Digitale Gesundheitsanwendungen: Rechtlicher Rahmen auf weiten Strecken unklar

Inhaltsverzeichnis

Digitale Gesundheitsanwendungen (DiGA) können Patienten dabei unterstützen, die Zeit bis zu einer Behandlung zu überbrücken und Therapieerfolge auch danach kontinuierlich beizubehalten. Derzeit sind 53 solcher DiGA in einem eigenen Verzeichnis – dem DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) – gelistet und damit verschreibungsfähig.

Seit 2019 haben Versicherte einen gesetzlichen Anspruch auf die Versorgung mit DiGA. So steht es in § 33a SGB V. Dort ist auch festgelegt, was genau DiGA sind, nämlich "Medizinprodukte niedriger Risikoklasse, deren Hauptfunktion wesentlich auf digitalen Technologien beruht". DiGA unterscheiden sich also von anderen Gesundheitsanwendungen dadurch, dass sie als Medizinprodukte zertifiziert sind, und von herkömmlichen Medizinprodukten dadurch, dass ihre Hauptfunktion im Wesentlichen auf digitalen Technologien beruht. Ein Beispiel für eine DiGA ist eine App, die Sehübungen in einer virtuellen Sehschule anbietet.

Nicht um eine DiGA handelt es sich beispielsweise, wenn die Anwendung lediglich dem Auslesen oder Steuern eines Geräts – zum Beispiel einer Insulin-Pumpe – oder der Primärprävention dient, also beispielsweise zum Sport animiert oder Ernährungsvorschläge macht. Niedrige Risikoklasse bedeutet in diesem Zusammenhang, dass die Anwendung nicht zu einer Gefahr für den Nutzer oder zu einer schwerwiegenden Verschlechterung seines Gesundheitszustands führen darf.

Rechtlicher Rahmen: MDR, SGB V und DiGAV

Wer eine DiGA herstellen, zertifizieren und in das DiGA-Verzeichnis eintragen lassen möchte, muss eine Vielzahl unterschiedlicher Regelungen beachten. Dazu zählen zum Beispiel das Medizinprodukterecht-Durchführungsgesetz, die Medical Device Regulation (MDR) und die In-Vitro-Diagnostic-Regulation. Sie regeln, welche Voraussetzungen – etwa im Qualitäts- und Risikomanagement – ein Medizinprodukt erfüllen muss, um die erforderliche CE-Kennzeichnung zu erhalten.

Darüber hinaus stellen SGB V und die "Verordnung über das Verfahren und die Anforderungen der Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung" (DiGAV) besondere Anforderungen speziell an DiGA. Sie regeln beispielsweise die Aufnahme in das DiGA-Verzeichnis. Danach erfolgt die Aufnahme nur auf Antrag des Herstellers und nur dann, wenn er nachweisen kann, dass die Anwendung bestimmte Anforderungen erfüllt, § 139e Abs. 2 SGB V.

Die entsprechenden Anforderungen werden in erster Linie durch die DiGAV erläutert. Sie betreffen beispielsweise die Qualität, den Datenschutz oder die Datensicherheit der Anwendung. Hersteller sind zum Beispiel dazu verpflichtet, ihre Anwendung barrierefrei, frei von Werbung und interoperabel auszugestalten. Darüber hinaus müssen sie positive Versorgungseffekte ihrer Anwendung nachweisen. Weitere Anforderungen werden außerdem durch die Prüfkriterien an den Datenschutz und die Datensicherheit festgelegt, die das BfARM in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) spezifiziert.

Das Fast-Track-Verfahren

Von Anfang an war der Gesetzgeber bestrebt, DiGA schnell in die Regelversorgung zu bringen. Daher hat der damalige Gesundheitsminister Jens Spahn (CDU) im Herbst 2020 das sogenannte Fast-Track-Verfahren für DiGA eingeführt, um bürokratische Hürden abzubauen und weitere Anreize für Hersteller zu schaffen. DiGA sollen zwar weiter alle Anforderungen erfüllen, die sich aus den einschlägigen Regelungen ergeben. Allerdings soll das BfArM über eingehende Anträge innerhalb von drei Monaten entscheiden und eine DiGA auch dann in das DiGA-Verzeichnis aufnehmen, wenn der Hersteller noch nicht in der Lage ist, Versorgungseffekte nachzuweisen.

Konkret bedeutet das, dass bei Antragstellung keine Studie mehr vorgelegt werden muss. Erforderlich, aber auch ausreichend ist, dass der Hersteller begründet, dass die DiGA zur Verbesserung der Versorgung beiträgt, und genauer darlegt, wie der Versorgungseffekt nach Ablauf des Erprobungszeitraums nachgewiesen werden kann. Gegebenenfalls kann der Erprobungszeitraum sogar von einem auf zwei Jahre verlängert werden, wenn der spätere Nachweis positiver Versorgungseffekte überwiegend wahrscheinlich ist.

Hohe Preise, ungesicherte Qualität?

Die Entscheidung des Gesetzgebers, die Erstattungsfähigkeit von DiGA nicht an einen wissenschaftlich nachgewiesenen Nutzen zu koppeln, ist oft kritisiert worden. Darüber hinaus ist aber auch die Wirtschaftlichkeit von DiGA wiederholt in Zweifel gezogen worden. Denn die Hersteller legen den tatsächlichen Preis der Verschreibung für das erste Jahre nach ihrer Listung selbst fest, solange kein Höchstbetrag für die jeweilige DiGA gilt.

Erst im zweiten Jahr wird der tatsächliche Preis vom Vergütungsbetrag – dem Verhandlungsergebnis zwischen Hersteller und Spitzenverband Bund der Krankenkassen – abgelöst. Dieses Vorgehen belohne die Ineffizienz und belaste die Versichertengemeinschaft über Gebühr. Insbesondere würden DiGA das Wirtschaftlichkeitsgebot unterlaufen, dem Kassenleistungen in aller Regel genügen müssen (vgl. § 12 SGB V).

DiGA und Datenschutz

Bislang musste jeder Hersteller, der die Aufnahme einer DiGA in das DiGA-Verzeichnis beantragt, einen Fragebogen ausfüllen und erklären, dass die Anwendung die Anforderungen an den Datenschutz und die Datensicherheit erfüllt. Gleichwohl gelang es Sicherheitsforschern in den letzten Wochen und Monaten wiederholt, sensible Gesundheitsdaten abzugreifen. Gleich mehrere DiGA, die bereits in das DiGA-Verzeichnis aufgenommen worden waren, wiesen eklatante Sicherheitslücken auf. Künftig sollen die zu erfüllenden Anforderungen an DiGA daher weiter verschärft werden. Das Datenschutzniveau und der Sicherheitsstandard sollen nicht länger mit Herstellerangaben gesichert, sondern mit Zertifikaten nachgewiesen werden.

Grundlage einer Zertifizierung ist die Erfüllung bestimmter Prüfkriterien. Diese Prüfkriterien werden von BfArM, BfDI und BSI spezifiziert und verschärfen die Anforderungen der bisher und auch für DiGA geltenden Regelungen noch einmal. So enthalten die "Prüfkriterien für die von digitalen Gesundheitsanwendungen (DiGA) und digitalen Pflegeanwendungen (DiPA) nachzuweisenden Anforderungen an den Datenschutz" noch einmal strengere Vorgaben als beispielsweise die Datenschutz-Grundverordnung (DSGVO). Nach Art. 5 Abs. 1 lit. a) DSGVO müssen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

In der rechtswissenschaftlichen Literatur wird diese Norm regelmäßig dahingehend interpretiert, dass der Verantwortliche weder das Vertrauen der betroffenen Person missbrauchen noch etwaige Fehlvorstellungen ausnutzen darf. In den Prüfkriterien wird daraus ein umfassender Fairness-Grundsatz: DiGA dürfe "KEINE Datenverarbeitungen vornehmen, mit denen ein vernünftiger Betroffener nicht rechnen würde". Wie die Hersteller diesen unklaren Erwartungen aber Rechnung tragen sollen, bleibt über weite Strecken unklar.

Fazit

Digitale Gesundheitsanwendungen können in bestimmten Versorgungssituationen einen echten Mehrwert bieten. Sie eigenen sich besonders dazu, Therapien zu unterstützen und Versorgungslücken zu schließen. Das Fast-Track-Verfahren ermöglicht eine schnelle Aufnahme von DiGA in das DiGA-Verzeichnis und die Entwicklung neuer Behandlungsmethoden. Allerdings gehen damit gewisse Risiken und Nebenwirkungen für den einzelnen Patienten und die Versichertengemeinschaft einher. In den letzten Monaten haben Sicherheitsforscher gravierende Sicherheitslücken bei einigen gelisteten DiGA festgestellt.

Umgekehrt bedeuten die kaum überschaubaren und ständig sich verschärfenden Anforderungen ein wirtschaftliches Risiko für die Hersteller von DiGA. Ob die Umstellung von Herstellererklärungen auf externe Zertifikate das gesundheitspolitische Spannungsverhältnis von Sicherheit und Innovation löst, bleibt abzuwarten. Mit Spannung ist zu beobachten, ob eine Zertifizierung die Qualität von DiGA weiter erhöht oder aber die Vorteile des Fast-Tracks zunichtemacht, ohne einen echten Mehrwert zu bieten.

Hinweis: Maximilian Wagner ist seit 2022 Rechtsanwalt der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte und spezialisiert auf das Datenschutz- und IT-Recht sowie auf die Rechtsbereiche Digitales Business und Gewerblicher Rechtsschutz. Pauline Engels arbeitet ebenfalls in der Rechtsanwaltskanzlei.

(mack)