BSI-Sicherheitsstandards für Gesundheits-Apps

Die Digitalisierung des Gesundheitswesens reicht über die elektronische Gesundheitskarte und die elektronische Patientenakte hinaus: Durch das im Dezember in Kraft getretene Digitale-Versorgung-Gesetz (DVG) dürfen sich Gesundheits-Apps als „Medizinprodukt“ bezeichnen, wodurch Kassen sie im Leistungskatalog „Verzeichnis für digitale Gesundheitsanwendungen“ führen dürfen. Das qualifiziert die Apps nicht nur für den Einsatz durch medizinisches Fachpersonal, Ärzte können sie ihren Patienten sogar verschreiben. Solche Medizinprodukte fallen unter die Richtlinie 93/42/EWG, in der unter anderem Anforderungen an Sicherheit und Datenschutz spezifiziert sind. Die Einhaltung der Richtlinie kontrolliert das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM).

Doch in den App-Katalogen von Apple und Google tummeln sich zahlreiche weitere eHealth-Apps, die zwar mit Gesundheitsdaten hantieren, jedoch keine „Medizinprodukte“ sind die Kontrolle durch das BfArM bleibt somit aus. Und das merkt man auch: c’t deckte in Apps der Covid-19-App (von Telekom und BS Software) [2] erhebliche Sicherheits- oder Datenschutzmängel auf. Hier kommt die neu definierte Technische Richtlinie TR-03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ins Spiel: Damit definiert das BSI sinnvolle Sicherheitsanforderungen an eHealth-Apps, die nicht als Medizinprodukte klassifiziert sind. Das BSI zielt damit auf mobile Apps und Webtechniken (auch Hybrid). Back­end-Systeme, also beispielsweise Server in der Cloud, deckt TR-03161 nicht ab.