Apps auf Rezept – sinnvoll und sicher?

26. April 2023

Seit gut zweieinhalb Jahren können Medizinerinnen und Mediziner sowie Therapeutinnen und Therapeuten spezielle Apps oder browserbasierte Anwendungen verschreiben. Wie kommen die digitalen Therapiehelfer bei den Nutzenden an? Und was hat sich bei den Anforderungen an Datenschutz und Datensicherheit geändert? Zeit für eine Zwischenbilanz.

Die Digitalisierung schreitet voran – auch im Gesundheitswesen. Eine Umfrage der Verbraucherzentralen hat ergeben: Seit Corona nehmen etwa 40 Prozent der Patientinnen und Patienten mehr digitale Möglichkeiten in Anspruch. Sie nutzen das Netz dabei vor allem, um online Termine zu vereinbaren oder Medizinerinnen und Mediziner zu finden. Aber auch die Nachfrage nach sogenannten digitalen Gesundheitsanwendungen – kurz DiGA – wächst: Rund 125.000 Medizin-Apps oder Browseranwendungen sind 2022 verschrieben worden, überschlägt das Beratungsunternehmen McKinsey. Das ist zwar einerseits eine noch überschaubare Zahl, aber andererseits ein deutlicher Zuwachs von 177 Prozent zu 2021, als 62.000 Apps und browserbasierte Anwendungen auf Rezept ausgegeben wurden. Manche dieser Apps unterstützen bei der Behandlung von Platzangst, Panikstörungen und sozialen Phobien. Andere sollen die Lebensqualität von Menschen verbessern, die etwa an der chronisch obstruktiven Lungenerkrankung (COPD) leiden. Wiederum andere wollen mit einer Kombination von Übungen, Entspannungstechniken und Hintergrundwissen Rückenschmerzen entgegenwirken. Und das Angebot wächst: Rund 45 digitale Gesundheitsanwendungen listet das DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) aktuell. Dieses enthält alle in Deutschland geprüften und – teils vorläufig – zugelassenen digitalen Therapiehelfer. Wie man eine App auf Rezept erhalten kann, erklärt unser Infokasten.

Akzeptanz für digitale Therapiehelfer wächst

Bei Patientinnen und Patienten kommen die neuen digitalen Möglichkeiten überwiegend gut an, wie eine Umfrage im Auftrag der AOK ergeben hat. Für 58 Prozent der Befragten sind die DiGA eine sinnvolle Ergänzung zu ihrer Therapie. Immerhin 40 Prozent geben an, dass sie ihnen dabei geholfen haben, ihre Erkrankung besser in den Griff zu bekommen. Auch unter Medizinerinnen und Medizinern wachsen das Zutrauen in die digitalen Therapiehelfer und die Bereitschaft, Apps auf Rezept zu verschreiben, so das Ergebnis einer Studie der Stiftung Gesundheit. Dennoch sehen fast 80 Prozent der befragten Ärztinnen und Ärzte immer noch Hürden, die den Einsatz der Apps erschweren: Zum einen gibt es Zweifel an der Wirksamkeit, zum anderen Klagen über zu hohe Kosten. Für mehr als 60 Prozent der Ärztinnen und Ärzte stehen aber datenschutzrechtliche Bedenken an erster Stelle.

Anforderungen an Datenschutz und IT-Sicherheit steigen

Dabei müssen die Medizin-Apps zunächst einen entsprechenden Genehmigungsprozess beim BfArM durchlaufen und generell strengere Anforderungen erfüllen als frei verfügbare Apps. Zugriff haben beispielsweise nur die Patientin oder der Patient und der behandelnde Arzt beziehungsweise die behandelnde Ärztin, nach entsprechender Einwilligung, erklärt Tobias Mielke von TÜVIT. Die Anforderungen an die Anbieter sind dabei in den vergangenen Jahren gestiegen: Zu Beginn haben sie ausschließlich in einer Selbsterklärung Angaben zum Datenschutz und zur Datensicherheit ihrer digitalen Anwendung machen müssen. Anhand dieser Selbstauskunft und der eingereichten Unterlagen überprüft das BfArM, ob die App den festgelegten Anforderungen etwa an Datenschutz, Informationssicherheit, Qualität und Interoperabilität erfüllt. Mittlerweile müssen sich die Apps auch einem Penetrationstest unterziehen, also einem Hackerangriff im Labor. „Das Ziel ist, Schwachstellen in der mobilen Anwendung zu finden, die dann behoben werden müssen“, erklärt Tobias Mielke. Seit diesem Jahr müssen die Anbieter außerdem anhand eines Zertifikats belegen, dass ihre Apps über ein wirksames Informationsmanagementsystem verfügen.

Zur Person

Tobias Mielke ist Gutachter und Auditor für Datenschutz sowie Fachexperte für Managementsysteme für Informationssicherheit und Datenschutz bei TÜVIT.

Verschreibung nur nach Zertifizierung

In den kommenden Jahren werden die Anforderungen an die Hersteller weiter erhöht. Ab August 2024 müssen alle Apps im DiGA-Verzeichnis die Erfüllung der Datenschutzanforderungen durch Zertifikate nachweisen, also eine Prüfung durch unabhängige Dritte bestehen. Ab Anfang 2025 gilt das auch für die Datensicherheit. Mielke und seine Kolleginnen und Kollegen untersuchen bei solchen Prüfungen etwa, ob die ITSicherheit fester Bestandteil der Softwareentwicklung ist. Können die Anbieter zu den Stichtagen keine entsprechenden Zertifizierungsnachweise vorlegen, kann ihre App auch nicht mehr verschrieben werden. Die technische Entwicklung steht natürlich nicht still – weder bei den App-Herstellern noch bei den Hackerinnen und Hackern. Deshalb führen Tobias Mielke und sein Team im Rahmen der Datenschutzzertifizierung einmal im Jahr ein Überwachungsaudit durch. „Gibt es größere technische Änderungen an der App, wird ein weiteres Monitoring erforderlich“, so Mielke. Ein für alle Mal abgeschlossen sind solche Prüfungen nie. „Das ist ein laufender Prozess. Schließlich werden solche Apps ja immer wieder um Features erweitert, damit sie dauerhaft einen Mehrwert für die Patientinnen und Patienten bieten. Und diese Features müssen natürlich auch entsprechend sicher implementiert werden.“

Gesundheitsapps sind im Kommen. Die Anforderungen an Datenschutz und IT-Sicherheit steigen ebenfalls.

Keine Prüfpflicht für frei verfügbare Gesundheits-Apps

Derartige Prüfpflichten und strenge Datenschutzanforderungen gelten jedoch nicht für frei zugängliche Apps. „Manche von ihnen sind beispielsweise echte Datensammler“, meint Mielke, „was sie aber für das, was sie tun sollen, vielfach gar nicht müssten.“ Zudem sei für die Anwendenden nicht klar, wie die Daten gespeichert und ob sie weiterverarbeitet oder gar weiterverkauft würden. Jede Anwenderin, jeder Anwender solle sich bewusst sein, dass persönliche Daten eine sehr harte Währung sind. „Gerade wenn es um Gesundheitsdaten geht wie Blutdruck, Gewicht, körperliche Fitness, Schlafrhythmus oder den aktuellen Medikationsplan.“ Wearables wie Smartwatches sammeln diese Daten ebenfalls, speichern oder übertragen sie. Wie und wo genau, ist meist nicht ganz klar. Auch für diese Anwendungen gebe es keine Prüfpflicht, so Tobias Mielke. „Hier wäre aber zumindest eine Selbstauskunft der Hersteller analog zu den DiGA wünschenswert. Besser noch eine Prüfung durch unabhängige Dritte, um Datenschutz und Datensicherheit bestmöglich zu gewährleisten“.

Wie bekommt man eine App auf Rezept?

Ein Überblick über alle zugelassenen und verschreibbaren Apps und Browseranwendungen findet sich im DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte. Entdeckt man eine Anwendung, die auf die eigene Problematik passt, kann man darüber mit der Hausärztin, dem Hausarzt, der Therapeutin oder dem Therapeuten sprechen. Das Rezept reicht man bei der eigenen Krankenkasse ein. Die schickt dann einen Freischaltcode für die DiGA. Bei entsprechender Diagnose kann die DiGA auch direkt von der Krankenkasse erstattet werden – also ohne den „Umweg“ über ein Rezept. Hierzu kann man sich bei der eigenen Krankenkasse erkundigen.