Digitale Versorgung: Ärzte dürfen Apps verschreiben

Mitglieder gesetzlicher Krankenkassen können künftig einfacher digitale Gesundheitsleistungen nutzen. Der Bundestag beschloss am Donnerstag in Berlin mit den Stimmen von Union und SPD das Digitale-Versorgung-Gesetz, das unter anderem die Finanzierung von Gesundheits-Apps durch die Krankenkassen vorsieht. Darüber hinaus sollen Patienten Online-Sprechstunden einfacher nutzen können. Linke und Grüne stimmten gegen das Gesetz, FDP und AfD enthielten sich. Union und SPD stimmten zudem für eine zentrale Sammlung und Weitergabe von Patientendaten zu Forschungszwecken. Der Bundesdatenschutzbeauftragte Ulrich Kelber forderte in einer Stellungnahme vom Donnerstag (PDF) zahlreiche Nachbesserungen. Das Gesetz soll im Januar 2020 in Kraft treten.

An den Plänen von Bundesgesundheitsminister Jens Spahn (CDU) hatte es in den vergangenen Tagen viel Kritik geben. Nach Ansicht von Experten ging aus dem Gesetzentwurf nicht hervor, wie diese sensiblen Patientendaten sicher geschützt werden können. Neben Kelber hatte auch der Bundesrat Bedenken geäußert. Spahn verteidigte das Gesetz im Bundestag. "Gesundheitsdaten sind die sensibelsten Daten, die es gibt, deswegen braucht es Datenschutz und Datensicherheit auf höchstem Niveau", sagte der Minister.

Daten schon früher pseudonymisiert

Die Koalitionsfraktion haben den 100-seitigen Entwurf des Gesundheitsministeriums (PDF) noch einmal leicht überarbeitet. Dem Änderungsantrag zufolge (PDF) sollen die Krankenkassen die Daten nicht mehr direkt mit der Versichertennummer des Patienten an die Datensammelstelle übermitteln, sondern mit einem "Lieferpseudonym" versehen, "das eine kassenübergreifende eindeutige Identifizierung im Berichtszeitraum erlaubt". Der Begründung zufolge muss dem Versicherten unabhängig von seiner Kassenzugehörigkeit für einen Berichtszeitraum jeweils dasselbe Pseudonym zugeordnet werden.

Eine Vertrauensstelle soll diese Lieferpseudonyme dann in ein "periodenübergreifendes einheitliches Pseudonym" überführen. Aus diesem Pseudonym soll aber nicht auf das Lieferpseudonym oder die Identität des Versicherten geschlossen werden können.

Datenschutz soll kein "Totschlagargument" sein

Die Abgeordneten von CDU und CSU bezeichneten das Gesetz als "Meilenstein für die Digitalisierung des Gesundheitswesens". Es sei von "zentraler Bedeutung, die Diskussion chancen- und nicht nur risikogetrieben zu führen und den Datenschutz nicht als Totschlagargument zu missbrauchen". Für die SPD-Fraktion ist hingegen "sehr wichtig, einen konsequenten Datenschutz zu betreiben". Die FDP verwies hingegen auf "Schwierigkeiten beim Datenschutz". Nicht zuletzt deshalb sei die elektronische Patientenakte aus dem Gesetz herausgenommen worden. Es sei wichtig, dass die Patienten die Hoheit über ihre Daten behielten. Nach Ansicht der Linke-Fraktion ist die Bereitstellung von pseudonymisierten und personenbezogenen Einzeldatensätzen ohne Einwilligung der Dateneigentümer "nicht akzeptabel".

Für die Überprüfung der Gesundheits-Apps ist künftig das Bundesinstitut für Arzneimittel und Medizinprodukte zuständig. Das Institut soll ein "Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen" führen. Anbieter müssen dem Gesetz zufolge einen Antrag stellen und nachweisen, dass die digitale Gesundheitsanwendung den Anforderungen an Sicherheit, Funktionstauglichkeit und Qualität des Medizinproduktes sowie an den Datenschutz entspricht, die Datensicherheit nach dem Stand der Technik gewährleistet und positive Versorgungseffekte aufweist. Das Institut muss innerhalb von drei Monaten nach dem Antrag entscheiden.

Datenschutzprobleme bei Gesundheitsapps

Inwieweit das Bundesinstitut über die Expertise verfügt, den Datenschutz und die IT-Sicherheit der Apps zu prüfen, ist unklar. In der Vergangenheit waren bei mehreren Gesundheits-Apps gravierenden Sicherheitslücken und Datenschutzprobleme aufgetreten. So untersuchte der Sicherheitsforscher Martin Tschirsich mehrere Gesundheitsapps und fand zahlreiche Sicherheitslücken, unter anderem bei Vivy.

Erst vor wenigen Wochen fand der Sicherheitsforscher Mike Kuketz heraus, dass die App Ada gleich nach der Anmeldung medizinische Daten der Nutzer an Trackingdienste weiterleitet. Sowohl Vivy als auch Ada waren unter anderem vom TÜV auf Datensicherheit geprüft worden. Die Bundesregierung rechnet mit einem Personalaufwand von 350.000 Euro im Jahr für die Überprüfung der Apps.

Der Bundesrat hatte in seiner Stellungnahme "kritisch gesehen", dass das Bundesinstitut mit der Abnahme der Apps beauftragt werden soll. Stattdessen sollte nach Ansicht der Länderkammer "die Einrichtung einer unabhängigen Institution unter Einbeziehung der Selbstverwaltung" erwogen werden. Die Bundesregierung wies diesen Vorschlag zurück. Das Institut sei "aufgrund der Tätigkeit im Bereich des Medizinprodukterechts, der Vorbefassung mit dem Thema Medical Apps und der Expertise im Bereich der klinischen Prüfungen zur Durchführung der neuen fachlichen Aufgaben vorbereitet".