Die Corona-Warn-App ist wohl die bekannteste digitale Anwendung im Gesundheitswesen, die TÜViT unter anderem auf Datenschutz und IT-Sicherheit geprüft hatte. Neben dieser frei verfügbaren App gibt es eine ganze Reihe Apps oder browserbasierte Anwendungen, die von einem Arzt oder Psychotherapeuten verschrieben werden können, die beispielsweise bei Tinnitus, Diabetes und Stress die Behandlung unterstützen.
Doch wem vertrauen Nutzerinnen und Nutzer ihre sensiblen Gesundheitsdaten an? Werden diese Daten datenschutzkonform verarbeitet oder sind sie mehr oder weniger offen gespeichert? Haben am Ende sogar Versicherer oder Dritte darauf Zugriff?
Tobias Mielke von TÜViT kann beruhigen: Von einem Arzt verschriebene Apps müssen strenge datenschutzrechtliche Anforderungen erfüllen. Zugriff haben beispielsweise nur die Patientin oder der Patient und der behandelnde Arzt, nach entsprechender Einwilligung. Vertraulichkeit, Integrität und Verfügbarkeit der Daten sind bei zertifizierten Anwendungen umfänglich gewährleistet.
Verschreibungspflichtige Apps müssen einen Prüf- und Genehmigungsprozess beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) erfolgreich durchlaufen, bevor sie in das Verzeichnis der sogenannten digitalen Gesundheitsanwendungen (DiGA) aufgenommen werden. Dieser Prüf- und Genehmigungsprozess, der mehrere Monate dauern kann, sieht auch so genannte Penetrationstests vor; das sind beispielsweise Hackerangriffe im Labor mit dem Ziel, Schwachstellen in der mobilen Anwendung zu finden, die dann behoben werden müssen. Derzeit gibt es ein paar Dutzend Apps, die in dem so genannten DiGA-Verzeichnis stehen, das alle in Deutschland geprüften und zugelassenen digitalen Gesundheitsanwendungen enthält. Mielke rechnet aber mit einem starken Anstieg der Anfragen nach einer entsprechenden Zertifizierung. Grund: Ab kommenden Jahr müssen alle zertifizierten Apps die Anforderungen an Datenschutz sowie Datensicherheitnachweisen. Liegt kein Nachweis vor, kann die App auch nicht mehr verschrieben werden.
Zusätzlich zu den erfolgreichen Penetrationstests muss der Anbieter einer verschreibungspflichtigen Gesundheits-App ebenfalls ab nächstem Jahr das Vorhandensein und die Wirksamkeit eines Informationssicherheitsmanagementsystems nachweisen – auch mit einem Zertifikat.
Derartige Prüfungen und das Erfüllen von Datenschutzregeln unterscheiden grundsätzlich verschreibungspflichtige von frei zugänglichen Apps. „Manche von ihnen sind beispielsweise echte Datensammler“, meint Mielke, „was sie aber für das, was sie tun sollen, vielfach gar nicht müssten.“ Zudem sei für die Anwender nicht klar, wie die Daten gespeichert und ob sie weiterverarbeitet oder gar weiterverkauft würden. Jede Anwenderin, jeder Anwender solle sich darüber im Klaren sein, dass persönliche Daten eine sehr harte Währung sind. „Gerade wenn es um Gesundheitsdaten geht wie Blutdruck, Gewicht, körperliche Fitness, Schlafrhythmus oder den aktuellen Medikamentionsplan.“
Schlimmer noch als die gezielte Weitergabe ist die unkontrollierte Veröffentlichung der Daten im Internet: Sind sie einmal öffentlich, bleiben sie öffentlich. Noch gravierender wäre der Fall, dass Daten manipuliert und so beispielsweise verkehrte Behandlungspläne erstellt würden.
Auch Wearables sammeln diese Daten, speichern oder übertragen sie, wie und wo genau ist meist nicht ganz klar. Auch für diese Anwendungen gebe es keine Prüfpflicht, „verboten sind derartige Prüfungen jedoch nicht“, so Mielke.