Vorsicht bei Gesundheits-Apps – Schutz und Sicherheit von Patientendaten müssen höchste Priorität haben

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 22.10.2020

Anfang Oktober 2020 hat das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen („DiGA-Verzeichnis“) aufgenommen.

Damit können die Kosten für diese Gesundheits-Apps, sofern sie ärztlich verschrieben wurden, von den gesetzlichen Krankenversicherungen übernommen werden. Voraussetzung für die Aufnahme in das DiGA-Verzeichnis ist unter anderem, dass die Anwendungen den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleistet ist (§ 139 e Abs. 2 Satz 2 Nr. 2 SGB V). Inzwischen ist bekannt geworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt wird, IT-Sicherheitsexperten gravierende Datenschutz-Mängel festgestellt haben. So hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche „enttarnen“ und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.

Der Stellvertretende Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Helmut Eiermann, erklärt: „Bei Gesundheits-Apps müssen Schutz und Sicherheit der Daten höchste Priorität haben. Die Geräte und die Software-Anwendungen sammeln hochsensible Daten, die genaue Einblicke in die persönliche Lebensführung zulassen. Aus diesen Gründen ist es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen. Die Nutzerinnen und Nutzer von Gesundheitsanwendungen müssen darauf vertrauen können, dass ihre Daten wirksam geschützt werden. Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist beunruhigend. Das zuständige Bundesgesundheitsministerium sollte daher Nachbesserungen am Zulassungsverfahren angehen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hatte in der Vergangenheit wiederholt gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt. Dabei kritisierte er insbesondere, dass lediglich aufgrund von Herstellerangaben Apps in das Verzeichnis aufgenommen werden, ohne dass deren datenschutzrechtliche Vereinbarkeit durch unabhängige Stellen geprüft werde.

Eiermann sagt: „Es wird deutlich, dass das vom BfArM durchgeführte Zulassungsverfahren nicht tauglich ist, um die Datenschutzkonformität der in das DiGA-Verzeichnis aufgenommenen Apps zu gewährleisten.“

Aus technischer Sicht sollten insbesondere folgende Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden: die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten), die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen, die beteiligten technischen Dienstleister sowie die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse). Hierbei reicht es nicht aus, sich allein auf Herstellerangaben zu verlassen.

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz können hier abgerufen werden.