Nur noch ein paar Wochen, bis es in Deutschland offiziell „Apps auf Rezept“ geben soll. Das Problem: Bisher ist unklar, welche Anforderungen diese Apps, die ja sehr unterschiedlich sein werden, erfüllen müssen. Im Bundesgesundheitsministerium ist die so genannte DiGA-Verordnung nach §33a und §139e SGB V in Vorbereitung, die im Digitale-Versorgung-Gesetz angelegt ist und die die Bedingungen nennen soll, unter denen eine digitale Gesundheitsanwendung (DiGa) auf die Erstattungsliste des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) kommt. Gegenüber E-HEALTH-COM äußerte sich ein Ministeriumssprecher jetzt zuversichtlich, dass Anfang des Jahres ein Entwurf vorliegen wird: „Wir arbeiten mit Hochdruck daran.“
Anbieter stochern im Nebel, TK rudert zurück
Was mögliche Inhalte dieser Verordnung angeht, stochern DiGa-Anbieter bisher weitgehend im Nebel. Werden Kriterien für Nutzennachweise definiert, und wenn ja welche? Wird „nur“ eine Institution beauftragt, Kriterien zu entwickeln, und wenn ja welche? Wird die DiGa-Rechtsverordnungen auch Anforderungen an Datenschutz und Datensicherheit definieren? Wenn ja, wie detailliert? Antworten darauf gibt im Moment noch keiner. Dafür ist der Satz „Stell dir vor, es ist DiGa, und keiner geht hin“ ein Art Running Gag geworden. Hintergrund ist die Frage, ob die Anforderungen nicht so hoch oder so deutschlandspezifisch werden, dass es für Anbieter finanziell unattraktiv wird, sich um eine BfArM-Listung zu bemühen.
Die ganze Diskussion hat durch das sehr unglückliche Agieren von Techniker Krankenkasse und Ada Health noch Futter bekommen. Zur Erinnerung: Eine Recherche von ct und dem Security-Experten Mike Kuketz hatte eine Reihe von problematischen Übertragungs-Tools („Tracker“) identifiziert, die Ada nutzte, außerdem wurde die Datenschutzerklärung beanstandet. Ada hatte daraufhin unter anderem ein Update der App veröffentlich und die Datenschutzerklärung stark überarbeitet. Die TK wiederum wollte die Vorwürfe prüfen und ließ alle Verlinkungen zu TK-Angeboten in der Ada App entfernen.
Jetzt hat die Krankenkasse die Kooperation mit Ada „bis auf Weiteres“ ganz beendet. Eine offizielle Pressemeldung dazu gab es allerdings nicht, nur ein Kurzstatement, das auf Nachfrage übermittelt wird: „Wir haben einen IT-Sicherheitsdienstleister beauftragt, die Vorwürfe gegen Ada zu überprüfen. Dieser konnte den im Kuketz-Blog geschilderten Sachverhalt bis zum heutigen Datum nicht vollständig ausräumen.“ Was genau letztlich der Grund für die Beendigung der Kooperation war, an welcher Stelle die Nachbesserungen von Ada nicht als ausreichend erachtet wurden, dazu gibt es keine Angaben. Ob laufende Anfragen an die TK nach Informationsfreiheitsgesetz hier aufschlussreicher sein werden, darf man wohl bezweifeln.
Zeitschrift ct stellt eine Kriterienliste zur Diskussion
Kurz gesagt: Die Chance, den Kasus TK-Ada für eine transparente und vor allem öffentliche Diskussion darüber zu nutzen, welche Anforderungen wir in Deutschland an DiGas im Hinblick auf Datenschutz und Datensicherheit stellen wollen oder sollten und welche Arten der Datenübertragung an wen sinnvoll und gerechtfertigt oder problematisch bzw. indiskutabel sind, diese Chance wird gerade etwas vertan. Diskutieren will immerhin die Zeitschrift „ct“, die in ihrer Ausgabe 23/2019 ein Datenschutzsiegel für Medizin-Apps „Made in Germany“ ins Gespräch gebracht hat. Der Clou: Die Kollegen haben gleich eine Vorschlagliste mitgeliefert, mit zwanzig Anforderungen, die aus Sicht der Redaktion erfüllt sein sollten.
In dieser Liste taucht unter anderem ein explizites Opt-in für jede Form der Datenweitergabe auf, außerdem die Verpflichtung, keine Nutzerdaten gegenüber Kaufinteressenten und Käufern einer Firma ohne erneute Nutzereinwilligung offenzulegen, ein explizites Verbot von Werbe-IDs und Trackern von Drittfirmen sowie ein Verbot von Social Media Schnittstellen und hier insbesondere des Facebook SDK. Weitere Anforderungsvorschläge betreffen die Transparenz hinsichtlich Datenspeicherung und Ort der Datenablage, die Zugriffsprotokollierung und die Transparenz dieser Protokollierung. Außerdem gibt es einen ganzen Katalog an Anforderungen im Zusammenhang mit Forschung und Datenspende.
E-HEALTH-COM hat versucht, bei einschlägigen Verbänden eine Kommentierung der Vorschläge zu erhalten, bisher mit wenig Erfolg. „Privacy by design“ findet in dieser vagen Formulierung Unterstützung, sich viel weiter aus der Deckung wagen und vor allem konkretere Vorschläge machen will auf Anbieterseite offenbar niemand. Wie so oft in Deutschland wird lieber auf die Politik gewartet.
Weitere Informationen:
Online-Version des Artikels aus ct 23/2019 mit Vorschlägen für ein Datenschutzsiegel für Medizin-Apps „Made in Germany“
https://www.heise.de/ct/artikel/Die-Folgen-des-Ada-Datenschutzskandals-4567809.html
Auskunft TK-Pressestelle gegenüber Kuketz-Blog
https://www.kuketz-blog.de/techniker-krankenkasse-beendet-kooperation-mit-der-ada-health-gmbh/