… und Tipps vom zuständigen Prüfer des BfArM, wie sich diese vermeiden lassen

Seit mehr als einem Jahr können Ärztinnen und Ärzte sowie Psychotherapeutinnen und Psychotherapeuten digitale Gesundheitsanwendungen (DiGA) verschreiben. 31 solcher „Gesundheits-Apps“ (Stand 08. März 2022) sind mittlerweile im Verzeichnis des BfArM gelistet: sie können bei der Behandlung von Depressionen ebenso unterstützen wie beim Diabetesmanagement oder bei der Rauchentwöhnung. Allen gemeinsam ist, dass sie dazu Daten der Anwendenden analysieren.

Wer eine DiGA nutzt, muss sich also darauf verlassen können, dass der Hersteller die gesetzlichen Vorgaben zum Datenschutz beachtet, sorgsam mit den Daten umgeht und zuverlässige Maßnahmen zum Schutz von Vertraulichkeit, Verfügbarkeit und Integrität umsetzt. Entsprechende Vorgaben finden sich in der Datenschutz-Grundverordnung (DSGVO) und werden von der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) ergänzt.

Um in das DiGA-Verzeichnis aufgenommen zu werden, müssen die Hersteller dokumentieren, dass sie die datenschutzrechtlichen Vorgaben erfüllen. Ob alle Anforderungen erfüllt werden, hat Dr. Armin Grünewald im Blick. Er ist wissenschaftlicher Mitarbeiter des Fachgebiets „DiGA-Fast-Track“ und zuständig für die Prüfungen der DiGA hinsichtlich Datenschutz- und Datensicherheitsanforderungen. Dabei testet er auch die Apps oder Webanwendungen: „Wir schauen uns genau an, wie die Anwendung aufgebaut ist und durchlaufen den gesamten Prozess von der Registrierung bis hin zur Nutzung von Kursinhalten“, erklärt der promovierte Informatiker. „Dabei sehen wir uns dann unter anderem an, für welche Zwecke die Daten verarbeitet werden, ob es zu einem unerlaubten Datenabfluss kommt und ob die Anwendung auch nutzerfreundlich gestaltet ist.“ Die Prüfung erfolgt anhand einer im BfArM erstellten Praxis-Checkliste zu den Anforderungen der DiGAV, durch die auch generelle Fehlfunktionen aufgedeckt werden. Dabei gibt es auch durchaus positives Feedback: „Ein Hersteller hat sich zum Beispiel für den Hinweis bedankt, dass die "Passwort-Zurücksetzen-Funktion" fehlerhaft war und konnte dies umgehend korrigieren“, berichtet Grünewald.

Mit den Herstellern steht er in engem Austausch und weiß, worauf es bei der Umsetzung ankommt. „Die Anwendungen werden von uns ausführlich getestet, das ist Teil des Bewertungsverfahrens. Wenn uns dabei Mängel auffallen, müssen die Hersteller nachbessern. Unser Ziel ist es, die Antragsteller optimal dabei zu unterstützen, nutzenbringende, sichere und gebrauchstaugliche DiGA für die Patientinnen und Patienten in das BfArM-Verzeichnis zu bringen“, erklärt Grünewald.

Basierend auf der DiGA-Prüfungspraxis und Beratung haben wir hier Hinweise zu den Herausforderungen und Mängeln aufgelistet, die nach unserer Erfahrung bei der Umsetzung des Datenschutzes am häufigsten auftreten.

#1: Ohne Zustimmung geht es nicht: Einwilligung per Mausklick

Vielen Antragstellern ist nicht bewusst, dass personenbezogene Daten nur über eine Einwilligung in Form einer aktiven, eindeutigen Handlung der betroffenen Person verarbeitet werden dürfen. Das Problem lässt sich einfach beheben: zum Beispiel durch eine Auswahlbox, in der einer entsprechenden Nutzung aktiv per Mausklick zugestimmt werden kann.
… und natürlich darf die Datenverarbeitung ausschließlich zu den in § 4 Absatz 2 DiGAV genannten Zwecken erfolgen, also keine über die DiGA hinausgehende Nutzung z. B. zu Werbezwecken.

#2: Wie, Wer, Wozu: Die Datenschutzerklärung

Zu jeder DiGA gehört eine Datenschutzerklärung, in der bestimmte Punkte enthalten sein müssen. Wir prüfen das anhand einer Checkliste und stellen leider auch hier fest, dass die Erklärung häufig nicht vollständig ist.

Diese Punkte müssen in jedem Fall adressiert werden:

• Hersteller und dessen Datenschutzbeauftragter
• Zweck der DiGA
• verarbeitete Datenkategorien
• Umgang des Herstellers mit diesen Daten
• Recht auf Widerruf gegebener Einwilligungen
• Möglichkeiten zur Wahrnehmung der Betroffenenrechte

Außerdem muss die Datenschutzerklärung z.B. ein Löschkonzept enthalten. Darin wird unter anderem beschrieben, was passiert, wenn jemand der Nutzung seiner Daten widerspricht oder die App deinstalliert: Es muss die Möglichkeit geben, barrierefrei aus der Anwendung heraus die eigenen personenbezogenen Daten zu löschen und Einwilligungen zu widerrufen.

#3: Datenverarbeitung in den USA: Nicht erlaubt

Wo außerhalb Deutschlands Gesundheitsdaten und personenbezogener Daten verarbeitet werden dürfen, ist streng geregelt. Das ist Herstellern oft nicht bewusst. Insbesondere die Datenverarbeitung in den USA ist nach einem Urteil des europäischen Gerichtshofs nicht erlaubt, was bedeutet, dass viele US-amerikanische Softwarefirmen und Cloud-Anbieter für diese Zwecke nicht in Frage kommen. Hier gibt es wiederum Besonderheiten, bei denen man sehr genau hinschauen muss. Beispielsweise, wenn Cloud-Anbieter genutzt werden sollen, deren Server zwar in der EU stehen, die aber beispielsweise einem US-amerikanischen Mutterkonzern angehören. Dann gelten besondere Regelungen, die in der Handreichung zur Datenverarbeitung außerhalb Deutschlands beschrieben werden.

#4: Schutz vor Datenklau: Das Informationssicherheitsmanagementsystem

Ab dem 1. April 2022 gilt eine neue Anforderung an die Datensicherheit: Hersteller müssen bis zu diesem Zeitpunkt das sogenannte Informationssicherheitsmanagementsystem (ISMS) etablieren und dem BfArM dies per Zertifikat nachweisen – auch, wenn die DiGA bereits im Verzeichnis gelistet ist.

Das ISMS zeigt an, dass Methoden und Prozesse etabliert wurden, um die Informationssicherheit dauerhaft sicherzustellen und zu verbessern. Hierzu zählt auch der Schutz der DiGA-Daten - also beispielsweise der Gesundheitsdaten von Patientinnen und Patienten - vor unbefugtem Zugriff. Das System ist damit ein sehr wichtiger Baustein, der zusätzliches Vertrauen schafft. Nähere Informationen können Hersteller hierzu im Leitfaden „Das Fast Track Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V“ finden.

Bereits seit Mitte 2021 sind außerdem sogenannte „Penetrationstests“ verpflichtend, die das ISMS ergänzen. Der Hersteller muss dabei prüfen, ob Angreifende in die Anwendung gelangen und auf Daten zugreifen können. Das BfArM benötigt einen Nachweis darüber, dass solche Tests durchgeführt und eventuell gefundene Schwachstellen erfolgreich behoben wurden.
Beide Maßnahmen sind wichtig. Bei der Nutzung von DiGA aus dem BfArM-Verzeichnis zeigen sie Patientinnen und Patienten: Ihre Daten sind sicher.

#5: Bin ich´s wirklich? Authentisierung ist ein Muss

Nicht zuletzt stellen wir leider oft fest, dass die Apps & Co selbst entweder nicht geschützt sind, oder die Authentisierung (Eingabe von Benutzernamen und Passwort oder einem Pin-Code) nur einmalig nach der Installation stattfindet. Das stellt ein großes Sicherheitsrisiko dar: Dritte können so an Gesundheitsdaten der Patientinnen und Patienten gelangen, indem sie einfach nur deren Smartphone in die Hand nehmen.
Das lässt sich ohne großen Aufwand verhindern, indem bei jedem Neustart der App sowie nach einer Inaktivität von 30 Minuten erneut ein Passwort oder ein Code eingegeben werden muss.

Fazit/Ausblick:

Die Sicherheit und der Schutz der eigenen Daten ist ein sehr hohes Gut und daher im direkten Fokus des BfArM – aus diesem Grund werden die Anforderungen zukünftig mit Einführung von speziell auf die DiGA zugeschnitten Datenschutz- und Datensicherheitszertifikaten noch einmal steigen. Erfahrungen aus rund zwei Jahren DiGA-Beratung und Antragsbewertung gibt das BfArM in einer Webinarreihe weiter.

Dr. Armin Grünewald

Studium der Angewandten Informatik mit Schwerpunkt Mikrosystemtechnik in Siegen. Von 2011 bis 2021 wissenschaftlicher Mitarbeiter am Lehrstuhl Medizinische Informatik und Mikrosystementwurf der Universität Siegen. 2016 Promotion mit dem Thema „Anwendungsspezifische Technologie- und Testauswahl für die Entwicklung von 3D-Systemen“ in der Informatik.
2020-2021 Teamleiter „Medic@l XR“ an der Universität Siegen: Entwicklung von VR- und AR-Anwendungen für Therapie und Training von medizinischem Personal. Seit Oktober 2021 wissenschaftlicher Mitarbeiter im Fachgebiet DiGA-Fast-Track, zuständig für die technische Prüfung der DiGA hinsichtlich Datenschutz, Datensicherheit und Interoperabilität.