Einwurf

Datenlecks bei Apps verhindern

Digitale Gesundheitsanwendungen bergen das Risiko, dass sensible Daten in die falschen Hände geraten, warnt Prof. Ulrich Kelber. Der Bundesdatenschutzbeauftragte empfiehlt daher, Gesundheits-Apps über die Telematikinfrastruktur zu vertreiben.

Porträt von Ulrich Kelber,  Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Bei Medikamenten und anderen Therapien

verlassen wir uns darauf, dass sie ausführlich getestet sind und wir über mögliche Nebenwirkungen aufgeklärt werden. Seit 2020 dürfen Medizinerinnen und Mediziner auch Digitale Gesundheitsanwendungen (DiGA) verschreiben, und die Krankenkassen bezahlen sie. Aber wie werden diese „Apps auf Rezept“ getestet? Und welche Risiken und Nebenwirkungen haben sie?

Die Digitale Gesundheitsanwendungen-Verordnung legt fest, dass die jeweilige DiGA ein Prüfverfahren beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) erfolgreich durchlaufen hat und in einem Verzeichnis erstattungsfähiger DiGA aufgeführt ist. Das klingt zunächst strukturiert und vertrauenswürdig. Das BfArM prüft jedoch nur die Selbsterklärung der Hersteller – auch zu Datenschutz und Datensicherheit ihrer Produkte. Ob die Angaben in den Formularen auch der technischen Wirklichkeit entsprechen, prüft das BfArM nicht. Eine Plausibilitätsprüfung zu den positiven Versorgungseffekten, also der medizinischen Wirksamkeit, ist dann der letzte Schritt des Verfahrens. Danach kommen die DiGA auf den Gesundheitsmarkt. Das ist aus meiner Sicht kein Prozess, der das notwendige Vertrauen in die Produkte erweckt. Erst recht nicht in Programme, die unsere sensiblen Gesundheitsdaten verarbeiten sollen.

Meine Behörde konnte aber erreichen, dass ab 2023 die Selbsterklärung der Hersteller durch Zertifikate abgelöst wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das BfArM und der Bundesdatenschutzbeauftragte werden gemeinsam erstmals 2021 die Anforderungen für DiGA in Bezug auf Datensicherheit festlegen und jährlich aktualisieren.

Wenn die Hersteller nachweisen, dass ihre Produkte die Anforderungen erfüllen, erhalten sie ein entsprechendes Zertifikat des BSI. Für den Datenschutz gilt ein ähnliches Verfahren nach Artikel 42 der europäischen Verordnung 2016/679 (Datenschutz-Grundverordnung). Bis 2023 liegt es aber noch in der alleinigen Verantwortung der für den jeweiligen DiGA-Hersteller zuständigen Landesdatenschutzbeauftragten, ob sie einen Anlass sehen, die Datenschutzkonformität der technischen Abläufe in der jeweiligen Digitalen Gesundheitsanwendung zu überprüfen. Bei ausländischen Anbietern liegt die Verantwortung sogar bei anderen europäischen Datenschutzaufsichtsbehörden. Es ist illusorisch zu glauben, dass diese Aufsichtsbehörden die mangelnden Nachweise der Hersteller durch eine aufwendige flächendeckende technische Prüfung ersetzen können.

Die Selbsterklärung der Hersteller wird ab 2023 durch Zertifikate abgelöst.

Digitale Gesundheitsanwendungen bekommt man auch nicht einfach in der Apotheke. Soweit es sich um Apps handelt, läuft der Vertrieb über die kommerziellen App-Stores beispielsweise von Apple oder Google. So könnten sensible Gesundheitsdaten in deren Hände oder die von unberechtigten Dritten gelangen. Schon das Wissen, dass jemand zum Beispiel eine DiGA zur Behandlung von Depressionen heruntergeladen hat, ist sehr aussagekräftig. Hersteller könnten außerdem Tracking und Analysetools in ihre Produkte einbauen.
 
Wo Daten sind, gibt es immer die Begehrlichkeit, sie zu nutzen. Das unterscheidet die Nebenwirkung „Datenabfluss“ von den körperlichen Nebenwirkungen wie Kopfschmerzen. Ein eigener App-Store in der Telematikinfrastruktur, der von den Akteuren des Gesundheitssystems betrieben wird, wäre ein wesentlicher Beitrag zum Schutz von Gesundheitsdaten, müsste allerdings vor allem gegen Apple durchgesetzt werden.
 
Viele dieser Risiken wären vermeidbar gewesen, wenn der Gesetzgeber frühzeitig auf die entsprechenden Hinweise und Vorschläge reagiert hätte. So wird es noch eine Weile dauern, bis wir den DiGA ähnlich viel Vertrauen schenken können wie Medikamenten und Therapien. Datenschutz und Datensicherheit sind unverzichtbar für diese Produkte. Ich werde mich mit meiner Behörde weiterhin dafür einsetzen, das zu gewährleisten.

Ulrich Kelber ist seit Januar 2019 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit.
Bildnachweis: Bundesregierung/Kugler