DiPA werden auch 2024 nicht verfügbar sein - Die Zulassungsanforderungen sind nicht erfüllbar
Am 14. Dezember hat Bundesgesundheitsminister Lauterbach eine Digitale Aufholjagd im Gesundheitswesen angekündigt. Anlass ist die gesetzliche Einführung der elektronischen Patientenakte durch den Deutschen Bundestag. Aufholbedarf besteht auch bei den Digitalen Pflege-Anwendungen (DiPA), deren gesetzliche Einführung 2022 beschlossen und für 2023 angekündigt war und inzwischen auf 2024 verschoben wurde. Grund sind erhöhte Zulassungsanforderungen.
Kurzer Rückblick
Am 29. September 2022 ist die "Verordnung zur Prüfung der Erstattungsfähigkeit digitaler Pflegeanwendungen nach dem Elften Buch Sozialgesetzbuch" (Digitale Pflegeanwendungen-Verordnung - DiPAV) in Kraft getreten. Am 4. November hat das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) einen 150 Seiten umfassenden Leitfaden dazu veröffentlicht, der Herstellern erläutert, was sie für eine Zulassung tun müssen, die Voraussetzung für die Kostenübernahme durch die Pflegekassen ist. Doch bis heute gibt es keinen Antrag auf Zulassung.
Auf der Web-Seite des Ministeriums zu digitalen Pflegeanwendungen ist heute zu lesen: „Zur Prüfung der Erstattungsfähigkeit digitaler Pflegeanwendungen und zur Aufnahme in ein sogenanntes DiPA-Verzeichnis wurde ein neues Verfahren geschaffen und beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelt. Mit der Aufnahme erster Anwendungen wird im Laufe des Jahres 2024 gerechnet.“ Doch auch das ist eher unwahrscheinlich. Denn zum 1. August 2024 hat das BfArM die Anforderungen an den Nachweis der Einhaltung der gesetzlichen Datenschutzanforderungen drastisch erhöht.Gesetzliche Vorgabe eines Sonderwegs: Bürokratieausbau statt -abbau
Mit einer Ergänzung des § 78a SGB XI über Digitale Pflegeanwendungen hat der Gesetzgeber 2021 für die Gewährleistung des Datenschutzes einen Sonderweg vorgegeben:
„Das Bundesinstitut für Arzneimittel und Medizinprodukte legt im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik erstmals bis zum 31. März 2022 und dann in der Regel jährlich die Prüfkriterien für die von Herstellern einer digitalen Pflegeanwendung nach Absatz 4 Satz 3 Nummer 2 nachzuweisende Erfüllung der Anforderungen an den Datenschutz fest.“
Das BfArM hat nicht nur diese Prüfkriterien entwickelt und erläutert, sondern für den Nachweis der Einhaltung ein Zertifikat über die Einhaltung dieser Kriterien von einer akkreditierten Prüfstelle als Voraussetzung für eine Zulassung bestimmt:„Gemäß dem Krankenhauspflegeentlastungsgesetz (KHPflEG) müssen Hersteller ab dem 01.08.2024 die Einhaltung des Datenschutzes über ein auf diesen Prüfkriterien beruhendes Zertifikat nachweisen.“
Warum keine analoge Regelung zur Zertifizierung für die technischen Verfahren zu Videosprechstunden?
Dass nach diesen Vorschriften eine eigene Bürokratie aufgebaut werden muss, wurde entweder nicht bedacht oder hat niemanden gestört. Notwendig war das nicht. Für die gesetzlich vorgeschriebene Zertifizierung von Dienstleistern für die Durchführung von Videosprechstunden werden bereits seit 2018 bestehende Zertifizierungsnormen und Strukturen genutzt. Der Gesetzgeber hat in § 365 SGB V lediglich vorgeschrieben, dass die „Kassenärztliche Bundesvereinigung mit dem Spitzenverband Bund der Krankenkassen im Benehmen mit der Gesellschaft für Telematik die Anforderungen an die technischen Verfahren zu Videosprechstunden, insbesondere Einzelheiten hinsichtlich der Qualität und der Sicherheit, und die Anforderungen an die technische Umsetzung“ vereinbart. Diese Vereinbarung beinhaltet konkrete Anforderungen und verlangt den Nachweis der Einhaltung durch eine Eigenerklärung sowie ein Zertifikat für die Informationstechniksicherheit und für den Datenschutz nach bestehenden Standards.
Vermutlich haben die Referenten im BMG gedacht, dass ein eigenes, bereichsspezifisches Verfahren immer besser ist und dass das nachgeordnete Bundesamt für Arzneimittel bei den zu erwartenden Anpassungen besser kooperieren wird, auch wenn es für dieses neue Aufgabengebiet keine Kompetenzen und Erfahrung nachweisen kann.
Zertifizierung durch akkreditierte Zertifizierungsstellen ist ein aufwendiger Prozess - auch für die Zertifizierungsstellen
Das bereichsspezifische Zertifizierungsverfahren soll auf Artikel 42 DSGVO basieren. Ein solches Verfahren beinhaltet mehrere Stufen und Rollen. Zunächst muss ein Hersteller oder Anbieter ein internes Datenschutzaudit zu den Anforderungen der DSGVO durchführen und einen Management Review erstellen. Darauf folgt ein externes Audit durch eine unabhängige qualifizierte Auditorin bzw. einen Auditor. Mit dem Prüfbericht kann dann das Zertifikat bei einer akkreditierten Zertifizierungsstelle beantragt werden. Diese Akkreditierungerfolgt bei der per Gesetz ermächtigten Deutschen Akkreditierungsstelle (DAkkS) und bei Zertifikaten zum Datenschutz zusätzlich durch die zuständige Aufsichtsbehörde. In einem Antrag auf Akkreditierung muss die Kompetenz der Auditoren und Zertifizierer sowie die Einhaltung von Normen zur Qualitätssicherung nachgewiesen werden. Dazu gehören neben den Prüfkriterien auch die Prüfmethoden, ein sogenanntes Konformitätsbewertungsprogramm (KBP).
Bis vor kurzem bestand das organisatorische Problem darin, dass es kein KBP für die BfArM-Kriterien gab und auch nicht zu erkennen war, dass jemand ein solches Programm entwickeln und die damit verbundenen Kosten tragen würde. Die datenschutz cert GmbH in Bremen, die bereits viele Anbieter für Videosprechstunden zertifiziert hat, hat auch ein DSGVO-konformes Zertifizierungsverfahren für Onlinedienstleistungen mit dem Namen ips (information privacy standard) entwickelt, das fast alle Akkreditierungsstufen durchlaufen hat, grundsätzlich auch für DiPAs geeignet ist und im Detail angepasst werden könnte. Eine Anfrage beim BfArM vom Januar 2023 auf Anerkennung wurde Anfang Dezember abgelehnt. Ich kenne die datenschutz cert, weil ich dort viele Jahre den Vorsitz im Ausschuss zur Sicherstellung der Unparteilichkeit hatte. Dieser prüft jährlich, ob die Auditierungs- und Zertifizierungsprozesse unabhängig und unparteilich durchgeführt werden. Dr. Irene Karper, bei datenschutz cert für den ips zuständig, teilt mir zu der Ablehnung mit:
„Das BfArM lehnt unseren DSGVO Standard ab und hat einen eigenen DSGVO Standard entwickelt, der derzeit bei der Deutschen Akkreditierungsstelle zur Anerkennung liegt. Danach können sich Zert´Stellen nach dem BfArM-Programm akkreditieren. … Wahrscheinlich werden wir uns in 2024 um eine Akkreditierung nach dem BfArM Standard bemühen. Vor 2025 findet da aber bestimmt keine Akkreditierung statt, denn das würde die DAkkS gar nicht schaffen. Die Frist des Gesetzgebers zum 01.08.2024 ist also nicht zu halten.“
Die entscheidende Hürde sind die Anforderungen selbst
Das klingt alles sehr kompliziert, und ist es auch, aber mittelfristig lösbar. Ein viel größeres Hindernis für die Zulassung von DiPAs sind die Inhalte der geforderten Nachweise. Neben dem DSGVO-Zertifikat sind vorzulegen
- eine ISO/IEC 27001 Zertifizierung oder IT Grundschutz für das ISMS des Herstellers,
- ein erfolgreicher Penetrationstest mit Quellcodeanalyse durch einen BSI zertifizierten Pentester,
- ein BSI Zertifikat, für das es aber aktuell weder ein Programm, noch eine (BSI)-Zertifizierungsstelle gibt.
Frau Karper schätzt: „Hochgeschlagen auf Euros müsste ein Hersteller einen sechsstelligen Betrag ausgeben – und das jedes Jahr.“ Denn die drei Jahre gültige Zertifizierung muss jährlich durch sogenannte Überwachungsverfahren wiederholt werden, um zu prüfen, ob die Voraussetzungen weiterhin erfüllt werden. Bei grundlegenden Änderungen der Technik oder dem Datenschutzmanagement ist auch eine unterjährige Re-Zertifizierung mit entsprechenden Kosten vorgeschrieben.
Es erscheint unwahrscheinlich, dass sich diese Investition für einen Hersteller jemals amortisieren wird. Den den Preis für eine DiPA kann der Hersteller nicht selbst auf Basis seiner Kosten festlegen, sondern muss mit dem Spitzenverband Bund der Pflegekassen im Einvernehmen mit der Bundesarbeitsgemeinschaft der überörtlichen Träger der Sozialhilfe und der Eingliederungshilfe innerhalb von drei Monaten nach dem Eintrag in das DiPA-Verzeichnis einen Vergütungsbetrag vereinbaren (§ 78a SGB XI). Dann hat er die Kosten für die Zertifizierung bereits bezahlt. Umgekehrt heißt das: Wenn er die Zertifizierung beantragt und die dafür aufgewendeten Kosten bezahlt, kann er nicht wissen, ob er nach der Zulassung einen kostendeckenden Preis vereinbaren kann. Wer lässt sich auf ein solches Risiko ein?
Die Übergangsregelung sollte als Dauerlösung dienen
Bis zum Inkraftreten der Zertifikatsregelung am 1. August 2024 gilt als Übergangslösung für die Zulassung von DiPA eine rechtsverbindliche Konformitätserklärung durch den Hersteller selbst, wie sie bereits für die Digitalen Gesundheitsanwendungen vorgeschrieben ist und praktiziert wird. Mit dem Antrag auf Zulassung reichen die Hersteller einen Fragebogen mit 40 Aussagen ein, in dem sie verbindlich erklären, die dort aufgelisteten Anforderungen zu erfüllen. Anstatt dieses durchaus übliche Verfahren dauerhaft auf die DiPA und DiGA anzuwenden, werden ab demselben Zeitpunkt auch für die Zulassung und für die Verlängerung der Zulassung von DiGA bereichsspezifische Zertifikate vorgeschrieben.
Zertifizierung kann Sicherheit vortäuschen
Über diese organisatorischen Probleme gerät die entscheidende Frage in den Hintergrund, nämlich welche zusätzliche Sicherheit die geforderte Zertifizierung tatsächlich bringt.
Dazu ein Beispiel für folgendes Prüfkriterium:
"Der Verantwortliche der digitalen Anwendung MUSS die nutzende Person in der Datenschutzerklärung zu der Anwendung darüber informieren, welche Daten zu welchen Zwecken im Kontext welcher Verarbeitungstätigkeiten an Dritte weitergegeben werden können. Diese Dritten MÜSSEN eindeutig identifiziert werden, sofern diese nicht erst zur Laufzeit der digitalen Anwendung durch die betroffene Person selbst bestimmt werden (z. B. im Fall einer Weitergabe von Daten an einen behandelnden Arzt)“.
Wenn man diese Anforderung ernst nimmt, geht es nicht nur um die Daten, die aus der Anwendung heraus weitergegeben werden, sondern auch um die Daten, die von dem benutzten Smartphone oder Tablet und von dem verwendeten Browser weitergegeben werden können, die man ggfs. über die Einstellungen steuern kann. Bei der Vielfalt mobiler Geräte, Betriebssysteme und Browser mit permanenten Updates, auf denen eine DiPA läuft, kann der Hersteller nicht wissen und vor allem nicht beeinflussen, welche Daten zu welchen Zwecken an wen weitergegeben werden können. Der Hersteller soll für etwas Verantwortung übernehmen, das die Nutzenden individuell bestimmen. Eine nicht erfüllbare Anforderung! Und umgekehrt gilt: Ein Zertifikat, das sich nur auf die Daten aus der Anwendung beschränkt, würde eine Sicherheit vortäuschen, die es so gar nicht gibt.
Dasselbe gilt für Penetrationstests auf der Serverseite gegenüber den Schwachstellen des Smartphones. Es lassen sich noch weitere Kriterien finden, die nur denSchein von Sicherheit und Schutz vermitteln. Zertifikate sollen Vertrauen und Gewissheit schaffen. Hier scheint eher das Gegenteil der Fall zu sein. Daher steht der hohe Aufwand für die Prüfungen auf der Herstellerseite angesichts der Lücken auf der Nutzerseite m.E. in keinem Verhältnis zu der tatsächlich erzielbaren Sicherheit und der Transparenz darüber.
Ausblick
Somit ist festzuhalten: Nicht jede Art von Zertifizierung schafft Vertrauen und Sicherheit. Bei den DiPA wurde ohne Grund ein bereichsspezifisches Verfahren gesetzlich vorgeschrieben, das die gewünschten digitalen Innovationen in der Pflege zumindest be-, wenn nicht verhindert. Daher wird diese Regelung vermutlich wieder geändert werden. Bei der elektronischen Patientenakte hat es ganze 20 Jahre von der Ankündigung bis zur gerade erfolgten gesetzlichen Regelung gedauert. Im Einsatz und mit den angeblich lebensrettenden Daten gefüllt ist sie damit noch nicht. Droht den DiPA ein ähnliches Schicksal?
Ansehen