Die Digitalisierung im Gesundheitswesen schreitet voran, egal ob in Forschung, Diagnostik, Therapie oder Rehabilitation. Kürzlich wurde die auf Künstlicher Intelligenz (KI) basierende Brustkrebs-Erkennungs-Software Merantix als erste ihrer Art CE-zertifiziert. Neben den traditionellen Pharma- und Medtech-Unternehmen sind in diesem Bereich auch zahlreiche Startups aktiv. Neben technischen Herausforderungen stellen sich diesen Firmen zahlreiche rechtliche Fragen. Der juristische Rahmen für Medizinsoftware ist komplex, unterschiedlischste Regularien greifen ineinander. Davon abschrecken lassen sollten Startups sich nicht, sonder gerade in der Anfangsphase vier Themen in den Blick nehmen.
1. Ist meine Software ein Medizinprodukt?
Eine zentrale Frage bei der Entwicklung von Health-Software ist die regulatorische Einordnung des Produkts. Hier ist vor allem zu klären, ob die Software ein Medizinprodukt ist. Das ist wichtig, weil Medizinprodukte nur in den Verkehr gebracht werden dürfen, wenn sie nach Durchführung eines Konformitätsbewertungsverfahrens eine CE-Kennzeichnung tragen. Kommt ein Produkt, das als Medizinprodukt zu qualifizieren ist, ohne CE-Kennzeichen auf den Markt, besteht das Risiko, dass ein Wettbewerber die Unterlassung des Vertriebs verlangt. Außerdem stellt das Inverkehrbringen eine Ordnungswidrigkeit dar und kann strafrechtliche Folgen haben.
Nach dem deutschen Medizinproduktegesetz (MPG) und der ab Mai 2020 geltenden europäischen Medizinprodukteverordnung (MDR) ist der bestimmungsgemäße Zweck der Software entscheidend. Grob gesagt gilt:
- Soll die Software Krankheiten erkennen oder behandeln, spricht viel für die Einordnung als Medizinprodukt – zum Beispiel, wenn sie bei der Diagnose unterstützt, Entscheidungen über therapeutische Maßnahmen erleichtert oder die Dosierung von Medikamenten berechnet.
- Stellt die Software hingegen nur Wissen bereit oder speichert sie lediglich Daten, liegt eher kein Medizinprodukt vor.
Weitere Punkte sind aus medizinrechtlich-regulatorischer Sicht wichtig: Die Beachtung des ärztlichen Berufsrechts – die Ausübung von Heilkunde ist Ärzten und Heilpraktikern vorbehalten, darf von einer Software also grundsätzlich nicht vorgenommen werden –, Aspekte der Arzneimittelsicherheit bei der Generierung umfangreicher Daten und – was derzeit breit diskutiert wird – Fragen der Erstattung. Hier wird das Digitale-Versorgung-Gesetz (DVG), über das gerade der Budnestag berät, wichtige Änderungen bringen. Mit dem Gesetz soll es Patienten künftig möglich sein, Gesundheits-Apps auf Rezept zu erhalten und Online-Sprechstunden einfacher zu nutzen. In den Kreis der verordnungsfähigen Software-Produkte zu kommen, ist für Anbieter von erheblicher Relevanz. Es bleibt abzuwarten, wie die Voraussetzungen dafür im Einzelnen ausgestaltet sein werden und welche Software es in die Erstattung schafft. Hier lohnt es sich für Gründer in jedem Fall, die aktuelle Entwicklung genau zu verfolgen, um möglichst frühzeitig entsprechende Daten für die spätere Validierung zu generieren.
2. Wie schütze ich meine Idee?
Aus Entwicklersicht sehr wichtig ist die Frage, ob und inwieweit die Idee einer medizinischen App rechtlich vor Trittbrettfahrern geschützt werden kann. Für Kooperationen ist in jedem Fall der Abschluss einer Vertraulichkeitsvereinbarung (Non Disclosure Agreement, NDA) zu empfehlen. Sie soll sicherstellen, dass vertrauliche Informationen nur für den gemeinsamen Zweck genutzt und nicht an Dritte weitergegeben werden. Das betrifft insbesondere den Schutz von Knowhow – also internen Geschäftsgeheimnissen. Die rechtlichen Anforderungen an einen wirksamen Schutz derartiger Informationen und Dokumente sind erst kürzlich gestiegen. Anders als zuvor müssen die schutzwürdigen Geheimnisse nun genau umschrieben und der Kreis der Zugangsberechtigten möglichst eng gehalten werden. Gewerbliche Schutzrechte für Software sind nur schwer zu erlangen. Zumindest in Deutschland gilt Software als nicht patentierbar. Einen gewissen Schutz bieten allerdings das Urheberrecht sowie – besonders für die Vermarktung relevant – der markenrechtliche Schutz.
3. Was geschieht mit den Daten?
Die Themen Datenschutz und Datensicherheit haben besondere Relevanz bei Medizin-Software. Schließlich basieren viele Apps und KI-Lösungen auf der Analyse und dem Abgleich von konkreten Patientendaten mit einer Vielzahl von – zumeist anonymisierten und aggregierten – Informationen anderer Patienten. Die Anforderungen an ein wirksames Einwilligungsmanagement bei der Erhebung und Nutzung von personenbezogenen Gesundheitsdaten sind seit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 hoch. Durch rechtskonforme Gestaltung von Einwilligungserklärungen – insbesondere auch eine klare Definition der geplanten Datennutzung – lassen sich die rechtlichen Herausforderungen meist in den Griff bekommen. Die Gewährleistung eines hohen Niveaus an Datensicherheit ist auch aus Reputationsgründen enorm wichtig. Datenlecks können gerade im Gesundheitsbereich verheerende Folgen für die betroffenen Anbieter haben.
4. Wer haftet, wenn etwas schiefgeht?
Abschließend sollte man sich als Anbieter von medizinischer Software frühzeitig mit Fragen der möglichen Haftung und Versicherung von Risiken befassen. Wer muss Verantwortung übernehmen, wenn die Software eine falsche Empfehlung abgibt? Der Programmierer, der Anbieter, der Arzt oder gar die Software selbst? Hier ist vieles juristisch noch ungeklärt. Neben den produkthaftungsrechtlichen Grundsätzen wird mitunter eine Parallele zur Tierhalterhaftung erwogen: Ähnlich wie bei Haustieren stelle eine selbstlernende medizinische Software eine Gefahrenquelle dar, für die der Halter – das wäre hier der Anwender – verschuldensunabhängig hafte, heißt es dann. Es bleibt abzuwarten, in welche Richtung diese Diskussion künftig führt.