Nicht nur auf dem DiGA-Fast-Track: Datenschutz von Beginn an mitdenken und mitlaufen lassen!
Mit dem DVG-Fast-Track erhalten Hersteller von digitalen Gesundheitsanwendungen die große Chance, einen erleichterten und beschleunigten Zugang in die Regelversorgung zu finden und dort ihr Innovationspotenzial zu entfalten. Diese Chance auf einen Markt mit rund 73 Mio. Versicherten sollte von ihnen konsequent genutzt und nicht leichtfertig vertan werden. Die Gefahr besteht, denn das Gesundheitswesen und sein regulierter Markt stellen Hersteller von Gesundheits-Apps und digitalen Anwendungen vor Herausforderungen und auch die Aufnahme in das DiGA-Verzeichnis sind an strenge Anforderungen gebunden – vor allem auch in Fragen des Datenschutzes und der Informationssicherheit. Die DiGA-Verordnung (DiGAV), die kürzlich verabschiedet wurde, regelt hierzu die Rahmenbedingungen sowie die Zulassungsvoraussetzungen einer DiGA.
In Anlage 1 der DiGAV befindet sich ein Fragebogen, welcher die Erfüllung einzelner Anforderungen des Gesetzgebers an eine DiGA abfragt – zum Thema Datenschutz sind es gleich 40 Checklistenpunkte! Was unterstreicht, wie wichtig und ernst der Datenschutz genommen wird. Denn hier geht es auch darum, das Vertrauen der Leistungserbringer und Patienten nicht zu verspielen.
Was ist das Besondere an der DiGAV in Sachen Datenschutz?
Wenn man die einzelnen Checklistenpunkte durchgeht, merkt man schnell, dass einzelne Punkte der Checkliste mehrere Fragen aufwerfen oder sogar gleich mehrere Themengebiete anschneiden. Da es sich bei den verarbeiteten Daten in einer DiGA um Gesundheitsdaten und somit um besonders schützenswerte personenbezogene Daten handelt, sind natürlich auch unabhängig von der DiGAV die Anforderungen aufgrund geltender Datenschutzgesetze, wie z. B. der Datenschutz-Grundverordnung (DSGVO), sehr hoch.
Das Besondere an der DiGAV ist jedoch die Konkretisierung einzelner Punkte, welche z. B. in der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) allgemeiner gehalten sind: besonders in Bezug auf die technische Umsetzung gibt es viele Vorgaben, die von der Erhebung, Verschlüsselung und der Speicherung von Daten bis hin zur Löschung konkret vorgegeben sind. Auch der wichtige Aspekt des sogenannten Privacy by default wird aufgegriffen und stellt datenschutzkonforme Werkseinstellungen, im Hinblick auf Funktionalitäten der DiGA und Datenverarbeitung der Nutzerdaten bei Inbetriebnahme der Applikation, sicher. Auch organisatorisch relevante Datenschutzpunkte, also z. B. Themen, die man intern regeln und festhalten muss, wie Auskunftsanfragen von Betroffenen oder auch die Durchführung von Sensibilisierungsmaßnahmen der eigenen Mitarbeiter, werden von der DiGAV aufgegriffen.
Mobil oder Web – aus Datenschutz-Sicht gilt es einiges zu beachten
Viele Hersteller fragen sich aktuell, ob sie lieber eine mobile Anwendung als eine an ein mobiles Endgerät gebundene Applikation, welche z. B. über einen App-Store beziehbar ist, oder doch eher eine Web Anwendung, also eine auf einem Server betriebene und geräteunabhängige Lösung, entwickeln sollten.
Einige verlassen sich hierzu auf Zahlen: So besitzt in Deutschland jemand im Zweifel eher ein Smartphone, als dass er einen PC oder einen Laptop hat. Die Anzahl der Smartphone-Nutzer lag allein in Deutschland laut Statista im Jahre 2019 bei 58 Mio. Nutzern. Das sind knapp 70 Prozent der gesamten Bevölkerung – und diesen Markt möchte sicherlich der ein oder andere DiGA-Hersteller bevorzugt bedienen.
Aus Datenschutz-Sicht gibt es sowohl bei Web-Applikationen als auch bei Lösungen für mobile Endgeräte einiges zu beachten. Was für den einzelnen DiGA-Hersteller am Ende einfacher umzusetzen ist, liegt letztlich wohl auch an den jeweils unterschiedlichen technischen Fähigkeiten der eigenen Mitarbeiter, denn der größte Unterschied findet sich in der technischen Umsetzung des Ganzen. Die organisatorischen Maßnahmen, wie z. B. interne Prozesse für Auskunftsanfragen zu etablieren, sind gleich. Wenn es aber darum geht, Daten auf einem verlorengegangenen Gerät per Kill Switch löschen zu können, dann ist das sicherlich ein Alleinstellungsmerkmal mobiler Endgeräte. Auch das Unterbinden von Zugriffsmöglichkeiten zwischen mehreren Applikationen auf einem mobilen Endgerät untereinander gehören dazu. Dies sind Punkte, welche die erst kürzlich erschienene Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu Sicherheitsanforderungen an digitale Gesundheitsanwendungen regelt. Diese versteht sich als Leitfaden für die technische Umsetzung von Informationssicherheitsanforderungen.
Im Grunde sind dies alles Themen, welche durch eine strukturierte Bearbeitung überschaubar lösbar sind. Wichtig ist hierbei auch, dass das Thema Datenschutz während des Entwicklungsprozesses mitgedacht wird. Aber auch darüber hinaus wird es noch Updates und sicherlich auch neue Funktionalitäten geben. Viele Entscheidungen in diesem Kontext müssen mit der entsprechenden Fachkompetenz und Praxiserfahrung abgewogen und situationsspezifisch getroffen werden. Besonders für junge Unternehmen ist es wichtig, zu wissen wo sie stehen, eine fundierte Risikoabschätzung vorzunehmen und eine sichere und praxisorientierte Lösung zu finden. Denn Datenschutz ist hierbei immer ein Thema, welches mitlaufen sollte – es ist ein Dauerbrenner und bei nicht Einhaltung drohen hohe Bußgelder, aber natürlich auch ein immenser Imageschaden für DiGA-Hersteller, welcher noch schlimmer sein könnte als eine horrende Strafe. Denn wer möchte schon eine DiGA einsetzen und seine Gesundheitsdaten preisgeben, wenn er nicht das Gefühl hat, bei diesem Unternehmen sind meine Daten sicher?