Schattenblick → INFOPOOL → MEDIZIN → GESUNDHEITSWESEN


RECHT/664: Digitale Gesundheitsanwendungen - Sicherheitslücken bei DiGA-Gesundheits-Apps (Dr. Datenschutz)


"Dr. Datenschutz"-Fachbeitrag vom 21. Juni 2022

Sicherheitslücken bei DiGA-Gesundheits-Apps

von Dr. Datenschutz


Der jüngste Test des gemeinnützigen Hacker-Kollektivs "zerforschung" hat ergeben, dass es zumindest um zwei der Gesundheits-Apps, die als DiGA zur Verfügung stehen, datenschutztechnisch nicht gut bestellt ist bzw. war. Auch wenn die Sicherheitslücken nach Angaben der Unternehmen gleich geschlossen wurden, bleibt die Frage nach der Qualitätssicherung der DiGA-Gesundheits-Apps am Markt. Ein Überblick.


Die App auf Rezept

Die "App auf Rezept" - mit den "digitalen Gesundheitsanwendungen" - kurz DiGAs - in Deutschland als immerhin weltweit erstem Land bereits gelebte Praxis.

Was sind DiGAs?

Bei den DiGAs handelt es sich um Produkte [1], die z.B. dazu bestimmt sind, Erkrankungen zu erkennen oder zu lindern, die bei der Diagnosestellung unterstützen und die dabei maßgeblich auf digitaler Technologie beruhen. Es können entweder Apps oder auch browserbasierte Anwendungen sein, die entweder nur vom Patienten oder von Patient und Arzt gemeinsam genutzt werden. Für jede DiGA-App gilt, dass sie jeweils:

"...durch ihre Technologie einen "positiven Versorgungseffekt" für ihre individuelle Situation bieten muss."

Rechtliche Grundlagen der DiGAs

Rechtlich wurde die "App auf Rezept" mit dem Inkrafttreten des Digitale-Versorgung-Gesetzes (DVG) [2] am 19.12.2019 für PatientInnen in die Gesundheitsversorgung eingeführt (§ 33a und 139e SGB V) [3]. Mit der Errichtung des Verzeichnisses für digitale Gesundheitsanwendungen [4] am 06.10.2020 durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ging es dann tatsächlich los: Seitdem können Ärzte und Psychotherapeuten ihren Patienten DiGAs auf Rezept verschreiben [5], die dann von der Krankenkasse erstattet werden. Außerdem wird das Verfahren geregelt durch die "Digitale Gesundheitsanwendungen-Verordnung" (DiGAV [6]) und den Leitfaden des BfArM [7] (hier die jeweils aktualisierten Fassungen).

Zu verstehen sind die DiGAs als ein Baustein der Digitalisierungsstrategie der Bundesregierung und des Bundesgesundheitsministeriums.

Zulassungsverfahren der DiGAs

Doch eine Anwendung geht nicht ungeprüft als DiGA an den Start, sondern das BfArM prüft nach eigenen Angaben [8] "sämtliche Anforderungen, die dem Gesetzgeber als Voraussetzungen für die Kostenübernahme durch die gesetzlichen Krankenkassen wichtig waren". Das Verfahren wird als "Fast-Track"-Verfahren bezeichnet, da die Bewertungszeit für das Institut lediglich drei Monate nach Eingang des vollständigen Antrags beträgt. Dieses Verfahren soll es Start-Ups ermöglichen, DiGAs erfolgreich an den Markt zu bringen - zunächst einmal ein guter Gedanke, will man die Digitalisierung des Gesundheitswesens zügig vorantreiben.

Alle DiGAs, die das dafür vorgesehene Bewertungsverfahren beim BfArM erfolgreich durchlaufen haben, finden sich dann in dem öffentlichen DiGA-Verzeichnis [9] (§ 139e SGB V) wieder. Dieses soll [10] eine vertrauensvolle Nutzung von DiGA durch Patienten ermöglichen und den Beteiligten helfen, geeignete DiGA zu finden.

Das DiGA-Verzeichnis besitzt zurzeit 33 (bzw. nunmehr 31 [11]) Eintragungen, die für die Nutzer zur Wahl stehen.

So viel zur Theorie.


Test des Hacker-Kollektivs "zerforschung" deckt Sicherheitslücken auf

Nachdem bereits in der Vergangenheit Sicherheitslücken im Zusammenhang mit den DiGAs bekannt wurden, hat das ehrenamtliche Hackerkollektiv "zerforschung" am 16.06.2022 bekannt gegeben [12], dass die wenigen DiGA-Anwendungen, die sie sich angeschaut haben, einen "massiven Datenabfluss" hatten, insgesamt hätten sie Daten von mehr als 20.000 PatientInnen verloren.

Gefunden wurden folgende Lücken in den Apps "Novego" und "Cankado":

Novego (Preis: 249,00 Euro für 12 Wochen)

Die App "Novego" kann verschrieben werden zur Behandlung von Depressionen mittels kognitiver Verhaltenstherapie. In dieser App gab es laut des Kollektivs die von der DSGVO vorgesehene Möglichkeit des Herunterladens der eigenen Daten.

Die Hacker änderten nun jedoch einfach die Abfrage zu ihrer Nutzer-ID und konnten so ohne weitere Probleme das Datenarchiv einer anderen Person herunterladen. Die abrufbaren Daten enthielten u.a. Mailadressen, Username (häufig Vor- und Nachnamen) der Betroffenen sowie den Namen des konkreten Programms (z.B. "Burn-Out", "Depression" oder "Angststörung") das in der App absolviert wird.

Cankado (Preis: ca. 500 Euro für 12 Wochen)

Zudem wurde die App "Cankado" als App für Brustkrebs-PatientInnen untersucht, in die Erkrankte Beschwerden eingeben können und eine automatische Empfehlung bekommen, ob sie diese mit den Ärzten abklären sollen.

Hier registrierte sich der Hacker ohne Probleme über das entsprechende Anmeldeformular als Arzt einer beliebigen Klinik und legte einen Account an. Und auch hier gelang es ohne große Mühe, dem fiktiven Arzt kurzerhand Zugriff auf die Patientendaten aller Abteilungen zu ermöglichen. Die Liste der personenbezogenen Daten, auf die Zugriff bestand, war in dieser App noch umfangreicher, u.a. Name, Adresse, Mail-Adresse, Passwort im Klartext, Diagnose, Arztberichte, Tagebuchdaten etc..

Nach einem Interview mit einer der beteiligten HackerInnen [13] handelte es sich jeweils um Sicherheitslücken, die Personen mit ein wenig Fachkenntnissen einfach ausnutzen konnten. Die betroffenen Entwicklungsunternehmen versicherten in der Folge, die Sicherheitslücken umgehend geschlossen zu haben, die Apps sind weiter verfügbar.


Probleme mit den Anforderungen an IT-Sicherheit und Datenschutz in DiGA-Anwendungen

Und wir Datenschützer? Wir bekommen zunächst einmal spontan "Schnappatmung" angesichts der Masse der Betroffenen, nach Art. 9 Abs. 1 DSGVO [14] noch dazu besonders schutzwürdigen Gesundheitsdaten, die flächendeckend von diesen Sicherheitslücken betroffen sind und fragen uns, ob den Beteiligten die Sensibilität dieser Daten überhaupt bewusst ist und ob dem Datenschutz in dem ganzen Verfahren tatsächlich die notwendige höchste Priorität zukommt.

Wir machten uns auch schon Sorgen zum Thema [15] und wir ärgern uns jetzt, denn das Problem ist nicht neu und die vermeintliche Ursache sogar bekannt - erste Berichte [16] über mangelnden Datenschutz bei DiGA-Apps gab es gleich nach dem Start des DiGA-Verzeichnisses im Oktober 2020. Bereits zu diesem Zeitpunkt hatten Forscher in den bis dahin einzigen zwei DiGA-Apps Sicherheitslücken entdeckt. Und bereits damals war zu dem Zulassungsverfahren moniert worden, dass das BfArM zwar die Zulassungskriterien für die Aufnahme in das DiGA-Verzeichnis prüfe und auch mit der Prüfung von Datenschutz in Datensicherheit der Anwendung betraut sei, diese Prüftätigkeiten jedoch lediglich auf Plausibilität der Herstellerangaben zu Datenschutz und Datensicherheit beschränkt sei (s.o.).

Rechtliche Regelungen zu Prüfungen durch das BfArM

Und so ist es auch heute noch. Ausreichende Regelungen dürfte es - insbesondere mit der DiGAV - geben. So fordert § 4 Abs. 1 DiGAV:

"Digitale Gesundheitsanwendungen müssen die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten."

In den Anlagen 1 und 2 zur DiGAV sind dann umfangreiche Checklisten vorhanden, die die Anforderungen für die DiGA definieren und die mit der Antragstellung von dem Hersteller der App einzureichen sind. Diese Checklisten umfassen auch die Themenfelder "Datenschutz" und "IT-Sicherheit", siehe DiGA-Leitfaden [17] (S. 38 ff.).

Prüfungen des BfArM

Doch in dem DiGA-Leitfaden (S. 8) [18]wird zum Prüfverfahren bei dem BfArM auch ausgeführt:

"Kern des Verfahrens sind die Prüfung der Herstellerangaben zu den geforderten Produkteigenschaften - vom Datenschutz bis zur Benutzerfreundlichkeit - sowie die Prüfung eines durch den Hersteller beizubringenden Nachweises für die mit der DiGA realisierbaren positiven Versorgungseffekte."

Und an Formulierungen wie diesen zeigt sich, dass die durch das BfArM vorgesehenen Prüfungen tatsächlich immer noch eher theoretischer Natur sind, werden doch insbesondere die Angaben der Hersteller geprüft. Das kann nicht genügen!

Die entsprechende Prüfung des BfArM im Bereich Datenschutz und Datensicherheit läuft zurzeit wie folgt ab [19]:

1. Plausibilitätsprüfung der Angaben der Antragsteller zu den Anlagen 1 und 2 der DiGAV (auf Vollständigkeit der Unterlagen und Schlüssigkeit der Angaben),

2. inhaltliche Prüfung der Angaben der Checkliste mit Hilfe des zur Verfügung gestellten Zugangs zur Anwendung bzw. der eingereichten Unterlagen.

Praktische IT-technische Sicherheitsuntersuchungen der jeweiligen Anwendung sucht man indes vergebens. Das könnte im Übrigen ein Grund dafür sein, dass es anscheinend erst eine einzige App nicht durch die BfArM-Prüfung [20] geschafft hat.

Das muss sich ändern - jetzt!

Aus alledem zeigt sich:

1. Das derzeitige "Fast-Track-Verfahren" setzt auf das datenschutz- und IT-sicherheitstechnische Know-How bzw. schlichtweg auf das Verantwortungsgefühl der App-Anbieter für die Sensibilität der von ihnen verarbeiteten besonderen Kategorien personenbezogener Daten. Wie auch das Hackerkollektiv in seinem Bericht [21] betont, sind DiGA-App-Anbieter bereits heute in der Pflicht, ihre Apps z.B. nach dem Stand der Technik umzusetzen. Dieses System funktioniert aber augenscheinlich nicht, worauf Art und Umfang der offengelegten Lücken hindeuten. Das Verfahren muss zumindest dringend kurzfristig nachgezogen werden.

2. Der Gesetzgeber sieht an dieser Stelle nicht das BfArM in der Pflicht, IT-technische Sicherheitsuntersuchungen vorzunehmen. Diese Untersuchungen sind aber augenscheinlich ab der ersten Sekunde der Verfügbarkeit der Anwendung dringend erforderlich. DiGA-Apps dürfen erst am Markt sein, wenn feststeht, dass die Anforderungen zu Datenschutz und IT-Sicherheit tatsächlich und faktisch eingehalten sind.


Die gute Nachricht am Schluss: Änderungen sind geplant

Aber es soll besser werden: Aus § 7 Abs. 3 DiGAV [22] ergibt sich, dass bereits seit dem 01.04.2022 der Nachweis eines Informationssicherheitsmanagementsystem (ISMS) [23] gemäß ISO 27001 oder gemäß ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik) vorgelegt werden muss. Außerdem muss ab dem 01.01.2023 durch ein Zertifikat vom BSI nachgewiesen werden, dass die Anforderungen an die Datensicherheit erfüllt werden und ab dem 01.04.2023 dann auch, dass die Anforderungen an den Datenschutz erfüllt werden (siehe auch DiGA-Leitfaden [24] ab S. 39).

Und in der Zwischenzeit? Die Frage bleibt offen. Man kann leider unter den derzeitigen Umständen vor dem Einsatz von DiGA-Apps nur warnen, dies vor dem Hintergrund der unzureichenden Qualitätsprüfungen und hoffen, dass größere Schäden ausbleiben, etwa durch massenhafte Offenlegung solcher sensiblen Daten. Und man kann immer wieder darauf hinweisen, dass Datenschutz und IT-Sicherheit bei jeder neuen Verarbeitungstätigkeit von Anfang an sorgfältig mitgedacht werden müssen, um unnötige Risiken für die Nutzer auszuschließen, erst recht bei Anwendungen, die sensible Daten verarbeiten.


Über den Autor

Der Beitrag wurde von Dr. Datenschutz geschrieben. Die Mitarbeiter der intersoft consulting services AG, dies sind in der Regel Juristen mit IT-Kompetenz, veröffentlichen Beiträge unter diesem Pseudonym.


Fußnoten:

[1] https://diga.bfarm.de/de/diga-nutzer

[2] https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=%2F%2F%2A%5B%40attr_id=%27bgbl119s2562.pdf%27%5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl119s2562.pdf%27%5D__1655801632050

[3] https://www.bfarm.de/DE/Medizinprodukte/Aufgaben/DiGA/_node.html

[4] https://diga-api.bfarm.de/diga-vz/media/2016

[5] https://www.bundesgesundheitsministerium.de/digitale-versorgung-gesetz.html

[6] https://www.gesetze-im-internet.de/digav/DiGAV.pdf

[7] https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/diga_leitfaden.pdf;jsessionid=B1F05808AA3457FD333C6B13073E4542.intranet242?__blob=publicationFile

[8] https://diga.bfarm.de/de/diga-nutzer

[9] https://diga.bfarm.de/de/verzeichnis

[10] https://diga.bfarm.de/de/diga-nutzer

[11] https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/diga-zwei-apps-sind-gestrichen/

[12] https://zerforschung.org/

[13] https://www.apotheken-umschau.de/e-health/it-experten-finden-luecken-in-gesundheitsapps-876019.html

[14] https://dsgvo-gesetz.de/art-9-dsgvo/

[15] https://www.dr-datenschutz.de/apps-auf-rezept-werbung-verboten/

[16] https://netzpolitik.org/2020/diga-verzeichnis-erste-sicherheitsluecken-bei-digitalen-gesundheits-apps-entdeckt/

[17] https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/diga_leitfaden.html

[18] https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/diga_leitfaden.html

[19] https://fragdenstaat.de/anfrage/prufliste-zu-digitalen-gesundheitsanwendungen-nach-digitale-versorgung-gesetz/706597/anhang/ifg-bescheid_geschwaerzt.pdf

[20] https://fragdenstaat.de/anfrage/prufliste-zu-digitalen-gesundheitsanwendungen-nach-digitale-versorgung-gesetz/

[21] https://zerforschung.org/posts/datenabfluss-auf-rezept/

[22] https://www.gesetze-im-internet.de/digav/DiGAV.pdf

[23] https://www.dr-datenschutz.de/aufbau-eines-isms-grundsaetze-der-implementierung/

[24] https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/diga_leitfaden.pdf?__blob=publicationFile


URL des Originalartikels:
https://www.dr-datenschutz.de/sicherheitsluecken-bei-diga-gesundheits-apps/

*

Quelle:
"Dr. Datenschutz"-Fachbeitrag vom 21. Juni 2022
intersoft consulting services AG
Beim Strohhause 17, 20097 Hamburg
Telefon: +49 (0)40 / 79 02 35-0
E-Mail: info@intersoft-consulting.de
Internet: https://www.dr-datenschutz.de

veröffentlicht in der Online-Ausgabe des Schattenblick zum 2. Juli 2022

Zur Tagesausgabe / Zum Seitenanfang