Das Thema Datenschutz und Datensicherheit ist für die Akzeptanz digitaler Innovationen sowohl bei Patienten als auch bei Ärzten und Krankenkassen sehr wichtig. Im Digitale Versorgung-Gesetz (DVG), das u. a. digitalen Gesundheitsanwendungen den Weg freimachen will in die Regelversorgung, spiegelt sich das auch in der Gewichtung des Fragenkatalogs, den Anbieter von digitalen Gesundheitsanwendung für die vorläufige Aufnahme ins DiGA-Verzeichnis beantworten müssen: 95 von 133 Fragen betreffen die Themen Datenschutz und Datensicherheit (1). Ende Mai sollen die ersten Anträge auf Aufnahme ins DiGA-Verzeichnis beim Bundesinstitut für Arzneimittel und Medizinprodukte BfArM gestellt werden können. Aus diesem Anlass: Drei Fragen von Dr. Ursula Kramer an die Datenschutzexpertin Natalya Spuling. Beide sind Partnerinnen im Netzwerk der Healthcare Shapers.

Apps, die im DiGA-Verzeichnis gelistet werden, sind „wasserdicht“ was den Datenschutz anbelangt? Kann man das so sagen?

Das ist sicher eine Intention, die das BfArM bei der Ausgestaltung der Rechtsverordnung zum Digitale Versorgung-Gesetz verfolgt hat: Denn die Regeln für Anbieter einer Gesundheits-App (DiGA), die auf Rezept verordnet werden kann, sind streng.

Hohe Auflagen für DiGA-Anbieter: Lässt sich das an Beispielen konkretisieren?

Wenn App-Anbieter Daten einholen, brauchen sie gem. § 4 DiGaV in jedem Fall eine Einwilligung des Versicherten für die Verarbeitung der Gesundheitsdaten gem. Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung ist streng zweckgebunden, Es gibt überhaupt nur drei Zwecke, warum der Hersteller mit einer DiGA Gesundheitsdaten verarbeiten darf.

1. Um den in der Zweckbestimmung der digitalen Gesundheitsanwendung definierten bestimmungsgemäßen Gebrauch zu ermöglichen. DiGAs sind allesamt Medizinprodukte mit einer Zweckbestimmung, die sich auf die Diagnose oder Therapie von Erkrankungen bezieht. Beispiel: Ein Patiententagebuch für Diabetiker darf Daten erfassen, um den Verlauf z. B. von Blutzuckerwerten anzeigen und auswerten zu können.
2. Um mit diesen Daten den Nachweis sog. positiver Versorgungseffekte zu erbringen, d. h. zu zeigen, dass der Einsatz der App mit einem Nutzen für den Patienten verbunden ist. Das geschieht im Rahmen der Erprobungsphase nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch nach der vorläufigen Listung ins DiGA-Verzeichnis.
3. Um für Vereinbarungen mit Kostenträgern nach § 134 Absatz 1 Satz 3 SGB V die erforderlichen Nachweise zu erbringen, z. B. zu zeigen, dass die App, die auf Kosten der Krankenkassen vom Arzt verordnet worden ist, auch nachhaltig genutzt wird

Das Tracking der Nutzungsdaten ist bei Apps weit verbreitet. Wie ist das bei DiGAs?

Will der DiGA-Anbieter dauerhaft Daten zur Nutzung der App auswerten, um z. B. deren technische Funktionsfähigkeit sicherzustellen, die Nutzerfreundlichkeit einzuschätzen und damit seine digitale Gesundheitsanwendung weiterzuentwickeln –  braucht er dazu nach § 4 Abs. 2 Nr. 4 DiGaV eine zusätzliche Einwilligung des Nutzers. Diese Einwilligung der Nutzer muss den Anforderungen der DSGVO (Art. 6 Abs. 1 lit a, Art. 9 Abs. 2 lit. a DSGVO) genügen. Mein Tipp: Am besten baut der DiGa-Anbieter entsprechende Einwilligungstexte in die App ein und lässt die Nutzer z.B. durch Aktivierung einer Check-Box einwilligen. Wichtig ist, dass die jeweilige Einwilligung zu Nachweiszwecken datenschutzkonform dokumentiert ist.

Wenn man an die Nutzer denkt: Können diese einer DiGA in Sachen Datenschutz blind vertrauen?

DiGAs sind regulierte Medizinprodukte und unterliegen damit einer gewissen behördlichen Kontrolle, was nicht heißt, dass die Einhaltung der Datenschutzanforderungen bei jeder DiGA aktiv geprüft wird, der Anbieter muss allerdings die Einhaltung der Datenschutzanforderungen versichern. Das entbindet den Patienten jedoch nicht seiner Verantwortung: Grundsätzlich sollte sich jeder Nutzer den Einwilligungstext sowie die Datenschutzhinweise / Datenschutzerklärung des Anbieters durchlesen. Vor der Eingabe der eigenen Gesundheitsdaten ist es wichtig, zu verstehen, wohin und an wen welche Daten fließen, d. h. zu wissen, ob die eigenen Daten z. B. in ein Drittland übermittelt werden. Wer das nicht will, sucht sich besser eine andere App von einem anderen Anbieter.

Natalya, Danke für das Gespräch!

Natalya Spuling, Expertin für Datenschutz im Gesundheitswesen, und Dr. Ursula Kramer, DiGA-Expertin und Betreiberin der Qualitätsplattform für Gesundheits-Apps HealthOn, sind Partnerinnen im Netzwerk der Healthcare Shapers. Sie teilen ihr Wissen regelmäßig bei Vorträgen und Webinaren für Leistungserbringer, Krankenkassen und Anbieter digitaler Medizinprodukte.

Anlass für dieses Interview ist das Webinar am 27.05.2020, bei dem Natalya Spuling das Thema Datenschutz in Gesundheits-Apps beleuchtet. https://www.pridatect.de/webinar/gesundheits-apps-datenschutz/

Quellen: Rechtsverordnung DiGAV 20.04.2020