Hintergrund
Der Markt für Digitale Gesundheitsanwendungen (DiGA oder auch „Gesundheits-Apps“) wächst aufgrund der vielfältigen Einsatzgebiete permanent. Mit Inkrafttreten des „Digitale-Versorgung-Gesetz“ (DVG) sind DiGA unter bestimmten Voraussetzungen nunmehr erstattungsfähig („App auf Rezept“). Die Erstattungsfähigkeit setzt voraus, dass die jeweilige DiGA auf Antrag nach einem Prüfverfahren in ein vom Bundesministerium für Arzneimittel und Medizinprodukte (BfArM) geführtes Verzeichnis aufgenommen wurde.
Die neue Datenschutzprüfung im DVG
Gemäß den Vorgaben der „Digitalen Gesundheitsanwendungen-Verordnung“ (DiGAV) und im Einklang mit den geltenden Datenschutzgesetzen wird die Erfüllung der datenschutz- und informationssicherheitsbezogenen sowie sonstigen rechtlichen Anforderungen der DiGA durch das BfArM überprüft, indem die Antragsteller einen umfassenden Fragebogen ausfüllen. Weitere Anhaltspunkte der zu erfüllenden Anforderungen bietet ein Leitfaden des BfArM und zukünftig eine App zum Konformitätscheck der Bertelsmann Stiftung.
Kritik an der Datenschutzprüfung
Es bleibt abzuwarten, inwieweit der allgemeingehaltene Fragebogen zu belastbaren Aussagen über das Datenschutzniveau einer DiGA führen und inwiefern dieser überhaupt durch das BfArM gegengeprüft werden kann. Eine eigene technische Überprüfung der Umsetzung der Angaben durch das BfArM ist derzeit nicht vorgesehen.
Die Prüfung der DiGA erfolgt ohne formelle Einbindung der jeweils zuständigen Datenschutzaufsichtsbehörde. Lediglich ein enger Austausch mit dem Bundesministerium für Gesundheit und dem Bundesamt für Sicherheit in der Informationstechnik findet statt. Dies führt zu einem erheblichen Risiko für die Hersteller, da die Aufnahme in das Verzeichnis nicht rechtssicher klärt, ob eine DiGA datenschutzkonform ist und die Prüfung einer Datenschutzaufsichtsbehörde, entgegen des BfArM, zum Ergebnis eines Datenschutzverstoßes kommen kann.
Um zukünftig für mehr Rechtssicherheit zu sorgen, sieht die DiGAV einen Nachweis durch Zertifikate vor.
Vor diesem Hintergrund wäre die kurzfristige Implementierung wirksamer Zertifizierungsmechanismen wünschenswert, damit die Probleme der Hersteller in der Praxis entschärft und Sorgen bei Anwendern entsprechend adressiert werden. DiGA verarbeiten sehr sensible Daten wie z. B. Gesundheitsdaten, Bewegungs- und Vitalzeichenprofile u. ä., sodass Nutzer grundsätzlich bei der Auswahl und Verwendung – unabhängig davon ob eine App bereits erstattungsfähig ist oder nicht – diese kritisch bewerten und sich bei Bedarf näher bezüglich des Datenschutzes und der Datensicherheit informieren sollten. Doch wie bewertet man eine DiGA, die noch nicht vom BfArM geprüft wurde?
Beratung bei der Nutzung
Nach einer datenschutzrechtlichen Erstbewertung, gilt darüber hinaus bei der Nutzung weitere datenschutzrechtliche Aspekte zu beachten, um eine DiGA ganzheitlich datenschutzkonform einzubinden und einzusetzen, z. B. die Bereitstellung von Informationen zur Datenverarbeitung und die Einholung wirksamer Einwilligungserklärungen.
Sollten Sie eine bisher ungeprüfte DiGA nutzen wollen, unterstützen wir Sie gerne bei der datenschutzrechtlichen Erstbewertung. Jetzt Kontakt aufnehmen!
Erfahren Sie außerdem mehr zu unseren Leistungen im Bereich Datenschutz. Mehr erfahren!