Bundesinstitut genehmigt Medizin-Apps trotz Datenschutzmängel

Schon lange beeinflussen elektronische Gadgets und Apps gezielt das alltägliche Verhalten. Während Tamagotchis, aufdringliche Mini-Games oder Push-­Nachrichten meist eher den Geldbeutel des Users leeren sollen, wirken Fitness-­Tracker mit angeschlossenen Gamification-Apps oft positiv auf die Gesundheit.

Wenn die Konditionierung in diesen Bereichen schon funktioniert, könnte sie dann nicht auch bei der Therapie von Krankheiten wie Schlafstörungen, depressiven Episoden, Agoraphobie oder starkem Übergewicht helfen? Und wenn solche Apps andere Behandlungen unterstützen oder die Einnahme von Medikamenten verringern, sollten dann nicht die Krankenkassen dafür bezahlen?

Solche Überlegungen führten 2020 zum Digitale-Versorgung-Gesetz (DVG), das unter anderem die Gesundheits-Apps im Sozialgesetzbuch V verankert. Darin heißen die „Apps auf Rezept“ offiziell „Digitale Gesundheitsanwendungen“ (DiGA). Das Gesetz regelt auch, dass die Krankenkassen die Kosten für die vom Arzt verschriebene Behandlung tragen müssen, wenn die Apps auf einer Posi­tivliste stehen. Dieses illustre „DiGA-­Verzeichnis“ führt das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Unter welchen Bedingungen eine DiGA auf die Liste kommt, regelt eine zusätzliche Verordnung namens „Digitale Gesundheitsanwendungen-Verordnung (DiGAV)“.

Bislang füllt sich die DiGA-Liste nur langsam: Mitte April 2021 zählte sie insgesamt zwölf Apps, von denen acht vorläufig und erst vier dauerhaft aufgenommen wurden. Für letztere fordert die DiGAV etwa einen Nachweis der therapeutischen Wirksamkeit durch wissenschaftliche Studien, wie sie auch für andere Medizinprodukte oder Arzneimittel nötig sind. Wer solche Nachweise noch nicht erbringen kann, hat ein Jahr Zeit, diese nachzureichen, und wird zunächst vorläufig gelistet.

Für Ärzte und Patienten soll die DiGA-Liste vor allem Vertrauen schaffen. Apps, die darin aufgeführt sind, sollen medizinisch wirken und mit den Daten der Patienten keinen Unfug treiben. In der Praxis ist das aber leider nicht immer der Fall. Während einige Anbieter die Vorgaben von DSGVO & Co. geradezu vorbildlich umgesetzt haben, offenbarten andere hierbei erhebliche Mängel. Negativ fielen uns mehrere Apps auf, allen voran die Tinnitus-App Kalmeda, die vorläufig in das Verzeichnis der medizinischen Apps aufgenommen wurde.

Sensible Daten

Um diese Problematik zu verstehen, müssen wir zunächst die Ansprüche der DSGVO und des DVG an den Datenschutz beleuchten, bevor wir auf die Verstöße einzelner Apps sowie die erheblichen Versäumnisse des Gesetzgebers, der Behörden und des BfArM näher eingehen.

Die Anforderungen des Datenschutzes an Medizin-Apps auf der DiGA-Liste sind laut Art. 9 DSGVO sehr hoch, weil sie mit besonders sensiblen Gesundheits­daten umgehen, die sich individuellen Personen zuordnen lassen. Für die Einordnung in diese besonders geschützte Kategorie reicht es beispielsweise aus, zu wissen, dass Person X ein Diabetes-Tagebuch führt [1].

Viele der Gesundheits-Apps, die wir uns in der Vergangenheit angesehen haben, sind bereits an den erheblichen Anforderungen von Art. 9 DSGVO gescheitert [2]. Schon die DSGVO legt die Latte also hoch. Doch die Anforderungen an DiGAs gehen noch weit darüber hinaus. Festgehalten sind sie in einer Reihe von Gesetzen, Verordnungen, Anhängen und technischen Richtlinien.

Speziell für derartige Software fordert der Gesetzgeber das Einholen einer wirksamen Einwilligung. Hierfür braucht es einen „informierten Nutzer“, dem vor der Anmeldung erklärt werden muss, welche Daten über ihn erhoben und wie diese verarbeitet werden. Nur wenn er über diese Informationen verfügt, kann er freiwillig und wirksam der Verarbeitung seiner Daten zustimmen. Ein Link auf eine Datenschutzerklärung reicht hierfür nicht aus.

Verzeichnisaufnahme

Ausgangspunkt dabei ist der § 139e des Sozialgesetzbuchs V. Diese Vorschrift legt zunächst fest, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ein Verzeichnis mit erstattungsfähigen digitalen Gesundheitsanwendungen führen soll. Die Aufnahme in dieses Verzeichnis erfolgt auf Basis eines elektronischen Antrags des Herstellers beim Bundesinstitut. Diesem Antrag müssen unter anderem Nachweise darüber beigefügt werden, dass die DiGA „den Anforderungen an den Datenschutz“ genügt.

Erste Details dazu, was sich der Gesetzgeber hierunter vorstellt, regelt die DiGAV. Sie schreibt in § 4 vor, dass persönliche Daten ausdrücklich nur aufgrund einer Einwilligung der Kunden gewonnen werden dürfen. Auch die Nutzung dieser Daten ist auf wenige Zwecke begrenzt, insbesondere den medizinischen Gebrauch.

Überraschender für die DiGA-Entwickler ist eine Klausel, welche die Verarbeitung der Nutzerdaten geografisch einschränkt. Eine solche Verarbeitung ist nur möglich im Bereich des europäischen Wirtschaftsraums (EWR) und der Schweiz sowie in den sogenannten sicheren Drittstaaten.

Nicht in diese Kategorie fallen insbesondere die USA. Eine Verarbeitung von DiGA-Daten im Mutterland von Google, Amazon, Microsoft, Facebook & Co. ist damit ausgeschlossen. Auch die Nutzung amerikanischer Auftragsverarbeiter ist nicht gestattet. Gerade die Nutzung von US-Cloud-Anbietern entfällt daher und ist für viele Entwickler überaus schmerzhaft. Das Verbot dürfte auch für Angebote europäischer Tochterunternehmen von US-Firmen gelten. Der Transfer dieser Daten in die USA ist nämlich generell untersagt und ließe sich auch bei einer Niederlassung der Unternehmen in Europa nur selten völlig unterbinden.

Vorgabenkatalog

Die DiGAV enthält eine Anlage in Form eines Fragebogens zum Datenschutz und zur Datensicherheit. Im Bereich Datenschutz werden dort 40 Punkte abgefragt. Der Anbieter soll dabei die Erfüllung der Anforderungen als „zutreffend“ oder eben „nicht zutreffend“ klassifizieren.

Die einzelnen Fragen sind dabei von unterschiedlicher Komplexität. So muss am Anfang erst einmal bestätigt werden, dass die Verarbeitung der Daten unter die DSGVO fällt. Sechs Punkte beschäftigen sich allein mit der rechtswirksamen Gestaltung der Einwilligung. Dabei wird beispielsweise abgefragt, ob der Betroffene seine Zustimmung „jederzeit und auf einem einfach verständlichen Weg mit Wirkung für die Zukunft widerrufen“ kann.

Andere Punkte haben es dagegen in sich: So muss der Anbieter bestätigen, eine Datenschutz-Folgenabschätzung durchgeführt und daraus resultierend einen „dokumentierten Prozess eines Risikomanagements“ aufgesetzt zu haben. Hinter einer solchen Folgenabschätzung verbirgt sich eine umfangreiche schriftliche Analyse, die nach Art. 35 DSGVO für „eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ zu sorgen hat. Das Ergebnis ist entsprechend zu dokumentieren, was leicht zu einem Werk mit hunderten Seiten führen kann. Sinn und Zweck ist es, die Risiken für die betroffenen Personen vorab zu analysieren und abzuschätzen, ob die getroffenen technischen und organisatorischen Maßnahmen zu deren Schutz ausreichend sind.

Hohe Anforderungen stellt die Anlage der DiGAV auch an die Dienstleister der Anbieter. Verarbeiten diese personenbezogene Daten, so muss eine ausreichende Vertrauenswürdigkeit und Haftbarkeit dieser Partner nachgewiesen werden. Ferner müssen diese Auftragsverarbeiter über angemessene Mechanismen zum Schutz übernommener Daten verfügen und sich vertraglich verpflichten, diesen auch über den Lauf der Zusammenarbeit aufrechtzuerhalten.

Sicherheitscheckliste

Dazu kommen in der Checkliste der DiGAV weitere 46 Prüfpunkte zur Datensicherheit. Diese sollen offensichtlich die technische Umsetzung des Datenschutzes sicherstellen, sodass sie eher „Technische und Organisatorische Maßnahmen“ im Sinne der DSGVO beschreiben als ein eigenständiges Konzept zur Informationssicherheit.

Einige Prüfpunkte sind seltsam spezifisch („Wird auf absolute lokale Pfadangaben verzichtet?“), ein anderer enthält in lapidarer Formulierung einen riesigen Aufwand für den App-Hersteller: Er soll ein Informationssicherheitsmanagementsystem (ISMS) nach der ISO-27000-Reihe, BSI-Standard 200-2 oder Vergleichbarem vorhalten.

Ein solches Zertifikat zu erwerben ist ähnlich aufwendig wie die oben beschriebene Datenschutzfolgenabschätzung. Zudem bedeutet der prozessorientierte Ansatz der genannten Normen gerade für Start-ups oft, dass sie ihre Entwicklungs-, Test- und Freigabe-Workflows umbauen müssen.

Da diese Vorgaben allein offenbar immer noch nicht ausreichen, hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine technische Richtlinie (TR) entwickelt, die „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ formuliert (BSI TR-03161). Anforderungen der IT-Sicherheit und des Datenschutzes sollen danach bereits von Anfang an während der Entwicklung von DiGAs berücksichtigt werden.

Die TR enthält noch einmal 19 Punkte mit Vorgaben zum Bereich Datenspeicherung und Datenschutz, die inhaltlich konkreter als die Vorgaben in der DiGAV sind. Dort findet sich etwa die Vorgabe, dass alle „sensiblen Daten“ verschlüsselt gespeichert werden müssen. Dies gilt sowohl für flüchtiges Ablegen (beispielsweise im Arbeitsspeicher) als auch für dauerhaftes Speichern, etwa in einer Cloud-Umgebung.

Fatale Selbstauskunft

Das klingt nach besonders vielen und harten Bedingungen. Angesichts der Risiken für die Patienten sind sie aber mehr als angemessen. Es geht ja nicht nur darum, die besonders sensiblen Gesundheitsdaten nicht in falsche Hände gelangen zu lassen. Manipulationen oder Fehlfunktionen etwa an den Daten eines Diabetestagebuchs könnten zu falscher Medikation und damit zu Lebensgefahr führen.

Angesichts dieser Risiken verwundert es, dass die DiGA-Hersteller im Antrag keineswegs nachweisen müssen, dass sie die Sicherheitsanforderungen erfüllen. Sie erklären lediglich als Selbstauskunft mit einigen Begleitdokumenten, dass sie alle Punkte erledigt haben. Das BfArM wiederum ist nicht zur Kontrolle verpflichtet. Laut DiGA-Verordnung „kann“ es den Nachweis anfordern. Der Hersteller hat dann drei Monate Zeit, die Nachweise beizubringen.

Gelingt das nicht, wird die DiGA nicht ins Verzeichnis aufgenommen und ein neuer Antrag darf erst nach zwölf Monaten gestellt werden. Doch der Hersteller kann diese Sperre vermeiden, indem er seinen Antrag einfach vor Ende der ersten Frist zurückzieht.

So streng die Anforderungen sind, so lax ist derzeit offenbar die Prüfung. Das hatte schon Folgen, als das Verzeichnis aus nur zwei Apps bestand: Bei Velibra, einer DiGA zur Behandlung von Angststörungen, entsprach der Ablauf bei einem vergessenen Passwort nicht dem Stand der Technik. So konnten sich Pentester Zugang zu Nutzerkonten erschleichen, nachdem die Web-Anwendung schon freigegeben war.

Auffällige Mängel

Ob die Erfüllung der hohen Datenschutzanforderungen überhaupt geprüft wird, darf man bei einem Blick auf einige der bereits in das Verzeichnis der DiGAs aufgenommenen Apps getrost bezweifeln. Während sich einige Anbieter durchaus Mühe geben, bringt ein Blick in die Datenschutzerklärungen von anderen Anbietern Datenschutzkundige regelrecht zum Weinen. Besonders ins Auge fiel uns die App Kalmeda. Deren Anbieter bestätigt auf der Seite des Bundesinstituts für Arzneimittel und Medizinprodukte die Umsetzung aller von der DiGAV geforderten strengen Datenschutzanforderungen explizit als „zutreffend“.

Daran bestehen schon bei einem Blick in die Datenschutzerklärungen des Anbieters massive Zweifel. Diese weist erhebliche Mängel auf. Schlimmer noch: Ausweislich ihrer Dokumente haben sich die Verfasser nur sehr oberflächlich mit den elementarsten Vorgaben der DSGVO beschäftigt.

Das beginnt bereits mit dem Fehler, dass in der Datenschutzerklärung falsche Rechtsgrundlagen für die von ihnen geplante Verarbeitung medizinischer Daten angegeben werden. Sie entstammt laut Quellenangabe im Text der kostenlosen Vorlage einer Anwaltskanzlei und wurde nur dürftig angepasst. Die Vorlage ist allerdings für Websites bestimmt – und nicht für Apps.

Auch die vorgeschalteten Anmeldemasken von Kalmeda dürften kaum den strengen Anforderungen der DiGA-Verordnung an die Informiertheit und Freiwilligkeit der Einwilligung entsprechen. Dieser Fehler findet sich auch bei anderen Anbietern, beispielsweise dem Hersteller von Somnio, einer digitalen Anwendung zur Behandlung von Ein- und Durchschlafstörungen. Auch diese App enthielt in den Datenschutzhinweisen zunächst erheb­liche Fehler, die jedoch im Laufe unserer Recherche vom Anbieter behoben wurden.

Auf unsere Anfrage hin ließ der Betreiber der Kalmeda-App, die mynoise GmbH, ein Audit zur Überprüfung der eigenen Standards durchführen. Dabei kam man zu dem Ergebnis, dass „in gewissem Umfang technische Anpassungen vorzunehmen“ seien. Diese beträfen vor allem die Datenschutzerklärung und die Einholung einer rechtskonformen Einwilligung. Man werde die Anfrage nutzen, um die „bisher angewendeten Maßnahmen und Dokumente zum Datenschutz entsprechend den Datenschutzbestimmungen anzupassen und unmissverständlich abzufragen“.

Anfrage an das Bundesamt

Auf Anfrage von c’t beim BfArM bestätigt dieses unsere Vermutung hinsichtlich der Überprüfung der Apps: Man prüfe auf Basis der Gesetzlage lediglich „die Angaben des Herstellers zur Erfüllung der Anforderungen an Sicherheit, Funktionstauglichkeit, Qualität, Datenschutz und Datensicherheit“. Eine eigene Überprüfung der Umsetzung der Angaben durch das Bundesinstitut sei derzeit nicht vorgesehen und werde auch nicht durchgeführt.

Die alleinige Verantwortung für die Gewährleistung aller datenschutz- und informationssicherheitsbezogenen sowie sonstigen rechtlichen Anforderungen an sein Medizinprodukt liege vielmehr bei dessen Anbieter. Dies gelte auch für die wahrheitsgemäße Bestätigung der entsprechenden Einhaltung gegenüber dem BfArM im Rahmen des Antragsverfahrens. Sollten sich die in dem Zulassungsverfahren gemachten Angaben als „unwahr oder nicht (mehr) den aktuellen Tatsachen entsprechend“ herausstellen, seien Sanktionsmaßnahmen in Form der Streichung der DiGA aus dem Verzeichnis oder sogar ein Zwangsgeld möglich.

Zweifel an der Rechtmäßigkeit der Datenschutzerklärung der Kalmeda-App bestätigte uns auf Nachfrage im Grundsatz auch die Landesdatenschutzbehörde aus Nordrhein-Westfalen. Diese ist zuständig, da der Anbieter der Software, die Mynoise GmbH, ihren Sitz in Duisburg hat. Zwar sei eine rechtliche Bewertung in der Kürze der Zeit nur eingeschränkt möglich. Man sehe jedoch bei der Datenschutzerklärung Mängel, „auch da ein Hinweis auf die Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO fehlt“.

Vertrauensverlust

Die Patzer beim Datenschutz zeigen, dass eine reine Selbstauskunft der Hersteller nicht genügt, um die Einhaltung der Datenschutzregeln zu gewährleisten. Das derzeitige System, von Bundesgesundheitsminister Jens Spahn als „Weltneuheit“ verkauft, ist offenkundig mehr auf Schnelligkeit denn auf Sicherheit ausgerichtet. Das schafft nicht gerade Vertrauen in die „Apps auf Rezept“ und die anderen Bereiche, in denen die DiGAV ebenfalls nur eine Selbstauskunft fordert: „Datensicherheit, Interoperabilität, Robustheit, Verbraucherschutz, Barrierefreiheit, Unterstützung der Leistungserbringer, Qualität der medizinischen Inhalte und Patientensicherheit“.

Die DiGA-Verordnung sollte Patienten und Ärzten die Gewissheit geben, dass sie ein sicheres digitales Medizinprodukt einsetzen. Doch es ist offenbar unsicher, ob alle DiGAs im Verzeichnis alle Anforderungen erfüllen. Die Verantwortung für diese Verunsicherung müssen sich zwei Akteure teilen: ­Diejenigen Hersteller, die bei der Selbst­auskunft hinsichtlich des Datenschutzes fragwürdige Selbsteinschätzungen vorgenommen haben, und das Bundesgesund­heit­sministerium, das mit der laschen Anforderung einer Selbstauskunft seinen eigenen Kriterienkatalog entwertet hat. Das Ziel von Spahn, einen „Digitalisierungsschub“ in der Medizin zu erreichen, ist sicher lobenswert. Dies darf aber nicht dazu führen, dass allzu niedrige Hürden, etwa bei der Gestaltung von Apps, das Vertrauen der Ärzte und Patienten zerstören. (hag@ct.de)

Infos zur DiGA-Liste: ct.de/ymfy