Datenschutz in Gesundheits-Apps: Hersteller & Nutzer in der Verantwortung!

Das Thema Datenschutz und Datensicherheit ist für die Akzeptanz digitaler Innovationen sowohl bei Patienten als auch bei Ärzten und Krankenkassen sehr wichtig. Im Digitale Versorgung-Gesetz (DVG), das u. a. digitalen Gesundheitsanwendungen den Weg freimachen will in die Regelversorgung, spiegelt sich das auch in der Gewichtung des Fragenkatalogs, den Anbieter von digitalen Gesundheitsanwendung für die vorläufige Aufnahme ins DiGA-Verzeichnis beantworten müssen: 95 von 133 Fragen betreffen die Themen Datenschutz und Datensicherheit (1). Ende Mai sollen die ersten Anträge auf Aufnahme ins DiGA-Verzeichnis beim Bundesinstitut für Arzneimittel und Medizinprodukte BfArM gestellt werden können. Aus diesem Anlass: Drei Fragen von Dr. Ursula Kramer an die Datenschutzexpertin Natalya Spuling. Beide sind Partnerinnen im Netzwerk der Healthcare Shapers.

Apps, die im DiGA-Verzeichnis gelistet werden, sind „wasserdicht“ was den Datenschutz anbelangt? Kann man das so sagen?

Das ist sicher eine Intention, die das BfArM bei der Ausgestaltung der Rechtsverordnung zum Digitale Versorgung-Gesetz verfolgt hat: Denn die Regeln für Anbieter einer Gesundheits-App (DiGA), die auf Rezept verordnet werden kann, sind streng.

Hohe Auflagen für DiGA-Anbieter: Lässt sich das an Beispielen konkretisieren?

Wenn App-Anbieter Daten einholen, brauchen sie gem. § 4 DiGaV in jedem Fall eine Einwilligung des Versicherten für die Verarbeitung der Gesundheitsdaten gem. Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung ist streng zweckgebunden, Es gibt überhaupt nur drei Zwecke, warum der Hersteller mit einer DiGA Gesundheitsdaten verarbeiten darf.

  1. Um den in der Zweckbestimmung der digitalen Gesundheitsanwendung definierten bestimmungsgemäßen Gebrauch zu ermöglichen. DiGAs sind allesamt Medizinprodukte mit einer Zweckbestimmung, die sich auf die Diagnose oder Therapie von Erkrankungen bezieht. Beispiel: Ein Patiententagebuch für Diabetiker darf Daten erfassen, um den Verlauf z. B. von Blutzuckerwerten anzeigen und auswerten zu können.
  2. Um mit diesen Daten den Nachweis sog. positiver Versorgungseffekte zu erbringen, d. h. zu zeigen, dass der Einsatz der App mit einem Nutzen für den Patienten verbunden ist. Das geschieht im Rahmen der Erprobungsphase nach § 139e Absatz 4 des Fünften Buches Sozialgesetzbuch nach der vorläufigen Listung ins DiGA-Verzeichnis.
  3. Um für Vereinbarungen mit Kostenträgern nach § 134 Absatz 1 Satz 3 SGB V die erforderlichen Nachweise zu erbringen, z. B. zu zeigen, dass die App, die auf Kosten der Krankenkassen vom Arzt verordnet worden ist, auch nachhaltig genutzt wird

Das Tracking der Nutzungsdaten ist bei Apps weit verbreitet. Wie ist das bei DiGAs?

Will der DiGA-Anbieter dauerhaft Daten zur Nutzung der App auswerten, um z. B. deren technische Funktionsfähigkeit sicherzustellen, die Nutzerfreundlichkeit einzuschätzen und damit seine digitale Gesundheitsanwendung weiterzuentwickeln –  braucht er dazu nach § 4 Abs. 2 Nr. 4 DiGaV eine zusätzliche Einwilligung des Nutzers. Diese Einwilligung der Nutzer muss den Anforderungen der DSGVO (Art. 6 Abs. 1 lit a, Art. 9 Abs. 2 lit. a DSGVO) genügen. Mein Tipp: Am besten baut der DiGa-Anbieter entsprechende Einwilligungstexte in die App ein und lässt die Nutzer z.B. durch Aktivierung einer Check-Box einwilligen. Wichtig ist, dass die jeweilige Einwilligung zu Nachweiszwecken datenschutzkonform dokumentiert ist.

Wenn man an die Nutzer denkt: Können diese einer DiGA in Sachen Datenschutz blind vertrauen?

DiGAs sind regulierte Medizinprodukte und unterliegen damit einer gewissen behördlichen Kontrolle, was nicht heißt, dass die Einhaltung der Datenschutzanforderungen bei jeder DiGA aktiv geprüft wird, der Anbieter muss allerdings die Einhaltung der Datenschutzanforderungen versichern. Das entbindet den Patienten jedoch nicht seiner Verantwortung: Grundsätzlich sollte sich jeder Nutzer den Einwilligungstext sowie die Datenschutzhinweise / Datenschutzerklärung des Anbieters durchlesen. Vor der Eingabe der eigenen Gesundheitsdaten ist es wichtig, zu verstehen, wohin und an wen welche Daten fließen, d. h. zu wissen, ob die eigenen Daten z. B. in ein Drittland übermittelt werden. Wer das nicht will, sucht sich besser eine andere App von einem anderen Anbieter.

Natalya, Danke für das Gespräch!

Natalya Spuling, Expertin für Datenschutz im Gesundheitswesen, und Dr. Ursula Kramer, DiGA-Expertin und Betreiberin der Qualitätsplattform für GesundheitsApps HealthOn, sind Partnerinnen im Netzwerk der Healthcare Shapers. Sie teilen ihr Wissen regelmäßig bei Vorträgen und Webinaren für Leistungserbringer, Krankenkassen und Anbieter digitaler Medizinprodukte.

Anlass für dieses Interview ist das Webinar am 27.05.2020, bei dem Natalya Spuling das Thema Datenschutz in Gesundheits-Apps beleuchtet. https://www.pridatect.de/webinar/gesundheits-apps-datenschutz/

Quellen: Rechtsverordnung DiGAV 20.04.2020

Mehr erfahren
No Comments

Durchblick in Sachen App auf Rezept?

Durchblick in Sachen App auf Rezept?

Das Digitale-Versorgung-Gesetz (DVG) und die vor kurzem verabschiedete Rechtsverordnung (1) macht den Weg frei für Digitale Gesundheitsanwendungen auf Rezept (DiGA). Die Ausgestaltung der grundsätzlichen Qualitäts- und Sicherheitsanforderungen an DiGAs ist mit der Veröffentlichung des BfArM-Leitfadens (2) nun festgelegt. Digitale Innovationen können nun unter Umgehung des Gemeinsamen Bundesausschuss (GBA) innerhalb von 12 Monaten in einem verkürzten Verfahren – dem sog. Fast Track – neue Bausteine in der Regelversorgung werden. Beim DiGA Summit des Health-Innovation-Hubs – hih-2025 (3), wurde die Eckpunkte des neuen Gesetzes und des DiGA-Leitfadens vorgestellt. Über 1.500 Teilnehmer haben die Gelegenheit genutzt, ihre Fragen zu stellen. Nach Angaben des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) haben bereits 200 Hersteller ihr Interesse an einer Antragstellung auf Listung im DiGA-Verzeichnis.

Nach dem DiGA-Summit ist vieles klarer

Was genau ist eine DiGA, denn anders als das diese Abkürzung vielleicht suggerieren mag, ist nicht jede digitale Gesundheitsanwendung per se eine DiGA. Nur ein kleiner Teil dieser Anwendungen erfüllt die formalen Voraussetzungen für eine Listung und für den Zugang zur Regelversorgung im sog. Fast Track Verfahren. Auch welche Selbstangaben vom Hersteller verlangt werden beim ausschließlich digitalen Antragsverfahren zur Aufnahme ins DiGA-Verzeichnis und wie der Prüfprozess beim BfArM ablaufen soll, liegt nun konkret auf dem Tisch.

Offene Fragen und Unsicherheit bleiben: Wie gelingt der Nutzennachweis?

Etwas mehr Kreativität und Spielraum bei der Interpretation der im Leitfaden definierten Anforderungen verlangt das BfArm den Herstellern beim methodischen Nachweis der positiven Versorgungseffekte ab. Dieser Nachweis ist für eine dauerhafte Listung im DiGA-Verzeichnis erforderlich. Vorab braucht es ein plausibles Evaluationskonzept, das der Hersteller mit dem Antrag einreichen muss. Dann hat er 12 Monate Zeit, um die erforderlichen Daten zu generieren. Für jeden Versorgungseffekt und jede Indikation, die über die Zweckbestimmung der als Medizinprodukt zertifizierten Gesundheitsapp abgedeckt sein muss, ein Studiennachweis! Das klingt nach hoher Komplexität… Und jeder, der sich mit Statistik auskennt, weiß, wie viele Probanden man braucht, um Effekte, insbesondere wenn diese klein sind, überzeugend nachweisen zu können. Bei einer komplexen Intervention, wie einer digitalen Anwendung, spielen außerdem viele Einflussgrößen mit ins Ergebnis: Die Arzt-Patienten-Interaktion, die Vorerfahrung von Patienten mit Apps, die Gesundheitskompetenz. Man darf gespannt sein, wie überzeugend die Datenbasis für die gelisteten DiGAs nach 12 Monaten sein wird.

Die heißen Eisen – beim DiGA-Summit ausgeklammert!

Natürlich ist der schnelle Zugang zu einem Markt mit 73 Mio. Versicherten verlockend, vorausgesetzt, die zu erzielenden Preise stehen in einem guten Verhältnis zu den Kosten und Pflichten, die mit einer Listung im DiGA-Verzeichnis auf die Hersteller zukommen: Hohe Kosten für die Zertifizierung einer digitalen Gesundheitsanwendung als Medizinprodukt, Gebühren für die Beratungen bei BfArM sowie für die Antragstellung, Kosten für die Produktüberwachung und große Dokumentationspflichten nach der Listung. Dazu kommt die Unsicherheit, welche Veränderungen an einer App die erneute Antragstellung zur Folge haben, d. h. wie eng das BfArm das regulatorische Korsett schnüren wird? Orientiert es sich an den Regularien der MDD für „wesentliche Änderungen“? In diesem Punkt hält sich das BfArM noch bedeckt.

Zeitplan: Listung der ersten DiGA im August 2020?

  • Der Leitfaden vom BfArm zur Rechtsverordnung kann noch bis 26.04.2020 kommentiert werden.
  • Zu ersten Beratungsgespräche beim BfArm können sich Hersteller ab 5. Mai 2020 anmelden.
  • Die ersten Anträge auf Aufnahme ins DiGA-Verzeichnis können Mitte Mai gestellt werden. Ab diesem Zeitpunkt steht das Antragsformular auf der Website beim BfArM bereit, so dass die formalen Voraussetzungen für das digitale Antragsverfahren geschaffen sind.
  • 3 Monate hat das BfArM dann maximal Zeit für die Prüfung der Anträge, d. h. die Prüfung der Selbstangaben des Herstellers auf Vollständigkeit sowie für den Plausibilitätscheck zum Nachweis positiver Versorgungseffekte.
  • Voraussichtlich im August 2020 wird das DiGA-Verzeichnis dann mit der Listung der erste DiGA an den Start gehen, die dann auch vom Arzt verordnet oder von der Krankenkasse nach Prüfung der Indikationsstellung erstattet werden kann. Vermutlich wird es eine vorläufige Listung sein. Denn nur wenige DiGA-Anwärter werden bereits bei Antragsstellung die klinische Wirksamkeit in überzeugenden Vergleichsstudien nachweisen können (4).
  • Wesentliche Änderungen an der gelisteten DiGA müssen beim BfArM angezeigt werden und erfordern u. U. eine erneute Antragstellung, wenn z. B. die Zweckbestimmung des digitalen Medizinprodukts verändert wird. Welche Änderungen vom BfArM als „wesentliche Änderungen“ eingestuft werden, dazu soll es eine orientierende Checkliste für Hersteller geben, die das BfArM spätestens zur Veröffentlichung des DiGA-Verzeichnis bereitstellen will (5).

Fazit:

Der erste Schritt ist getan. Für alle Digital Health Pioniere sind die Rechtsverordnung und der DiGA-Leitfaden große Meilensteine, auf die wir lange hingearbeitet haben. Doch die Nutzung digitaler Tools und die Einbeziehung von den mit DiGAs generierten Daten, ist ein gigantischer Change Prozess, der Rollen, Aufgaben und Anforderungsprofile stark verändern wird. Wenn alle Akteure ihren Gestaltungswillen und ihren Mut zur Veränderung auf ein verbindendes Ziel ausrichten, dann kann etwas Großes gelingen: Die Optimierung der Patientenversorgung mit digitalen Tools als neue Bausteine in der Regelversorgung.

Weitere Infos zum Thema: DiGA-Verzeichnis: Zugang zu 73 Mio. Versicherten und hoher Aufwand für DiGA-Hersteller

Dr. Ursula Kramer

Autorin:

Der Weg in die Regelversorgung über das DiGA-Verzeichnis ist eine Option für Hersteller Digitaler Gesundheitsanwendungen. Ob dieser Weg zu einer digitalen Anwendung oder einem Unternehmen passt, welche anderen Optionen es gibt und welche spezifischen Vor- und Nachteile dabei abzuwägen sind, dazu berät Dr. Ursula Kramer, Partnerin im Netzwerk der Healthcare Shapers, CEO sanawork und Digital Health Pionierin der ersten Stunde, Unternehmen der LifeScience und MedTech Branche.

Quellen:

  1. https://hih-2025.de/wp-content/uploads/2020/04/DiGAV_RefE.pdf  
  2. https://hih-2025.de/wp-content/uploads/2020/04/DiGA-Leitfaden_2020.pdf
  3. https://hih-2025.de/virtueller-diga-summit-agenda-frageseite-dokumente-livestream/
  4. Marktstudie CE-zertifizierte Medizin-Apps 7/2019 https://www.healthon.de/marktstudien/2019/07/medizin-apps-ce
  5. Antwort BfArM am 23.04. auf Frage von HealthOn s. Twitter-Account https://twitter.com/UrsulaKramer12
Mehr erfahren
No Comments