Datensicherheit von DiGA

Hersteller müssen die Erfüllung der vielen Anforderungen durch ein Zertifikat belegen

Ein entscheidender Faktor für die Verschreibung einer DiGA ist die Datensicherheit. Zweifel an der Datensicherheit sind für Ärzte gleich nach den Kosten der wesentliche Faktor, der ihre Haltung zu DiGA bestimmt: In einer repräsentativen Befragung der Stiftung Gesundheit gaben 40% der Ärzte an, dass Fragen des Datenschutzes ihre Ablehnung steigere.1

Balkendiagramm zu den Ärzte beeinflussenden Faktoren für ihre Haltung gegenüber DiGA

Abb 1: In einer Umfrage der Stiftung Gesundheit gaben Ärzte diese beeinflussenden Faktoren für ihre Haltung gegenüber DiGA an (n=1790 bis 1809 für die einzelnen Faktoren)1

Grundlegend müssen DiGA den Schutzstandard der Datenschutzgrundverordnung (DSGVO) einhalten, wozu Risikoanalysen, der Grundsatz der Datenminimierung und strenge Löschungsfristen zählen. Die Digitale Gesundheitsanwendungen-Verordnung (DiGAV) legt jedoch noch deutlich schärfere Maßstäbe für DiGA an, insbesondere was den Zweck und die Rechtsgrundlage der Datenverarbeitung und den Standort der Datenverarbeitung angeht.2 Eine kommerzielle Nutzung von Gesundheitsdaten ist ausdrücklich untersagt.

Grafik veranschaulicht strenge Anforderungen, Verbot der kommerziellen Nutzung und Datenspeicherung nur innerhalb der EU

Insgesamt müssen Hersteller weit über 100 vorgegebenen Einzelmaßnahmen umsetzen, um die Anforderungen an Sicherheit, Funktionstauglichkeit, Qualität, Datenschutz und Datensicherheit zu erfüllen.3 Ein zentrales Element dabei ist die zweckgebundene Nutzung von Daten. Diese dürfen nur zum bestimmungsgemäßen Gebrauch, zum Nachweis positiver Versorgungseffekte und zur dauerhaften Gewährleistung der technischen Funktionalität überhaupt erhoben werden. Insgesamt ist die Datenverarbeitung durch DiGA nur in einem engen Rechtsrahmen gestattet.

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) überprüft die Plausibilität der vom Hersteller gemachten Angaben, über Testzugänge die Datenschutzerklärungen, die Authentisierungsmethoden und die Datenverbindungen.4 Der IT-Sicherheitsberater Martin Tschirsich schätzt, dass die Mehrheit der DiGA sicher sind.5

Seit 2023 gelten noch höhere Standards: Das BfArM prüfte einerseits jährlich die Kriterien, welche die Hersteller von DiGA zu erfüllen haben. Andererseits ist seit Anfang April 2023 eine Regelung in Kraft, wonach der Nachweis seitens der Hersteller durch ein Zertifikat nach Paragraf 42 DSGVO zu belegen ist.6 Nur wenn alle der strengen Anforderungen nachweislich erfüllt sind, darf eine DiGA im offiziellen Verzeichnis gelistet werden.7

 

Referenzen:

  1. Stiftung Gesundheit. Digitale Gesundheitsanwendungen (DiGA) in der Praxis: Erkenntnisse und Erfahrungen. November 2022. Online verfügbar unter: https://www.stiftung-gesundheit.de/pdf/studien/aerzte-im-zukunftsmarkt-gesundheit_2022_barrierefrei.pdf (zuletzt aufgerufen am 5. April 2023)
  2. Bundesministerium der Justiz. Digitale Gesundheitsanwendungen-Verordnung. https://www.gesetze-im-internet.de/digav/BJNR076800020.html (zuletzt aufgerufen am 5. April 2023)
  3. Spitzenverband digitale Gesundheitsversorgung. Digital, evidenzbasiert, sicher: Digitale Gesundheitsanwendungen stehen für Datenschutz und Nutzennachweis. Januar 2021 https://digitalversorgt.de/wp-content/uploads/2021/01/2020-01-27-SVDGV_Positionspapier-DiGA-Datenschutz-und-Nutzennachweis.pdf (zuletzt aufgerufen am 5. April 2023)
  4. https://www.deutsche-apotheker-zeitung.de/news/artikel/2022/08/08/diga-wie-sicher-sind-die-gesundheitsdaten (zuletzt aufgerufen am 5. April 2023)
  5. Handelsblatt. Datenlecks bei zwei DiGA – weitere könnten betroffen sein. 17. Juni 2022. https://www.handelsblatt.com/inside/digital_health/it-sicherheit-datenlecks-bei-zwei-diga-weitere-koennten-betroffen-sein-/28435504.html (zuletzt aufgerufen am 5. April 2023)
  6. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Verfügbar unter: https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/diga_leitfaden.pdf;jsessionid=40F47AB18ED172C69DDC1BED49947A71.intranet672?__blob=publicationFile (zuletzt aufgerufen am 5. April 2023).
  7. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). DiGA-Verzeichnis. Verfügbar unter: https://diga.bfarm.de/de/verzeichnis (zuletzt aufgerufen am 5. April 2023)