Erste Sicherheitslücken bei neuen Gesundheits-Apps entdeckt

In Zeiten der Digitalisierung gibt es für alles eine App, nun auch gegen Krankheiten. Seit Oktober 2020 müssen die Krankenkassen die Kosten für sog. DiGAs (digitale Gesundheits-Anwendungen) übernehmen und schon jetzt tun sich datenschutzrechtliche Sicherheitslücken einiger DiGAs auf.  

Was sind DiGAs?  

Seit Dezember 2019 ist das Digitale-Versorgung-Gesetz (DVG) in Kraft. Es schuf die gesetzliche Grundlage für die Verschreibung von digitalen Gesundheitsanwendungen und schreibt verpflichtende IT-Standards fest. Damit war der Weg für digitale Gesundheits-Apps (DiGAs) frei. Die Patienten können nun bei ihrem Arzt ein Rezept für eine DiGA erhalten und dies dann bei ihrer Krankenkasse einlösen. Im Gegenzug händigt die Kasse dem Patienten einen Freischaltcode aus. Nach Eintippen des Codes in die App kann diese dann genutzt werden. Inzwischen gibt es 33 DiGAs. Die meisten sollen gegen psychische Erkrankungen und Verhaltensstörungen helfen.  

Erste Sicherheitslücken erkannt 

DiGAs verarbeiten personenbezogene Daten nach Art. 4 Nr.1 DSGVO. Darunter können auch besonders sensible Daten nach Art. 9 Abs.1 DSGVO wie Gesundheitsdaten, Daten zur rassischen und ethnischen Herkunft sowie genetische und biometrische Daten sein. Umso wichtiger ist es, diese Daten vor dem Zugriff durch Unbefugte zu schützen. Zwei der Apps haben dabei laut Computerfachleuten des ehrenamtlichen Kollektivs „zerforschung“ versagt. Bei der DiGA „Novego: Depressionen bewältigen“ konnte der Nutzer beim Download seiner eigenen Daten durch die Änderung der Nummer seiner Nutzer-ID zu den E-Mail-Adressen und Nutzernamen anderer Patienten gelangen. Laut Informationen der Tagesschau hat der Anbieter die Sicherheitslücke drei Stunden nach Veröffentlichung des Berichts von „zerforschung“ geschlossen. Auch bei der DiGA „Cancado“, welche für Brustkrebs-Patientinnen zugelassen ist, hat es das Kollektiv „zerforschung“ geschafft, sich selbst als Arzt in der DiGA zu registrieren und so auf 12.500 Datensätze von Patientinnen zuzugreifen. In einer schriftlichen Stellungnahme an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) räumte Geschäftsführer Timo Schinköthe laut Informationen der Tagesschau „ein konkretes, jedoch nicht ausgenutztes Sicherheitsrisiko“ ein, welches inzwischen behoben wurde.  

Welche datenschutzrechtlichen Voraussetzungen muss eine DiGA erfüllen?  

Von der Krankenkasse erstattungsfähig sind nur DiGAs, die in das Verzeichnis erstattungsfähiger DiGA des BfArM aufgenommen werden. Dazu führt das BfArM ein „Fast-Track“-Verfahren durch, in dem es die DiGA vom „Datenschutz bis zur Benutzerfreundlichkeit“ durchprüft. Innerhalb des Verfahrens muss der Hersteller bestätigen, dass die in den §§ 3 bis 7 DiGAV formulierten Anforderungen -auch die an den Datenschutz- erfüllt werden. So sieht § 4 Abs. 1 DiGaV vor, dass die DiGA die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und damit verbundenen Schutzstufen gewährleisten muss. Zudem müssen nach § 4 Abs. 5 DiGaV alle Mitarbeiter des Herstellers zu Verschwiegenheit verpflichtet werden. Was unter den „Anforderungen an die Datensicherheit“ zu verstehen ist legt das BfArM im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesbeauftragten für Datenschutz fest. Schon seit April 2022 muss dazu ein Nachweis eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO 27001 oder gem. ISO 27001 auf der Basis von IT-Grundschutz vorgelegt werden. Die Erfüllung der Anforderungen an die Datensicherheit müssen sich die Hersteller zudem ab dem 1. April 2023 durch ein Zertifikat nach Art. 42 DSGVO von den drei Behörden bestätigen lassen. Das BfArM hat gegenüber der Tagesschau allerdings bereits eingeräumt, dass es sich bei der Prüfung um „eine eigene technische Prüfung handelt“. Es bleibt daher abzuwarten, ob die Sicherheit der Patientendaten auch ohne technische Prüfung durch das Bundesinstitut gewährleistet werden kann, beziehungsweise ob es bei den zwei Sicherheitsvorfällen bleibt. 

Fazit:  

Die digitalen Gesundheits-Apps bieten für Patienten und Hersteller neue Behandlungsmöglichkeiten. Diese gehen aber Hand in Hand mit erhöhten Anforderungen an den Datenschutz. Bei der Auswahl der richtigen DiGA sollten Patienten, Ärzte und Versicherungen daher immer prüfen, ob die gesetzlichen Anforderungen an den Datenschutz erfüllt sind. Sollten Sie in dieser Hinsicht Bedenken haben, steht Ihnen das Team der WS-Datenschutz GmbH jederzeit zur Verfügung.