Zurück zur Übersicht
Für Ärztinnen Für Psychotherapeuten

Wie DiGA Datenschutz umsetzen und wie sicher sie wirklich sind – ein Interview mit Nico Leschnik

Juliane von Hagen · 7 Min. Lesezeit

Seit Oktober 2020 besteht für Behandelnde die Möglichkeit, digitale Gesundheitsanwendungen (DiGA) auf Rezept zu verordnen. Für viele Behandelnde stellt sich damit die Frage, wie sicher die Daten ihrer Patientinnen und Patienten sind, wer auf die Daten Zugriff hat und wie sich DiGA-Hersteller vor möglichen Sicherheitsrisiken schützen. Genau zu diesen Themen haben wir Nico Leschnik, General Counsel und Datenschutz- und Informationssicherheitsbeauftragter bei HelloBetter, befragt. Nico schlüsselt für uns auf, welche konkreten Maßnahmen HelloBetter für den Datenschutz anwendet und welchen rechtlichen Vorgaben DiGA-Hersteller unterliegen.

Foto von Nico Leschnik, der über Datenschutz bei DiGA spricht

Viele Behandelnde stehen dem Thema Datenschutz bei Digitalen Gesundheitsanwendungen (DiGA) noch sehr kritisch gegenüber. Wie konkret geht HelloBetter mit den Daten ihrer Teilnehmenden um? Können Behandelnde oder Krankenkassen die Daten der Teilnehmenden einsehen?

Nico Leschnik: Prinzipiell haben Dritte keinen Zugang zu personenbezogenen Daten und Gesundheitsdaten von Teilnehmenden. Das schließt sowohl die Krankenkassen als auch die Verschreibenden, das heißt Ärztinnen und Ärzte, Psychotherapeutinnen und Psychotherapeuten mit ein.

Den Krankenkassen liegt nur die Information vor, dass eine DiGA für eine bestimmte Indikation verschrieben wurde. Genaue Detaildaten erhalten die Krankenkassen nicht. Es bestehen auch ansonsten keine Zugriffsrechte.

Ähnlich verhält es sich mit Verschreibenden. Verschreibende dürfen auch nicht auf die DiGA und die darin enthaltenen Daten zugreifen. Allerdings haben die Teilnehmenden die Möglichkeit, innerhalb der DiGA einen Export der personenbezogenen Daten vornehmen zu lassen. Dafür stehen zwei Optionen zur Verfügung: Einerseits kann der Export in einer maschinenlesbaren Form vorgenommen werden, z. B. um die Daten in ein elektronisches Programm von Ärztinnen und Ärzten zu importieren. Andererseits gibt es die Möglichkeit eines menschenlesbaren Exports im PDF-Format, über welchen man sämtliche Daten einsehen kann. Die Entscheidung darüber, ob man diesen Export Verschreibenden zur Verfügung stellt, liegt einzig und allein bei dem Patienten oder der Patientin.

Haben Mitarbeitende von HelloBetter Zugriff auf die Daten der Teilnehmenden? Und wenn ja, unterliegen diese der Schweigepflicht?

Nico Leschnik: Mitarbeitende von HelloBetter haben nur soweit es notwendig ist Zugriff auf die Daten der Teilnehmenden. Alle Teilnehmenden einer HelloBetter DiGA werden von ausgebildeten Psychologinnen und Psychologen unseres Teams begleitet. Diese haben im Rahmen dessen Zugriff auf die persönlichen Angaben innerhalb der DiGA, um individuelle Rückmeldungen geben zu können. Dabei besteht jedoch nur ein Zugriff auf die Daten der Personen, die von der Psychologin oder dem Psychologen persönlich begleitet werden. Auf die Daten der anderen Teilnehmenden kann nicht zugegriffen werden. Wir schränken den Zugriff also so weit wie möglich ein.

Alle Mitarbeitenden von HelloBetter werden auf die Einhaltung des Datenschutzes und der Informationssicherheit verpflichtet. Sollten Mitarbeitende in Kontakt mit Daten der Teilnehmenden kommen, unterliegen sie außerdem der gesetzlichen Schweigepflicht.

Können Behandelnde Kontakt zu den begleitenden Psychologinnen und Psychologen von HelloBetter aufnehmen?

Nico Leschnik: Behandelnde dürfen keinen Kontakt zu den Psychologinnen und Psychologen von HelloBetter aufnehmen und es werden auch keine Rückfragen beantwortet. Das individuelle Feedback der Psychologinnen und Psychologen ist im Datenexport enthalten und Teilnehmende dürfen selbst entscheiden, ob sie dieses Feedback zur Verfügung stellen möchten oder nicht. 

Um als DiGA anerkannt zu werden, müssen Hersteller ein Zulassungsverfahren des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) durchlaufen. Welche Anforderungen stellt das BfArM an den Datenschutz von DiGA?

Nico Leschnik: DiGA-Hersteller werden über die DiGA-Verordnung verpflichtet, einen umfangreichen Anforderungskatalog im Bereich des Datenschutzes und der Informationssicherheit zu erfüllen. Von insgesamt 120 Anforderungen des BfArM bezüglich der Zulassung von DiGA betreffen 80 den Datenschutz und die Informationssicherheit. Eine dieser Anforderungen besteht beispielsweise darin, dass Hersteller verpflichtet sind, ein Informationssicherheitsmanagementsystem, kurz ISMS, umzusetzen. HelloBetter weist das durch die anerkannte Zertifizierung nach ISO 27001 nach. Diese ISO-Norm enthält 114 zusätzliche Maßnahmen zur Gewährleistung der Datensicherheit und wurde von einer unabhängigen und akkreditierten deutschen Zertifizierungsstelle geprüft. 

Bis 2025 werden außerdem weitergehende Standards eingeführt, nach welchen sich die Hersteller zertifizieren lassen müssen. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, führt weitere spezifische Vorgaben im Bereich der Datensicherheit für DiGA-Hersteller ein. Die sich daraus ergebenden Maßnahmen müssen zukünftig jährlich von unabhängigen Stellen geprüft und zertifiziert werden. Außerdem erstellt der Bundesdatenschutzbeauftragte in Zusammenarbeit mit dem BfArM aktuell eine spezielle Datenschutzzertifizierung für digitale Gesundheitsanwendungen nach den Vorgaben der DSGVO, welche dann zwingend von DiGA-Herstellern erfüllt werden müssen. Auch diese Anforderungen müssen jährlich geprüft und zertifiziert werden. 

Bereits jetzt übersteigt der Umfang der notwendigen Maßnahmen für Datenschutz und Datensicherheit die Anforderungen, die große Kliniken oder Krankenkassen selbst erbringen müssen. Bald müssen DiGA-Hersteller also noch zwei zusätzliche Zertifizierungen im Bereich Datenschutz und Informationssicherheit nachweisen, wodurch zukünftig eine standardisierte und regelmäßige Kontrolle aller Maßnahmen erreicht wird.

HelloBetter hat eine Kooperation mit ratiopharm im Rahmen der DiGA HelloBetter ratiopharm chronischer Schmerz. Wie sieht es dort aus? Kann ratiopharm auf die Daten der Teilnehmenden zugreifen?

Nico Leschnik: Nein, das ist nicht möglich. Zum Hintergrund: Die Kooperation mit ratiopharm entstand durch die Suche nach einem Partner mit Expertise und langjähriger Erfahrung in der Arbeit mit Fibromyalgie-Patientinnen und -Patienten. Die Kooperation konzentriert sich darauf, einen flächendeckenden Zugang zur leitliniengerechten multimodalen Schmerztherapie zu ermöglichen. Die Mitarbeiterinnen und Mitarbeiter von ratiopharm haben keinen Zugriff auf die Systeme von HelloBetter, auf die DiGA oder auf Gesundheitsdaten. Die Psychologinnen und Psychologen, die Teilnehmende der DiGA HelloBetter ratiopharm chronischer Schmerz betreuen, sind ausschließlich interne Mitarbeiter und Mitarbeiterinnen von HelloBetter. 

Das Thema Cyberangriffe gewinnt zunehmend an Bedeutung. Wie schützt sich HelloBetter vor möglichen Angriffen?

Nico Leschnik: Zunächst einmal werden unsere DiGA hausintern von erfahrenen Fachkräften entwickelt. Außerdem sieht unser Informationssicherheitsmanagementsystem viele Maßnahmen zur Absicherung unserer IT-Infrastruktur vor, beispielsweise Maßnahmen für eine sichere Softwareentwicklung, aber auch Maßnahmen im Bereich der Personalsicherheit. Unsere Prozesse stellen zudem sicher, dass unser Quellcode durch ein mehrstufiges System läuft, um dessen Qualität in Bezug auf die Datensicherheit zu gewährleisten. 

Wir setzen zudem nur Cloud-Anbieter ein, welche ausreichende Maßnahmen im Bereich der Informationssicherheit und des Datenschutzes erfüllen und diese durch anerkannte Zertifikate in diesen Bereichen nachweisen können.

Im Hinblick auf den Datenschutz ist auch die Frage nach dem Standort des Servers, der die Daten verarbeitet, häufig von Interesse. Wo stehen die Server, welche die Daten der Teilnehmenden von HelloBetter speichern und verarbeiten?

Nico Leschnik: Die Server stehen in Deutschland, bereitgestellt von der Open Telekom Cloud, welche von einem Tochterunternehmen der Deutschen Telekom AG betrieben wird. 

Für Behandelnde gibt es klare Richtlinien, wie lange sie die Akten ihrer Patientinnen und Patienten aufheben und wann sie die Akten vernichten müssen. Wie sieht das bei DiGA aus? Wie lange werden die Daten gespeichert? Einige Teilnehmende möchten im Verlauf vielleicht nochmal die DiGA nutzen, können sie dann auf die alten Daten zurückgreifen?

Nico Leschnik: Der Nutzungszeitraum für unsere DiGA endet drei Monate nach Registrierung. Sofern die Einwilligung zur Gewährleistung der Nutzerfreundlichkeit erteilt wurde, werden die Daten noch einen weiteren Monat gespeichert und danach automatisch gelöscht. Wer sich vorher die DiGA noch einmal verschreiben lässt, kann die Nutzung entsprechend fortsetzen und die Datenlöschung um den nächsten Nutzungszeitraum entsprechend aufschieben. Es besteht während der Nutzung die Möglichkeit, jederzeit die Daten über die Profileinstellungen zu exportieren und damit lokal auf dem eigenen Gerät speichern. 

Teilnehmende haben außerdem die Möglichkeit, in den Einstellungen der DiGA sofort ihren eigenen Account zu löschen. Damit werden alle personenbezogenen Daten unverzüglich entfernt und sind nicht wiederherstellbar. 

Werden die Daten der Teilnehmenden genutzt, um personalisierte Werbung zu schalten?

Nico Leschnik: Nein, es ist gesetzlich verboten, innerhalb von DiGA Werbung anzuzeigen. 

Wo kann ich weitere Informationen zum Thema Datenschutz bei HelloBetter erhalten?

Nico Leschnik: Die Datenschutzerklärungen von HelloBetter, insbesondere für unsere DiGA, bieten umfassende Informationen zu unseren Datenverarbeitungen. Für weitere Fragen stehe ich als Datenschutzbeauftragter und Informationssicherheitsbeauftragter unter datenschutz@hellobetter.de zur Verfügung.

Nico, wir bedanken uns für das Gespräch und die Einblicke hinter die Kulissen von HelloBetter!

Alle Informationen auf einen Blick finden Sie hier zum Download

FAQ zum Datenschutz

In unserer monatlichen Fachinformation erhalten Sie viele Informationen rund um Digitalisierung, DiGA und Fortbildungen. Melden Sie sich jetzt an!

ANMELDEN

Artikel teilen:Share this:

Twitter Facebook LinkedIn
Autorin:
Juliane von Hagen Kinder- und Jugendlichenpsychotherapeutin
  • Hinweis zu inklusiver Sprache

    Unser Ziel bei HelloBetter ist es, alle Menschen einzubeziehen und allen Menschen die Möglichkeit zu geben, sich in unseren Inhalten wiederzufinden. Darum legen wir großen Wert auf eine inklusive Sprache. Wir nutzen weibliche, männliche und neutrale Formen und Formulierungen. Um eine möglichst bunte Vielfalt abzubilden, versuchen wir außerdem, in unserer Bildsprache eine große Diversität von Menschen zu zeigen.

    Damit Interessierte unsere Artikel möglichst leicht über die Internetsuche finden können, verzichten wir aus technischen Gründen derzeit noch auf die Nutzung von Satzzeichen einer geschlechtersensiblen Sprache – wie z. B. den Genderdoppelpunkt oder das Gendersternchen.

Unsere Artikel werden von Psycho­log­innen, Psycho­thera­peut­innen und Ärztinnen geschrieben und in einem mehrschrittigen Prozess geprüft. Wenn du mehr darüber erfahren willst, was uns beim Schreiben wichtig ist, dann lerne hier unser Autorenteam kennen.

HelloBetter CME Fortbildungen

Sie möchten mehr über DiGA erfahren oder sind noch auf der Suche nach interessanten Fortbildungen? HelloBetter lädt regelmäßig führende Experten für Fortbildungen ein und bietet die Möglichkeit, gemeinsam in den Austausch zu gehen. Erfahren Sie mehr zu unseren bevorstehenden CME-Fortbildungen und melden Sie sich kostenfrei an.

Zu den Fortbildungen
Fachnewsletter abonnieren

Erhalten Sie interessante fachliche Artikel und neue Einblicke. Von interessanten Interviews, über aktuelle Forschungsergebnisse zu CME-Fortbildungen: Wir informieren Sie über neue Entwicklungen, die Sie nicht verpassen sollten.
Consent*

Fachnewsletter abonnieren

Erhalten Sie spannende Fachartikel und Neues aus dem Bereich E-Mental-Health direkt in Ihr Postfach!

Jetzt anmelden

Verwandte Themen