Zum Inhalt springen

Kurz nachgefragt

Wie sicher sind Apps auf Rezept?

Wie sicher sind Apps auf Rezept? Erfahren Sie die Antwort auf #explore.

Eine isometrische Illustration zeigt vernetzte medizinische Technologien auf türkisem Hintergrund, darunter Stethoskop, Tablet, Mikroskop, DNA-Helices und Medikamente. Die gepunkteten Verbindungslinien zwischen den Objekten symbolisieren die digitale Vernetzung im modernen Gesundheitswesen und Telemedizin.

19. November 2020

Das Gesundheitswesen wird immer digitaler: Seit Anfang Oktober dürfen Ärzte in Deutschland neben Tabletten, Therapien und Prothesen auch bestimmte Apps verschreiben. Tobias Kippert von TÜViT erklärt, welche Voraussetzungen eine Medizin-App erfüllen muss, bevor eine Krankenkasse bereit ist, die Kosten dafür zu übernehmen, und wie es um die Sicherheit solcher Anwendungen steht.

Datenschutz und Sicherheit von DiGA-Apps

Wie werden die Apps hinsichtlich Datenschutz und Sicherheit überprüft?

Wie bei allen anderen Anforderungen muss der Antragsteller gemäß der DiGA-Verordnung Angaben zu Datenschutz und Sicherheit in Form einer Selbsterklärung vorlegen. Diese Erklärung wird anschließend vom BfArM auf Plausibilität geprüft. Das Bundesinstitut stützt sich dabei ausschließlich auf die von den Herstellern bereitgestellten Informationen und führt keine eigenen Sicherheits- und Datenschutzprüfungen durch. Ob die Apps tatsächlich so sicher sind, wie behauptet wird, lässt sich nicht abschließend nachweisen. Tatsächlich haben IT-Sicherheitsforscher einige dieser Apps bereits genauer unter die Lupe genommen und Schwachstellen entdeckt. So konnten sie beispielsweise mithilfe der Funktion „Passwort vergessen“ feststellen, ob eine bestimmte E-Mail-Adresse auf der Plattform für Patienten mit Angststörungen registriert war, und daraus Rückschlüsse auf entsprechende psychische Probleme ziehen. Zudem war der an die betreffenden E-Mail-Adressen gesendete Zurücksetzungscode nur vier Zeichen lang und 24 Stunden lang gültig. Durch automatisches Durchprobieren vieler verschiedener Codes wäre es möglich gewesen, das Passwort zu ändern und das Konto zu übernehmen. Der Hersteller gibt an, dieses Problem inzwischen behoben zu haben. Doch solche negativen Berichte können natürlich das Vertrauen der Öffentlichkeit in diese digitalen Gesundheitsanwendungen ernsthaft beeinträchtigen.

Wie lässt sich dieses Problem angehen?

Eine Möglichkeit wäre, eine unabhängige dritte Partei mit der Prüfung zu beauftragen. Im Idealfall würde die App einem Penetrationstest unterzogen, um mögliche Schwachstellen in der Datensicherheit aufzudecken, damit diese anschließend behoben werden können. Auch eine allgemeine Überprüfung der Datensicherheits- und Datenschutzmaßnahmen wäre sinnvoll. Natürlich können solche komplexen Tests für die Start-ups, die so oft für die Entwicklung dieser Apps verantwortlich sind, eine große finanzielle Hürde darstellen. Sie können jedoch auch dafür sorgen, dass die Selbsterklärung, die sie beim BfArM einreichen wollen, von einer unabhängigen dritten Partei geprüft wird. Da der Fragebogen zur Selbsterklärung sehr detailliert ist, wäre es auch auf dieser Grundlage möglich, den Auditprozess gemeinsam mit dem App-Hersteller durchzugehen. Es ist davon auszugehen, dass die Datensicherheit ab Januar 2022 zumindest durch ein ISMS-Zertifikat nachgewiesen werden muss. App-Hersteller sollten jedoch bereits jetzt IT-Sicherheitsexperten hinzuziehen, um das Risiko eines Vertrauensverlusts aufgrund potenzieller Sicherheitslücken abzuwenden, und sie sollten gut auf die ISMS-Zertifizierung vorbereitet sein.

Welche Apps erstattungsfähig sind

Welche Apps sind seit Oktober auf Rezept erhältlich?

Tobias Kippert: Die Krankenkassen akzeptieren nun alle Apps, die nach einer Prüfung durch das Bundesinstitut für Arzneimittel und Medizinprodukte (Bundesinstitut für Arzneimittel und Medizinprodukte, BfArM) in das „DiGA“-Verzeichnis aufgenommen wurden. DiGA steht für „digitale Gesundheitsanwendung“. Bislang wurden fünf Apps und Webanwendungen in dieses DiGA-Verzeichnis aufgenommen. Sie richten sich an Menschen, die unter Beschwerden wie Tinnitus, Schlaflosigkeit, Adipositas, Panikstörungen und Arthrose leiden. Grundsätzlich kann jede Anwendung, die bei psychischen oder körperlichen Problemen helfen kann und die gesetzlichen Anforderungen erfüllt, in dieses Verzeichnis aufgenommen werden.

Und welche konkreten Anforderungen muss eine App erfüllen, um als „digitale Gesundheitsanwendung“ anerkannt zu werden?

Die erste Voraussetzung ist, dass die Anwendung bereits als Medizinprodukt CE-zertifiziert ist. Der Hersteller muss dann beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die Aufnahme beantragen. Auf der Grundlage dieser Selbstanzeige und der eingereichten Unterlagen prüft das BfArM innerhalb von drei Monaten, ob die App die in der Verordnung über digitale Gesundheitsanwendungen (DiGAV) festgelegten Anforderungen an Sicherheit, Funktionalität, Datenschutz, Informationssicherheit, Qualität und Interoperabilität erfüllt. Der Hersteller muss zudem „positive therapeutische Wirkungen“ der App nachweisen. Mit anderen Worten: Er muss nachweisen, dass die App tatsächlich medizinisch wirksam ist. Hat er die erforderlichen Studien noch nicht durchgeführt, erfüllt aber alle anderen Anforderungen, kann er auch eine vorläufige Aufnahme beantragen. Die erforderlichen Studien müssen dann innerhalb eines Jahres vorgelegt werden. In Ausnahmefällen kann diese Frist verlängert werden.

 

#explore - Das Online-Magazin von TÜV NORD

Dies ist ein Artikel von #explore. #explore ist eine digitale Entdeckungsreise in eine Welt, die sich in rasantem Tempo wandelt. Die zunehmende Vernetzung, innovative Technologien und die alles umfassende Digitalisierung schaffen Neues und stellen Gewohntes auf den Kopf. Doch das birgt auch Gefahren und Risiken: #explore zeigt einen sicheren Weg durch die vernetzte Welt.