Datenschutzanforderungen für DiGA und DiPA
Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) hat Anforderungen an den Datenschutz für digitale Gesundheitsanwendungen (DiGA) und digitale Pflegeanwendungen (DiPA) im April 2024 erstellt (Version 1.0, Stand: 24.04.2024; Vorversion 0.1 vom 09.08.2022). Diese wurden in Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aktualisiert.
Die Kriterien dienen als Grundlage für Zertifikate, mit denen Hersteller nachweisen, dass ihre Anwendungen datenschutzkonform sind. Dabei werden sowohl die Vorgaben der Datenschutz-Grundverordnung (DSGVO) als auch spezifische Anforderungen für DiGA und DiPA berücksichtigt.
Datenschutzzertifikat stärkt Patientenschutz
Seit etwa drei Jahren können Ärztinnen, Ärzte sowie Psychotherapeutinnen und Psychotherapeuten DiGA verschreiben, die dann von den gesetzlichen Krankenkassen erstattet werden. Damit diese Anwendungen sicher genutzt werden können, prüft das BfArM unter anderem, ob sie die Datenschutzanforderungen erfüllen. Bei Mängeln sind die Hersteller verpflichtet, diese zu beheben.
Mit der Änderung der Digitalen Gesundheitsanwendungen-Verordnung (1. DiGAVÄndV) und § 139e des Fünften Buchs Sozialgesetzbuch (SGB V) wurden zusätzliche Regelungen geschaffen. Künftig wird ein Datenschutzzertifikat für die Aufnahme in das DiGA- oder DiPA-Verzeichnis notwendig sein, das eine intensivere Prüfung ermöglicht.
Das BfArM gehört zu den ersten Behörden in Europa, die ein spezielles Datenschutzzertifikat entwickelt haben, um den Schutz der Patientendaten zu stärken. Dieses Zertifikat wird nach einer Prüfung und Auditierung von einer akkreditierten Stelle ausgestellt und muss dem BfArM bei der Aufnahme ins entsprechende Verzeichnis vorgelegt werden.
Ab 01.02.2025 gilt für neu zu stellen Anträge:
- Die Vorlage eines Zertifikats zum Nachweis der Erfüllung der Anforderungen an die Datensicherheit wird Voraussetzung für die formale Vollständigkeit des Antrags.
- Für einen Übergangszeitraum bis 30.06.2025 genügt es bei Verzögerungen bei der Durchführung der Zertifizierung, dass das erforderliche Zertifikat während des laufenden Prüfverfahrens eingereicht wird. Voraussetzung ist: Vorlage der Terminbestätigung einer zuständigen Zertifizierstelle bei Antragsstellung.
- Eine Aufnahme einer DiGA in das Verzeichnis ohne Vorlage des Zertifikats ist nicht möglich.
Prüfkriterien des BfArM
Für die Entwicklung der Prüfkriterien hat das BfArM eng mit dem BfDI und dem BSI zusammengearbeitet. Innerhalb des deutschen und europäischen Abstimmungsprozesses könnten sich die Kriterien noch ändern. Details zu den Prüfkriterien und den Prüfmethoden werden in einem separaten Prüfprogramm festgelegt.
Auf Basis der überarbeiteten Prüfkriterien ergeben sich klare Anforderungen und Richtlinien, die Hersteller von DiGA und DiPA bei der Entwicklung und Zertifizierung ihrer Anwendungen beachten müssen. Die folgenden Abschnitte geben einen Überblick über die zentralen Datenschutzgrundsätze, die Rollen der Beteiligten sowie die technischen und organisatorischen Maßnahmen, die für eine erfolgreiche Umsetzung erforderlich sind.
Datenschutzkriterien nach § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI
Folgend eine strukturierte Zusammenfassung der wesentlichen Inhalte des Dokuments „Prüfkriterien für die von digitalen Gesundheitsanwendungen (DiGA) und digitalen Pflegeanwendungen (DiPA) nachzuweisenden Anforderungen an den Datenschutz“ *:
1. Definitionen (ab Seite 4)
- Wichtige Begriffe:
- „MUSS“: Verpflichtende Anforderung gemäß RFC 2119.
- „DARF NICHT“: Verbot, das als normativ zu behandeln ist.
- „SOLL“: Starke Empfehlung, von der nur in Ausnahmefällen abgewichen werden darf.
- „KANN“: Optionale oder explizit erlaubte Umsetzung.
- Relevante Definitionen:
- Digitale Gesundheitsanwendungen (DiGA) und Pflegeanwendungen (DiPA) nach §§ 33a SGB V und 40a SGB XI.
- Verantwortliche und Hersteller im Kontext von DSGVO, DiGAV und DiPAV.
2. Grundsätze (ab Seite 7)
Die Grundsätze für den Datenschutz von DiGA und DiPA sind zentrale Vorgaben (analog Art. 5 DSGVO), die sicherstellen sollen, dass personenbezogene Daten rechtmäßig, sicher und im Sinne der betroffenen Personen verarbeitet werden.
- Rechtmäßigkeit (Art. 5 Abs. 1 lit. a DSGVO): Jede Datenverarbeitung muss entweder auf einer gesetzlich vorgesehenen Grundlage (z. B. DSGVO, DiGAV, DiPAV) oder auf einer informierten Einwilligung beruhen (Art. 7 DSGVO). Es reicht nicht aus, nur eine pauschale Einwilligung einzuholen. Vielmehr muss diese spezifisch und verständlich sein. Es darf keine Verarbeitung erfolgen, die über den angegebenen Zweck hinausgeht. Dies garantiert, dass die Datenverarbeitung sowohl den gesetzlichen Anforderungen entspricht als auch im Interesse der betroffenen Person bleibt.
- Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO): Nutzer der digitalen Anwendungen müssen sich darauf verlassen können, dass ihre Daten fair und im Einklang mit den angegebenen Zwecken verarbeitet werden. Überraschende oder versteckte Verarbeitungen, die nicht transparent gemacht werden, sind unzulässig. Dies umfasst auch, dass keine Daten in einer Weise verwendet werden dürfen, die den Nutzer benachteiligt oder in seiner Privatsphäre unangemessen einschränkt.
- Transparenz (Art. 5 Abs. 1 lit. a DSGVO): Eine klare und verständliche Informationspolitik ist unerlässlich. Nutzer müssen wissen, welche Daten erhoben werden, warum sie benötigt werden und wie sie verarbeitet werden. Dies erfolgt in der Regel durch Datenschutzhinweise, die in leicht verständlicher Sprache formuliert sein muss (Art. 13 DSGVO). Ebenso sollen betroffene Personen über ihre Rechte informiert werden, etwa das Recht auf Auskunft, Löschung oder Einschränkung der Verarbeitung (Artt. 15, 16, 17, 18, 19, 20, 22 DSGVO).
- Nichtverkettbarkeit (Art. 5 Abs. 1 lit. b DSGVO): Dieser Grundsatz verhindert, dass Daten aus verschiedenen Quellen ohne ausdrückliche Berechtigung miteinander verknüpft werden. Pseudonymisierte Daten dürfen nicht in einer Weise verarbeitet werden, die eine Rückverfolgung oder eine Profilbildung (Art. 22 DSGVO) ermöglicht, es sei denn, dies wurde explizit vereinbart.
- Datenminimierung und Speicherbegrenzung (Art. 5 Abs. 1 lit. c und e DSGVO): Es gilt, die Menge der verarbeiteten Daten auf das absolut Notwendige zu beschränken. Daten dürfen nur so lange gespeichert werden, wie sie für den angegebenen Zweck erforderlich sind. Regelungen zur automatisierten Löschung oder Anonymisierung von Daten sind Teil dieses Grundsatzes.
3. Verantwortlicher und Auftragsverarbeiter (ab Seite 49)
Dieser Abschnitt beleuchtet die Aufgaben und Verantwortlichkeiten der Parteien, die in die Verarbeitung personenbezogener Daten eingebunden sind.
- Der Verantwortliche (Art. 4 Nr. 7 DSGVO) ist die juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet. In der Regel handelt es sich hierbei um den Hersteller der digitalen Anwendung. Der Verantwortliche trägt die Hauptverantwortung dafür, dass die Datenverarbeitung den gesetzlichen Vorgaben entspricht. Dazu gehört die Implementierung von technischen und organisatorischen Maßnahmen, die Erfüllung von Informationspflichten und die Einhaltung von Betroffenenrechten.
- Wenn der Verantwortliche Dritte beauftragt, Daten in seinem Namen zu verarbeiten („im Auftrag“), handelt es sich um einen Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Die Zusammenarbeit muss durch einen Vertrag geregelt werden, der unter anderem die Art und den Zweck der Verarbeitung, Sicherheitsmaßnahmen und Regelungen zur Rückgabe oder Löschung der Daten festlegt. Der Verantwortliche bleibt jedoch für die Einhaltung der Datenschutzvorgaben verantwortlich und muss regelmäßig kontrollieren, ob der Auftragsverarbeiter diese einhält.
- Vor allem bei Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, muss eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchgeführt werden. Dabei werden potenzielle Risiken identifiziert und bewertet, sowie Maßnahmen entwickelt, um diese Risiken zu minimieren. Eine DSFA ist insbesondere bei innovativen Technologien oder umfangreicher Verarbeitung sensibler Daten erforderlich.
- Alle wesentlichen Details zur Datenverarbeitung müssen vertraglich geregelt (u.a. Art. 28 DSGVO) und dokumentiert (u.a. Art. 5 Abs. 2 DSGVO) werden. Dies schafft Klarheit über Verantwortlichkeiten und dient gleichzeitig als Nachweis für die Einhaltung der Datenschutzanforderungen.
4. Technische und organisatorische Maßnahmen (ab Seite 68)
Dieser Abschnitt legt den Fokus auf die konkrete Umsetzung von Datenschutz und Datensicherheit in der Praxis (Art. 32 DSGVO Sicherheit der Verarbeitung).
- Sicherheitsmaßnahmen: Der Schutz personenbezogener Daten muss durch geeignete technische und organisatorische Maßnahmen gewährleistet werden. Dazu gehören Verschlüsselungstechniken, Firewalls, regelmäßige Sicherheitsupdates und Mechanismen zur Zugriffssteuerung. Es muss sichergestellt werden, dass nur autorisierte Personen Zugang zu sensiblen Daten erhalten.
- Zugriffskontrollen: Der Zugriff auf personenbezogene Daten muss restriktiv gehandhabt werden. Es müssen sowohl technische Barrieren (Passwortschutz, Zwei-Faktor-Authentifizierung) als auch organisatorische Maßnahmen (z. B. Vergabe von Rollen und Rechten) eingerichtet werden. Eine regelmäßige Überprüfung der Zugriffskontrollen ist obligatorisch.
- Protokollierung und Überwachung: Alle datenverarbeitenden Systeme sollten protokolliert werden, um im Falle eines Vorfalls nachvollziehen zu können, wer wann auf welche Daten zugegriffen hat. Diese Protokolle dienen auch der regelmäßigen Überprüfung der Einhaltung von Datenschutzrichtlinien.
- Lösch- und Aufbewahrungskonzepte: Sobald Daten für ihren Zweck nicht mehr benötigt werden, müssen sie sicher gelöscht werden. Dies gilt auch für Backups oder temporäre Speicherorte. Es ist wichtig, nachvollziehbare Prozesse für die Datenlöschung zu etablieren.
- Notfallmanagement: Für den Fall eines Datenlecks oder eines technischen Problems müssen klar definierte Abläufe existieren, um Schäden zu minimieren. Dazu gehören Meldepflichten, die Information betroffener Personen und Maßnahmen zur Wiederherstellung des Normalbetriebs.
Diese Maßnahmen tragen dazu bei, die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu wahren und die Anforderungen der DSGVO sowie weiterer rechtlicher Regelungen zu erfüllen.
5. Anlagen (ab Seite 76)
- Referenzen:
- Verweise auf gesetzliche Grundlagen wie DSGVO, DiGAV und weitere nationale Regelungen.
- Zusatzanforderungen:
- Spezielle Regelungen für Einwilligungen und Benachrichtigungsmechanismen.
Fazit
Für Anbieter und Entwickler von DiGA und DiPA ist es essenziell, die aktuellen Prüfkriterien des BfArM genau zu verstehen und von Beginn an in den Entwicklungsprozess zu integrieren. Dies umfasst die Berücksichtigung der Datenschutzgrundsätze, die frühzeitige Planung technischer und organisatorischer Maßnahmen sowie die Vorbereitung auf die erforderliche Zertifizierung.
Eine enge Zusammenarbeit mit Datenschutzbeauftragten und technischen Experten kann dabei helfen, nicht nur die rechtlichen Anforderungen zu erfüllen, sondern auch das Vertrauen der Nutzer in die Sicherheit und Zuverlässigkeit der Anwendungen zu stärken.
* Link zum BfArM (nicht barrierefrei): Prüfkriterien für die von digitalen Gesundheitsanwendungen (DiGA) und digitalen Pflegeanwendungen (DiPA) nachzuweisenden Anforderungen an den Datenschutz