Wie bereits in unserem Jahresausblick angesprochen, tut sich dieses Jahr einiges im digitalen Gesundheitswesen. Dazu zählen zum Beispiel das E-Rezept, die elektronische Patientenakte oder die Gesundheits-ID. Aber auch im Bereich der digitalen Gesundheitsanwendungen werden Änderungen im August dieses Jahres in Kraft treten. Was es grundsätzlich mit den digitalen Gesundheitsanwendungen auf sich hat und was man dabei alles beachten sollte, erklären wir im Folgenden:

Digitale Gesundheitsanwendungen nach §33a SGB V

Digitale Gesundheitsanwendungen, kurz DiGa, sind CE-gekennzeichnete Medizinprodukte niedriger Risikoklasse, die die Versicherten etwa bei Behandlung von Erkrankungen oder dem Ausgleich von Beeinträchtigungen unterstützen können. Dazu gehören etwa Smartphone-Apps, browserbasierte Webanwendungen oder Software auf Desktoprechnern.

Seit 2020 ist für die erstattungsfähigen DiGa gemäß §33a SGB V die digitale Gesundheitsanwendungen-Verordnung (DiGAV) in Kraft, welches die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit regelt. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) führt gemäß § 139e Abs. 1 SGB V ein Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen (DiGA) nach § 33a SGB V und entscheidet auch über die Anträge der DiGA-Hersteller zur Aufnahme in das Verzeichnis. Allerdings erfolgt der Nachweis der Hersteller, ob die DiGa den datenschutzrechtlichen Anforderungen gemäß § 139e Abs. 2 Satz 2 Nummer 2 SGB V entsprechen, lediglich in Form einer Selbsterklärung.

Selbsterklärung kein sicheres Mittel

Da eine solche Selbsterklärung jedoch kein sicheres Mittel ist, um ein angemessenes Datenschutzniveau zu gewährleisten, wurden diesbezüglich die gesetzlichen Anforderungen bereits angepasst. So müssen Hersteller ab dem 1. August 2024 die nach §139e Abs. 10 SGB V festgelegten Prüfkriterien für die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an den Datenschutz umsetzen und ab dem 1.Januar 2025 die in §139e Absatz 10 SGB V festgelegten Anforderungen an die Datensicherheit erfüllen.

Allerdings gibt es noch viele weitere digitale Gesundheitsanwendungen am Markt, die gerade nicht von dieser Regelung erfasst sind. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) äußerte sich dazu in ihrem Positionspapier vom 6. November 2023 zu verschiedenen Themen. Im Fokus stehen dabei die Verantwortlichkeiten, Verwendung von Gesundheitsanwendungen ohne Nutzung der Cloudfunktion, Nutzung personenbezogener Daten zu Forschungszwecken und zur Qualitätssicherung, sowie Betroffenenrechte, Sicherheit der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... und die internationale Datenübertragung.

Alleinige oder gemeinsame Verantwortlichkeit?

Die datenschutzrechtliche Verantwortlichkeit muss auch bei einer komplex ausgestalteten Gesundheitsanwendung klar bestimmbar sein. Wenn viele Akteure beteiligt sind, kann dies schnell unübersichtlich werden. Neben den Herstellern können weitere Beteiligte in Betracht kommen, wie Ärztinnen oder Ärzte und andere medizinische Dienstleister, sowie Anbieter von Cloud-Diensten.

Nutzung auch ohne Cloud-Funktion und Anmeldung möglich

Bezüglich der Cloudfunktion stellt die DSK unter Verweis auf Art. 25 Abs. 1 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More (Privacy bei Design) klar, dass die Gesundheitsanwendung auch ohne die Nutzung der Cloudfunktion oder dem Erstellen eines Benutzerkontos möglich sein muss, sofern es nicht für das therapeutische Nutzen erforderlich ist.

Datenverarbeitung zu Forschungszwecken grundsätzlich möglich

Eine Datenverarbeitung für Forschungszwecke oder zum Zwecke der Qualitätssicherung z.B. im medizinischen Bereich ist grundsätzlich möglich, sofern es dafür ein datenschutzrechtlich Rechtgrundlage gibt. Regelmäßig kommt hierfür die ausdrückliche EinwilligungUnter Einwilligung in die Datenverarbeitung versteht man, dass ein Unternehmen oder eine Behörd... More gemäß Art. 9 Abs. 2 lit. a DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More i.V.m. Art 6 Abs.1 lit. a DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More in Betracht. Im Falle einer VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... von anonymisierten Daten, muss eine ausreichende Sicherheit der Anonymität der Daten sichergestellt und nachgewiesen werden können. Maßnahmen zur Reichweitenanalyse sowie Software-Fehlerverfolgungsmechanismen sieht die DSK als nicht zulässig an.

Betroffenenerechte und Sicherheit

Da bei digitalen Gesundheitsanwendungen besonders sensible Gesundheitsdaten betroffen sind, muss zunächst eine sichere Authentifizierung des Betroffenen erfolgen. Durch geeignete technische und organisatorische Maßnahmen soll der Schutz der personenbezogenen Daten gewährleistet werden. Die DSK verweist hier u.a. auf die entsprechenden technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI).