Immer häufiger sehen wir uns mit der Frage konfrontiert, wem die Daten, welche im Rahmen einer DiGA verarbeitet werden, eigentlich gehören. Daran schließt sich immer auch die für Hersteller digitaler Gesundheitsanwendungen durchaus brisante Fragestellung an, wie mit den Daten des Nutzers umzugehen ist, wenn beispielsweise der Verordnungszeitraum der DiGA endet. Aus aktuellem Anlass möchten wir uns daher beiden Themen annehmen und ein Stück weit Klarheit schaffen.

Wem gehören die Daten?

Ganz gleich ob es sich um ein Lifestyle-Produkt oder eine Anwendung als softwarebasiertes Medizinprodukt handelt, sie alle haben eines gemeinsam – sie benötigen Daten, um die vom Hersteller gewünschten Effekte zu erzielen. Eine Schlaftagebuch-App benötigt beispielsweise Daten über die Dauer des Schlafes, um den Nutzer auf etwaige Muster in seinem Schlafverhalten aufmerksam zu machen. Eine Blutdruck-App benötigt beispielsweise aktuelle Blutdruckwerte des Nutzers, um diesen auf mögliche Gefährdungssituationen und richtige Verhaltensweisen hinzuweisen. Immer stehen Daten im Mittelpunkt, die als Input benötigt werden.

Wo Daten benötigt werden, müssen diese zunächst erhoben werden. Im digitalen Zeitalter kann dies auf unterschiedlichste Art und Weise erfolgen. Neben dem klassischen Weg der manuellen Eingabe der Daten, werden zunehmend auch Sensoren und Wearables eingesetzt, welche nicht zuletzt auch dem Nutzer selbst die Sammlung der benötigten Daten erleichtern. Die Anwendung selbst dient in diesem Fall als “Datenpool”, also als ein Ort, an welchem die Daten aus den verschiedenen Quellen zunächst zusammengetragen werden, um diese im nächsten Schritt nutzbar zu machen (z.B. für die Auswertung).

Stellt man nun die Frage, wem Daten im rechtlichen Sinne eigentlich “gehören”, so ist dies tatsächlich gar nicht so klar zu beantworten. Hintergrund hierfür ist, dass unser Recht den Begriff des “Dateneigentums” nicht kennt. Daten stellen insoweit keine eigentumsfähigen “Sachen” dar. Dennoch bleiben unsere Daten nicht ungeschützt. Abgleitet aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs.1 GG i.V.m. Art. 1 Abs.1 GG) steht jedem von uns das verfassungsmäßige Recht zu, über die Erhebung, Speicherung, Verwendung und Weitergabe unserer personenbezogenen Daten frei zu entscheiden. Gestützt wird dieses Recht unter anderem durch die Datenschutz-Grundverordnung (DSGVO) sowie durch flankierendes Datenschutzrecht (z.B. das Bundesdatenschutzgesetz, BDSG).

Im Ergebnis haben wir folglich kein unmittelbares Eigentum an unseren Daten (Dateneigentum). Wir haben jedoch nach wie vor die absolute Hoheit über unsere Daten inne. Allein die von der jeweiligen Verarbeitung betroffene Person entscheidet darüber, was mit ihren personenbezogenen Daten passieren soll und darf.

Was bedeutet das für die DiGA?

Im DiGA-Rahmen sehen wir uns nun mit einer besonderen Situation konfrontiert. Auf der einen Seite steht der Patient, der ein Medizinprodukt niedriger Risikoklasse dazu nutzen möchte, um von den mit dem Produkt verbundenen positiven Versorgungseffekten (z.B. Steigerung der Gesundheitskompetenz) zu profitieren. Auf der anderen Seite steht der Hersteller des betreffenden Produktes, welcher die Daten des Patienten benötigt, um die gewünschte Leistung bieten zu können. Zwischen dem Patienten und dem Hersteller steht schließlich das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), dessen berechtigte Aufgabe darin liegt, sicherzustellen, dass der Patient nur mit Produkten bester Qualität und Sicherheit in Berührung kommt – schließlich werden die Kosten für die DiGA auch von den Krankenversicherungen erstattet.

Letzteres führt dazu, dass sowohl die DiGA selbst als auch ihr Hersteller mit besonders hohen Anforderungen konfrontiert wird. Neben den Anforderungen der DiGAV sind spezifische Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI), spezifische Datenschutzanforderungen des BfArM und die Anforderungen der ISO/IEC 27001 (Informationssicherheit) umzusetzen. Dem vorgelagert muss das Produkt jedoch zunächst die nicht minder hohen Anforderungen der Medical Device Regulation (MDR) erfüllen, um sich überhaupt als DiGA qualifizieren zu können. Vor diesem Hintergrund ist es wichtig sich noch einmal deutlich zu machen, was eine DiGA überhaupt ist. Gemäß dem Wortlaut von § 33a Abs.1 SGB V handelt es sich bei einer DiGA um ein Medizinprodukt niedriger Risikoklasse – nicht mehr und nicht weniger. In der Diskussion neigt man jedoch oftmals dazu, die DiGA als eine Art “Medizinprodukt +” bzw. als eine Art “Mehr zum Medizinprodukt” zu betrachten. Diese Betrachtungsweise ist jedoch falsch und führt im Verständnis zum Umgang mit den im Rahmen der Anwendung verarbeiteten personenbezogenen Daten zu folgenschweren Fehlannahmen. Dabei wird nicht zuletzt der Patient, dessen Daten im Rahmen der Anwendung verarbeitet werden, massivst in seiner Datenhoheit beschränkt und verletzt.

Dreh- und Angelpunkt der Diskussion ist die Speicherdauer der Daten. Nach Ansicht des BfArM ist die Speicherdauer, der im Rahmen der Anwendung verarbeiteten Daten, untrennbar an den Verordnungszeitraum der DiGA gekoppelt. Rechtfertigen tut das BfArM diese Ansicht mit dem Wortlaut von § 4 Abs.2 Nr.1 DiGAV. So entfiele die Berechtigung zur Verarbeitung personenbezogener Daten im Rahmen der DiGA auf Grundlage der Einwilligung des Patienten dann, wenn die Verarbeitung nicht mehr dem bestimmungsgemäßen Gebrauch der DiGA durch den Nutzer diene. Dieser bestimmungsgemäße Gebrauch endet nach Auffassung des BfArM automatisch mit dem Auslaufen des Verordnungszeitraums, sofern keine erneute Verordnung der DiGA erfolgt. Diese Ansicht hätte jedoch auch zur Folge, dass die personenbezogenen Daten des Patienten unmittelbar nach Ende des Verordnungszeitraumes aufgrund des Wegfalls des Verarbeitungszwecks unmittelbar zu löschen sind.

Dies kann und darf nicht die abschließende Lösung sein, beschneidet sie doch den Patienten maßgeblich in seiner Datenhoheit. An dieser Stelle wird erneut verkannt, dass es sich bei der DiGA schlicht um ein Medizinprodukt handelt. Der bestimmungsgemäße Gebrauch des Produktes drückt sich insoweit allein in der Zweckbestimmung des Hersteller und dem klinischen Nutzen der Anwendung aus, über welchen der Hersteller im Kontext der klinischen Bewertung bereits vor der Antragstellung im Rahmen des DiGA-Verfahrens einen ausreichenden Nachweis geführt haben muss, um Konformität mit den Anforderungen der MDR herzustellen. Verlangt das BfArM nun, dass die Daten des Patienten nach Ablauf des Verordnungszeitraumes vom Hersteller gelöscht werden, wird der Patient in unverhältnismäßiger Weise in seinem Recht beschnitten, die Anwendung auch nach Auslaufen der Verordnung weiterhin zu nutzen oder die Nutzung zu einem späteren Zeitpunkt fortzusetzen.

Fazit

Was derzeit im DiGA-Verfahren als gelebte (Datenschutz-)Praxis betrachtet werden kann, verletzt unserer Ansicht nach den Nutzer maßgeblich in seiner verfassungsmäßig geschützten Datenhoheit. Wir plädieren mit Nachdruck dafür, allein dem Patienten die Hoheit über seine Daten und damit auch über die Entscheidung zur Löschung der Daten aus der DiGA zu überlassen.