Durch das Digitale-Versorgung-Gesetz (DVG) möchte die Bundesregierung den Digitalisierungsprozess im deutschen Gesundheitswesen voranbringen. Im Dezember 2019 wurde dabei unter anderem die „App auf Rezept“ für Patientinnen und Patienten in der Gesundheitsversorgung ermöglicht. Diese „Digitalen Gesundheitsanwendungen“ (DiGA) sollen bei der Erkennung und Behandlung von Krankheiten unterstützen. Dabei ist eine Vielzahl medizinprodukterechtlicher Vorschriften zu beachten.

Das Verfahren zur Aufnahme einer digitalen Gesundheitsanwendung in das Verzeichnis für digitale Gesundheitsanwendungen des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) wird auf Antrag des Herstellers eingeleitet. In diesem Verzeichnis sollen die wesentlichen Informationen zur DiGA für Ärzte und Nutzer zusammenfassend dargestellt werden.

Datenschutz und Informationssicherheit gewährleisten

Dabei muss der Hersteller unter anderem gewährleisten, dass die digitale Gesundheitsanwendung den Anforderungen an den Datenschutz und die Datensicherheit nach dem Stand der Technik entspricht. Der Hersteller fügt seinem Antrag die Erklärung nach Anlage 1 DiGAV bei und ist unabhängig von der Prüfentscheidung des BfArM jederzeit verantwortlich für die Einhaltung aller datenschutz- und informationssicherheitsbezogenen sowie sonstigen Anforderungen an sein Medizinprodukt. Das BfArM prüft die Angaben des Herstellers, eine technische Überprüfung der Umsetzung der Angaben durch das BfArM ist in der DiGAV derzeit nicht vorgesehen.

ISMS oder vergleichbares System notwendig

Abhängig vom Schutzbedarf der Daten sind die aufgeführten Basis- und Zusatzanforderungen für die Datensicherheit umzusetzen. Unter anderem muss der Hersteller der digitalen Gesundheitsanwendung ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27000-Reihe, BSI-Standard 200-2 oder ein vergleichbares System umsetzen und auf Verlangen des BfArM ein entsprechendes anerkanntes Zertifikat oder einen vergleichbaren Nachweis vorlegen. Bei einem sehr hohen Schutzbedarf müssen für alle an das Internet angebundenen Systemkomponenten Penetrationstests durchgeführt werden.

Zudem hat das Bundesamt für Sicherheit in der Informationstechnik die “BSI TR-03161 Sicherheitsanforderungen an digitale Gesundheitsanwendungen” im “Trial Use” veröffentlich, d.h. es sollen noch Erfahrungen gesammelt werden, darauf basierend können sich entsprechend Änderungen ergeben. Die Technische Richtlinie soll als Leitfaden dienen, um Entwickler von mobilen Anwendungen im Gesundheitswesen bei der Erstellung sicherer mobiler Applikationen zu unterstützen.

Karenzzeit nur noch bis zum 1.1.2022

Für alle Anträge zur Aufnahme in das DiGA-Verzeichnis nach dem 1.1.2022 ist die Verwirklichung eines ISMS bzw. eines vergleichbaren Systems verpflichtend. Die konkreten Anforderungen an Nachweise, die mit einer Zertifizierung vergleichbar sind, sollen bis dahin präzisiert werden. Trotzdem ist bereits jetzt das Etablieren von Prozessen erforderlich, um den Anforderungen für ein angemessenes Datenschutz- und Informationssicherheits-Niveau, zu entsprechen (siehe hier).