Gesundheitsapps – Anforderungen an Datenschutz und Datensicherheit

An Gesundheitsapps werden viele Anforderungen bezüglich des Datenschutzes und der Datensicherheit gestellt. Das dies wichtig und richtig ist, zeigt zum einen, dass mit der Anwendung naturgemäß sensible und besonders schützenswerte Daten verarbeitet werden und zum anderen eine Untersuchung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Denn bei dieser wurden in Gesundheitsapps zahlreiche Sicherheitslücken festgestellt: keine der untersuchten Apps hat die Sicherheitsanforderungen der BSI-Richtlinie für Gesundheitsapps vollständig erfüllt. Dies ist datenschutzrechtlich sehr bedenklich, erfreuen sich vergleichbare Anwendungen in letzter Zeit doch starker Beliebtheit. Gesundheitsapps werden von vielen Nutzer:innen zur Gesundheitsvorsorge eingesetzt: Abhilfe bei Migräne, Unterstützung bei Depressionen oder zur Linderung von Arthrose – die Möglichkeiten sind divers und vielfältig. Maßgeblich beeinflusst wurde diese Entwicklung durch das im Jahr 2019 durch den Bundestag verabschiedete Digitale-Versorgungs-Gesetz (DVG), welches die Digitalisierung der deutschen Krankenversorgung voranbringen soll.

Rechtliche Einordnung

Das DVG gibt Patienten nunmehr den Anspruch auf die Versorgung mit digitalen Gesundheitsanwendungen (DiGA) auf Kosten der Krankenkassen (§ 33 a SGB V). Unter eine DiGA fallen nach § 33 a Abs. 1 S. 1 SGB V medizinisch nützliche Apps und damit solche, die insbesondere zur Diagnose und Therapie von Krankheiten eingesetzt werden. Damit eine Gesundheitsapp für Patienten erstattungsfähig ist, muss sie zuvor durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) überprüft werden. Zentraler Aspekt ist dabei die Datensicherheit und Datenschutzbestimmungen.

Gesundheitsapps nutzen naturgemäß Gesundheitsdaten. Doch nicht alle Daten, die im Kontext von medizinisch nützlichen Apps verarbeitet werden, sind Gesundheitsdaten. Vielmehr ist zwischen Gesundheitsdaten und „normalen“ personenbezogenen Daten zu unterscheiden, denn nach dieser Unterscheidung richten sich die konkreten Voraussetzungen und vor allem die mögliche Rechtsgrundlage bei der Verarbeitung. Gesundheitsdaten werden in Art. 4 Nr. 15 Datenschutz-Grundverordnung (DSGVO) definiert: „Gesundheitsdaten“ [sind] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“ und in Art. 9 DSGVO unter einen besonderen Schutz gestellt. Entsprechend dieser besonderen Schutzbedürftigkeit werden an DiGA hohe Anforderungen bezüglich des Datenschutzes und Datensicherheit gestellt.

Datenschutzrechtliche Anforderungen

Werden personenbezogene Daten verarbeitet sind die DSGVO, das Bundesdatenschutzgesetz (BDSG) sowie zahlreiche bereichspezifische Regelungen zur Zulässigkeit und Verarbeitung von Gesundheitsdaten zu beachten. Solche speziellen Regelungen finden sich unter anderem in den Sozialgesetzbüchern, im Infektionsschutzgesetz, im Medizinproduktgesetz und auf Landesebene im Landesgesundheitsgesetz. Die Anforderungen der DSGVO werden zusätzlich konkretisiert und ergänzt durch die Gesundheitsanwendungen-Verordnung (DiGAV).

Zunächst muss eine Rechtsgrundlage nach der DSGVO vorliegen, damit die Verarbeitung personenbezogener Daten erlaubt ist. Damit Gesundheitsdaten verarbeitet werden können, muss eine spezielle Rechtsgrundlage vorliegen – dies normiert Art. 9 Abs. 1 DSGVO durch ein grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten. Zentrale Vorschriften sind Art. 9 Abs. 2 DSGVO bzw. § 22 BDSG.

Auch wird die Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 3 lit. b DSGVO in der Regel notwendig sein, da die Verarbeitung von Gesundheitsdaten in Gesundheitsapps naturgemäß umfangreich ist. Berücksichtigt werden müssen auch immer die allgemeinen Datenschutzprinzipien wie die Datenminimierung, Zweckbindung oder Speicherbegrenzung (Art. 5 Abs. 1 DSGVO), Betroffenenrechte und Informationspflichten (Art. 13 ff. DSGVO). Auch der Transparenzgrundsatz der DSGVO muss ausreichend beachtet werden: dem Nutzer muss zu jeder Zeit in einer einfachen und verständlichen Sprache erklärt werden, welche Daten verarbeitet werden und was mit seinen Daten geschieht.

Weitere besondere Voraussetzungen werden von der DiGAV formuliert – diese bilden zugleich auch die wesentlichen Prüfungspunkte bei der Prüfung der Erstattungsfähigkeit der Gesundheitsapps durch die BfArM. In § 4 DiGAV werden Anforderungen an Datenschutz und Datensicherheit definiert, welche insbesondere die Vorgaben aus der DSGVO ergänzen und konkretisieren. Diese Anforderungen werden gemäß § 4 Abs. 6 DiGAV in Anlage 1 der DiGAV näher bestimmt. Zu beachten ist, dass die Verarbeitung personenbezogener Daten aufgrund einer Einwilligung i. S.v. Art. 9 Abs. 2 lit. a) DSGVO nach § 4 Abs. 2 DiGAV auf bestimmte Zwecke beschränkt ist. Die Datenverarbeitung außerhalb Deutschlands ist in § 4 Abs. 3 DiGAV geregelt.

Anforderungen an die Datensicherheit

Darüber hinaus müssen sämtliche über eine DiGA – und damit auch über Gesundheitsapps – verarbeiteten Daten in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden. Es müssen die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleistet sein.

Die dazu erforderlichen, wesentlichen Anforderungen finden sich in der Anlage 1 zur DiGVA. Hier wird eine Checkliste zur Datensicherheit formuliert und in zwei Rubriken unterteilt –Basisanforderungen und Zusatzanforderungen. Hier finden sich Punkte wie Stand der Technik, Informationsmanagementsystem gemäß ISO 27000-Reihe oder BSI-Standard 200-2, Schutzbedarfsanalyse, „Data Leakage Prevention“, u.a. Verschlüsselung und Anforderungen an das Produkt, wie zum Beispiel Authentisierung und Autorisierung, Protokollierung, Härtung.

Die Zusatzanforderungen gelten für DiGA mit sehr hohem Schutzbedarf. Dazu sind sieben zusätzliche Anforderungen im Bereich Verschlüsselung gespeicherter Daten, Authentisierung, Ergreifen der Maßnahmen gegen DoS und DDoS sowie Vorkehrungen im Zusammenhang mit eingebetteten Webservern normiert.

Technische Richtlinie BSI TR-03161

Das BSI hat in der Technischen Richtlinie BSI TR-03161 weitere Sicherheitsanforderungen formuliert. Die TR gilt als Mindestanforderungen für den sicheren Betrieb einer Anwendung und ist grundsätzlich anwendbar für alle mobilen Anwendungen, welche sensible Daten verarbeiten und speichern. Grundsätzliche Schutzziele der IT-Sicherheit umfassen: Vertraulichkeit, Integrität und Verfügbarkeit. Diese Sicherheitsanforderungen sollen von Anfang an und damit ab Software-Entwicklung berücksichtigt werden. Die Richtlinie wurde in einem „trial use“-Status veröffentlicht, doch sie kann bereits jetzt von Entwicklern genutzt werden, um zu zeigen, dass die Anforderungen des Zulassungsverfahren des BfArM eingehalten wurden. Nach Angaben des BSI werden in zukünftigen Versionen auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen.

Fazit

Es lässt sich festhalten, dass Gesundheitsapps naturgemäß sehr sensible und schützenswerte Daten verarbeiten. Um ein sicheres Produkt für Anwender:innen zu gewährleisten, müssen Hersteller deshalb viele Anforderungen bei der Entwicklung und Umsetzung der Apps erfüllen. Schwerpunkt liegt auf der Datensicherheit und dem Datenschutz. Die Voraussetzungen sind zuweilen etwas unübersichtlich, denn sie ergeben sich aus der DSGVO, dem BDSG und auch aus einschlägigen bereichsspezifischen datenschutzrechtlichen Vorschriften im Gesundheitswesen wie den Sozialgesetzbüchern oder dem Infektionsschutzgesetz – insbesondere auch aus Vorgaben der DiGAV.