Sächsischer Verband für Datenschutz und Datensicherheit e.V.

Wiener Straße 80a
01219 Dresden

Telefon: 0351 424 739-66
Telefax: 0351 424 739-60
http://svdd.de

LfDI Rheinland-Pfalz: Vorsicht bei Gesundheits-Apps

22. Oktober 2020

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Prof. Dr. Dieter Kugelmann, teilte mit, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen Anfang Oktober 2020 zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen (DiGA-Verzeichnis) aufgenommen hat.


Inzwischen ist bekannt geworden, dass bei einer der Apps, die zur Behandlung von Angsterkrankungen eingesetzt wird, gravierende Datenschutzmängel festgestellt wurden. So konnten Angreifer Angstpatienten als solche „enttarnen“ und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen. Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist nach Ansicht des LfDI beunruhigend. In der Vergangenheit wurden wiederholt Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt und fehlende datenschutzrechtliche Vereinbarkeit moniert. Das vom BfArM durchgeführte Zulassungsverfahren sei ggf. nicht tauglich, um die Datenschutzkonformität der aufgenommenen Apps zu gewährleisten.

Vorsicht bei Gesundheits-Apps – Schutz und Sicherheit von Patientendaten müssen höchste Priorität haben

Anfang Oktober 2020 hat das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die ersten beiden digitalen Anwendungen zugelassen und in das Verzeichnis für Digitale Gesundheitsanwendungen („DiGA-Verzeichnis“) aufgenommen.

Damit können die Kosten für diese Gesundheits-Apps, sofern sie ärztlich verschrieben wurden, von den gesetzlichen Krankenversicherungen übernommen werden. Voraussetzung für die Aufnahme in das DiGA-Verzeichnis ist unter anderem, dass die Anwendungen den Anforderungen an den Datenschutz entsprechen und die Datensicherheit nach dem Stand der Technik gewährleistet ist (§ 139 e Abs. 2 Satz 2 Nr. 2 SGB V). Inzwischen ist bekannt geworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt wird, IT-Sicherheitsexperten gravierende Datenschutz-Mängel festgestellt haben. So hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche "enttarnen" und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.

Der Stellvertretende Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Helmut Eiermann, erklärt: „Bei Gesundheits-Apps müssen Schutz und Sicherheit der Daten höchste Priorität haben. Die Geräte und die Software-Anwendungen sammeln hochsensible Daten, die genaue Einblicke in die persönliche Lebensführung zulassen. Aus diesen Gründen ist es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen. Die Nutzerinnen und Nutzer von Gesundheitsanwendungen müssen darauf vertrauen können, dass ihre Daten wirksam geschützt werden. Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist beunruhigend. Das zuständige Bundesgesundheitsministerium sollte daher Nachbesserungen am Zulassungsverfahren angehen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hatte in der Vergangenheit wiederholt gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt. Dabei kritisierte er insbesondere, dass lediglich aufgrund von Herstellerangaben Apps in das Verzeichnis aufgenommen werden, ohne dass deren datenschutzrechtliche Vereinbarkeit durch unabhängige Stellen geprüft werde.

Eiermann sagt: „Es wird deutlich, dass das vom BfArM durchgeführte Zulassungsverfahren nicht tauglich ist, um die Datenschutzkonformität der in das DiGA-Verzeichnis aufgenommenen Apps zu gewährleisten.“

Aus technischer Sicht sollten insbesondere folgende Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden: die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten), die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen, die beteiligten technischen Dienstleister sowie die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse). Hierbei reicht es nicht aus, sich allein auf Herstellerangaben zu verlassen.

(Quelle: Pressemitteilung des Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalzvom 22.10.2020, https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/vorsicht-bei-gesundheits-apps-schutz-und-sicherheit-von-patientendaten-muessen-hoechste-prioritaet-ha)

Quelle: https://svdd.de/mitteilung/LfDI_Rheinland-Pfalz%3A_Vorsicht_bei_Gesundheits-Apps

Sächsischer Verband für Datenschutz und Datensicherheit e.V.

Wiener Straße 80a
01219 Dresden

Telefon: 0351 424 739-66
Telefax: 0351 424 739-60


E-Mail:

Diese Website nutzt unter anderem Cookies, um die Website nutzerfreundlich zu gestalten.
Tracking-Dienste, wie z.B. Google Analytics werden bei uns nicht eingesetzt. Detaillierte Informationen zu den verwendeten Cookies und Technologien finden Sie im Datenschutzhinweis.