GesundheitsIDs für digitale Gesundheitsanwendungen vorübergehend unzulässig
Derzeit gibt es keine rechtliche Grundlage, nach der DiGA-Hersteller GesundheitsIDs nutzen dürfen. Bereits gelistete Apps auf Rezept soll das nicht betreffen.
(Bild: Andrey Suslov/Shutterstock.com)
Seit Anfang Januar gibt es für Hersteller von digitalen Gesundheitsanwendungen (DiGA), die von Ärzten verordnet werden können, keine rechtliche Grundlage mehr für die Nutzung von GesundheitsIDs. Diese sind unter anderem dafür gedacht, sich in der elektronischen Patientenakte (ePA) anzumelden oder E-Rezepte einzulösen, aber beispielsweise auch, um DiGA-Daten in die ePA zu importieren. DiGA-Hersteller müssen ihren Versicherten die GesundheitsIDs zur Authentifizierung anbieten.
Für DiGA, die bereits zugelassen und im Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) gelistet sind, ändert das laut BfArM allerdings nichts. Grund dafür ist laut Antwort des BfArM, dass "die Anforderung zuvor in Anlage 1 der DiGAV enthalten war und somit ohnehin auch für bereits gelistete DiGA gegolten hat. Die Anforderung bleibt somit weiter bestehen".
GesundheitsID vergessen?
Nach Änderungen an der Verordnung für digitale Gesundheitsanwendungen (DiGAV), die mit dem Krankenhauspflegeentlastungsgesetz in Kraft getreten sind, müssen DiGA "abweichend von den Anforderungen an die Datensicherheit [...] die von dem Bundesamt für Sicherheit in der Informationstechnik [...] festgelegten Anforderungen an die Datensicherheit erfüllen", heißt es dazu in der DiGAV. Zunächst nicht berücksichtigt wurde dabei allerdings, dass die Selbsterklärung nach Anlage 1 der DiGAV damit entfällt, wonach DiGA GesundheitsIDs eigentlich unterstützen müssen, um zugelassen zu werden.
Versicherten muss die Authentisierung in der DiGA "mittels der GesundheitsID möglich sein", wie das Bundesamt für Arzneimittel und Medizinprodukte (BfArM) gegenüber heise online mitteilt. Allerdings scheint der Gesetzgeber vergessen zu haben, die GesundheitsID nach den Änderungen in der DiGAV zu berücksichtigen.
Referentenentwurf berücksichtigt GesundheitsID
"Aus diesem Grund wird die Anforderung 'Digitale Gesundheitsanwendungen müssen eine Authentisierung von GKV-Versicherten als die die digitale Gesundheitsanwendung nutzenden Personen über die sichere digitale Identität nach § 291 Absatz 8 des Fünften Buches Sozialgesetzbuch ermöglichen' außerhalb der Anlage 1 in der DiGAV ergänzt", so das BfArM mit Verweis auf den Referentenentwurf zur Zweiten Verordnung zur Änderung der DiGAV (PDF), die auf den 3. Januar datiert ist.
"Mit der nun im Entwurf vorliegenden Zweiten Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung wird die Regelung aus der Anlage 1 in den unmittelbaren Regelungsteil der Verordnung verschoben", heißt es dazu von einer Sprecherin des Bundesgesundheitsministeriums auf Anfrage. Auf die Frage, ob von den Änderungen an der DiGAV auch die Pflicht der DiGA-Hersteller betroffen ist, Daten der Versicherten nach deren Einwilligung, beziehungsweise auf deren Wunsch hin, in die ePA zu schreiben, antwortete das BMG: "Die Nutzung der digitalen Identitäten bleibt zudem technische Voraussetzung für die Verpflichtung der Hersteller von DiGA zur Ermöglichung des Exports therapierelevanter Daten in die elektronische Patientenakte (ePA) auf Wunsch der Versicherten".
Videos by heise
"Es ist wichtig, dass die künftige Regierung das Vorhaben der jetzigen Regierung, die DiGA-Verordnung zu überarbeiten, zügig aufgreift. Der Referentenentwurf zur passenden Änderung lag ja immerhin schon vor. Denn aktuell dürfte aus rein formellen Gesichtspunkten eine Authentisierung per GesundheitsID durch DiGA-Anbieter nicht genutzt werden", erklärt dazu der auf das Gesundheitswesen spezialisierte Rechtsanwalt Dr. Tilmann Dittrich. Hersteller sind bereits dazu verpflichtet, die in der DiGA anfallenden Daten über eine Schnittstelle mit Einwilligung der Patienten in die elektronische Patientenakte zu übertragen, dafür ist ebenfalls die GesundheitsID notwendig.
(mack)
