"Gesundheits-Apps" und insbesondere DiGA könnten sich als wertvoll erweisen, wenn therapiebegleitend wichtige Informationen zu Symptomen bzw. Befunden erhoben werden. Aber wie sicher sind dabei die Patientendaten?

Laut DiGA-Verzeichnis waren Anfang Juli 31 Apps gelistet, die sich mit so unterschiedlichen Krankheitsbildern wie Tinnitus, Impotenz, Brustkrebs oder nicht organischen Schlafstörungen beschäftigen. Diese Anwendungen beinhalten so wertvolle Bausteine wie z. B. eLearning-Einheiten per Video (v. a. bei durch den Lebensstil mitbedingten Erkrankungen wie Adipositas), aber auch interaktive Kommunikation (z. B. eine Call-a- friend-Funktion) bzw. digitale Tagebücher, wie man sie in Printform aus der Betreuung von Migränepatient:innen kennt.

Insbesondere die Integration von Patient-Reported Outcome Measures (PROM) durch validierte Fragebögen eröffnet Möglichkeiten für eine Verbesserung der laufenden Therapie: Hierbei werden die Symptome, Funktionsbeeinträchtigungen und das Befinden von Patient:innen vor, während und nach einer Behandlung erfasst und ausgewertet. Erste auf dem Markt befindliche DiGA arbeiten bereits damit. Alle diese Funktionen setzen einen regen Datenaustausch zwischen Nutzer:innen und hinter der App stehenden Systemen voraus. Und genau hierin liegt eine oft geäußerte Kritik am "System DiGA" begründet: Denn die Frage, wie sicher dieser Datentransfer gestaltet ist und wie gut diese Daten beim Unternehmen hinter der App eigentlich sind, ist nicht pauschal zu beantworten. Man könnte nun "German Angst" als Urheber dieser Kritik vermuten: also eine überzogene Furcht vor Innovationen, die bei uns Deutschen gerade im Digitalen stark ausgeprägt ist. Während wir im Alltag wiederum unsere sensiblen Daten nur allzu wohlfeil hergeben, z. B. bei Google Maps, Facebook oder PayPal. Jedoch konnten jüngst gleich zwei durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zugelassene DiGA mit nur geringem Aufwand durch ein Studentenkollektiv gehakt werden. Das zeigt, dass die Sorge um einen ausreichenden Datenschutz nicht unbegründet ist. Bei einer der beiden gehakten DiGA war z. B. die Bezeichnung der Schnittstelle für den Datenaustausch einfach zu erraten. Dadurch konnten die Patientendaten auch von Unberechtigten abgerufen werden. Solche Sicherheitslücken müssen effektiv geschlossen werden und dabei könnte − wie das Hackerkollektiv empfiehlt − u. a. eine konsequente Ende-zu-Ende-Verschlüsselung (bei vielen der Messenger bereits Standard) helfen.

Das Bundesamt für Sicherheit in der Informationstechnologie arbeitet an neuen DiGA-Sicherheitsstandards, und das ist gut so! Ein blanker Ruf nach mehr Reglementierung ohne Rücksicht auf die Funktionsfähigkeit und Innovationskraft wäre jedoch ein Todesstoß für viele digitale Helfer, die unserem Gesundheitssystem guttäten. So beklagte z. B. Prof. Dr. Markus M. Lerch auf dem DGIM-Kongress, dass die Datenschutz-Grundverordnung "mitunter Leib und Leben von Patientinnen und Patienten gefährde". Wenn bspw. in der Notaufnahme wegen technisch bedingter Zugangsblockade die vorhergehenden Behandlungen von Facharztseite nicht eingesehen werden können.
Was helfen kann? Ein Blick über den Tellerrand, um zu verstehen, was andere Länder in der Telemedizin richtig – und datenschutzkonform – machen. Dazu rät auch der DGIM-Vorsitzende. Was uns fehlt, ist ein ausgewogener Mix aus Innovationsbegeisterung und Datensicherheit, der die Digitalisierung der Systeme nicht abwürgt, sondern besser, sicherer und auch zukunftsfähiger macht.

Sabine Mack


Interview mit Sabine Strüder, Fachbereichsleiterin Gesundheit und Pflege bei der Verbraucherzentrale Rheinland-Pfalz e.V., Mainz

doctors|today: Wie sicher sind Gesundheits-Apps?

Strüder: „Auf der einen Seite können solche Apps den Nutzer:innen mehr Autonomie über ihre eigene Gesundheit verschaffen. Ein gutes Beispiel sind Anwendungen, mit denen man den Gesundheitszustand im Blick behalten kann, indem man z. B. Blutdruck, Bewegungsverhalten oder Gewicht trackt oder auch an Termine zur Medikamenteneinnahme erinnert wird. Dieser Autonomiegewinn geht auf der anderen Seite aber bei mangelndem Datenschutz einher mit einem Autonomieverlust in Bezug auf sensible persönliche Daten. Fehlerhafte Schutzmechanismen gegen unbefugtes Tracking, ausgeprägtes Datensendungsverhalten, Unklarheit über die Weitergabe der Daten an Dritte und mangelnde Kontrollmöglichkeiten seitens der Nutzer: Das sind Themen, bei denen es bei den Gesundheits-Apps oft schwierig wird.

Wichtig ist, dass man klar unterscheidet zwischen Gesundheits-Apps allgemein und den Gesundheits-Apps auf Rezept, den Digitalen Gesundheitsanwendungen (DiGA). Für die mehrere 10.000 existierenden Gesundheits-Apps gibt es bislang keine zwingend vorgeschriebenen Angaben zu Zweckbestimmung, Einsatzgebieten und Nutzergruppen sowie Grenzen des Einsatzes der App. Und bei Weitem nicht alle Gesundheits-Apps sind als Medizinprodukte zugelassen. Es bestehen allenfalls mehrere Initiativen zur Beurteilung der Qualität verschiedener Gesundheits-Apps.

Für DiGA gelten hingegen einheitliche Anforderungen:

  • Es handelt sich um CE-gekennzeichnete Medizinprodukte der Risikoklasse I oder II a nach der Medizinprodukteverordnung.
  • Der medizinische Zweck wird wesentlich durch die digitale Technologie erreicht.
  • Die DIGA unterstützt die Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder die Erkennung, Behandlung, Linderung und Kompensierung von Verletzungen und Behinderungen.
  • DiGA müssen einen positiven Versorgungseffekt haben.

DiGA unterliegen einem speziellen Prozess bei der Zulassung und – sie sollen auf Rezept verfügbar sein. Die im DiGA-Verzeichnis gelisteten Applikationen müssen frei von Werbung bleiben, personenbezogene Daten dürfen nicht zu Werbezwecken verwendet werden.

Zudem müssen medizinische Inhalte und Gesundheitsinformationen dem allgemein anerkannten fachlichen Standard entsprechen. Das oben aufgeführte Beispiel zum DiGA-Leak zeigt jedoch sehr anschaulich, dass auch bei den DiGA Sicherheitslücken derzeit nicht ausgeschlossen sind. Diese sollten schnellstens geschlossen werden, um die Akzeptanz sowohl bei Ärzt:innen als auch bei Patient:innen zu erhöhen.“

doctors|today: Welche Fragen werden in den Beratungen z. B. gestellt?

Strüder: „Im Vordergrund stehen bei uns Fragen zum Datenschutz und zum Nutzen der digitalen Anwendungen. Gefragt wird zum Beispiel: ‚Was passiert mit meinen Daten, wenn ich eine solche App nutze?‘ Die meisten Anwendungen in diesem schnelllebigen Markt der Gesundheits-Apps sind zudem nicht wissenschaftlich auf ihren Nutzen hin untersucht. So kann es hilfreiche Apps geben, aber auch solche, deren Nutzen nicht belegt ist und die schlimmstenfalls sogar Schaden anrichten können, z. B. durch falsche Messungen und Diagnosen. Durch die Schnelllebigkeit dieses Marktes fehlt es natürlich an der erforderlichen Transparenz. Und wir weisen auch darauf hin, dass gerade kostenlose Apps sich oftmals über Datenhandel und Werbung finanzieren und man daher hinterfragen sollte, wer hinter der App steht.

Für die DiGA gilt: Viele, die aufgrund ihrer Vorerkrankungen von der passenden DiGA profitieren könnten, wissen gar nicht, dass es so etwas gibt. Gerade ältere Patient:innen verfügen oftmals auch nicht über die erforderlichen technischen Voraussetzungen. Zudem ist es wichtig zu erläutern, dass für DiGA eine Verordnung durch die behandelnden Ärzt:innen oder Psychotherapeut:innen und eine begründende Diagnose erforderlich sind. Dieses Rezept müssen Patient:innen bei ihrer Krankenkasse einreichen. Dort erhalten sie einen Code, mit dem sie die App kostenfrei herunterladen und freischalten können.

Bei unseren Infoveranstaltungen zu diesem Themenbereich merken wir zudem, dass auch andere digitale Anwendungen im Gesundheitswesen zu Fragen von Patient:innen führen: ePA, Videosprechstunde, elektronische Arbeitsunfähigkeitsbescheinigung oder das eRezept. Inhalte, mit denen Patient:innen und Ärzteschaft bereits konfrontiert sind bzw. in absehbarer Zukunft konfrontiert werden und die auch die Digitalisierung im Gesundheitswesen voranbringen könnten.“

doctors|today: Wie ist Ihre persönliche Einschätzung zum Thema DiGA?

Strüder: „Im Moment sind 31 DiGA gelistet, viele Anträge wurden mittlerweile wieder zurückgezogen oder aus der DiGA-Liste gestrichen, weil sie nur eine temporäre Zulassung hatten. So viele "Apps auf Rezept" gibt es also noch gar nicht, da wäre noch Potenzial. Auch sind die Kosten mit ca. 400 € im Durchschnitt pro Quartal recht hoch. Gleichzeitig werden einige öfter verschrieben als andere: Tinnitus-Apps z. B. oder die DiGA für Rücken- und Knieschmerz bzw. die DiGA für Patient:innen mit Adipositas. Die meisten DiGA gibt es für Patient:innen mit psychischen Erkrankungen (Anfang Juli: 14). Diese werden momentan eher wenig nachgefragt. Hier spielt sicher der Umstand eine Rolle, dass bei psychischen Erkrankungen das persönliche Gespräch in der Therapie von großer Bedeutung ist. Für die Zulassung von DiGA prüft das BfArM die Herstellerangaben. Es müssen grundlegende technische Anforderungen erfüllt sein, bevor eine DiGA in das Verzeichnis aufgenommen wird. An diesem sogenannten Fast-Track-Verfahren gibt es durchaus Kritik, weil zum Zeitpunkt der Zulassung in vielen Fällen nicht klar ist, ob die jeweilige DiGA tatsächlich einen Nutzen bringt. Lediglich 12 der zugelassenen DiGA haben momentan eine dauerhafte Zulassung, bei den anderen gibt es noch keinen Nachweis über die nachhaltige Wirksamkeit oder einen positiven Versorgungseffekt (Juli 2022).

Wichtig zu wissen: Bei der DiGA-Zulassung gelten andere Voraussetzungen als bei Arzneimitteln. DiGA sind Medizinprodukte mit einer relativ niedrigen Risikoklassifizierung – I oder II b –, hier sind die Zulassungshürden bei Weitem nicht so hoch wie bei Arzneimitteln. Durch die Umstellung auf die europäischen Regelungen im Rahmen der MDR könnte es zu einer Verschärfung kommen, aber es ist noch unklar, welche Auswirkungen das auf einzelne DiGA haben wird. Bereits bisher haben viele Anbieter, die eine DiGA auf den Markt bringen wollten, ihren Antrag wieder zurückgezogen. 69 zurückgezogene Anträge im Vergleich zu 31 gelisteten DiGA sprechen eine deutliche Sprache.“

Das Interview führte Sabine Mack


Literatur
DiGA als Vorreiter patientenzentrierter Versorgung, Bertelsmann Stiftung, Juni 2022: http://blog.der-digitale-patient.de/diga-patientenzentrierte-versorgung
Wenn der Notarzt nicht weiß, wie der Facharzt behandelt hat – Wie Datenschutz in Deutschland Patienten gefährdet, DGIM-Kongress, April 2022: http://www.dgim.de/fileadmin/user_upload/PDF/Pressemeldungen/PM_DGIM_Datenschutz_April_2022_korr_28.04.2022_F.pdf


Expertin

© privat
Sabine Strüder

Fachbereichsleiterin Gesundheit und Pflege der Verbraucherzentrale Rheinland-Pfalz e.V., Mainz

Erschienen in: doctors|today, 2022; 2 (8) Seite 26-27