Was ist eine digitale Gesundheitsanwendung (DiGA)?
Eine DiGA ist eine App oder allgemein eine IT-Anwendung, die von ärztlichem Personal auf Rezept verschrieben werden kann. Umgangssprachlich werden diese Anwendungen deshalb auch gerne als "Apps auf Rezept" bezeichnet. Im Gegensatz zu einfachen "Gesundheitsapps", die sich seit Jahren in großer Zahl in App Stores finden lassen, haben DiGA einen umfangreichen behördlichen Zulassungsprozess durchlaufen und werden infolgedessen als Medizinprodukt niedriger Risikoklasse (Klasse 1 oder 2a gemäß der europäischen Medizinprodukteverordnung, MDR) im Leistungskatalog der GKV geführt. Der Vorteil aus Sicht von Patientinnen und Patienten ist somit: Die Anwendungen können (analog zu Medikamenten) von ärztlichem Personal verschrieben werden und die anfallenden Kosten werden vollständig von den gesetzlichen Krankenkassen übernommen. Zur besseren Übersicht lassen sich alle verschreibbaren Apps auch im sogenannten DiGA-Verzeichnis einsehen, das online auf der Seite des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) zu finden ist.
Ein zentraler Unterschied zwischen Digitalen Gesundheitsanwendungen, die als Medizinprodukt eingestuft werden, und einfachen Gesundheits- oder Wellness-Apps ist der evidenzbasierte Anspruch, den das BfArM an DiGA stellt. Hersteller einer DiGA müssen innheralb von 12 Monaten nach vorläufiger Zulassung Ihrer App mit Hilfe von Studien und belegbaren Daten nachweisen, dass Ihre App einen sogenannten "positiven Versorgungseffekt" und damit einen messbaren Mehrwert für die Patientengesundheit und/oder das Gesundheitswesen als Ganzes bewirkt. Wahlweise besitzen DiGA also einen klaren medizinischen Nutzen oder sie bewirken messbare patientenrelevante Verfahrens- und Strukturverbesserungen
Der Fast-Track-Zulassungsprozess
Der Weg für Hersteller in das DiGA-Verzeichnis des BfArM als geprüfte und erstattungsfähige Anwendung ist an das erfolgreiche Durchlaufen des sogenannten „Fast-Track“-Verfahrens gekoppelt. Hersteller stellen hierfür einen Antrag, in dem sie Auskunft über die Erfüllung diverser DiGA-Anforderungen geben müssen. Neben Angaben zu möglicherweise bereits nachgewiesenen positiven Versorgungseffekten zählen hierzu sowohl Anforderungen an Sicherheit, Funktionstauglichkeit und Qualität, aber auch an Interoperabilität, Datenschutz und Informationssicherheit.
Gerade Datenschutz und Informationssicherheit nehmen bei der Zulassung einer DiGA viel Raum ein (DiGA-Verordnung Anlage I und II) und ihre umfassende Einhaltung ("by design" und "by default") entscheiden maßgeblich über den langfristigen Erfolg oder auch Misserfolg einer DiGA. Die Akzeptanz einer DiGA durch Patientinnen und Patienten steht und fällt aufgrund der oftmals hochsensiblen personenbezogenen Daten i.S.v. Art. 9 DSGVO schließlich mit dem Vertrauen der Betroffenen in die "Verschwiegenheit" der Applikation. Der Grund hierfür ist einfach: DiGA übernehmen in Teilen Aufgaben, die bis dato ausschließlich von Menschen durchgeführt wurden und die Erwartungshaltung von Patientinnen und Patienten bzgl. der Vertraulichkeit Ihrer Daten wird somit von ärztlichem Personal nun auf die DiGA projiziert.
Adaptivität ist gefragt
Die Zulassung einer digitalen Gesundheitsanwendung ist ein komplexes und von vielen Herstellern oftmals unterschätztes Großprojekt, denn die notwendigerweise involvierten Personen und Abteilungen reichen von Datenschutz- und Informationssicherheitsbeauftragten über Software-Programmierer und UX-Tester bis hin zu Cloud-Anbietern, Anwälten und Projektmanagern. Aufgrund der starken Software-Komponente eines solchen Projektes ist es außerdem unabdingbar, sich mit agilen Strukturen oder auch Projektmanagementmethoden wie Scrum, Kanban oder auch Design Thinking auseinanderzusetzen und die Iterationszyklen innerhalb des Projektes deutlich kürzer als im klassischen Projektmanagement zu halten.
Einbindung der SDG
Die Anlagen I und II der sogenannten DiGA-Verordnung (DiGAV) beinhalten insgesamt über 80 Punkte bzw. Aussagen zu datenschutzrechtlichen und sicherheitsrelevanten Fragestellungen, die alle bei Antragseinreichung beantwortet werden müssen. Die Themengebiete sind Datenschutzexperten bereits aus der DSGVO oder aus ISO-Richtlinien vertraut und behandeln gängige Prinzipien, Rechtsgrundlagen und Informationspflichten der DSGVO genauso wie Fragen zur Systemhärtung, Zugriffkontrolle und die Implementierung eines Managementsystems zur Informationssicherheit (ISMS).
Wichtige Punkte sind unter anderem:
- Ein ISMS nach BSI 200-2 oder alternativ nach ISO 27001 ist für eine DiGA-Zulassung ab dem 02.01.2022 verpflichtend!
- Die Zulassung einer DiGA sieht deutlich restriktivere Beschränkungen im Bereich des Datenschutzes vor, als es der reine Blick auf die DSGVO vermuten lässt. Im Falle von Drittstaatentransfers ist die Anwendung der Art. 46 und 47 DSGVO (Standardvertragsklauseln und Binding Corporate Rules) beispielsweise vollkommen ausgeschlossen. Da für die USA seit Mitte 2020 auch kein Angemessenheitsbeschluss nach Art. 45 mehr vorliegt, dürfen personenbezogene Daten im Zusammenhang mit einer DiGA somit unter keinen Umständen mehr von dort ansässigen Unternehmen und deren EU-Tochterunternehmen verarbeitet werden.
- Da es sich bei Gesundheitsdaten um personenbezogene Daten einer besonders schützenswerten Kategorie gemäß Art. 9 DSGVO handelt, müssen Hersteller einer DiGA die mit der Verarbeitung dieser Daten einhergehenden Risiken unter Zuhilfenahme einer sogenannten Datenschutzfolgenabschätzung nach Art. 35 DSGVO analysieren, bewerten, mindern oder gar beseitigen.
Qualitätsmanagement, Risikomanagement, technische Machbarkeit und ein pragmatischer Blick auf den datenschutzrechtlicher Rahmen: Die Menge an zu berücksichtigenden Punkten ist umfangreich und kann überwältigend wirken. Hier helfen wir Ihnen mit interdisziplinärem Wissen zu Technik und Datenschutz und einem unverfälschten Blick von außen. Als externer Berater sind wir nicht „betriebsblind“ und können Ihnen durch die jahrelange Betreuung vieler Unternehmen aus verschiedenen Bereichen und Branchen ein äußerst breit gefächertes, praxistaugliches und genau auf Ihre Unternehmen angepasstes Fachwissen bieten, um die Zulassung Ihrer DiGA zu einer nachhaltigen Erfolgsgeschichte zu machen.