Am 20. April 2020 ist sie nun endlich im Bundesgesetzblatt veröffentlicht und damit rechtlich bindend geworden. Die lang erwartete Digitale-Gesundheitsanwendungen-Verordnung oder kurz: DiGAV. Eine Veröffentlichung, die von allen Beteiligten im Trubel der letzten Tage und Wochen fast schon übersehen worden ist, steht sie doch im Schatten der Veröffentlichung zweier weiterer Dokumente mit kaum geringerem Einfluss auf die Regulation digitaler Gesundheitsanwendungen.

So wäre da zum einen die am 17. April 2020 publizierte BSI-Richtlinie mit der „griffigen“ Kennzeichnung BSI-TR-03161, in welcher vom Bundesamt für Sicherheit in der Informationstechnik oder kurz: BSI generelle Sicherheitsanforderungen für digitale Gesundheitsanwendungen formuliert wurden. Zum anderen hat nun auch der – nicht minder lang erwartete – DiGA-Leitfaden des Bundesinstituts für Arzneimittel und Medizinprodukte oder kurz: BfArM das Licht der Welt erblickt.

Über die Hersteller digitaler Gesundheitsanwendung ist also binnen kürzester Zeit ein Haufen neuer Regulatorik ausgekippt worden, in dem es sich nun zurecht zu finden gilt. Dabei ist wenig hilfreich, dass die Anforderungen aus der DiGAV im Hinblick auf die Gewährleistung eines gewissen Standards an Informationssicherheit grundsätzlich nicht ohne weiteres mit den vom BSI formulierten Anforderungen in Einklang zu bringen sind. Gut lässt sich dies an dem Beispiel der Zwei-Faktoren-Authentifizierung erläutern. Wird diese von der DiGAV nur für Produkte mit sehr hohem Schutzbedarf gefordert, ist die BSI-Richtlinie an dieser Stelle weiter gefasst und fordert, dass von jedem Hersteller ein entsprechendes Konzept ausgearbeitet und umgesetzt werden muss. Nun könnte man argumentieren, dass die DiGAV im Gegensatz zur BSI-Richtlinie rechtlich verbindlich ist und damit Anwendungsvorrang genießt. Dabei darf jedoch nicht aus den Augen verloren werden, dass das BSI in Fachkreisen ein hohes Ansehen genießt und mit der nun veröffentlichten Richtlinie neue Maßstäbe in Sachen „State of the Art“ setzt. Inwieweit den Herstellern digitaler Gesundheitsanwendungen hier Spielräume bleiben, um „Rosinenpickerei“ zu betreiben bleibt abzuwarten.

Update: Im gestrigen DiGA Summit des Health Innovation Hub hat sich das BfArM noch einmal explizit zum Erfordernis einer Zwei-Faktor-Authentifizierung geäußert. Dabei wurde noch einmal ausdrücklich hervorgehoben, dass eine solche Methodik zur Authentifizierung für digitale Gesundheitsanwendungen mit hohem Schweregrad vorgesehen sei. Selbst dann soll jedoch ein Rückgriff auf die Ein-Faktor-Authentifizierung in begründeten Fällen weiterhin möglich bleiben. Mit dieser Haltung weicht das BfArM in seinem DiGA-Leitfaden deutlich von den Vorstellungen des BSI ab.

Geposted in Datenschutz, Digitalisierung, Medizinprodukte abgelegt unter , , , , , ,