Klar, Entwicklerinnen von Gesundheits-Apps sind keine Datenschutz-Profis. Allerdings sollten sie sich trotzdem mit den Anforderungen der Datenschutzgesetze auseinandersetzen. Das gilt unter anderem für Anbieter:innen sogenannter digitaler Gesundheitsanwendungen (DiGA) sowie digitaler Pflegeanwendungen (DiPAs). Deren Apps müssen den Kriterien der Datenschutzgrundverordnung (DSGVO) und darüber hinaus jenen der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) gerecht werden. In diesem Beitrag geben wir Entwickler:innen dazu einen praktischen Datenschutz-Überblick.

DiGA – eine App mit Datenschutz auf Rezept?

Bei digitalen Gesundheitsanwendungen handelt sich um mobile Applikationen bzw. browserbasierte Programme, die ihren Nutzer:innen dabei helfen, bestimmte Krankheitsbilder zu lindern oder diesen präventiv vorzubeugen. Das Besondere speziell bei den DiGA: Im Vergleich zu vielen anderen softwarebasierten Gesundheitslösungen können Ärzte die digitalen Helfer per Rezept verordnen. Die gesetzlichen Krankenkassen erstatten bei einer entsprechenden Diagnose sogar die Kosten. Das gilt allerdings nur für eine streng geprüfte Auswahl an Gesundheits-Apps – eben jene aus dem sogenannten DiGA-Verzeichnis. Diese Liste des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) enthält alle bislang verschreibungsfähigen und offiziell zugelassenen Tools.

DiGA und Datenschutz – eine große Verantwortung für Entwickler:innen

Viele Start-ups im Gesundheitswesen kreieren innovative Anwendungen, die sie gerne als DiGA vermarkten möchten. Es lohnt sich schließlich, mit Ärzt:innen sozusagen kostenlos Multiplikator:innen zu gewinnen, die die eigene App per Rezept empfehlen. Entwickler:innen konnten dazu bislang einen Antrag im sogenannten Fast-Track-Verfahren beim BfArM einreichen. Das Bundesinstitut prüft in dessen Rahmen, ob die positiven Versorgungseffekte einer App sowie viele weitere Kriterien den strengen Anforderungen entsprechen. Dazu zählen nicht zuletzt datenschutzrechtliche Aspekte, auf die wir hier weiter eingehen möchten.

Darum ist Datenschutz bei den DiGA so wichtig

Das Thema Datenschutz im Gesundheitsbereich sollte grundsätzlich für Entwickler:innen-Teams eine Rolle spielen. Schließlich geht es bei DiGA oder anderen Tools um jede Menge Gesundheitsdaten. Das sind personenbezogene Informationen, die nach Artikel 9 der Datenschutzgrundverordnung (DSGVO) besonders schutzbedürftig sind und für die darüber hinaus besonders strenge gesetzliche Auflagen gelten. So muss schon entwicklerseitig ein ausreichendes Schutzniveau der Daten bei der App-Nutzung gewährleistet werden. Sonst drohen Konsequenzen. Und die gehen weit darüber hinaus, als dass die App lediglich beim DiGA-Prüfverfahren abgelehnt wird.

Datenschutzverstöße können für Entwickler:innen von DiGA und anderen Gesundheits-Tools tatsächlich ziemlich teuer werden, insbesondere dann, wenn die Nacharbeit an der Software viel Aufwand macht und integrale Bestandteile des Programms umgestellt werden müssen. Ebenso sind Gesundheitsdaten besonders sensible, persönliche Informationen und es kann bei groben Software-Fehlern zu einem Vertrauensverlust gegenüber der App seitens der Ärzt:innen sowie Patient:innen kommen. Ferner können sogar Bußgelder bei datenschutzrechtlich fahrlässig umgesetzten Tools anfallen.

Die Datenschutz-Prüfkriterien für digitale Gesundheitsanwendungen

In jedem Fall sollten Entwickler:innen-Teams das Thema DiGA und Datenschutz von Anfang an in ihre Arbeitsprozesse miteinbeziehen. Dabei müssen sie sich tatsächlich nicht allein durch den teils sehr dichten Datenschutz-Dschungel kämpfen. Das BfArM stellt Entwickler:inner-Teams diverse Hilfestellungen und Richtlinien zur Verfügung. Hierzu zählt der offizielle DiGA-Leitfaden. Das Dokument widmet sich in einem eigenständigen Unterkapitel dem Thema und gibt einen Überblick über alle wichtigen Datenschutz-Anforderungen. Hierzu zählt beispielsweise die möglichst sparsame Erhebung von Daten (Datenminimierung) sowie eine datenschutzfreundliche Technikgestaltung durch Privacy by Design und Privacy by Default. Wir empfehlen Entwickler:innen den Leitfaden auf alle Fälle in Ruhe anzuschauen und bei der App-Erstellung frühzeitig zu berücksichtigen.

Um das Thema DiGA und Datenschutz ganz praktisch anzugehen, stellt das BfArM außerdem einen umfassenden Fragebogen für das Prüfverfahren bereit. Dort sind alle Must-haves aufgeführt, die eine DiGA in puncto Datenschutz haben muss, um in das App-Verzeichnis aufgenommen zu werden.

DiGA-Datenschutz in der Praxis

Die Sache mit den Anforderungen und der strengen Prüfung durch das BfArM klingen zunächst großartig. In der Praxis zeigt sich allerdings, dass selbst bei bereits geprüften DiGA in puncto Datenschutz erhebliche Mängel auftreten. Dies geht aus einer Untersuchung hervor, die unlängst von dem Hackerkollektiv zerforschung durchgeführt wurde. Die IT-Spezialist:innen stellten teils schwerwiegende Datenabflüsse bei DiGA-Apps fest. So ließen sich beispielsweise zahlreiche personenbezogene Daten in einer browserbasierten Anwendung einsehen, indem lediglich die URL-Parameter geändert wurden. Das geht gelinde gesagt, mal gar nicht.

Kritisiert wird weiterhin, dass das Prüfverfahren für die DiGA-Zulassung nicht streng genug sei. So würde die Selbsteinschätzung in Bezug auf den oben verlinkten Datenschutz-Fragebogen zwar Voraussetzung sein, in der Praxis aber oft gar nicht richtig kontrolliert werden. Deshalb gilt: Start-ups und App-Entwickler:innen im Gesundheitsbereich müssen selbst die Initiative aufbringen und ein umfassendes Datenschutzmanagement auf Basis aktueller und relevanter Risiken sicherstellen. Die Entwicklungsabteilungen sollten im Optimalfall eng mit der IT-Security zusammenarbeiten. Und auch von uns gibt es dazu tatkräftige Datenschutz-Unterstützung:

Update 14.09.2022: Neue Prüfkriterien für den Datenschutz!

Zum 09.09.2022 hat das BfArM neue Prüfkriterien für die Anforderungen an den Datenschutz bei digitalen Gesundheitsanwendungen und digitalen Pflegeanwendungen veröffentlicht. Diese Kriterien bilden die Grundlage für ein spezielles Datenschutzzertifikat, dass für die Aufnahme in das DiGA- bzw. DiPA-Verzeichnis notwendig ist. Damit reagiert das BfArM auf die in der Vergangenheit festgestellten Schwachstellen und hebt die Datenschutzstandards für neue DiGA- und DiPA-Hersteller deutlich an.

caralegal unterstützt DiGA- und DiPA-Anbieter!

Wir helfen Entwickler:innen bezüglich DiGA, DiPA und Datenschutz gerne weiter. Mit caralegal Health bieten wir Start-ups und anderen Unternehmen speziell im Gesundheitsbereich ein Tool, um auf der sicheren Seite zu sein. Mit caralegal Health lassen sich viele der Anforderungen des DiGA-Fragebogens und der neuen Prüfkriterien von Haus aus abdecken. Hierzu zählen beispielsweise das professionelle Datenschutzmanagement inklusive technischer und organisatorischer Maßnahmen und die Datenschutz-Folgenabschätzung. Ebenso wird das Einhalten aller Dokumentations- und Nachweispflichten mit caralegal schon fast zum Kinderspiel. DiGA, DiPA und Datenschutz regeln? Mit caralegal kein Problem!

Hier mehr erfahren!