Digitale Gesundheitsanwendungen (DiGA)

Regulatorisches Umfeld

Software als Medizinprodukt

Der Markt für Apps mit medizinischen Inhalten und Funktionen boomt - gerade auch in Zeiten von COVID-19. Vielfach missachtet wird jedoch hierbei, dass jedenfalls solche Apps mit einer medizinischen Zweckbestimmung Medizinprodukte darstellen. Eine solche Klassifizierung als Medizinprodukt bringt jedoch eine ganze Reihe an Anforderungen für ein rechtskonformes Angebot solcher Apps mit sich.

Die Einstufung der Software als Medizinprodukt in Abgrenzung zu einer „bloßen“ Wellnessanwendung ist daher von erheblicher Bedeutung. Diese Abgrenzung liegt in der Verantwortung des Herstellers, welcher sie anhand der von ihm festgelegten Zweckbestimmung vornimmt. Zweckbestimmung bedeutet dabei nach § 3 Nr. 10 Medizinproduktegesetz die Verwendung, für die das Medizinprodukt in der Kennzeichnung, der Gebrauchsanweisung oder den Werbematerialien nach den Angaben des in Nummer 15 genannten Personenkreises bestimmt ist. Primär entscheidet also nicht die tatsächliche Funktionalität der App über ihre Klassifizierung als Medizinprodukt, sondern die kommunizierten Features und Anwendungsbereiche. Für eine Einstufung als Medizinprodukt muss die App gem. § 3 Nr. 1 MPG für mindestens einem der folgenden Zwecke bestimmt sein:

Bisher wurden Medizinprodukte in Europa primär durch die Richtlinie 93/42/EWG über Medizinprodukte (Medical Device Directive – MDD) reguliert, welche durch das Medizinproduktegesetz (MPG) in nationales Recht umgesetzt wurde. Zum 26. Mai 2020 sollte die MDD durch die Medizinprodukte-Verordnung (EU) 2017/745 (Medical Device Regulation - MDR)  im Wesentlichen ersetzt werden, doch durch die Auswirkungen der Covid19-Pandemie kam es zu einer Verschiebung auf den 26. Mai 2021. Durch diese wird es weitere Änderungen für Apps geben, da u.a. die Risikoklassifizierung für solche Softwareprodukte verschärft werden wird.

1. Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten,
2. Erkennung, Überwachung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen,
3. Untersuchung, Ersetzung oder Veränderung des anatomischen Aufbaus oder eines physiologischen Vorgangs,
4. Empfängnisregelung.

Klassifizierung von Medizinprodukten

Medizinprodukte werden zudem regulatorisch in vier Klassen eingeteilt, die von niedrigem bis hohem Risiko reichen: Klasse I, IIa, IIb und III. Die Zuordnung zu den einzelnen Klassen erfolgt dabei anhand ihrer Zweckbestimmung: Typische Beispiele für ein Medizinprodukt mit der niedrigen Risikoklasse I sind Fixierverbände oder Tupfer. Klasse IIa gilt für Medizinprodukte mit mäßigem Risiko, wie z.B. einige invasive Produkte oder Katheter. Produkte mit einem höheren Risiko fallen in die Klasse IIb, z.B. Implantate, chirurgisch-invasive Einwegprodukte und Produkte zur Empfängnisverhütung. Die Klasse III regelt Produkte mit hohem Risiko, wie z.B. implantierbare Herzklappen.

Die jeweilige Risikoklasse hat Auswirkungen auf die regulatorischen Anforderungen an das Medizinprodukt. So ist beispielsweise nur bei der Konformitätsbewertung von Klasse I Produkten keine Einbindung einer benannten Stelle (wie etwa DEKRA oder TÜV Süd) erforderlich. Eine höhere Risikoklassifizierung erfordert hingegen ein Konformitätsbewertungsverfahren bei einer solchen Stelle, da nur so ein CE-Kennzeichen erlangt werden kann.

Für die ursprüngliche Richtlinie hat die Europäische Kommission eine Reihe von Leitlinien zur Klassifizierung von Medizinprodukten herausgegeben, die erläutert, wie die Klassifizierung durchzuführen ist. Auch für die MDR existieren grundsätzlich entsprechende Dokumente, wenngleich noch nicht in vergleichbarem Umfang. 

Während im Anwendungsbereich der Medizinprodukterichtlinie Software in einem Großteil der Fälle mit der Duldung der Aufsichtsbehörden als Risikoklasse I klassifiziert werden konnte, sind die Anforderungen in der Medizinprodukteverordnung strenger geworden:  Nach Regel 11 des Anhangs VIII wird Software, die dazu bestimmt ist, Informationen bereitzustellen, die zur Entscheidungsfindung für diagnostische oder therapeutische Zwecke verwendet werden, im Allgemeinen in Klasse IIa eingestuft; dasselbe gilt für Software, die dazu bestimmt ist, physiologische Prozesse zu überwachen, es sei denn, spezifische Gefahren für die Gesundheit des Patienten erfordern eine höhere Einstufung. Weitere Vorgaben zur Klassifizierung von Software als Medizinprodukt ergeben sich aus den Leitlinien zur MDR und hier insbesondere aus dem Dokument „Guidance on Qualification an Classification of Software in Regulation (EU) 2017/745 – MDR and Regulation (EU) 2017/746 – IVD“ – leider nur in englischer Sprache verfügbar. Auch das Bundesinstitut für Arzneimittel und Medizinprodukte gibt eine umfassende Orientierungshilfe zu „Medical Apps“.

CE-Kennzeichnung

Sofern die App oder Software als Medizinprodukt einzustufen ist, ist eine CE-Kennzeichnung erforderlich, § 6 MPG. Mittels dieser erklärt der Hersteller bzw. Inverkehrbringer gemäß EU-Verordnung 765/2008, „dass das Produkt den geltenden Anforderungen genügt, die in den Harmonisierungsrechtsvorschriften der Gemeinschaft über ihre Anbringung festgelegt sind.“

Die Kennzeichnung ist dabei im eigenen Ermessen aufzubringen. Die Anforderungen ergeben sich aus der jeweiligen Klassifizierung nach MDD/MDR, welche sich aus dem spezifischen Nutzungsrisikos des Medizinprodukts ergibt: Bei Medizinprodukten mit einer höheren Risikoklassifizierung als Klasse I ist für das der Zertifizierung zugrundeliegende Konformitätsbewertungsverfahren eine benannte Stelle einzuschalten.

Folgen der fehlenden Einhaltung regulatorischer Vorgaben

Rechtlich kann die fehlende Einhaltung regulatorischer Vorgaben des Medizinprodukterechts schwerwiegende Folgen haben. Handelt es sich bei einer App beispielsweise um ein Medizinprodukt und wird dies nicht berücksichtigt, kann dies sogar als Straftat im Sine des § 41 Nr. 2 Medizinproduktegesetzes gewertet werden. Auch andere Verstöße gegen die genannten Vorschriften können als Ordnungswidrigkeit mit einem Bußgeld geahndet werden.

Darüber hinaus besteht das Risiko, dass Mitbewerber im Wege des Wettbewerbsrechts Verstöße gegen regulatorische Vorgaben geltend machen. Zwar ist regelmäßig zunächst eine Abmahnung erforderlich, allerdings drohen sodann auch einstweilige Verfügungen, die einen unmittelbaren Vertriebsstop bewirken können. Denkbar sind zudem Schadensersatzpflichten, die aus der fehlenden Einhaltung der regulatorischen Anforderung resultieren.

Datenschutz & IT-Sicherheit

Datenschutzrechtliche Anforderungen

Bei der Nutzung von Digitalen Gesundheitsanwendungen (DiGA) nimmt der Datenschutz naturgemäß eine sehr wichtige Rolle ein.

Für DiGA gelten daher – wie auch bei allen anderen digitalen Anwendungen und Apps, bei deren Nutzung personenbezogenen Daten verarbeitet werden – zunächst die allgemeinen datenschutzrechtlichen Rahmenbedingungen, also insbesondere die DSGVO, aber auch BDSG und die Datenschutzgesetze der Bundesländer. Daneben sind speziell für DiGA die Vorgaben der Digitale Gesundheitsanwendungen-Verordnung („DiGAV“) zu beachten. Diese Rechtsverordnung, die am 20. April 2020 erlassen wurde, konkretisiert und ergänzt die in der DSGVO festgelegten Anforderungen. So sind zum Beispiel alle für den Hersteller der DiGA tätige Personen auf Verschwiegenheit zu verpflichten (§ 4 Abs. 5 DiGAV). Die DiGAV beschränkt ferner die Verarbeitung personenbezogener Daten aufgrund einer Einwilligung i.S.v. Art. 9 Abs. 2 lit. a) DSGVO auf bestimmte Zwecke (§ 4 Abs. 2 DiGAV). In Anlage 1 der DiGAV werden auf Basis von § 4 Abs. 6 DiGAV zudem weitere konkrete Anforderungen für die Voraussetzung für eine Aufnahme im DiGA-Verzeichnis definiert und vom Hersteller der DiGA abgefragt. Zu den aus unserer Sicht wichtigsten Anforderungen im Einzelnen:

a) Rechtfertigung der Verarbeitung, Einwilligung

Gesundheitsdaten können vielfach nur mit Einwilligung verarbeitet werden. Für die Einwilligung gelten bei DiGA nach der DiGAV besonders strenge, gegenüber der DSGVO verschärfte Voraussetzungen. DiGA Daten dürfen auf Grund einer Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO nur zu den in § 4 Abs. 2 DiGAV abschließend genannten Zwecken verarbeitet werden. Diese sind:

• Nr. 1 - bestimmungsgemäßer Gebrauch der DiGA durch die Nutzer.
• Nr. 2 - Nachweis positiver Versorgungseffekte im Rahmen einer Erprobung nach § 139e Abs. 4 SGB V.
• Nr. 3 - Nachweisführung bei Vereinbarungen nach § 134 Abs.1 Satz 3 SGB V.
• Nr. 4 - Dauerhafte Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der DiGA. 

Die DiGAV beschränkt jedoch nicht gesetzliche Erlaubnistatbestände zur Datenverarbeitung, die sich aus anderen Vorschriften außerhalb der DiGAV ergeben. Zum Beispiel dürfen - ausweislich des Leitfadens des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) für DiGA - Daten auch dann und ohne (ausdrückliche) Einwilligung verarbeitet werden, wenn andere Rechtsvorschriften dies erlauben oder anordnen (z.B. zu Zwecken der Abrechnung des DiGA-Herstellers gegenüber der Krankenkasse gemäß § 302 SGB V). Allerdings sind solche Erlaubnistatbestände im Bereich von Gesundheitsdaten für kommerzielle Anbieter beschränkt, so dass oft nur die Einwilligung unter den oben genannten verschärften Bedingungen bleibt. Die Verarbeitung zu Werbezwecken ist nach der DiGAV gänzlich ausgeschlossen.

Hersteller bzw. Betreiber von DiGA müssen genau prüfen, auf welche Rechtsgrundlagen Verarbeitungstätigkeiten im Zusammenhang mit der DiGA jeweils gestützt werden können und Hersteller müssen schon bei der Entwicklung einen entsprechenden Einwilligungsmechanismus im Hinblick auf die Vorgaben der DiGAV vorsehen und implementieren.

b) Datenverarbeitung außerhalb Deutschlands

Nach § 4 Abs. 3 DiGAV darf die Verarbeitung von personenbezogen Daten durch die DiGA selbst und bei Einschaltung von Auftragsverarbeitern (Art. 28 DSGVO) nur

• im Inland (Deutschland); oder
• in einem Mitgliedsstaat der EU oder in einem diesem nach § 35 Abs. 7 SGB I gleichgestellten Staat; oder
• in einem Staat erfolgen, für welchen ein Angemessenheitsbeschluss gem. Art. 45 DSGVO vorliegt.

Eine Verarbeitung von personenbezogenen Daten außerhalb der EU auf Basis von Art. 46 DSGVO (z.B. EU Standardvertragsklauseln) oder Art. 47 (Binding Corporate Rules) ist daher für DiGA nicht zulässig. Es erscheint allerdings fragwürdig, ob diese viele ausländische Anbieter de facto ausschließende, einschränkende Regelung mit den unionsrechtlichen Vorgaben der DSGVO und auch mit WTO Regeln vereinbar ist.

Die Verarbeitung der Daten außerhalb der EU auf Grundlage eines Angemessenheitsbeschluss der EU Kommission nach Art. 45 DSGVO (z.B. EU-US Privacy Shield) ist grundsätzlich möglich. Im Leitfaden des BfArM wird jedoch darauf hingewiesen, dass sofern externe Dienstleister (z.B. Cloud-Anbieter mit Sitz in den USA) unter dem EU-US Privacy Shield zertifiziert sind, weitere Vorgaben zu beachten sind. Es ist sicherzustellen, dass die Kontrolle des DiGA-Herstellers über die Datenverarbeitung durch den Cloud Provider abgesichert ist. Oftmals erhalten die AGB der Cloud-Anbieter jedoch Klauseln, die diese Kontrolle erschweren. Entsprechend ist eine genauere Analyse der konkreten Formen der Cloud-Nutzung und vertraglichen Regelungen erforderlich.

c) Anlage 1 DiGAV – Datenschutz Prüfkatalog

In Anlage 1 der DiGAV ist eine Art Self-Assessment Katalog für Hersteller der DiGA integriert worden. Der Hersteller muss in diesem Fragebogen 40 Aussagen zu der Erfüllung der Anforderungen zum Datenschutz nach § 4 DiGAV und den allgemeinen Anforderungen nach der DSGVO treffen. Es werden hierbei Fragen zur Einholung der Einwilligung, Einhaltung der Datenminimierung, Gewährleistung der Informationspflichten, aber auch zur technischem Umsetzung der DiGA (z.B. implementierte technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO) und Organisation des Herstellers hinsichtlich der Sicherstellung einer datenschutzkonformer Zusammenarbeit mit externen Dienstleistern bzw. Auftragsverarbeitern gestellt. Als mögliche Antworten sind „zutreffend“, „nicht zutreffend“ und „zulässige Begründung für ‚nicht zutreffend‘ “ jeweils vorgegeben. Der ausgefüllte Fragebogen ist bei Antragsstellung zur Prüfung der DiGA mit einzureichen und wird entsprechend als Grundlage der Prüfung der Anforderungen zum Datenschutz herangezogen.

Anforderungen an die Datensicherheit

Zusätzlich müssen die DiGA auch die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten. Der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit sämtlicher über eine DiGA verarbeiteten Daten muss sichergestellt werden.

Wie in Bezug auf den Datenschutz, werden auch für die Datensicherheit in Anlage 1 der DiGAV auf Basis von § 4 Abs. 6 DiGAV konkrete Anforderungen als Voraussetzung für eine Aufnahme ins DiGA-Verzeichnis definiert und vom Hersteller der DiGA abgefragt. Um den schnellen Release-Zyklen von DiGA gerecht zu werden, wird der Ansatz verfolgt, Informationssicherheit als einen im Unternehmen zu verankernden, sich in der ständigen Entwicklung befindenden Prozess anzusehen.

Kriterien zur Datensicherheit, die von den Herstellern beachtet werden müssen, sind in Anlage 1 (Checkliste „Datensicherheit“) in zwei Rubriken aufgeteilt:

• Basisanforderungen, die für alle DiGA gelten: Diese Basisanforderungen müssen von den DiGA ausnahmslos erfüllt werden oder aufgrund einer Nicht-Anwendbarkeit für bestimmte Arten von DiGA „nicht zutreffend“ sein. Damit wird das Ziel verfolgt, eine Reihe von Prozessen zu etablieren, um die Sicherheit als Prozess beim Hersteller zu verankern und seine ständige Entwicklung abzusichern.
• Zusatzanforderungen bei DiGA mit sehr hohem Schutzbedarf: Diese Anforderungen müssen zusätzlich zu den oben genannten Basisanforderungen nur von DiGA erfüllt werden, für die im Rahmen der geforderten Schutzbedarfsanalyse (Anforderung 2 in der Checkliste „Datensicherheit – Basisanforderungen, die für alle DiGA gelten“) aufgrund der Art der verarbeiteten Daten, der adressierten Versorgungsszenarien und/oder des Einsatzkontextes ein sehr hoher Schutzbedarf festgestellt wurde. Ein sehr hoher Schutzbedarf liegt gemäß der Definition des BSI-Standards 200-2 vor, wenn „die Schadensauswirkungen ein existenziell bedrohliches, katastrophales Ausmaß erreichen [können].“ In diesem Fall müssen solche zusätzlichen Anforderungen wie Verschlüsselung gespeicherter Daten, Durchführung der Penetrationstests sowie Authentisierung erfüllt werden. Es handelt sich um insgesamt neun zusätzliche Anforderungen im Bereich Verschlüsselung gespeicherter Daten, Durchführung der Penetrationstests, Authentisierung, Ergreifen der Maßnahmen gegen DoS und DDoS sowie Vorkehrungen im Zusammenhang mit eingebetteten Webservern.

Neben den oben genannten Anforderungen sollten die Hersteller ferner die vom BSI am 15.04.2020 veröffentlichten Sicherheitsanforderungen an DiGA (Technische Richtlinie BSI TR-03161) beachten. Diese Technische Richtlinie wendet sich an Hersteller von digitalen Gesundheitsanwendungen für mobile Endgeräte und soll als Leitfaden dienen, um Entwickler von mobilen Anwendungen im Gesundheitswesen bei der Erstellung sicherer mobiler Applikationen zu unterstützen.

Vertrieb

Werbung

Bei der Werbung für Apps bzw. Software die Medizinprodukte darstellen, sind ebenfalls Besonderheiten zu beachten. Neben den allgemeinen rechtlichen Anforderungen an Werbung, die etwa das Gesetz gegen unlauteren Wettbewerb (UWG) vorgibt, sind insbesondere die Vorgaben des Heilmittelwerberechts für Medizinprodukte zu beachten. Gem. § 3 HWG ist u.a. die irreführende Werbung generell unzulässig. Irreführend im spezifischen Kontext dieser Vorschrift ist die Bewerbung einer App, wenn etwa eine therapeutische Wirksamkeit ausgelobt wird, die die App nicht hat. Auch unrichtige oder andere zur Täuschung geeignete Angaben über die Beschaffenheit von Software oder über die Art und Weise der Verfahren von Behandlungen sind nach § 3 HWG verboten. Die Rechtsprechung zum HWG ist relativ stark ausdifferenziert und stellt grundsätzlich sehr hohe Anforderungen an solche Werbung und den gegebenenfalls erforderlichen Nachweis der Richtigkeit von Werbeaussagen.

Medical Apps in der Regelversorgung gesetzlichen Krankenversicherung

Grundsätzlich erfolgt die Einbindung von Medical Apps in die Versorgung der gesetzlichen Krankenversicherung in einem ersten Schritt über das sogenannte Hilfsmittelverzeichnis. Eine Leistung, die zulasten der gesetzlichen Krankenversicherung erstattungsfähig sein soll muss zunächst in das Hilfsmittelverzeichnis aufgenommen werden. Ein entsprechender Antrag ist beim GKV-Spitzenverband zu stellen.

Digitale Angebote, die in ärztliche oder psychotherapeutische Behandlung eingebettet sind, können darüber hinaus einerseits als so genannte „Neue Untersuchungs- und Behandlungsmethode“ über den Gemeinsamen Bundesausschuss in die Versorgung gesetzlich Versicherter aufgenommen werden oder als reguläre Versorgungsleistung über den Bewertungsausschuss in die Regelversorgung einbezogen. Die jeweiligen Verfahren können erfahrungsgemäß sehr zeitintensiv sein.

Vertrieb als DiGA – Digitale Gesundheitsanwendung

Seit Inkrafttreten des Digitale-Versorgungs-Gesetzes (DVG) am 19.Dezember 2019 existiert darüber hinaus ein weiterer Vertriebsweg für medizinische Apps. Unter dem Schlagwort „App auf Rezept“ können gesetzliche Krankenkassen ihre Versicherten nun mit so genannten „Digitalen Gesundheitsanwendungen – (DiGA)“ versorgen. Verordnet werden können diese DiGAs von Ärzten und Psychotherapeuten; der Bezug der Apps wird durch die gesetzlichen Krankenkassen erstattet.

Um verordnungsfähig zu sein, müssen DiGAs ein Prüfverfahren beim BfArM erfolgreich durchlaufen und sodann in ein noch zu schaffendes Verzeichnis digitaler Gesundheitsanwendungen (DiGA-Verzeichnis) überführt werden. Dieses Verfahren können nur solche Apps erfolgreich durchlaufen, die folgende Eigenschaften haben:

• Medizinprodukt der Risikoklasse I oder IIa (nach MDR oder, im Rahmen der Übergangsvorschriften, nach MDD)
• Die Hauptfunktion der DiGA beruht auf digitalen Technologien.
• Der medizinische Zweck wird wesentlich durch die digitale Hauptfunktion erreicht.
• Die DiGA unterstützt die Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder die Erkennung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen.
• Die DiGA wird vom Patienten oder von Leistungserbringer und Patient gemeinsam genutzt.

Das Bewertungsverfahren selbst – erste Anträge sollen Mitte Mai möglich sein – bewertet im Grundsatz die Frage, ob die Anforderungen an Sicherheit, Funktionsfähigkeit, Qualität, Datenschutz und Datensicherheit erfüllt sind und prüft sodann die so genannten „positiven Versorgungseffekte“. Hierbei geht es darum zu ermitteln, ob die App einen medizinizischen Nutzen hat und Verfahrens- sowie Strukturverbesserungen mit sich bringt. Nach einem erfolgreichen Durchlaufen dieser Prüfstufen folgt die Aufnahme in das vorläufige DiGA-Verzeichnis, an die sich eine Erprobungsphase anschließt. Ist die Erprobungsphase erfolgreich, kommt es zur endgültigen Aufnahme in das DiGA-Verzeichnis und entsprechenden Preisverhandlungen.

Bereits vor dem Start des offiziellen Bewertungsverfahrens haben einzelne gesetzliche Krankenkassen so genannte Open-House Modelle bekannt gemacht, die einen Vertragsschluss mit verschiedenen Anbietern medizinischer Apps zum Ziel haben. Ein Open-House Verfahren ist dabei eine vom Anwendungsbereich des Vergaberechts ausgenommene Methode, mit möglichst vielen Anbietern zu gleichen Vertragsbedingungen einen Vertrag über die Zur-Verfügung-Stellung der jeweiligen App abzuschließen. Der im Vertrag vorgegebene Preis gilt gleichermaßen für alle Vertragspartner und ersetzt die Preisverhandlung im DiGA Modell. Im konkreten Verfahren wurde in regulatorischer Hinsicht zunächst der Nachweis einer CE-Zertifizierung der Risikoklasse I gefordert. Alle Interessenten, die diese und weitere, insb. formale Anforderungen erfüllen, konnten dem Vertrag zu den dort vorgegebenen Bedingungen beitreten. In diesem Zusammenhang unterstützt die Krankenkasse den jeweiligen App-Anbieter beim Durchlaufen des Verfahrens beim BfArM.