Neues zur Gesundheits-App auf Rezept – das Verzeichnis digitaler Gesundheitsanwendungen (DiGA) ist an den Start gegangen
Claudia Bischoff, LL.M., Bird & Bird LLP Frankfurt am Main
Mit Inkrafttreten des Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation, dem Digitale-Versorgung-Gesetz (DVG) und der damit einhergehenden Änderung und Ergänzung des SGB V haben digitale Gesundheitsanwendungen (DiGA) Einzug in den Leistungskatalog der gesetzlichen Krankenversicherung erhalten und sind nunmehr unter bestimmten Voraussetzungen erstattungsfähig. Voraussetzung für die Erstattungsfähigkeit ist, dass die DiGA in ein vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geführtes Verzeichnis (DiGA-Verzeichnis) aufgenommen wurde. Entscheidend für die Aufnahme in das DiGA-Verzeichnis ist nach § 139e Abs. 2 S. 2 SGB V unter anderem, dass die DiGA „den Anforderungen an den Datenschutz entspricht und die Datensicherheit nach dem Stand der Technik gewährleistet“.
Kritik am Prüfverfahren zur Aufnahme in das DiGA-Verzeichnis
Am 06. Oktober 2020 ist das Verzeichnis Digitaler Gesundheitsanwendungen (DiGA-Verzeichnis) an den Start gegangen. Inzwischen wurden die ersten 5 DiGA-Lösungen in das Verzeichnis des BfArM aufgenommen. Die Aufnahme zahlreicher anderer Lösungen steht bevor. Schon innerhalb des Gesetzgebungsverfahrens wurden kritische Stimmen laut, die zu bedenken gaben, dass im Rahmen des Aufnahmeverfahrens eine fachfremde Behörde über die Datenschutzkonformität und ausreichende Datensicherheit der DiGA entscheidet (Stellungnahme des BfDI zum Entwurf des DVG). Darüber hinaus würde im Rahmen des Aufnahmeverfahrens nur eine Plausibilitätsprüfung vorgenommen. Ein echtes Prüfverfahren finde nicht statt, weshalb unter Umständen kein ausreichender Schutz der Patientendaten sichergestellt werden könne. Zudem könnten sich die Hersteller nach Aufnahme in das DiGA-Verzeichnis nicht darauf verlassen, dass ihre App im Hinblick auf den Datenschutz sowie die Datensicherheit unbedenklich ist. Sollte eine Datenschutzaufsichtsbehörde tätig werden, könnte diese trotz Aufnahme in das DiGA-Verzeichnis zu dem Ergebnis gelangen, dass ein Datenverstoß vorliegt (So etwa Schreiber/Gottwald, in ZD 2020, 385 (390f)).
Sicherheitslücken bei gelisteter DiGA
Unmittelbar nach Aufnahme einer der ersten Gesundheitsanwendungen in das DiGA-Verzeichnis, einer App, die für die Behandlungen von Angst- und Panikstörungen eingesetzt wird, stellten unabhängige IT-Sicherheitsexperten gravierende Sicherheitsmängel an der betreffenden DiGA fest. Angreifer hätten die App missbrauchen können, um Angstpatienten als solche zu „enttarnen“ und schlimmstenfalls deren Accounts mit sensiblen Daten zu übernehmen. Daneben fanden entgegen der Vorgaben des § 4 Abs. 3 DiGAV Datenübermittlungen in die USA statt. Die Hersteller der App konnten die entdeckten Sicherheitslücken unmittelbar nach ihrer Entdeckung, und zwar noch bevor die DiGA das erste Mal verschrieben wurde, schließen.
Indes sorgte der Sicherheitsvorfall für ein Aufkeimen der Kritik an dem Prüfverfahren des BfArM. Kritisiert wurde insbesondere, dass das BfArM nur die Plausibilität der Herstellerangaben zum Datenschutz und der Datensicherheit überprüft. Eine unabhängige Prüfung finde dagegen nicht statt. Damit könne kein ausreichendes Datenschutzniveau sichergestellt werden.
Position der Aufsichtsbehörden
So erklärte der Stellvertretende Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz in einer Pressemitteilung vom 22.10.2020, dass bei Gesundheits-Apps der Schutz und die Sicherheit der Daten höchste Priorität haben müsse. Die Geräte und die Software-Anwendungen sammelten hochsensible Daten, die genaue Einblicke in die persönliche Lebensführung zuließen. Aus diesen Gründen sei es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen. Die Nutzerinnen und Nutzer von Gesundheitsanwendungen müssten darauf vertrauen können, dass ihre Daten wirksam geschützt werden. Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, sei beunruhigend. Das zuständige Bundesgesundheitsministerium solle daher Nachbesserungen am Zulassungsverfahren angehen. Aus technischer Sicht sollten die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten), die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen, die beteiligten technischen Dienstleister sowie die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse) zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden. Das aktuelle Prüfverfahren sei dafür nicht tauglich. Es reiche nicht aus, sich allein auf Herstellerangaben zu verlassen.
Auffassung des BfArM
Nach Ansicht des BfArM ist der Hersteller einer DiGA selbst für die Gewährleistung aller datenschutz- und informationssicherheitsbezogenen sowie sonstigen rechtlichen Anforderungen verantwortlich. Deren Einhaltung bei der Nutzung der digitalen Anwendung gemäß dem aktuellen Stand der gesetzlichen und technischen Anforderungen sowie die wahrheitsgemäße Bestätigung der entsprechenden Einhaltung gegenüber dem BfArM im Rahmen des Antragsverfahrens lägen ebenfalls in seiner Verantwortung, wie das BfArM in der jüngsten Version des DiGA-Leitfadens vom 23.10.2020 betont (DiGA-Leitfaden vom 23.10.2020, S. 37).
Erwiesen sich die im Antragsverfahren gemachten Angaben als unwahr oder nicht (mehr) den aktuellen Tatsachen entsprechend, werde unverzüglich geprüft, ob im Ergebnis die Sanktionsmaßnahmen gemäß § 139e SGB V in Form der Streichung der DiGA aus dem Verzeichnis bzw. Zwangsgeld anzuwenden sind. Zudem habe der Hersteller dem BfArM gegenüber wesentliche Veränderungen an der DiGA anzuzeigen. Davon umfasst seien auch Aspekte des Datenschutzes und der Informationssicherheit.
Konsequenz für Hersteller
Damit bleibt es zunächst bei der bisherigen schlichten Plausibilitätsprüfung des BfArM und der damit einhergehenden (Rechts-)Unsicherheit für Hersteller und Patient.
Um das Vertrauen in den Nutzen ihrer DiGA zu stärken, sind Hersteller nun umso mehr in der Pflicht ihre Gesundheitsanwendungen einer eingehenden Datenschutz- und Sicherheitsüberprüfung zu unterziehen.
Nach § 4 Abs. 1 2. Fall DiGAV hat der Hersteller einer DiGA die Anforderungen an den Datenschutz und die Datensicherheit nach dem Stand der Technik und unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs zu gewährleisten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technische Richtlinie (TR) BSI TR-03161 vom 15.4.2020 mit Sicherheitsanforderungen für digitale Gesundheitsanwendungen entwickelt. Darin weist das BSI auf zahlreiche Gefahren hin, die sich beim Einsatz von DiGA ergeben können. Da bei der Nutzung von DiGA regelmäßig personenbezogene Gesundheitsdaten verarbeitet werden, müssen DiGA in der Regel ein erhöhtes Datenschutzniveau erfüllen.
Schon in der Entwicklungsphase sind Hersteller daher angehalten ein adäquates Sicherheitskonzept zu entwickeln. Dabei kommt den Grundsätzen Privacy by Design and Default besondere Bedeutung zu. Um Datenschutzmängel und damit einhergehende Datenschutzverstöße zu vermeiden, die von den zuständigen Aufsichtsbehörden sanktioniert werden können, gilt es bei der Entwicklung von digitalen Gesundheits-Apps im Bereich der Datenschutzkonformität und Datensicherheit die Schutzziele der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit im ausreichenden Maße zu beachten und durch Implementierung entsprechender Sicherheitsmaßen zu gewährleisten. Wie der hier geschilderte Sicherheitsvorfall zeigt, wird dem Hersteller einer DiGA durch Aufnahme in das DiGA-Verzeichnis hinsichtlich des Datenschutzes und der Datensicherheit kein Unbedenklichkeitstestat bescheinigt. Es liegt an ihm bei der Entwicklung einer DiGA den Datenschutz und die Datensicherheit in ausreichendem Maße in den Fokus zu nehmen und eingehend zu prüfen und zu bewerten. Eigenverantwortung und -initiative ist hier der sicherste Weg.