Digitale Gesundheitsanwendungen

Im Zuge der voranschreitenden Digitalisierung des deutschen Gesundheitswesens hat die Bundesregierung in dem sogenannten Digitalen Versorgungs-Gesetz bereits 2019 die rechtlichen Grundlagen für eine Regelversorgung der gesetzlich Versicherten mit digitalen Gesundheitsanwendungen – kurz DiGA – gelegt. In der im Jahr 2020 in Kraft gesetzten Digitalen-Gesundheitsanwendungen-Verordnung (DiGAV) wurden die Einzelheiten des Verfahrens, insbesondere der Erstattungsfähigkeit einzelner Anwendungen, festgelegt.

Aus der Sicht des Datenschutzes ist zunächst zu begrüßen, dass nur solche DiGAs von der Gesetzlichen Krankenversicherung erstattet werden dürfen, die den Anforderungen an den Datenschutz entsprechen und Datensicherheit nach dem Stand der Technik gewährleisten (§§ 33a Abs. 1, 139e Abs. 2 Satz 2 Nr. 2 SGB V). Sofern dies der Fall ist, nimmt das mit der Ausführung des Gesetzes beauftragte Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die einzelne DiGA in ein Verzeichnis auf. Nur darin enthaltene DiGAs sind erstattungsfähig.

Allerdings sieht das im Jahr 2020 in der DiGAV festgelegte Verfahren zur Aufnahme in das vom BfArM geführte Verzeichnis keine verlässliche und objektive Prüfung der gesetzlichen Anforderungen nach § 139e Abs. 2 Satz 2 Nr. 2 SGB V vor. Vielmehr soll es ausreichen, dass die Hersteller im Rahmen einer Selbsterklärung das Vorliegen bestimmter von dem Verordnungsgeber benannter Voraussetzungen bestätigen. Ist dies der Fall, wird die Herstellererklärung als Nachweis der gesetzlichen Anforderungen fingiert und eine Aufnahme der DiGA in das Verzeichnis nach § 139e SGB V erfolgt.

Hiergegen hat der LfDI Rheinland-Pfalz schon frühzeitig Bedenken erhoben. Diese wurden leider bestätigt, nachdem bei einer der ersten im Oktober 2020 in das Verzeichnis aufgenommenen DiGA bereits Sicherheitslücken festgestellt worden waren. Inwieweit die Bundesregierung die von den Datenschutzbehörden geforderte Vorlage verlässlicher Nachweise für die Datenschutz- und Sicherheitskonformität von DiGAs verlangt, bevor diese in das Verzeichnis aufgenommen werden können, bleibt abzuwarten. Zumindest der Nachweis der Anforderungen an die IT-Sicherheit der Anwendungen soll mittelfristig nur noch durch von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgestellte Zertifikate erfolgen. Ob für die Einhaltung datenschutzrechtlicher Anforderungen vergleichbare Belege gefordert werden, ist offen.

Die Verordnung der in dem DiGA-Verzeichnis des BfArM enthaltenen Anwendungen durch Leistungserbringer ist rechtlich zulässig. Für eventuell bei einzelnen DiGAs bestehende Datenschutz-Defizite trägt die verordnende Ärzte- oder Psychotherapeutenschaft keine Verantwortung.