Da­ten­schutz­an­for­de­run­gen für DiGA und DiPA

Das Bun­des­in­sti­tut für Arz­nei­mit­tel und Me­di­zin­pro­duk­te (BfArM) hat An­for­de­run­gen an den Daten­schutz für di­gi­ta­le Ge­sund­heits­an­wen­dun­gen (DiGA) und di­gi­ta­le Pfle­ge­an­wen­dun­gen (DiPA) im April 2024 er­stellt (Version 1.0, Stand: 24.04.2024; Vor­ver­si­on 0.1 vom 09.08.2022). Diese wurden in Ab­stim­mung mit dem Bun­des­be­auf­trag­ten für den Daten­schutz und die In­for­ma­ti­ons­frei­heit (BfDI) sowie dem Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) aktualisiert.

Die Kri­te­ri­en dienen als Grund­la­ge für Zer­ti­fi­ka­te, mit denen Her­stel­ler nach­wei­sen, dass ihre An­wen­dun­gen da­ten­schutz­kon­form sind. Dabei werden sowohl die Vor­ga­ben der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) als auch spe­zi­fi­sche An­for­de­run­gen für DiGA und DiPA berücksichtigt.

Da­ten­schutz­zer­ti­fi­kat stärkt Patientenschutz

Seit etwa drei Jahren können Ärz­tin­nen, Ärzte sowie Psy­cho­the­ra­peu­tin­nen und Psy­cho­the­ra­peu­ten DiGA ver­schrei­ben, die dann von den ge­setz­li­chen Kran­ken­kas­sen er­stat­tet werden. Damit diese An­wen­dun­gen sicher genutzt werden können, prüft das BfArM unter anderem, ob sie die Da­ten­schutz­an­for­de­run­gen er­fül­len. Bei Mängeln sind die Her­stel­ler ver­pflich­tet, diese zu beheben.

Mit der Än­de­rung der Di­gi­ta­len Ge­­sun­d­heits­­an­­wen­­dun­­gen-Ver­­or­d­­nung (1. Di­GA­VÄndV) und § 139e des Fünften Buchs So­zi­al­ge­setz­buch (SGB V) wurden zu­sätz­li­che Re­ge­lun­gen ge­schaf­fen. Künftig wird ein Da­ten­schutz­zer­ti­fi­kat für die Auf­nah­me in das DiGA- oder DiPA-Ver­­­zeich­­nis not­wen­dig sein, das eine in­ten­si­ve­re Prüfung ermöglicht.

Das BfArM gehört zu den ersten Be­hör­den in Europa, die ein spe­zi­el­les Da­ten­schutz­zer­ti­fi­kat ent­wi­ckelt haben, um den Schutz der Pa­ti­en­ten­da­ten zu stärken. Dieses Zer­ti­fi­kat wird nach einer Prüfung und Au­di­tie­rung von einer ak­kre­di­tier­ten Stelle aus­ge­stellt und muss dem BfArM bei der Auf­nah­me ins ent­spre­chen­de Ver­zeich­nis vor­ge­legt werden.

Ab 01.02.2025 gilt für neu zu stellen Anträge:

  • Die Vorlage eines Zer­ti­fi­kats zum Nach­weis der Er­fül­lung der An­for­de­run­gen an die Da­ten­si­cher­heit wird Vor­aus­set­zung für die formale Voll­stän­dig­keit des Antrags.
  • Für einen Über­gangs­zeit­raum bis 30.06.2025 genügt es bei Ver­zö­ge­run­gen bei der Durch­füh­rung der Zer­ti­fi­zie­rung, dass das er­for­der­li­che Zer­ti­fi­kat während des lau­fen­den Prüf­ver­fah­rens ein­ge­reicht wird. Vor­aus­set­zung ist: Vorlage der Ter­min­be­stä­ti­gung einer zu­stän­di­gen Zer­ti­fi­zier­stel­le bei Antragsstellung.
  • Eine Auf­nah­me einer DiGA in das Ver­zeich­nis ohne Vorlage des Zer­ti­fi­kats ist nicht möglich.
Prüf­kri­te­ri­en des BfArM

Für die Ent­wick­lung der Prüf­kri­te­ri­en hat das BfArM eng mit dem BfDI und dem BSI zu­sam­men­ge­ar­bei­tet. In­ner­halb des deut­schen und eu­ro­päi­schen Ab­stim­mungs­pro­zes­ses könnten sich die Kri­te­ri­en noch ändern. Details zu den Prüf­kri­te­ri­en und den Prüf­me­tho­den werden in einem se­pa­ra­ten Prüf­pro­gramm festgelegt.

Auf Basis der über­ar­bei­te­ten Prüf­kri­te­ri­en ergeben sich klare An­for­de­run­gen und Richt­li­ni­en, die Her­stel­ler von DiGA und DiPA bei der Ent­wick­lung und Zer­ti­fi­zie­rung ihrer An­wen­dun­gen be­ach­ten müssen. Die fol­gen­den Ab­schnit­te geben einen Über­blick über die zen­tra­len Da­ten­schutz­grund­sät­ze, die Rollen der Be­tei­lig­ten sowie die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men, die für eine er­folg­rei­che Um­set­zung er­for­der­lich sind.

Da­ten­schutz­kri­te­ri­en nach § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI

Folgend eine struk­tu­rier­te Zu­sam­men­fas­sung der we­sent­li­chen Inhalte des Do­ku­ments „Prüf­kri­te­ri­en für die von di­gi­ta­len Ge­sund­heits­an­wen­dun­gen (DiGA) und di­gi­ta­len Pfle­ge­an­wen­dun­gen (DiPA) nach­zu­wei­sen­den An­for­de­run­gen an den Datenschutz“ *:

 

1. De­fi­ni­tio­nen (ab Seite 4)
  • Wich­ti­ge Be­grif­fe:
    • „MUSS“: Ver­pflich­ten­de An­for­de­rung gemäß RFC 2119.
    • „DARF NICHT“: Verbot, das als nor­ma­tiv zu be­han­deln ist.
    • „SOLL“: Starke Emp­feh­lung, von der nur in Aus­nah­me­fäl­len ab­ge­wi­chen werden darf.
    • „KANN“: Op­tio­na­le oder ex­pli­zit er­laub­te Umsetzung.
  • Re­le­van­te De­fi­ni­tio­nen:
    • Di­gi­ta­le Ge­sund­heits­an­wen­dun­gen (DiGA) und Pfle­ge­an­wen­dun­gen (DiPA) nach §§ 33a SGB V und 40a SGB XI.
    • Ver­ant­wort­li­che und Her­stel­ler im Kontext von DSGVO, DiGAV und DiPAV.
2. Grund­sät­ze (ab Seite 7)

Die Grund­sät­ze für den Daten­schutz von DiGA und DiPA sind zen­tra­le Vor­ga­ben (analog Art. 5 DSGVO), die si­cher­stel­len sollen, dass per­so­nen­be­zo­ge­ne Daten recht­mä­ßig, sicher und im Sinne der be­trof­fe­nen Per­so­nen ver­ar­bei­tet werden.

  • Recht­mä­ßig­keit (Art. 5 Abs. 1 lit. a DSGVO): Jede Da­ten­ver­ar­bei­tung muss ent­we­der auf einer ge­setz­lich vor­ge­se­he­nen Grund­la­ge (z. B. DSGVO, DiGAV, DiPAV) oder auf einer in­for­mier­ten Ein­wil­li­gung beruhen (Art. 7 DSGVO). Es reicht nicht aus, nur eine pau­scha­le Ein­wil­li­gung ein­zu­ho­len. Viel­mehr muss diese spe­zi­fisch und ver­ständ­lich sein. Es darf keine Ver­ar­bei­tung er­fol­gen, die über den an­ge­ge­be­nen Zweck hin­aus­geht. Dies ga­ran­tiert, dass die Da­ten­ver­ar­bei­tung sowohl den ge­setz­li­chen An­for­de­run­gen ent­spricht als auch im In­ter­es­se der be­trof­fe­nen Person bleibt.
  • Ver­ar­bei­tung nach Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO): Nutzer der di­gi­ta­len An­wen­dun­gen müssen sich darauf ver­las­sen können, dass ihre Daten fair und im Ein­klang mit den an­ge­ge­be­nen Zwecken ver­ar­bei­tet werden. Über­ra­schen­de oder ver­steck­te Ver­ar­bei­tun­gen, die nicht trans­pa­rent gemacht werden, sind un­zu­läs­sig. Dies umfasst auch, dass keine Daten in einer Weise ver­wen­det werden dürfen, die den Nutzer be­nach­tei­ligt oder in seiner Pri­vat­sphä­re un­an­ge­mes­sen einschränkt.
  • Trans­pa­renz (Art. 5 Abs. 1 lit. a DSGVO): Eine klare und ver­ständ­li­che In­for­ma­ti­ons­po­li­tik ist un­er­läss­lich. Nutzer müssen wissen, welche Daten erhoben werden, warum sie be­nö­tigt werden und wie sie ver­ar­bei­tet werden. Dies erfolgt in der Regel durch Da­ten­schutz­hin­wei­se, die in leicht ver­ständ­li­cher Sprache for­mu­liert sein muss (Art. 13 DSGVO). Ebenso sollen be­trof­fe­ne Per­so­nen über ihre Rechte in­for­miert werden, etwa das Recht auf Aus­kunft, Lö­schung oder Ein­schrän­kung der Ver­ar­bei­tung (Artt. 15, 16, 17, 18, 19, 20, 22 DSGVO).
  • Nicht­ver­kett­bar­keit (Art. 5 Abs. 1 lit. b DSGVO): Dieser Grund­satz ver­hin­dert, dass Daten aus ver­schie­de­nen Quellen ohne aus­drück­li­che Be­rech­ti­gung mit­ein­an­der ver­knüpft werden. Pseud­ony­mi­sier­te Daten dürfen nicht in einer Weise ver­ar­bei­tet werden, die eine Rück­ver­fol­gung oder eine Pro­fil­bil­dung (Art. 22 DSGVO) er­mög­licht, es sei denn, dies wurde ex­pli­zit vereinbart.
  • Da­ten­mi­ni­mie­rung und Spei­cher­be­gren­zung (Art. 5 Abs. 1 lit. c und e DSGVO): Es gilt, die Menge der ver­ar­bei­te­ten Daten auf das absolut Not­wen­di­ge zu be­schrän­ken. Daten dürfen nur so lange ge­spei­chert werden, wie sie für den an­ge­ge­be­nen Zweck er­for­der­lich sind. Re­ge­lun­gen zur au­to­ma­ti­sier­ten Lö­schung oder An­ony­mi­sie­rung von Daten sind Teil dieses Grundsatzes.
3. Ver­ant­wort­li­cher und Auf­trags­ver­ar­bei­ter (ab Seite 49)

Dieser Ab­schnitt be­leuch­tet die Auf­ga­ben und Ver­ant­wort­lich­kei­ten der Par­tei­en, die in die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ein­ge­bun­den sind.

  • Der Ver­ant­wort­li­che (Art. 4 Nr. 7 DSGVO) ist die ju­ris­ti­sche Person, die über die Zwecke und Mittel der Ver­ar­bei­tung ent­schei­det. In der Regel handelt es sich hierbei um den Her­stel­ler der di­gi­ta­len An­wen­dung. Der Ver­ant­wort­li­che trägt die Haupt­ver­ant­wor­tung dafür, dass die Da­ten­ver­ar­bei­tung den ge­setz­li­chen Vor­ga­ben ent­spricht. Dazu gehört die Im­ple­men­tie­rung von tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men, die Er­fül­lung von In­for­ma­ti­ons­pflich­ten und die Ein­hal­tung von Betroffenenrechten.
  • Wenn der Ver­ant­wort­li­che Dritte be­auf­tragt, Daten in seinem Namen zu ver­ar­bei­ten („im Auftrag“), handelt es sich um einen Auf­trags­ver­ar­bei­ter (Art. 4 Nr. 8 DSGVO). Die Zu­sam­men­ar­beit muss durch einen Vertrag ge­re­gelt werden, der unter anderem die Art und den Zweck der Ver­ar­bei­tung, Si­cher­heits­maß­nah­men und Re­ge­lun­gen zur Rück­ga­be oder Lö­schung der Daten fest­legt. Der Ver­ant­wort­li­che bleibt jedoch für die Ein­hal­tung der Da­ten­schutz­vor­ga­ben ver­ant­wort­lich und muss re­gel­mä­ßig kon­trol­lie­ren, ob der Auf­trags­ver­ar­bei­ter diese einhält.
  • Vor allem bei Da­ten­ver­ar­bei­tun­gen, die ein hohes Risiko für die Rechte und Frei­hei­ten der be­trof­fe­nen Per­so­nen dar­stel­len, muss eine Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (DSFA) gemäß Art. 35 DSGVO durch­ge­führt werden. Dabei werden po­ten­zi­el­le Risiken iden­ti­fi­ziert und be­wer­tet, sowie Maß­nah­men ent­wi­ckelt, um diese Risiken zu mi­ni­mie­ren. Eine DSFA ist ins­be­son­de­re bei in­no­va­ti­ven Tech­no­lo­gien oder um­fang­rei­cher Ver­ar­bei­tung sen­si­bler Daten erforderlich.
  • Alle we­sent­li­chen Details zur Da­ten­ver­ar­bei­tung müssen ver­trag­lich ge­re­gelt (u.a. Art. 28 DSGVO) und do­ku­men­tiert (u.a. Art. 5 Abs. 2 DSGVO) werden. Dies schafft Klar­heit über Ver­ant­wort­lich­kei­ten und dient gleich­zei­tig als Nach­weis für die Ein­hal­tung der Datenschutzanforderungen.
4. Tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men (ab Seite 68)

Dieser Ab­schnitt legt den Fokus auf die kon­kre­te Um­set­zung von Daten­schutz und Da­ten­si­cher­heit in der Praxis (Art. 32 DSGVO Si­cher­heit der Verarbeitung).

  • Si­cher­heits­maß­nah­men: Der Schutz per­so­nen­be­zo­ge­ner Daten muss durch ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men ge­währ­leis­tet werden. Dazu gehören Ver­schlüs­se­lungs­tech­ni­ken, Fire­walls, re­gel­mä­ßi­ge Si­cher­heits­up­dates und Me­cha­nis­men zur Zu­griffs­steue­rung. Es muss si­cher­ge­stellt werden, dass nur au­to­ri­sier­te Per­so­nen Zugang zu sen­si­blen Daten erhalten.
  • Zu­griffs­kon­trol­len: Der Zugriff auf per­so­nen­be­zo­ge­ne Daten muss re­strik­tiv ge­hand­habt werden. Es müssen sowohl tech­ni­sche Bar­rie­ren (Pass­wort­schutz, Zwei-Faktor-Au­­then­­ti­­fi­­zie­rung) als auch or­ga­ni­sa­to­ri­sche Maß­nah­men (z. B. Vergabe von Rollen und Rechten) ein­ge­rich­tet werden. Eine re­gel­mä­ßi­ge Über­prü­fung der Zu­griffs­kon­trol­len ist obligatorisch.
  • Pro­to­kol­lie­rung und Über­wa­chung: Alle da­ten­ver­ar­bei­ten­den Systeme sollten pro­to­kol­liert werden, um im Falle eines Vor­falls nach­voll­zie­hen zu können, wer wann auf welche Daten zu­ge­grif­fen hat. Diese Pro­to­kol­le dienen auch der re­gel­mä­ßi­gen Über­prü­fung der Ein­hal­tung von Datenschutzrichtlinien.
  • Lösch- und Auf­be­wah­rungs­kon­zep­te: Sobald Daten für ihren Zweck nicht mehr be­nö­tigt werden, müssen sie sicher ge­löscht werden. Dies gilt auch für Backups oder tem­po­rä­re Spei­cher­or­te. Es ist wichtig, nach­voll­zieh­ba­re Pro­zes­se für die Da­ten­lö­schung zu etablieren.
  • Not­fall­ma­nage­ment: Für den Fall eines Da­ten­lecks oder eines tech­ni­schen Pro­blems müssen klar de­fi­nier­te Abläufe exis­tie­ren, um Schäden zu mi­ni­mie­ren. Dazu gehören Mel­de­pflich­ten, die In­for­ma­ti­on be­trof­fe­ner Per­so­nen und Maß­nah­men zur Wie­der­her­stel­lung des Normalbetriebs.

Diese Maß­nah­men tragen dazu bei, die Ver­trau­lich­keit, In­te­gri­tät und Ver­füg­bar­keit per­so­nen­be­zo­ge­ner Daten zu wahren und die An­for­de­run­gen der DSGVO sowie wei­te­rer recht­li­cher Re­ge­lun­gen zu erfüllen.

5. Anlagen (ab Seite 76)
  • Re­fe­ren­zen:
    • Ver­wei­se auf ge­setz­li­che Grund­la­gen wie DSGVO, DiGAV und weitere na­tio­na­le Regelungen.
  • Zu­satz­an­for­de­run­gen:
    • Spe­zi­el­le Re­ge­lun­gen für Ein­wil­li­gun­gen und Benachrichtigungsmechanismen.

Fazit

Für An­bie­ter und Ent­wick­ler von DiGA und DiPA ist es es­sen­zi­ell, die ak­tu­el­len Prüf­kri­te­ri­en des BfArM genau zu ver­ste­hen und von Beginn an in den Ent­wick­lungs­pro­zess zu in­te­grie­ren. Dies umfasst die Be­rück­sich­ti­gung der Da­ten­schutz­grund­sät­ze, die früh­zei­ti­ge Planung tech­ni­scher und or­ga­ni­sa­to­ri­scher Maß­nah­men sowie die Vor­be­rei­tung auf die er­for­der­li­che Zertifizierung.

Eine enge Zu­sam­men­ar­beit mit Da­ten­schutz­be­auf­trag­ten und tech­ni­schen Ex­per­ten kann dabei helfen, nicht nur die recht­li­chen An­for­de­run­gen zu er­fül­len, sondern auch das Ver­trau­en der Nutzer in die Si­cher­heit und Zu­ver­läs­sig­keit der An­wen­dun­gen zu stärken.

* Link zum BfArM (nicht bar­rie­re­frei): Prüf­kri­te­ri­en für die von di­gi­ta­len Ge­sund­heits­an­wen­dun­gen (DiGA) und di­gi­ta­len Pfle­ge­an­wen­dun­gen (DiPA) nach­zu­wei­sen­den An­for­de­run­gen an den Datenschutz

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!