Das Angebot und Die Nachfrage nach Wellness-, Lifestyle- und Gesundheits-Apps steigen stetig. Apps werden als Fitnessparameter genutzt, warten mit Gesundheitstipps auf, analysieren physiologische Daten oder berechnen die Dosierung von Medikamenten. Was den Wenigsten bewusst ist: Grundsätzlich können Software und Apps Medizinprodukte im rechtlichen Sinne sein. Wichtig ist, zwischen Medizinprodukten und Nicht-Medizinprodukten aus regulatorischer Sicht zu unterscheiden. Für die Entwicklung, Herstellung, das Inverkehrbringen und die Produktbeobachtung von Medizinprodukten und In-Vitro-Diagnostika (IVD) gelten ab 2020/2022 die besonderen Bestimmungen der europäischen Verordnungen: Medical Device Regulation (MDR) und In-vitro Diagnostic Device Regulation (IVDR).
Das verlangt die EU ab 2020
Die Verordnungen verlangen, dass Medizinprodukte und IVD bestimmten Anforderungen bezüglich ihrer Sicherheit und Leistungsfähigkeit entsprechen. National gilt künftig das Medizinprodukte-Durchführungsgesetz (MDG), das insbesondere Strafregelungen und Registrierpflichten für Medizinprodukte beinhaltet. Aufgrund dieser Vorgaben müssen auch Medical Apps vom Hersteller einem Konformitätsbewertungsverfahren unterzogen und mit einem CE-Kennzeichen versehen werden. Dies sieht unter anderem vor, dass sie ein vollständiges Risiko-Management durchführen, innerhalb dessen die Risiken beurteilt werden müssen, die mit der Entwicklung, Konstruktion und Nutzung von Medical Apps einhergehen. Diese Prüfung schließt auch Cybersecurity- und Datenschutz-Risiken, wie etwa unbefugten Zugriff auf Gesundheitsdaten, ein.
Von der Wellness zur Gesundheits-App?
Faktisch ist der Übergang von einer reinen Wellness-App zur Gesundheits-App und damit einem "echten" Medizinprodukt im Sinne der rechtlichen Vorschriften oft fließend. Entscheidend ist, zu welchem Zweck ein Produkt laut Hersteller bestimmungsgemäß eingesetzt werden soll. Der Hersteller definiert dies in der Kennzeichnung und der Gebrauchsanweisung und kommuniziert es in den Werbematerialien. Erfüllt das Produkt einen diagnostischen oder therapeutischen Zweck, ist von einem Medizinprodukt auszugehen. Dazu zählen in erster Linie Die Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten, Diagnostik oder auch Empfängnisverhütung. Besteht die wesentliche Funktion der App in der reinen Datenspeicherung oder bereitet sie, ähnlich einem Lexikon, medizinisches Fachwissen auf, ist sie aller Regel kein Medizinprodukt.
Entwickler werden zu Medizinprodukteherstellern
Wichtig ist, dass ein Hersteller das Konformitätsbewertungsverfahren nach MDR nicht umgehen kann, indem er einen Medizinproduktecharakter seines Produktes abstreitet. Stellt sein Produkt funktional ein Medizinprodukt dar, sind die Regularien zu beachten. Softwareentwickler werden also, wenn sie eine App mit therapeutischer und/oder diagnostischer Zweckbestimmung entwickeln, zum Medizinproduktehersteller. Die App muss entsprechend MDR-compliant sein.
Unterhält der Hersteller, der die App unter eigenem Namen in Verkehr bringen möchte, eine Entwicklungskooperation mit einem Softwareentwickler, muss die zugrunde liegende Kooperationsvereinbarung präzise ausgearbeitet werden. Darin müssen das Entwicklungsziel, die Verantwortungsanteile und Haftungsfragen klar geregelt sein. Gleichzeitig ist es von entscheidender Bedeutung, Nutzungsrechte zu definieren, geistiges Eigentum zu sichern und datenschutzrechtlich relevante Anforderungen zu beachten.
Medical Apps und die Produkthaftung
Die Hersteller von Medizinprodukten sowie die Entwickler und Anbieter digitaler Lösungen beziehungsweise Medical Apps tragen gegenüber ihren Nutzern (produkt-)haftungsrechtliche Verantwortung. Das heißt, dass Medical Apps störungsfrei funktionieren müssen, so dass es nicht zu fehlerhaften Diagnosen oder Therapieempfehlungen kommen kann. Diese könnten für den Patienten fatal sein. Dosiert er ein Medikament nach einer Empfehlung durch eine fehlerhaft programmierte App falsch, besteht für ihn ein gesundheitliches Risiko. Gegenüber dem Patienten haftet immer der Hersteller der App auf Schadensersatz und Schmerzensgeld.
Auch ein Disclaimer, mit dem er sich gegenüber einem Nutzer vor der eigenen Haftung verwahrt, schützt davor nicht. Je nachdem, wie ein Kooperationsvertrag ausgestaltet ist, kann der Hersteller im Innenverhältnis den Entwickler in Regress nehmen.
Medical Apps und der Datenschutz
Neben der wichtigen Beurteilung, ob eine App im rechtlichen Sinne den Medizinprodukten zuzuordnen ist, kommt dem Datenschutz bei Gesundheits-Apps eine zentrale Bedeutung zu. Gesundheitsdaten gehören zu den sensibelsten Daten überhaupt. Gleichzeitig ist es gerade im Gesundheitsbereich unverzichtbar, auf die gesamte Wertschöpfungskette der Daten zugrückzugreifen. Wie also können App-Hersteller und -Betreiber die Verarbeitung besonders sensibler Datenkategorien in Einklang mit gesetzlichen und technischen Anforderungen bringen, um ihr Potenzial durch einen reibungslosen Datenfluss voll auszuschöpfen?
Regeln der DSGVO
Zwar ist der Hersteller an die strengen DSGVO-Vorgaben, beispielsweise bezüglich der Rechtsgrundlage oder der Transparenz- und Informationspflichten, gebunden, ihm bleibt jedoch ausreichend Spielraum für die technisch-innovative Ausgestaltung seiner unternehmerischen Entscheidungen. Der App-Anbieter muss die Risiken auf Grundlage einer Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO abschätzen, die im Health-Bereich stets zwingend durchgeführt werden muss. Sind mögliche Risiken identifiziert und bewertet, müssen nach Artikel 32 DSGVO risikoadäquate technische und organisatorische Maßnahmen (TOMs) nach Stand der Technik getroffen werden, um ein möglichst hohes Maß an Verarbeitungssicherheit zu erreichen. Doch wie setzt man Innovationstechniken datenschutzkonform ein?
Die technische Ausgestaltung sollte es dem Hersteller ermöglichen, die Kontrolle über die Daten des Endverbrauchers aufrecht zu erhalten und somit ein tragfähiges kommerzielles Produkt anzubieten. Der Datenfluss, an dem alle Akteure des Gesundheitsbereichs partizipieren können, muss dennoch durch risikospezifische TOMs nachweisbar sichergehalten werden.
Blockchain-Technik als Lösung?
Um genau diese Anforderungen zu erfüllen, bietet etwa das Berliner Startup MADANA einen Lösungsansatz an, der sich aus einer patentierten Kombination von drei technologischen Komponenten zusammensetzt. Die mit Blockchain-Technologie unterstützte Plattform ermöglicht es unterschiedlichen Akteuren der eHealth-Branche, datengetriebene Technologien entlang der gesamten Datenwertschöpfungskette datenschutzkonform einzusetzen. Besonders hervorzuheben sind die zahlreichen API-Schnittstellen, die die Kompatibilität der Plattform mit anderen Technologien gewährleisten.
Beim Umgang mit Gesundheitsdaten verbleiben erfahrungsgemäß auch bei DSGVO-konformen TOMs immer Restrisiken. Als Lösung für geeignete TOMs kann die Plattform auch diese Restrisiken eindämmen. So werden dem App-Anbieter unternehmensfreundliche TOM-Spezifizierungen und -Implementierungen unter Beachtung der Grundsätze des Datenschutzes durch Technik (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) angeboten. Eine Ebene des Vertrauens wird aufgrund der Herkunfts- und Sicherheitsdokumentation durch die Blockchain als gemeinsames Datennetzwerk aufgebaut. Die datenschutzsichere Plattform ermöglicht es den Teilnehmern, verschlüsselte Gesundheitsdaten gemeinsam zu nutzen und gleichzeitig den Datenschutz durch zertifizierte Technologie gemäß den DSGVO-Vorgaben zu wahren.
Die Datenhoheit selbst bleibt immer beim App-Nutzer, der aufgrund transparenter Informationen nach Artikel 12 ff. DSGVO seine Entscheidung treffen kann, ob er seine Daten durch Einwilligung anonym monetarisieren will. Darüber hinaus erstreckt sich der einmal gewährte Datenzugriff nicht auf das Kopieren oder Übertragen, wodurch die unkontrollierte Datenübermittlung ausgeschlossen wird.
Die berechtigten Teilnehmer können die MADANA-Plattform auch als Zugangspunkt für KI-Tool-Anbieter verwenden, um Analysen (auch über mehrere Industrien hinweg) durchzuführen und somit einzigartige Erkenntnisse zurückgeben. Somit könnten beispielweise Echtzeit-Informationen für nationale Ämter, medizinische Forschungsträger und Krankenkassen generiert werden, um die komplette Gesundheitsindustrie transparenter, fairer und vor allem effizienter zu gestalten. Das Zusammenspiel von KI und Blockchain bietet nicht nur im Hinblick auf Big Data Analytics eine neue Funktionalität für die Gesundheitsforschung. Die Kombination beider digitaler Tools ermöglicht auch einen effizienten Schadensregulierungsprozess.
Um lebensbedrohliche Vorkommnisse und Datenpannen zu vermeiden, müssen die DSGVO-Vorgaben eingehalten werden. Im Falle von Verstößen drohen hohe Bußgelder. Da viele DSGVO-Fragen noch ungeklärt sind und die Implementierung innovativer Technologien weitere Fragen aufwirft, sollten Hersteller bei der Entwicklung und dem Betrieb von Medical Apps umso sorgfältiger vorgehen.