Die „App auf Rezept“ steht kurz vor dem Start: Bereits 25 Startups haben ihre Gesundheits-Apps beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) angemeldet. Weitere 71 haben sich bei der Behörde in Bonn beraten lassen. Das war beim Summit des Health Innovation Hub (HIH) zu erfahren, dem Think Tank des Bundesgesundheitsministerium für die Digitalisierung des Gesundheitswesens. Insgesamt haben 500 Startups Anfragen an das BfArM gerichtet, sagte ein Sprecher. In ein bis zwei Wochen solle die Liste mit den ersten Apps veröffentlicht werden, hieß es beim Summit am Mittwoch. In wenigen Wochen könnten erste Gesundheits-Apps auf dem Markt sein und von Ärzten verschrieben werden.

73 Millionen potenzielle Kunden

Das Digitale Versorgungsgesetz (DVG) gibt den juristischen Rahmen für die App auf Rezept vor. Es erlaubt Startups, von Ärzten verordnete oder pauschal genehmigte „Digitale Gesundheitsanwendungen“ (Diga), so die offizielle Bezeichnung der App auf Rezept, demnächst mit gesetzlichen Krankenkassen abzurechnen. Diese vertreten 73 Millionen Versicherte – ein gigantischer Markt für Startups. Eine Voraussetzung bleibt: Die Startups müssen den therapeutischen Nutzen ihrer App nachweisen, die sogenannte Evidenz. Denn Gebühren für Lifestyle-Apps werden nicht erstattet. Nur mit Evidenznachweis können Diga-Anbieter mit Erstattungen durch die Krankenkassen rechnen.

Für diesen Nachweis bleiben den Anbietern zwölf Monate Zeit. „Diga-Hersteller können unter Vorbehalt die ersten zwölf Monate zugelassen werden, um in dieser Zeit Evidenz zu sammeln. Sie starten die Preisverhandlungen mit dem Spitzenverband der Gesetzlichen Krankenkassen (GKV-SV) am Ende dieser ersten 12 Monate“, erläutert Henrik Matthies, General-Manager des HIH. Bereits jetzt können Anbieter innerhalb eines gewissen Rahmens vorläufige Preise für ihre Apps festlegen. „Diga-Hersteller, die bereits bei Antragsstellung Evidenz beibringen, starten Preisverhandlungen mit GKV-SV direkt, überspringen also die ersten zwölf Monate unter Vorbehalt“, sagt Matthies. Er erwartet erste Preisverhandlungen in ein bis zwei Monaten.

Zugriff von US-Sicherheitsbehörden

Doch nun droht den Startups ein Problem, wie Philipp Kircher, Jurist beim HIH, erläuterte: „Der Transfer personenbezogener Daten durch einen Diga-Hersteller in die USA ist nicht länger zulässig.“ Damit bezog er sich unter anderem auf ein Urteil des Europäischen Gerichtshofs (EUGH). Der hat nämlich am 16. Juli 2020 den Angemessenheitsbeschluss der EU-Kommission zum Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig erklärt (AZ C311/18), das den Datenaustausch zwischen den Staaten gemäß der Datenschutzgrundverordnung (DSGVO) regelte. Vereinfacht zusammengefasste Begründung: Der Schutz der personenbezogenen Daten aus Europa vor dem Zugriff durch US-Behörden sei nicht gewährleistet.

Dieses Urteil hat nach Kirchers Worten besondere Auswirkungen auf digitale Gesundheitsanwendungen. Denn für sie gilt die Diga-Verordnung des Bundesgesundheitsministeriums. Sie geht über die Anforderungen der DSGVO hinaus, verlangt für die Verarbeitung personenbezogener Gesundheitsdaten in Drittländern außerhalb der EU/EWR und der Schweiz zwingend einen Angemessenheitsbeschluss, wie Kircher erläuterte. Ferner gelten nach seinen Worten die Ausnahmeregeln der DSGVO (Art. 46, 47) für digitale Gesundheitsanwendungen nicht.

EU-Standard für Gesundheitsdaten

Amazon Web Services (AWS), Marktführer im weltweiten Cloud-Geschäft, beruhigt seine Kunden: Sie könnten den Dienst weiterhin verwenden und ihre Daten DSGVO-konform von Europa in die USA und andere Länder übertragen. „AWS-Kunden können sich auf die Standardvertragsklauseln verlassen“, schreibt Steve Schmidt, Chief Information Security Officer von AWS, in einem Blogbeitrag.

Diese Standardvertragsklauseln werden zwar vom EuGH-Urteil nicht infrage gestellt. Doch sie stehen auf tönernen Füßen, wie der Datenschutzbeauftragte des Landes Rheinland-Pfalz beschreibt. „Der EuGH hat jedoch klargestellt, dass die Verantwortlichen, die die Standardvertragsklauseln verwenden, ihren daraus erwachsenden Pflichten nachkommen müssen.“

Das bedeutet: Wollen die Daten-Exporteure die Vorschriften der DSGVO einhalten, müssen sie garantieren, dass personenbezogene Daten auch in den USA (oder einem anderen Drittland) nach EU-Standard geschützt werden. Können sie das nicht garantieren, verstoßen sie gegen die DSGVO. Das ist bekanntermaßen aber nur sehr eingeschränkt der Fall, weil US-Sicherheitsbehörden direkten Zugriff auf Daten der Telekommunikationsunternehmen haben (durch deren Kabel diese in die USA kommen).

Gesundheits-Startups bleibt also, wenn sie sicher gehen wollen, nur ein Cloud-Provider in Europa. Das Psychotherapie-Startup Selfapy etwa entschied sich für die Deutsche Telekom. Es gehörte zu den ersten in Deutschland, die sich um eine Diga beworben haben. „Innerhalb von zwei Wochen haben wir eine Eingangsbestätigung vom BfArM erhalten“, sagt Mitgründerin Farina Schurzfeld. „Wir rechnen damit, dass wir in den nächsten Wochen ins Diga-Verzeichnis aufgenommen werden.“ Dann können Ärzte psychologische Hilfe per App verschreiben – etwa zum Überbrücken der Wartezeit auf einen Therapieplatz.

