Im Leitfaden für das Fast-Track Zulassungsverfahren einer DiGA definiert das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) eine Reihe von spezifischen Anforderungen für die erfolgreiche Zertifizierung des Medizinproduktes und der damit verbundenen Aufnahme in das DiGA-Verzeichnis. Diese Anforderungen beziehen sich vor allem auf Sicherheit und Funktionalität, Datenschutz und Informationssicherheit sowie Qualität und Interoperabilität.
Hierfür kann der Hersteller Checklisten aus den Anlagen 1 und 2 der Digitalen-Gesundheitsanwendungen-Verordnung (DiGAV) verwenden. Die Fragen in Anlage 1 befassen sich mit Anforderungen an Datenschutz und Datensicherheit. Der Schwerpunkt in Anlage 2 liegt hingegen auf den Anforderungen an Interoperabilität, Robustheit, Verbraucherschutz, Nutzerfreundlichkeit, Unterstützung von Leistungserbringenden, Qualität medizinischer Inhalte sowie der Patientensicherheit.
Im Rahmen der Antragstellung sind dem BfArM alle relevanten DiGA-Zugangsdaten kostenfrei zur Verfügung zu stellen. Wichtig ist, dass diese immer den aktuellen rechtlichen und technischen Anforderungen entsprechen. Das BfArM prüft die Richtigkeit dieser Angaben und kann ggf. zusätzliche Nachweise für einzelne Qualitätsmerkmale anfordern.
Erweisen sich die Angaben als unwahr oder nicht (mehr) aktuell, kann das BfArM Sanktionsmaßnahmen nach § 139e SGB V in Form der Streichung aus dem DiGA-Verzeichnis oder eines Zwangsgeldes verhängen. Darüber hinaus hat der Hersteller das BfArM über wesentliche Änderungen der DiGA zu informieren, insbesondere bei Änderungen, die den Datenschutz und die Informationssicherheit betreffen.
Sicherheit und Funktionstauglichkeit
Um die Anforderungen für eine CE-Kennzeichnung zu erfüllen, muss eine DiGA ein bestimmtes Maß an Sicherheit und Funktionsfähigkeit nachweisen können. Dazu muss der Hersteller im Rahmen des Antragsverfahrens nach dem SGB V einen Nachweis der Produktsicherheit und Funktionstauglichkeit erbringen. In der Regel wird dieser Nachweis durch die Konformitätsbescheinigung/EG-Bescheinigung der benannten Stelle oder die Konformitätserklärung des Herstellers erbracht. Das BfArM führt lediglich die Kontrolle der formalen Rechtmäßigkeit der CE-Kennzeichnung durch.
Datenschutz und Informationssicherheit
Auch der Datenschutz sowie die Informationssicherheit gehören zu den grundlegenden Anforderungen an eine DiGA und müssen bereits bei der Antragstellung berücksichtigt werden. Das BfArM legt jährlich im Einvernehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) jene Prüfkriterien fest, welche nach Datenschutzanforderungen nach § 139e Abs. 2 Satz 2 Nr. 2 SGB V für eine DiGA nachzuweisen sind.
Seit dem 01.04.2023 ist der Nachweis der Einhaltung der datenschutzrechtlichen Anforderungen durch den Hersteller durch Vorlage einer Bescheinigung nach Artikel 42 DSGVO zu erbringen (vgl.
§ 139e Abs. 11 SGB V).
Datenschutz-Anforderungen an eine DiGA gemäß Artikel 4 Absatz 2 Satz 1 und 2 DiGAV
Datenschutz-Anforderungen an eine DiGA gemäß Artikel 4 Absatz 2 Satz 1 und 2 DiGAV
Die Anforderung der Informationssicherheit beziehen sich auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller über eine DiGA verarbeiteten Daten. Die Kriterien der Informationssicherheit sind in der Anlage 1 zur DiGAV unter zwei Oberbegriffen „Grundanforderungen, für alle DiGA“ und „Zusatzanforderungen für DiGA mit sehr hohem Schutzbedarf“ zusammengefasst.
Alle Informationssicherheitsanforderungen der „Grundanforderungen“ müssen ausnahmslos erfüllt werden oder entfallen, da sie auf bestimmte Arten von DiGA nicht anwendbar sind. „Zusätzliche Anforderungen“ müssen nur dann erfüllt werden, für die abzudeckenden Versorgungsszenarien oder des Nutzungskontextes ein sehr hoher Schutzbedarf für die DiGA festgestellt wurde.
Informationssicherheits-Anforderungen an eine DiGA
Qualität
DiGA müssen verschiede Qualitätsanforderungen erfüllen, wobei die Interoperabilität einen zentralen Punkt darstellt. Diese sind in § 5 Abs. 2 bis 9 der DiGAV aufgeführt und müssen in dem vom Hersteller auszufüllenden Antrag auf Aufnahme in das DiGA-Verzeichnis angegeben werden.
Robustheit
DiGA müssen eine Nutzung frei von Störungen, Datenverlust, Übertragungsfehler sowie Schwierigkeiten bei der Verbindung mit Geräten gewährleisten, um eine Verfälschung der Datenbasis zu vermeiden. Der Hersteller hat technische Maßnahmen ergreifen, um DiGA gegen eine Störungsursache zu schützen bzw. diese so behandeln, dass kein Datenverlust oder keine Datenverfälschung auftritt.
Verbraucherschutz
Die besondere Lebens- und/oder Krankheitssituation des Nutzers oder der Nutzerin einer DiGA darf vom Hersteller nicht ausgenutzt werden. Daher muss der Hersteller dem Dienstanbieter und dem/der Nutzer:Innen Transparenz über den Verwendungszweck und die Leistungsmerkmale der DiGA verschaffen. Darüber hinaus muss der Hersteller eine aktuelle Kompatibilitätszusage für jede Hard- und Software, auf der für die DiGA unterhaltenen Webseite bereitstellen. Diese Anwendungswebseite ist auch Teil der einzureichenden Unterlagen für die Aufnehme in das DiGA-Verzeichnis.
In-App-Käufe
In-App-Käufe von Medizinprodukten, welche über den Umfang der erstattungsermäßigte DiGA hinausgehen, sind dem Hersteller gestattet. Die Mehrkosten müssen jedoch von den Versicherten selbst getragen werden. Sollte der Hersteller In-App-Käufe anbieten, müssen folgende Anforderungen aus Anlage 2 DiGAV beachte werden:
- In-App-Käufe dürfen nicht in DIGA beworben werden.
- Auf der Verkaufsplattform/Anwendungswebsite muss klar ersichtlich sein, welche Zusatzfunktionen zusätzlich zu welchem Preis erworben werden können.
- In-App-Käufe dürfen keine sich automatisch verlängernden Abonnements oder zeitlich begrenzte Sonderangebote sein.
- Es muss ausgeschlossen werden, dass ein In-App-Kauf versehentlich getätigt wird.
Werbung
§ 5 Absatz 4 DiGAV: Digitale Gesundheitsanwendungen müssen frei von Werbung sein.
Eine DiGA darf nicht als Webeträger genutzt werden. Sowohl die Eigenwerbung des Herstellers für eigene Produkte als auch die Fremdwerbung für Angebote Dritter ist verboten.
Nutzerfreundlichkeit
Die Nutzung von DiGA muss für die jeweilige Zielgruppe intuitiv und leicht erlernbar sein. Vor allem bei der Umsetzung alternativer Lösungsansätze muss eine besonders hohe Benutzerfreundlichkeit gewährleistet sein. Es gelten die Richtlinien des Usability-Styleguides der jeweiligen Plattform, um eine vertraute Plattform für erfahrene Nutzer: Innen zu bieten. Im Rahmen von Fokusgruppentests müssen außerdem Nutzer, die keine Erfahrung im Umgang mit digitalen Medien haben, besonders berücksichtigt werden. Darüber hinaus muss die DiGA entweder Bedienhilfen für Menschen mit Behinderungen enthalten oder die von der Plattform angebotenen Bedienhilfen unterstützen.
Unterstützung der Leistungserbringenden:
DiGA können von Ärzten und Ärztinnen und anderen Leistungserbringern des Gesundheitswesens als zusätzliche Maßnahme zur Anwendung beim Patienten verwendet werden (Siehe Kapitel: Zusätzliche Anforderungen bei ausgewählten Bedingungen). In diesem Fall, muss der Hersteller Informationen, die die Rolle der Leistungserbringer im Gesamtkontext der Anwendung erläutern, bereitstellen. Darüber hinaus muss aufgeführt werden, welcher Nutzen mit der DiGA angestrebt wird, wie dieser erreicht werden soll und welche gesetzlichen Vorgaben zu beachten sind.
Qualität der medizinischen Inhalte
Die Umsetzung der DiGA und die dargestellten Inhalte müssen auf gesicherten medizinischen Wissen beruhen und anerkannten fachlichen Standards entsprechen. Die medizinisch-professionelle Grundlage der DiGA muss aus zuverlässigen und offengelegten Quellen stammen.
Die den Patienten zur Verfügung gestellten Gesundheitsinformationen müssen stets aktuell und zielgruppengerecht sein. Dabei müssen die Informationen sorgfältig ausgewählt und so aufbereitet sein, dass sie den Patienten in ihrer aktuellen gesundheitlichen Situation entsprechen und sie nicht beeinflussen.
Patientensicherheit
Der Hersteller einer DiGA muss durch geeignete organisatorische und technische Maßnahmen sicherstellen, dass die mit der Nutzung der Anwendung verbundenen Risiken so gering wie möglich sind. Dazu gehört das frühzeitige Erkennen möglicher Gefahren ebenso wie die Sensibilisierung der Anwender. Nutzer müssen in der Lage sein zu erkennen, wann sie einen Arzt aufsuchen oder sogar die Anwendung einer DiGA abbrechen müssen.
Interoperabilität
Interoperabilität bezeichnet die Fähigkeit von technischen Systemen, auf technisch-syntaktischer, semantischer und organisatorischer Ebene zusammenzuarbeiten. Interoperabilität ist ein wesentliches Qualitätsmerkmal einer DiGA und fällt damit unter die Anforderung des § 139e Abs. 2 SGB V. Dies wird in den §§ 5 und 6 DiGAV und in der Anlage 2 zur DiGAV (Rubrik „Interoperabilität“) weiter spezifiziert.
Zusätzliche Anforderungen bei ausgewählten Bedingungen
DiGA können in der Praxis ein breites Spektrum von Anwendungen finden. Entsprechend dieser unterschiedlichen Anwendungsbereiche gibt es auch zusätzliche Anforderungen an eine DiGA. Die folgende Tabelle zeigt die spezifischen Anforderungen für eine DiGA, abhängig davon, ob sie mit Hardware, Dienstleistungen, optionalen Funktionen und für Präventionszwecke genutzt werden soll.