Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) hat neue Prüfkriterien für die Anforderungen an den Datenschutz bei digitalen Gesundheitsanwendungen (DiGA) veröffentlicht. Sie werden künftig Grundlage für neue Zertifikate sein, mit denen Hersteller nachweisen, dass ihre Anwendungen datenschutzkonform sind. Diese umfassen die Anforderungen der DSGVO wie auch die erweiterten Anforderungen für digitale Anwendungen.
Seit rund zwei Jahren können digitale Gesundheitsanwendungen verschrieben und von den Krankenkassen erstattet werden. Damit Patient:innen solche Anwendungen sicher nutzen können, werden sie vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) u. a. auf Einhaltung der Datenschutzanforderungen geprüft. Wenn Mängel auffallen, müssen die Hersteller nachbessern. Mit der Ersten Verordnung zur Änderung der Digitale Gesundheitsanwendungen-Verordnung (1. DiGAVÄndV) und der Änderung des § 139e Fünftes Buch Sozialgesetzbuch (SGB V) wurden jetzt erweiterte Regelungen für eine noch intensivere Prüfung und die Grundlage eines Datenschutzzertifikats geschaffen.
Das BfArM ist europaweit eine der ersten Behörden, die ein Datenschutzzertifikat entwickeln. Die Zertifizierung erfolgt durch eine akkreditierte Stelle. Nach erfolgreicher Umsetzung, Prüfung und Auditierung wird das Zertifikat ausgestellt und dem BfArM vorgelegt, wenn DiGA-Hersteller die Aufnahmen ins DiGA-Verzeichnis beantragen.
In die Umsetzung der gesetzlichen Regelungen in konkrete Prüfkriterien waren auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingebunden. Im Rahmen des europäischen Abstimmungsprozesses können sich noch Änderungen der Prüfkriterien ergeben. Die Anforderungen werden perspektivisch auch im Bereich der digitalen Pflegeanwendungen (DiPA) Anwendung finden.
Insgesamt wurden bisher rund 150 DiGA-Anträge zur Prüfung beim BfArM eingereicht. Davon wurden 33 DiGA nach erfolgreicher Prüfung ins DiGA-Verzeichnis aufgenommen. Rund 10 Prozent der Anträge wurden vom BfArM negativ beschieden. Über 50 Prozent wurden von den Antragstellern selbst zurückgezogen, weil sich im Prüfungsverfahren zeigte, dass wesentliche Anforderungen nicht erfüllt werden und die Hersteller dies nicht im Zeitrahmen des Prüfverfahrens beheben konnten.
Die neuen Prüfkriterien: