ausschließlich zu den folgenden Zwecken verarbeitet werden dürfen (§ 4 Abs. 2 DiGAV):

  • „zu dem bestimmungsgemäßen Gebrauch der digitalen Gesundheitsanwendung durch die Nutzer,
  • zu dem Nachweis positiver Versorgungseffekte im Rahmen einer Erprobung nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch,
  • zu der Nachweisführung bei Vereinbarungen nach § 134 Absatz 1 Satz 3 des Fünften Buches Sozialgesetzbuch,
  • zu der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der digitalen Gesundheitsanwendung.“

Essenziell ist darüber hinaus, dass es einer ausdrücklichen Einwilligung durch den Nutzer bedarf. Das ist insbesondere dann wichtig, wenn DiGA-Hersteller ihre Leistungen gegenüber einer Krankenkasse abrechnen wollen.

Erlaubte Standorte der Datenverarbeitung

Die DiGAV lässt sich folgendermaßen anwenden:

Die Daten, die von digitalen Gesundheitsanwendungen erhoben werden, dürfen in Deutschland und der gesamten EU, dem europäischen Wirtschaftsraum, der Schweiz und allen Staaten, für die ein Angemessenheitsbeschluss nach der DSGVO vorliegt, gespeichert und verarbeitet werden

Die Anforderungen der DiGAV sind somit strenger als die der Datenschutz-Grundverordnung, da die DSGVO unter besonderen Voraussetzungen eine Verarbeitung in Drittstaaten erlaubt, für denen es keinen Angemessenheitsbeschluss gibt.

Vorgaben zur Informationssicherheit bei DiGA 

Informationssicherheit bedeutet, dass die Vertraulichkeit, Integrität, aber auch die Verfügbarkeit von Daten gesichert wird. Damit geht die Informationssicherheit noch einmal über den eigentlichen Datenschutz hinaus. Sie wird zumeist in zwei Teile geteilt: die Basisanforderungen und die Zusatzanforderungen.

  • Basisanforderungen gelten für alle digitalen Gesundheitsanwendungen und müssen ausnahmslos erfüllt werden.
  • Zusatzanforderungen gelten nur für Gesundheitsanwendungen, für die ein hoher Schutzstandard gilt, also besonders sensible Daten oder riskante Verarbeitungen von Daten.

Zudem müssen alle DiGA-Hersteller selbstverständlich technische und organisatorische Maßnahmen (TOM) in ihrem Unternehmen implementieren, die ein dem Risiko angemessenen Schutz für die betroffenen Daten gewährleisten.

Fazit: Beachten Sie die Checklisten, DSGVO und ISO-Normen

Aufgrund des hohen Schutzstandards für Gesundheitsdaten sind einige Sonderregelungen zu den grundsätzlich geltenden Bestimmungen der DSGVO zu beachten. Es ist daher umso wichtiger, sich mit den Vorschriften vertraut zu machen, um das Prüfverfahren des BfArM erfolgreich zu durchlaufen.

Dabei helfen kann es unter anderem, sich mit den Checklisten (bzw. Anlagen) des DiGAV zu befassen. Hier werden alle Anforderungen thematisch katalogisiert und aufgelistet, sodass ein DiGA-Hersteller diese auf einen Blick finden kann.

Als Unternehmen jeglicher Art empfiehlt es sich darüber hinaus, im eigenen Hause viel Wert auf ausreichenden Datenschutz und Informationssicherheit zu legen. Dabei sollte die DSGVO zu Grunde gelegt werden. Helfen können aber auch die ISO27701 und ISO27001, die Datenschutz- und Informationssicherheitsstandards bieten und für die es auch einzelne zu erwerbende Zertifizierungen gibt.

Sie wollen auf der sicheren Seite sein?

Gerne beraten wir Sie auch zu unserer Datenschutz-Software Proliance 360, welches Ihnen ein Rundum-Sorglos-Paket zur DSGVO liefert. Damit sind Sie nicht nur gut vorbereitet für das entsprechende Prüfverfahren, sondern schützen auch Ihre Kunden und Geschäftspartner vor Datenlecks! Kommen Sie bei Fragen gerne auf uns zu.

Jetzt mehr erfahren

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 30.01.2023

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr