Zurück zur Übersicht

Wie DiGA Datenschutz umsetzen und wie sicher sie wirklich sind – ein Interview mit Nico Leschnik

Seit Oktober 2020 besteht für Behandelnde die Möglichkeit, digitale Gesundheitsanwendungen (DiGA) auf Rezept zu verordnen. Für viele Behandelnde stellt sich damit die Frage, wie sicher die Daten ihrer Patientinnen und Patienten sind, wer auf die Daten Zugriff hat und wie sich DiGA-Hersteller vor möglichen Sicherheitsrisiken schützen. Genau zu diesen Themen haben wir Nico Leschnik, Legal Counsel und Datenschutz- und Informationssicherheitsbeauftragter bei HelloBetter, befragt. Nico schlüsselt für uns auf, welche konkreten Maßnahmen HelloBetter für den Datenschutz anwendet und welchen rechtlichen Vorgaben DiGA-Hersteller unterliegen.

Viele Behandelnde stehen dem Thema Datenschutz bei DiGA noch sehr kritisch gegenüber. Wie konkret geht HelloBetter mit den Daten ihrer Teilnehmenden um? Können Behandelnde oder Krankenkassen die Daten der Teilnehmenden einsehen?

Nico Leschnik: Prinzipiell haben Dritte keinen Zugang zu personenbezogenen Daten und Gesundheitsdaten von Teilnehmenden. Das schließt sowohl die Krankenkassen als auch die Verschreibenden, das heißt Ärztinnen und Ärzte, Psychotherapeutinnen und Psychotherapeuten mit ein.

Den Krankenkassen liegt nur die Information vor, dass eine DiGA für eine bestimmte Indikation verschrieben wurde. Genaue Detaildaten erhalten die Krankenkassen nicht. Es bestehen auch ansonsten keine Zugriffsrechte.

Ähnlich verhält es sich mit Verschreibenden. Verschreibende dürfen auch nicht auf die DiGA und die darin enthaltenen Daten zugreifen. Allerdings haben die Teilnehmenden die Möglichkeit, innerhalb der DiGA einen Export der personenbezogenen Daten vornehmen zu lassen. Dafür stehen zwei Optionen zur Verfügung: Einerseits kann der Export in einer maschinenlesbaren Form vorgenommen werden, z. B. um die Daten in ein elektronisches Programm von Ärztinnen und Ärzten zu importieren. Andererseits gibt es die Möglichkeit eines menschenlesbaren Exports im PDF-Format, über welchen man sämtliche Daten einsehen kann. Die Entscheidung darüber, ob man diesen Export Verschreibenden zur Verfügung stellt, liegt einzig und allein bei dem Patienten oder der Patientin.

Ab 2023 werden DiGA-Hersteller übrigens gesetzlich verpflichtet sein, einen Datenexport direkt in die elektronische Patientenakte zu unterstützen. Dann können Patientinnen und Patienten mit einer elektronischen Patientenakte ihre Daten direkt dorthin übermitteln und diese dann elektronisch und verschlüsselt in Praxissysteme weiterleiten, sofern sie dies möchten.

Haben Mitarbeitende von HelloBetter Zugriff auf die Daten der Teilnehmenden? Und wenn ja, unterliegen diese der Schweigepflicht?

Nico Leschnik: Mitarbeitende von HelloBetter haben nur soweit es notwendig ist Zugriff auf die Daten der Teilnehmenden. Alle Teilnehmenden einer HelloBetter DiGA werden von ausgebildeten Psychologinnen und Psychologen unseres Teams begleitet. Diese haben im Rahmen dessen Zugriff auf die persönlichen Angaben innerhalb der DiGA, um individuelle Rückmeldungen geben zu können. Dabei besteht jedoch nur ein Zugriff auf die Daten der Personen, die von der Psychologin oder dem Psychologen persönlich begleitet werden. Auf die Daten der anderen Teilnehmenden kann nicht zugegriffen werden. Wir schränken den Zugriff also so weit wie möglich ein.

Alle Mitarbeitenden von HelloBetter werden auf die Einhaltung des Datenschutzes und der Informationssicherheit verpflichtet. Sollten Mitarbeitende in Kontakt mit Daten der Teilnehmenden kommen, unterliegen sie außerdem der gesetzlichen Schweigepflicht.

Können Behandelnde Kontakt zu den begleitenden Psychologinnen und Psychologen von HelloBetter aufnehmen?

Nico Leschnik: Behandelnde dürfen keinen Kontakt zu den Psychologinnen und Psychologen von HelloBetter aufnehmen und es werden auch keine Rückfragen beantwortet. Das individuelle Feedback der Psychologinnen und Psychologen ist im Datenexport enthalten und Teilnehmende dürfen selbst entscheiden, ob sie dieses Feedback zur Verfügung stellen möchten oder nicht. 

Um als DiGA anerkannt zu werden, müssen Hersteller ein Zulassungsverfahren des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) durchlaufen. Welche Anforderungen stellt das BfArM an den Datenschutz von DiGA?

Nico Leschnik: DiGA-Hersteller werden über die DiGA-Verordnung verpflichtet, einen umfangreichen Anforderungskatalog im Bereich des Datenschutzes und der Informationssicherheit zu erfüllen. Von insgesamt 120 Anforderungen des BfArM bezüglich der Zulassung von DiGA betreffen 80 den Datenschutz und die Informationssicherheit. Eine dieser Anforderungen besteht beispielsweise darin, dass Hersteller verpflichtet sind, ein Informationssicherheitsmanagementsystem, kurz ISMS, umzusetzen. HelloBetter weist das durch die anerkannte Zertifizierung nach ISO 27001 nach. Diese ISO-Norm enthält 114 zusätzliche Maßnahmen zur Gewährleistung der Datensicherheit und wurde von einer unabhängigen und akkreditierten deutschen Zertifizierungsstelle geprüft. 

In diesem Jahr werden außerdem weitergehende Standards eingeführt, nach welchen sich die Hersteller nächstes Jahr zertifizieren lassen müssen. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, führt spezifische Vorgaben für DiGA-Hersteller ein. Die sich daraus ergebenden Maßnahmen müssen zukünftig jährlich von unabhängigen Stellen geprüft und zertifiziert werden. Außerdem ergeben sich dieses Jahr weitere datenschutzrechtliche Anforderungen, die vom Bundesdatenschutzbeauftragten in Zusammenarbeit mit dem BfArM erstellt werden und von DiGA-Herstellern erfüllt werden müssen. Auch diese Anforderungen müssen jährlich geprüft und zertifiziert werden. 

Ab nächstem Jahr müssen DiGA-Hersteller also 3 Zertifizierungen im Bereich Datenschutz und Informationssicherheit nachweisen: eine Zertifizierung für das ISMS, die Zertifizierung des BSI-Standards zur Informationssicherheit und die Zertifizierung des Datenschutzes. 

HelloBetter hat eine Kooperation mit ratiopharm im Rahmen der DiGA HelloBetter ratiopharm chronischer Schmerz. Wie sieht es dort aus? Kann ratiopharm auf die Daten der Teilnehmenden zugreifen?

Nico Leschnik: Nein, das ist nicht möglich. Zum Hintergrund: Die Kooperation mit ratiopharm entstand durch die Suche nach einem Partner mit Expertise und langjähriger Erfahrung in der Arbeit mit Fibromyalgie-Patientinnen und -Patienten. Die Kooperation konzentriert sich darauf, einen flächendeckenden Zugang zur leitliniengerechten multimodalen Schmerztherapie zu ermöglichen. Die Mitarbeiterinnen und Mitarbeiter von ratiopharm haben keinen Zugriff auf die Systeme von HelloBetter, auf die DiGA oder auf Gesundheitsdaten. Die Psychologinnen und Psychologen, die Teilnehmende der DiGA HelloBetter ratiopharm chronischer Schmerz betreuen, sind ausschließlich interne Mitarbeiter und Mitarbeiterinnen von HelloBetter. 

Das Thema Cyberangriffe gewinnt zunehmend an Bedeutung. Wie schützt sich HelloBetter vor möglichen Angriffen?

Nico Leschnik: Zunächst einmal werden unsere DiGA hausintern von erfahrenen Fachkräften entwickelt. Außerdem sieht unsere Zertifizierung im Bereich der Informationssicherheit viele Maßnahmen vor. Die Zertifizierungen enthalten beispielsweise Maßnahmen für eine sichere Softwareentwicklung, aber auch Maßnahmen im Bereich der Personalsicherheit. Unsere Prozesse stellen zudem sicher, dass unser Quellcode durch ein mehrstufiges System läuft, um die Qualität zu gewährleisten. 

Wir setzen zudem nur Cloud-Anbieter ein, welche ausreichende Maßnahmen im Bereich der Informationssicherheit und des Datenschutzes erfüllen und diese durch anerkannte Zertifikate in diesen Bereichen nachweisen können.

Im Hinblick auf den Datenschutz ist auch die Frage nach dem Standort des Servers, der die Daten verarbeitet, häufig von Interesse. Wo stehen die Server, welche die Daten der Teilnehmenden von HelloBetter speichern und verarbeiten?

Nico Leschnik: Die Server stehen in Deutschland. 

Für Behandelnde gibt es klare Richtlinien, wie lange sie die Akten ihrer Patientinnen und Patienten aufheben und wann sie die Akten vernichten müssen. Wie sieht das bei DiGA aus? Wie lange werden die Daten gespeichert? Einige Teilnehmende möchten im Verlauf vielleicht nochmal die DiGA nutzen, können sie dann auf die alten Daten zurückgreifen?

Nico Leschnik: HelloBetter räumt allen DiGA-Nutzerinnen und -Nutzern die Möglichkeit ein, ein Jahr lang auf die DiGA und die darin gespeicherten Daten zuzugreifen. In der Regel ist die DiGA nach 3 Monaten abgeschlossen. Danach besteht also noch für 9 weitere Monate die Möglichkeit, auf die Daten zuzugreifen und diese zu exportieren und damit zu speichern. 

Teilnehmende haben außerdem die Möglichkeit, in den Einstellungen der DiGA sofort ihren eigenen Account zu löschen. Damit werden alle personenbezogenen Daten unverzüglich entfernt und sind nicht wiederherstellbar. 

Werden die Daten der Teilnehmenden genutzt, um personalisierte Werbung zu schalten?

Nico Leschnik: Nein, es ist gesetzlich verboten, innerhalb von DiGA Werbung anzuzeigen. 

Wo kann ich weitere Informationen zum Thema Datenschutz bei HelloBetter erhalten?

Nico Leschnik: Die Datenschutzerklärungen von HelloBetter, insbesondere für unsere DiGA, bieten umfassende Informationen zu unseren Datenverarbeitungen. Für weitere Fragen stehe ich als Datenschutzbeauftragter und Informationssicherheitsbeauftragter unter datenschutz@hellobetter.de zur Verfügung.

Nico, wir bedanken uns für das Gespräch und die Einblicke hinter die Kulissen von HelloBetter!

Artikel teilen:Share this:

Twitter Facebook LinkedIn
Autorin:
Juliane von Hagen Kinder- und Jugendlichenpsychotherapeutin
  • Hinweis zu inklusiver Sprache

    Unser Ziel bei HelloBetter ist es, alle Menschen einzubeziehen und allen Menschen die Möglichkeit zu geben, sich in unseren Inhalten wiederzufinden. Darum legen wir großen Wert auf eine inklusive Sprache. Wir nutzen weibliche, männliche und neutrale Formen und Formulierungen. Um eine möglichst bunte Vielfalt abzubilden, versuchen wir außerdem, in unserer Bildsprache eine große Diversität von Menschen zu zeigen.

    Damit Interessierte unsere Artikel möglichst leicht über die Internetsuche finden können, verzichten wir aus technischen Gründen derzeit noch auf die Nutzung von Satzzeichen einer geschlechtersensiblen Sprache – wie z. B. den Genderdoppelpunkt oder das Gendersternchen.

Unsere Artikel werden von Psycho­log­innen, Psycho­thera­peut­innen und Ärztinnen geschrieben und in einem mehrschrittigen Prozess geprüft. Wenn du mehr darüber erfahren willst, was uns beim Schreiben wichtig ist, dann lerne hier unser Autorenteam kennen.

HelloBetter CME Fortbildungen

Sie möchten mehr über DiGA erfahren oder sind noch auf der Suche nach interessanten Fortbildungen? HelloBetter lädt regelmäßig führende Experten für Fortbildungen ein und bietet die Möglichkeit, gemeinsam in den Austausch zu gehen. Erfahren Sie mehr zu unseren bevorstehenden CME-Fortbildungen und melden Sie sich kostenfrei an.

Zu den Fortbildungen

Fachnewsletter abonnieren

Erhalten Sie spannende Fachartikel und Neues aus dem Bereich E-Mental-Health direkt in Ihr Postfach!

Jetzt anmelden