Digitale Gesundheitsanwendungen können seit rund zwei Jahren von Ärzten verschrieben und den Krankenkassen erstattet werden. Jetzt wurden einheitliche Datenschutzkriterien für digitale Gesundheits- und Pflegeanwendungen (DiGA und DiPA) veröffentlicht. Dieser Artikel gibt einen Überblick zu den Prüfkriterien.
Der Inhalt im Überblick
- DiGA und DiPA – Was ist das überhaupt?
- Vorgaben für ein Datenschutzzertifikat nach Art. 42 DSGVO
- Anforderungen des BfArM im Einzelnen
- Rechtmäßigkeit der Verarbeitung
- Verarbeitung nach Treu und Glauben
- Transparenz durch Information
- Zweckbindung und Nichtverkettbarkeit
- Datenminimierung und Speicherbegrenzung
- Rechte der betroffenen Person
- Integrität, Richtigkeit und Vertraulichkeit
- Protokollierung von Datenverarbeitungen
- Wahrnehmung von Verantwortung
- Auftragsverarbeitung und Datenübermittlung
- Datenschutz-Folgenabschätzung und Verzeichnis von Verarbeitungstätigkeiten
- Technische und Organisatorische Maßnahmen
- Bitte nicht abschrecken lassen!
DiGA und DiPA – Was ist das überhaupt?
Die Abkürzung DiGA steht für digitale Gesundheitsanwendung. Dies sind zertifizierte Medizinprodukte, die v.a. dazu bestimmt sind, Erkrankungen zu erkennen, zu lindern oder bei der Diagnosestellung zu unterstützen. Gesetzliche Grundlage ist § 33a SGB V. Die Abkürzung DiPA steht für digitale Pflegeanwendung. Diese richten sich insbesondere an pflegebedürftige Personen. Unter anderem bezwecken sie, Beeinträchtigungen der Selbständigkeit von Pflegebedürftigen zu mindern oder einer Verschlimmerung der Pflegebedürftigkeit entgegenzuwirken. Die gesetzlichen Anforderungen an DiPA definiert § 40a SGB XI. Beide Anwendungen beruhen auf digitalen Technologien, wie z.B. Apps oder browserbasierten Anwendungen.
Damit die Kosten für ihre Nutzung auch von den Krankenkassen übernommen werden, müssen DiGA und DiPA vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geprüft werden. Seit dem 1. April 2022 wird für DiGA dafür u.a. ein Managementsystem für Informationssicherheit (ISMS) gemäß ISO 27001 gefordert, welches zertifiziert werden muss. Bei erfolgreicher Prüfung durch das BfArM werden die digitalen Anwendungen in ein Verzeichnis aufgenommen und dürfen sodann von Ärzten und Psychotherapeuten verschrieben werden. Im DiGA-Verzeichnis sind bereits 35 Anwendungen zu finden. Das DiPA-Verzeichnis befindet sich noch im Aufbau.
Vorgaben für ein Datenschutzzertifikat nach Art. 42 DSGVO
Schaut man sich die Definitionen von DiGA und DiPA an, klingeln den Datenschützern unter uns sogleich die Ohren: digitale Technologien, Erkrankungen, Pflegebedürftigkeit – Art. 9 DSGVO lässt grüßen, denn DiGA und DiPA arbeiten mit den besonders schutzwürdigen Gesundheitsdaten ihrer Anwender. Aus diesem Grund sollten die Entwickler solcher Anwendungen stets ein besonderes Augenmerk auf den Datenschutz legen. Leider fielen einige digitale Gesundheits-Apps in der Vergangenheit schon mit Datenschutzrisiken und Sicherheitslücken auf, worüber wir auch hier im Blog berichteten.
Anfang September 2022 veröffentlichte das BfArM seine „Prüfkriterien für die von digitalen Gesundheitsanwendungen (DiGA) und digitalen Pflegeanwendungen (DiPA) nachzuweisenden Anforderungen an den Datenschutz“. Auf der Grundlage dieser Kriterien soll den Herstellern von Gesundheits- und Pflegeanwendungen zukünftig zertifiziert werden, dass ihre Anwendungen datenschutzkonform sind.
Wollen DiGA- und DiPA-Hersteller zukünftig im jeweiligen Verzeichnis aufgenommen werden, müssen sie dem BfArM ein entsprechendes Datenschutzzertifikat vorlegen. Dies gilt gemäß § 139e Absatz 11 SGB V ab dem 1. April 2023 und auch für Hersteller, die bereits im Verzeichnis gelistet sind, wie dem Leitfaden des BfArM zum DiGA-Prüfverfahren zu entnehmen ist.
Damit ist das BfArM europaweit eine der ersten Behörden, die ein spezielles Datenschutzzertifikat (Art. 42 DSGVO) entwickelt haben und damit Patientenrechte mit Blick auf den Datenschutz gezielt stärken wollen. Nach eigenen Angaben wurden bei der Umsetzung der gesetzlichen Regelungen in konkrete Prüfkriterien auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingebunden.
Anforderungen des BfArM im Einzelnen
Auf Rund 80 Seiten gibt das BfArM den Herstellern digitaler Gesundheits- und Pflegeanwendungen nun genaue Anforderungen an den Datenschutz vor. Diese werden im Folgenden kurz erläutert:
Rechtmäßigkeit der Verarbeitung
Die digitalen Anwendungen dürfen personenbezogene Daten nur aufgrund einer Einwilligung verarbeiten (§4 DiGAV, Art. 5 bis 9 DSGVO). Eine besondere Herausforderung besteht darin, dass Hersteller und Verantwortlicher bei der Verordnung bzw. Bewilligung einer digitalen Anwendung lediglich einen pseudonymen Freischaltcode erhalten und keine Maßnahmen für eine Identifizierung der betroffenen Person vorsehen dürfen, wenn dieses nicht zwingend erforderlich ist. Hiermit können abgegebene Erklärungen zwar einem Nutzer-Account einer digitalen Anwendung zugeordnet werden, nicht aber einer natürlichen Person.
Verarbeitung nach Treu und Glauben
Der in Art. 5 DSGVO verankerte Grundsatz wird vom BfArM auch als „Fairness“ betitelt und bedeutet für die Hersteller digitaler Anwendungen v.a., dass sie keine Datenverarbeitungen vornehmen dürfen, mit denen ein vernünftiger Betroffener nicht rechnen würde.
Für den Fall, dass Hersteller oder Verantwortliche digitaler Anwendungen mit spezifischen Maßnahmen des Datenschutzes werben und damit den Eindruck erwecken, über die üblichen Maßnahmen des Wettbewerbs hinauszugehen, verlangt das BfArM, dass sich dies auch in den gewählten technischen-organisatorischen Maßnahmen und deren konkreter Umsetzung widerspiegeln muss.
Transparenz durch Information
Die Hersteller bzw. Verantwortlichen der digitalen Anwendung sollen ihre Informationspflichten insbesondere nach Art. 13 und 14 DSGVO vorrangig über eine Datenschutzerklärung umsetzen. Hier macht das BfArM Anforderungen an den Inhalt der Datenschutzerklärung, deren Lebenszyklus und der einfachen Zugänglichkeit zu datenschutzrelevanten Informationen. Dabei geht es vor allem darum, interessierten Nutzern darzustellen, welche Datenverarbeitungen mit den angepriesenen Leistungsmerkmalen einer digitalen Anwendung einhergehen.
Zweckbindung und Nichtverkettbarkeit
Die Kriterien zur Zweckbindung und Nichtverkettbarkeit basieren auf den Vorgaben von Art. 5 DSGVO mitsamt der zugehörigen Erwägungsgründe sowie der Darstellung des Gewährleistungsziels „Nichtverkettbarkeit“ im Standard-Datenschutzmodell. Hiermit soll sichergestellt werden, dass die pseudonyme Nutzung auch über den Lebenszyklus der digitalen Anwendung und für alle rechtmäßigen Zwecke der Datenverarbeitung durchgehalten wird. Dabei liegt der Fokus auf der Umsetzung einer wirksamen Trennung der Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten.
Zu beachten ist, dass hier nach § 27 BDSG eine zulässige Ausnahme von der Zweckbindung vorgesehen ist: Über die digitale Anwendung erhobene Daten dürfen zu wissenschaftlichen Forschungszwecken weiterverarbeitet werden. Abweichend von § 27 BDSG wird dafür aber eine Einwilligung der betroffenen Person verlangt.
Datenminimierung und Speicherbegrenzung
Die Kriterien der Datenminimierung und Speicherbegrenzung (Art. 5 DSGVO, Erwägungsgrund 39) sollen sicherstellen, dass digitale Anwendungen nur Daten verarbeiten, die für die Verarbeitungszwecke angemessen und erheblich sind. Die verarbeiteten Daten sollen auf das für ihre Verarbeitungszwecke notwendige Maß beschränkt sein. Insbesondere sollten die Zwecke nicht auch auf datensparsamere Weise erreichbar sein. Unter diesem Kriterium verlangt das BfArM u.a., dass Daten in dem datensparsamsten Format verarbeitet und gespeichert werden müssen, mit dem sich die zugesagten Funktionalitäten der digitalen Anwendung erbringen lassen (z.B. Altersgruppe anstelle des genauen Geburtsdatums). Zudem müssen Nutzeraccounts pseudonym sein, d.h. Sie dürfen keine Angaben zur Identität der betroffenen Person (Krankenversichertennummer, realer Name, Adresse, etc.) enthalten.
Rechte der betroffenen Person
Unter dem Kriterium der Intervenierbarkeit fasst das BfArM die Rechte der betroffenen Person auf Benachrichtigung, Auskunft, Berichtigung, Löschung, Vergessenwerden, Einschränkung der Verarbeitung und Datenübertragbarkeit aus Artikel 12 sowie 15 bis 20 DSGVO zusammen.
Integrität, Richtigkeit und Vertraulichkeit
Das Kriterium der Integrität, Richtigkeit und Vertraulichkeit leitet sich unmittelbar aus Art. 5 Absatz 1 lit. d) und f) DSGVO sowie Art. 32 Absatz 1 lit. b) DSGVO ab und ist für DiGA und DiPA gleichermaßen gültig. Es fokussiert sich sehr stark auf Prozesse und Maßnahmen für die Auswahl angemessener technischer und organisatorischer Maßnahmen (TOMs) sowie der Kommunikation mit den Betroffenen.
Protokollierung von Datenverarbeitungen
Die Protokollierung von Datenverarbeitungen ist eine wesentliche Maßnahme zur Erfüllung der Rechenschaftspflicht und leitet sich unmittelbar aus Art. 5 Absatz 2 DSGVO ab. Dabei müssen die digitalen Anwendungen zwischen einer Protokollierung zu Datenschutzzwecken des Verantwortlichen und einem Protokoll zur Datenschutzkontrolle durch den Betroffenen unterscheiden.
Wahrnehmung von Verantwortung
Unter diesem Kriterium weist das BfArM darauf hin, dass der Verantwortliche den Datenschutz, sowohl in der digitalen Anwendung selbst, als auch in der Struktur und den Prozessen des Herstellers zu verankern hat und stellt die in Art. 24 DSGVO beschriebene Verantwortung des Verantwortlichen dar. Beispielsweise müssen Mitarbeiter, die Zugang zu personenbezogenen Daten haben, zur Verschwiegenheit verpflichtet, ein Datenschutzbeauftragter benannt oder auch Prozesse zum Umgang mit Datenschutzverletzungen etabliert werden.
Auftragsverarbeitung und Datenübermittlung
Der Fokus dieses Kriteriums liegt auf vertraglichen Aspekten der Auftragsverarbeitung sowie den Prozessen des Verantwortlichen zur Absicherung des Vertrags und zur Kontrolle seiner Einhaltung. Basis für bilden vorrangig Art. 28 DSGVO und die weiterführenden Hinweise im Kurzpapier 13 der DSK.
Angelehnt an den § 80 SGB X ist eine Datenübermittlung auf Deutschland, die EU, den EWR, die Schweiz und Staaten mit einem Angemessenheitsbeschluss nach Art. 45 DSGVO beschränkt. Eine Verarbeitung personenbezogener Daten außerhalb dieser Staaten allein aufgrund von Standardvertragsklauseln oder Binding Corporate Rulesist nicht zulässig.
Der Einsatz von Dienstleistern mit Niederlassung in der EU, aber einem Mutterkonzern in den USA (z.B. Google Limited Ireland oder AWS Luxemburg) ist zulässig, sofern die Speicherung und Verarbeitung sämtlicher Daten in einem Rechenzentrum in der EU erfolgt, die personenbezogenen Daten nach dem Stand der Technik verschlüsselt sind und die Schlüssel vom Anbieter der digitalen Anwendungen selbst verwaltet oder gespeichert werden (z.B. mittels Customer-Managed Encryption Keys). Darüber hinaus müssen solche Dienstleister verbindlich zusichern, dass keine Datentransfers in den USA durchgeführt werden und auch im Fall eines Herausgabeverlangen von US-Behörden keine Daten, auch nicht an das Mutterkonzern, herausgegeben werden.
Datenschutz-Folgenabschätzung und Verzeichnis von Verarbeitungstätigkeiten
Hier stellt das BfArM konkrete Anforderungen an die Umsetzung des Verzeichnisses von Verarbeitungstätigkeiten sowie an die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, die alle auf die digitale Anwendung bezogenen Verarbeitungstätigkeiten umfasst. Das BfArM stellt aber auch klar, dass für die Zertifizierung nur die Verarbeitungstätigkeiten betrachtet werden, die in unmittelbarem Zusammenhang mit der digitalen Anwendung einschließlich ihrer Bereitstellung und Erstattung stehen. Allgemeine, unternehmensinterne Prozesse des Herstellers und des Verantwortlichen wie z.B. die Lohnbuchhaltung oder von der digitalen Anwendung unabhängige Verarbeitungen sind nicht Gegenstand der Prüfung.
Technische und Organisatorische Maßnahmen
In diesem Kriterium sind Anforderungen zusammengefasst, die auf die Umsetzung der DSGVO Vorgaben zu „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ (Art. 25 DSGVO) und „Sicherheit der Verarbeitung“ (Art. 32 DSGVO) abzielen. Beispielsweise müssen technische und organisatorische Maßnahmen die Sicherheit der Verarbeitung über den gesamten Lebenszyklus der digitalen Anwendung hinweg abdecken. Auch muss es dem Nutzer der Anwendung möglich sein, im Fall des Verlusts des genutzten Endgeräts, die Sperrung aller von der Anwendung verwalteten personenbezogenen Daten gegenüber externen Zugriffen zu verfügen.
Bitte nicht abschrecken lassen!
Dass die Sicherheit und der Schutz von Gesundheitsdaten ein sehr hohes Gut ist, muss von den Verantwortlichen und Herstellern digitaler Gesundheits- und Pflegeanwendungen immer im Blick behalten werden. Mit den neuen Prüfkriterien des BfArM steigen die datenschutzrechtlichen Anforderungen an DiGA und DiPA. Bleibt nur zu hoffen, dass der umfangreiche Kriterienkatalog Unternehmen nicht davor abschreckt, auch zukünftig weitere digitale Anwendungen auf den Markt zu bringen, um damit vor allem Patienten und Pflegebedürftige zu unterstützen. Bei der Umsetzung der Kriterien unterstützt Sie ihr Datenschutzbeauftragter.