Teil 1 dieser Blogserie: Die App auf Rezept – was ist das und welche Idee ist DiGA-tauglich?

Kennen Sie das auch: Man muss mehrmals versuchen, eine Arztpraxis zu erreichen oder hängt in der Warteschleife, um dann zu erfahren, dass die Praxis keine Patienten mehr aufnimmt. Es muss auch anders gehen. Denn nicht jede Behandlung erfordert einen Arztbesuch vor Ort. Und tatsächlich: Dank der digitalen Offensive im Gesundheitswesen ist die App als weitere Form der Gesundheitsversorgung auf dem Vormarsch. Ein gesetzlicher Meilenstein für diese Entwicklung ist das Digitale Versorgung-Gesetz. Es ermöglicht die App auf Rezept. Nach einem Prüfverfahren oft im sog. Fast-Track-Verfahren nimmt das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) erstattungsfähige Gesundheits-Apps in ein Verzeichnis für DiGA auf. Ärztinnen und Ärzte können sogenannte DiGA verordnen. Krankenkassen können ihren Versicherten aber auch ohne ärztliche Verordnung eine kostenpflichtige Gesundheits-App bewilligen.

In dieser Blogserie erläutern wir, welche datenschutzrechtlichen Anforderungen eine Gesundheits-App erfüllen muss, um in das Verzeichnis der digitalen Gesundheitsanwendungen aufgenommen zu werden. Im ersten Teil der Serie gehen wir zunächst darauf ein, was eine DiGA ist und was nicht und geben einen kurzen Überblick über die datenschutzrechtlichen Anforderungen, die wir im zweiten und dritten Teil der Blogserie vertiefen werden.

Welche Gesundheits-Apps sind DiGA-fähig?

Sie haben eine Idee für eine Gesundheits-App und fragen sich, ob sich Ihre Idee für eine DiGA eignet.

DiGA sind CE-gekennzeichnete digitale Medizinprodukte niedriger Risikoklasse, die Patientinnen und Patienten z.B. bei der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder beim Ausgleich von Behinderungen unterstützen können. Eine DiGA ist also z.B. eine App, die Migränepatientinnen und -patienten mit einem Symptomtagebuch begleitet, Wetterdaten integriert, Warnungen bei hoher Migränewahrscheinlichkeit gibt und zu vorbeugendem Verhalten und kleinen Akutbehandlungstechniken anleitet. Keine DiGA ist hingegen eine Waage zur Messung des Körpergewichts und Schätzung des Körperfettanteils. Die App dokumentiert die Werte, stellt sie grafisch dar und gibt zusätzliche Informationen zu Ernährung und Fitness für Gesunde. Die App richtet sich an gesunde Menschen und ist somit der Primärprävention zuzuordnen. Die App dient also nicht der „Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten“.

Bisher waren Medizinprodukte der Risikoklassen I und II a DiGA-fähig. Mit dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz (DiGi)) aus dem Februar 2024 ist die Risikoklasse II b hinzugekommen. Während für Medizinprodukte der Risikoklassen I und II a das Fast-Track-Verfahren beim BfArM zur Aufnahme in das DiGA-Verzeichnis vorgesehen ist, bleibt den Herstellern von DiGA für die Risikoklasse II b diese Möglichkeit verwehrt. Das Fast-Track-Verfahren lässt eine vorläufige Aufnahme in das DiGA-Verzeichnis zu. Positive Versorgungseffekte können in der Erprobungsphase nachgewiesen werden. Bei DiGA, die Medizinprodukte der Klasse II b sind, muss der positive Versorgungseffekt bereits bei Antragsstellung gegenüber dem BfArM nachgewiesen werden.   

Die Kernfunktion von DiGA basiert auf digitalen Technologien. Die medizinische Zweckbestimmung muss im Wesentlichen durch die digitale Hauptfunktion der DiGA erreicht werden. Digitale Anwendungen, die z.B. nur zum Auslesen oder Steuern eines Gerätes dienen, sind keine DiGA. Eine App, die eine digitale Kommunikationsplattform zur Koordination und Durchführung von Video-/Telefon-/ Chatgesprächen mit einem Psychotherapeuten für Patienten in psychischen Belastungssituationen darstellt, kann nicht in das DiGA-Verzeichnis aufgenommen werden. Denn die Hauptfunktion der App liegt in der reinen Digitalisierung des Kommunikationsweges. Weitere, z.B. therapeutische Leistungen fehlen für eine DiGA. Wenn die App jedoch Patientinnen und Patienten mit einer leichten depressiven Episode ein digitales Versorgungsmodell bietet, das Informationen zur Erkrankung vermittelt, Stimmungen erfasst und dokumentiert, Symptome erfasst, die Erstellung eigener Inhalte wie Tagebücher unterstützt, Anleitungen zu Entspannungsübungen gibt und den Kontakt zu einem Chatbot ermöglicht, ist sie DiGA-tauglich.

DiGA sind „digitale Helfer“ in der Hand der Patientinnen und Patienten. Anwendungen, die ausschließlich vom medizinischen Fachpersonal zur Behandlung der Patientinnen und Patienten eingesetzt werden („Praxisausstattung“), sind ebenfalls keine DiGA. Eine DiGA muss also durch den Patienten oder die Patientin allein oder mit dem Arzt oder der Ärztin gemeinsam „genutzt“ werden.

Grundsätzlich kann eine DiGA sowohl eine native Anwendung als auch eine Desktop- oder Browseranwendung sein. Eine DiGA ist daher auch eine Webapplikation, die Patientinnen und Patienten mit funktionaler Sehschwäche unterstützt, indem eine Behandlung mit digitalgestützten Sehübungen in einer virtuellen Sehschule angeboten wird.

Eine DiGA kann neben der Software auch Geräte, Sensoren oder sonstige Hardware wie z.B. Wearables enthalten, solange die Hauptfunktion überwiegend digital ist, die Hardware zur Erreichung des Zwecks der DiGA erforderlich ist und es sich bei der Hardware nicht um privat zu finanzierende Alltagsgegenstände wie z.B. eine Gymnastikmatte oder ein Smartphone zur Durchführung der durch die DiGA angeleiteten Übungen handelt. Eine DiGA ist z.B. auch eine App, die Patientinnen und Patienten an die Einnahme ihrer Schmerzmedikation erinnert und einen Dosierungsvorschlag auf Basis des aktuellen Befindens macht. Sie ermöglicht es dem Patienten, über eine Smartwatch als optionale Hardware eine Erinnerung an die notwendige Medikamenteneinnahme zu erhalten und diese direkt zu bestätigen. Durch die Verwendung optionaler Hardware wird die DiGA-Eigenschaft nicht aufgehoben. Keine DiGA ist aber eine Plattformanwendung, die die Nutzung mehrerer marktfähiger DiGA auch auf einer Smartwatch ermöglicht. Es können zwar Daten eingegeben, Ergebnisse abgelesen und Erinnerungen empfangen werden. Die digitalen Leistungen werden jedoch primär von den anderen DiGA erbracht. Die App als reine Plattformfunktion allein ist kein Medizinprodukt.

Praxistipp: Das DiGA-Verzeichnis ist unter folgendem Link zu finden: https://diga.bfarm.de/de/verzeichnis. Es ist sicher spannend zu sehen, welche DiGA bereits in das Verzeichnis aufgenommen wurden. 

Exkurs: Was ist eine Digitale Pflegeanwendung (DiPA)? Neben der DiGA gibt es noch DiPA. Auch DiPA müssen im Rahmen eines Prüfverfahrens beim BfArM in ein Verzeichnis für digitale Pflegeanwendungen aufgenommen werden, damit der DiPA-Hersteller für die Nutzung seiner DiPA eine Erstattung von der Pflegekasse erhält. Anders als die DiGA kann die DiPA, muss aber kein Medizinprodukt sein. DiPA dienen anders als DiGA dem pflegerischen Nutzen und dies genau wie DiGA durch die digitale Anwendung selbst. Mit der DiPA wird das Ziel verfolgt, die Beeinträchtigungen der Selbständigkeit oder der Fähigkeiten der pflegebedürftigen Person zu mindern oder zu verhindern, dass sich die Pflegebedürftigkeit verschlimmert. Weitere Informationen zur DiPA finden Sie im DiPA-Leitfaden des BfArM unter https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/dipa_leitfaden.html. Spoiler: Die datenschutzrechtlichen Anforderungen an die DiPA sind nahezu identisch mit denen der DiGA. Wenn Sie also eine DiPA entwickeln und auf den Markt bringen wollen, lohnt es sich, weiterzulesen.

Welche Anforderungen werden an eine DiGA gestellt?

Wenn Sie festgestellt haben, dass Ihre Idee für eine DiGA in Frage kommt, muss Ihre digitale Anwendung, um in das DiGA-Verzeichnis aufgenommen zu werden, die in den §§ 3 bis 6 der Verordnung über digitale Gesundheitsanwendungen (DiGAV) definierten Anforderungen erfüllen in Bezug auf

  • Sicherheit und Funktionstauglichkeit,
  • Datenschutz und Datensicherheit und
  • Qualität, insbesondere Interoperabilität.

Dies ist gegenüber dem BfArM nachzuweisen.

Praxistipp: Der DiGA-Leitfaden des BfArM enthält viele Beispiele, was eine DiGA ist und was nicht. Außerdem enthält er Einzelheiten zu allen Anforderungen und erläutert das Fast-Track-Verfahren. Der Leitfaden ist unter folgendem Link abrufbar: https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/diga_leitfaden.html.

Welche Datenschutzkriterien werden an eine DiGA gestellt?

Im Folgenden möchten wir Ihnen einen ersten Überblick über die wichtigsten Kriterien geben, die eine DiGA aus datenschutzrechtlicher Sicht erfüllen muss.

Praxistipp: Einen umfassenden Überblick finden Sie in den Datenschutzkriterien des BfArM (abrufbar unter: https://www.bfarm.de/DE/Medizinprodukte/Aufgaben/DiGA-und-DiPA/Datenschutzkriterien/_node.html) (nachfolgend auch „BfArM-Datenschutzkriterien“). Übrigens gelten die BfArM-Datenschutzkriterien auch für DiPA.

Die BfArM-Datenschutzkriterien bilden im Wesentlichen die Grundsätze der DSGVO ab und orientieren sich am Standard-Datenschutzmodell. Artikel 5 DSGVO legt wesentliche Grundsätze für die Verarbeitung personenbezogener Daten fest: Die Verarbeitung muss rechtmäßig, nach Treu und Glauben, nachvollziehbar, zweckgebunden, auf das erforderliche Maß beschränkt, auf der Grundlage richtiger Daten und unter Wahrung der Integrität und Vertraulichkeit erfolgen. Darüber hinaus dürfen personenbezogene Daten grundsätzlich nur so lange wie nötig in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht. Die Einhaltung der Grundsätze muss nachweisbar sein („Rechenschaftspflicht“). Das Standard-Datenschutzmodell erfüllt diese rechtlichen Anforderungen durch die Umsetzung von Gewährleistungszielen in technische und organisatorische Maßnahmen.

Praxistipp: Sie wollen mehr über das Standard-Datenschutzmodell erfahren. Über folgenden Link finden Sie die aktuelle Version https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/.

Die DiGAV konkretisiert die Pflichten, die sich aus der DSGVO ergeben, und verschärft sie teilweise. Die BfArM-Datenschutzkriterien enthalten Ausführungen zu folgenden Grundsätzen und Gewährleistungszielen:

  • Rechtmäßigkeit (Teil 2 Ziffer 2 der BfArM-Datenschutzkriterien)
  • Verarbeitung nach Treu und Glauben (Teil 2 Ziffer 3 der BfArM-Datenschutzkriterien)
  • Transparenz (Teil 2 Ziffer 4 der BfArM-Datenschutzkriterien)
  • Nichtverkettbarkeit (Teil 2 Ziffer 5 der BfArM-Datenschutzkriterien)
  • Datenminimierung und Speicherbegrenzung (Teil 2 Ziffer 6 der BfArM-Datenschutzkriterien)
  • Intervenierbarkeit (Teil 2 Ziffer 7 der BfArM-Datenschutzkriterien)
  • Integrität, Richtigkeit und Vertraulichkeit (Teil 2 Ziffer 8 der BfArM-Datenschutzkriterien)
  • Rechenschaftspflicht (Teil 2 Ziffer 9 der BfArM-Datenschutzkriterien)

Auf die Datenschutzkriterien des BfArM werden wir im zweiten Teil der Blogserie näher eingehen. So viel sei schon verraten: Die datenschutzrechtlichen Anforderungen an DiGA sind aufgrund des hohen Schutzbedarfs der u.a. in einer DiGA gespeicherten Gesundheitsdaten hoch. Die Verordnung über digitale Gesundheitsanwendungen (DiGAV) stellt zusätzliche Anforderungen. Dazu gehört beispielsweise, dass die Verarbeitungen nur für wenige in der DiGAV festgelegte Zwecke und die meisten personenbezogenen Daten nur aufgrund einer Einwilligung des Nutzers bzw. der Nutzerin verarbeitet werden dürfen. Bei einer DiGA muss außerdem sichergestellt sein, dass eine Identifizierung des DiGA-Nutzers bzw. der DiGA-Nutzerin ausgeschlossen ist. Dies stellt DiGA-Hersteller erfahrungsgemäß vor Herausforderungen. Ein paar Lösungsvorschläge zeigen wir im zweiten Teil der Blogserie auf.

Fazit

Ihre Idee ist DiGA-tauglich und unser erster Überblick über die BfArM-Datenschutzkriterien hält Sie nicht auf, dann lesen Sie unbedingt Teil 2 und 3 unserer Blogserie und erfahren Sie mehr zu den Datenschutzkriterien, die eine DiGA erfüllen muss. Wer sich von den hohen Anforderungen abschrecken lässt oder dessen Idee keine DiGA ist, dem bleibt die Möglichkeit, eine „normale“ Gesundheits-App zu entwickeln. Diese müsste vergleichbaren datenschutzrechtlichen Anforderungen wie DiGA genügen, ohne jedoch die zusätzlichen Anforderungen insbesondere der DiGAV erfüllen zu müssen. Bei einer Gesundheits-App können personenbezogene Daten ohne Gesundheitsbezug beispielsweise auch zur Erfüllung des mit dem Nutzer bzw. der Nutzerin bestehenden Nutzungsvertrages oder aus berechtigtem Interesse verarbeitet werden.

Sie haben Fragen? Wir unterstützen Sie gerne in allen IT- und datenschutzrechtlichen Fragen rund um DiGA, finden gemeinsam mit Ihnen heraus, ob Ihre App-Idee DiGA-tauglich ist und begleiten Sie bei der Aufnahme in das DiGA-Verzeichnis.

Sprechen Sie uns an. Wir freuen uns auf Sie!

planit legal dr. anna roschek

Dr. Anna-Kristina Roschek

Rechtsanwältin

E-Mail: anna.roschek@planit.legal
Telefon: +49 (0) 40 609 44 190