Datenschutz Verstehen – Datenschutz Anforderugen für digitale Gesundheitsanwendungen
Kurze Einleitung
Gerade das Gesundheitswesen ist gezwungen sich digitaler für die Zukunft aufzustellen. Hierfür wurde das Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (DVG) verabschiedet. Unter anderem bietet dieses Gesetz eine Plattform für Hersteller von Apps aus dem Bereich Health-Care sich als verschreibungspflichtige & digitle Gesundheitsanwendung listen zu lassen. Doch hierfür sind einige datenschutzrechtliche Anforderungen zu erfüllen. Wir zeigen Ihnen auf, was Sie im Datenschutz beachten müssen wenn Sie Ihre App im DiGA-Verzeichnis listen möchten.
Was ist eine digitale Gesundheitsanwendung?
Am 7. November hat die deutsche Bundesregierung ein Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (DVG) ins Leben gerufen. Der Gesetzgeber verfolgt das Ziel das Gesundheitssystem effizienter zu machen und dazu beizutragen, dass Daten für die Forschung besser genutzt werden können. Das DVG ist ein umfangreiches Gesetzeswerk, dass bestehende Gesetze und Verordnungen im Bereich des SGB V ändert. Dabei stehen unter anderem die digitalen Gesundheitsanwendungen (DiGA) im Mittelpunkt.
Die DiGA ist im § 33 a SGB V definiert. Als DiGA werden Medizinprodukte mit gesundheitsbezogener Zweckbestimmung bezeichnet. Diese Medizinprodukte sind dazu da bestimmte Krankheiten zu erkennen, überwachen, behandeln oder zu lindern. Der Versorgungsanspruch umfasst nur digitale Gesundheitsanwendungen, die vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) aufgenommen worden sind. Außerdem muss entweder eine Verordnung eines behandelten Arztes, Psychotherapeuten oder eine Genehmigung der Krankenkasse vorliegen.
Was ist das DiGA-Verzeichnis?
Bevor die DiGA im Verzeichnis veröffentlicht wird, muss es ein Prüfverfahren des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) erfolgreich durchlaufen. Das wichtigste Ziel des DiGA-Verzeichnisses ist es, eine vertrauensvolle Nutzung für Patienten und Leistungserbringer zu gewährleisten.
Das Verzeichnis schafft eine hohe Transparenz, indem es umfassende Informationen zu den Eigenschaften und der Leistungsfähigkeit der gelisteten DiGA schafft. Dazu werden die DiGA in einem Verzeichnis nach ähnlichen Funktionen und Anwendungen gruppiert. Zusätzlich soll es umfangreiche und Such-und Filter-Funktionen geben. Das Verzeichnis soll spätestens zum 01.01.2021 gelten. Über jede digitale Gesundheitsanwendung sollen unter anderem folgende Angaben veröffentlicht werden:
- die vorläufige oder endgültige Aufnahme der Anwendung in das Verzeichnis
- gegenüber dem BfArM nachgewiesenen positiven Versorgungs-Effekten
- vorgelegten Studien einschließlich eines Verweises auf Veröffentlichungsort der Studien
- Preisen oder Vergütungsbeträgen
- Mehrkosten
- notwendige ärztliche Leistung
Datenschutz-Anforderungen für digitale Gesundheitsanwendungen
Der Referentenentwurf der DiGA sieht vor, dass die gesetzlichen Vorgaben an die Datensicherheit eingehalten werden. Die Art der verarbeiteten Daten und die damit verbundenen Schutzstufen im Zusammenspiel mit dem jeweiligen Schutzbedarf müssen gewährleistet werden.
Zulässige Zwecke der Datenverarbeitung
Die gegebenen Möglichkeiten durch die DSGVO, Einwilligungen für die Verarbeitung von personenbezogenen Daten einzuholen, werden durch die DiGA auf bestimmte Zwecke beschränkt. Ausnahmen sind Verarbeitungen durch andere gesetzliche Regelungen, die ausdrücklich zulässig sind.
Dabei ist essentiell, dass die in §4 Absatz 2 Satz DiGAV aufgeführten Zwecke eine ausdrückliche Einwilligung voraussetzen. Die Verarbeitung ohne Einwilligung ist durch diverse Rechtsvorschriften möglich, wenn sie diese explizit erlauben oder anordnen.
Diese Fälle betreffen vor allem die Abrechnung des DiGA-Herstellers gegenüber der Krankenkasse gemäß §302 SGB V und die Erfüllung medizinprodukterechtlicher Verpflichtungen z.B. gemäß MDR.
Erlaubte Standorte der Datenverarbeitung
Der Gesetzesentwurf der DiGAV findet Anwendung in der Bundesrepublik Deutschland, den Mitgliedstaaten der Europäischen Union und den Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraums, sowie die Schweiz und die Staaten, für die ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt. Unter der Prämisse, dass die betroffenen Daten unter das EU-US Privacy-Shield fallen und die Vorgaben für die Verarbeitung von Non-HR Daten (sonstige Daten wie z.B. Kundendaten),welche neben den HR Daten (Beschäftigtendaten) stehen erfüllt sind, ist die Verarbeitung und Übermittlung von Gesundheitsdaten in den USA für eine DiGA zulässig. Auf den offiziellen Internetpräsenzen befinden sich Listen von Unternehmen, die unter besondere Vereinbarungen und Angemessenheitsbeschlüssen fallen.
Informationssicherheit bei digitalen Gesundheitsanwendungen
Die Vorgaben zur Informationssicherheit richten sich nach den einschlägigen Publikationen und Empfehlungen des Bundesamts für Sicherheit und Informationstechnik (BSI). Im Rahmen der Informationssicherheit soll gewährleistet werden, dass die Vertraulichkeit, Integrität und Verfügbarkeit im Sinne des Art. 32 Abs. 1 DSGVO sämtlicher Daten, die über die DiGA verarbeitet werden, gesichert werden. Die Kriterien zur Informationssicherheit sind in zwei Rubriken aufgeteilt. Diese bestehen zum einen aus Basisanforderungen und Zusatzanforderung. Die Basisanforderungen gelten für alle digitalen Gesundheitsanwendungen. Zusatzanforderungen hingegen gelten nur für Gesundheitsanwendungen, die einen sehr hohen Schutzbedarf haben.
Die in der Rubrik “Basisanforderung” gestellten Anforderung hinsichtlich der Informationssicherheit müssen ausnahmslos erfüllt werden oder aufgrund einer Nicht-Anwendbarkeit für bestimmte Arten von DiGA nicht zutreffend sein. Die Anforderung in der Rubrik “ Zusatzanforderungen” müssen nur berücksichtigt werden, wenn für die DiGA aufgrund der Art der verarbeiteten Daten, der adressierten Versorgungsszenarien ein sehr hoher Schutzbedarf festgestellt worden ist. Zusätzlich gelten selbstverständlich die technischen und organisatorischen Maßnahmen, welche ein angemessenes Schutzniveau gewährleisten sollen aus der Datenschutz-Grundverordung.
Checkliste digitale Gesundheitsanwendung
Damit eine DiGA nach § 139e SGB V gelistet werden kann, muss sie zunächst einmal den definierten Anforderungen nach §§ 3 bis 6 DiGAV entsprechen. Zu diesen Anforderungen gehörten in erster Linie die:
- Sicherheit und Funktionstauglichkeit
- Datenschutz und Informationssicherheit
- Qualität
Die aufgeführten Anforderungen müssen der BfArM gegenüber dargelegt werden. Grundlage hierfür sind neben dem Nachweis der medizinprodukterechtlichen Anforderung vor allem die Checklisten, die in den Anlagen 1 und 2 der DiGAV aufgeführt sind. Die Checklisten in den Anlagen 1 und 2 sind thematisch kategorisiert:
- Anlage 1: Anforderung an dem Datenschutz und Informationssicherheit
- Anlage 2: Anforderung an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringern, Qualität medizinischer Inhalte und Patientensicherheit
Die Erfüllung der einzelnen Kriterien wird über Ja-Nein-Aussagen abgefragt, wobei einigen Kriterien auch mehrere Aussagen zugeordnet sind.
Die Anforderung in Anlage 1 zielen auf die Umsetzung von Datenschutz und Informationssicherheit ab, bei dem der Hersteller auch für die DiGA und ihren Einsatzkontext spezifische Risiken bei der Auswahl geeigneter Maßnahmen berücksichtigt werden. Im Einzelfall kann es vorkommen, dass eine Aussage in dieser Anlage zwar auf eine DiGA zutrifft, der Hersteller die Aussage aber mit “Nicht-zutreffend” beantworten muss, da z.B. Annahmen zum Stand der Technik gemacht werden, die entsprechend der DiGA nicht zutreffen.
Die Anforderung in Anlage 2 berühren, die das von den DiGA ausgehende Innovationspotenzial und deren Dynamik. Hier kann der Hersteller einer DiGA auch im Einzelfall begründen, warum Kriterium zwar auf eine DiGA zutrifft, er eine Aussage aber dennoch mit “Nicht-zutreffend” beantworten muss.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.