Ungesicherte Patientendaten Sicherheitslücken bei Gesundheits-Apps
Seit Oktober 2020 müssen Krankenkassen auch digitale Gesundheits-Apps bezahlen - obwohl der Nutzen häufig zweifelhaft ist. Nach Informationen von NDR und WDR konnten Nutzer außerdem auf Daten anderer Patienten zugreifen.
Als im Oktober 2020 die digitalen Gesundheits-Apps starteten, nannte der damalige Gesundheitsminister Jens Spahn (CDU) sie eine "Weltneuheit". Deutschland sei "das erste Land, in dem es Apps auf Rezept gibt". Auch wenn es bis heute kaum bekannt ist, können Patientinnen und Patienten seither bei ihrem Arzt nicht nur ein Rezept für Medikamente erhalten, sondern auch ein Rezept für eine Gesundheits-App, das sie dann bei ihrer Krankenkasse einlösen. Die Kasse händigt für das Rezept einen Freischaltcode aus, den man in die App eintippt und sie dann kostenlos nutzen kann.
Nur auf Angaben der Hersteller verlassen
Im Unterschied zu manchen Politikern sind viele Fachleute von den Apps keineswegs begeistert. Hauptkritikpunkte sind bisher der fehlende Nutzennachweis und die saftigen Preise, die die App-Hersteller verlangen. So muss das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die Apps zwar prüfen, bevor sie erstattungsfähig sind. Doch dabei handelt es sich nicht um eine "eigene technische Überprüfung", wie das BfArM einräumt, sondern nur um eine Prüfung von Unterlagen, die die Hersteller eingereicht haben. Gerhard Schillinger, Medizinexperte beim AOK-Bundesverband, kritisiert: "Die Anforderungen an den Datenschutz, die der Gesetzgeber vorgegeben hat, waren viel zu niedrig. Man muss sich allein auf Angaben des Herstellers verlassen."
31 digitale Gesundheits-Apps (DiGAs) gibt es mittlerweile, die Ärztinnen und Ärzte zu Lasten der Krankenkassen verordnen können. Die meisten davon sollen bei Depressionen und Verhaltensstörungen helfen. Im Schnitt kostet jede App die Krankenkassen 428 Euro - allerdings nicht einmalig, sondern im Quartal.
Massive Sicherheitslücken bei zwei Apps
Bei mindestens zwei dieser Apps haben Computerfachleute des ehrenamtlichen Kollektivs "zerforschung" nun massive Sicherheitslücken entdeckt. Sie informierten die Hersteller der Apps unmittelbar nach der Entdeckung. Die Hersteller räumten gegenüber NDR und WDR das Problem ein und versicherten, die Lücken inzwischen geschlossen zu haben. Die Datenschutzbehörden in Nordrhein-Westfalen und Hamburg kennen die Fälle ebenso wie das BfArM.
Zum einen betrifft die Sicherheitslücke die App "Novego: Depressionen bewältigen". Wenn ein Nutzer dieser App sich bisher seine eigenen Daten herunterladen wollte, hätte er die Nummer seiner Nutzer-ID so verändern können, dass er an die E-Mail-Adresse und den Nutzernamen anderer Patientinnen und Patienten gelangt wäre. Geschäftsführer Norbert Paas versichert, dass man drei Stunden, nachdem das Team von "zerforschung" seine Firma auf die Schwachstelle hingewiesen hatte, die Lücke technisch geschlossen habe.
Auch bei der App Cankado, die für Frauen mit Brustkrebs entwickelt wurde, war es möglich, Patientinnendaten abzugreifen. In einer schriftlichen Stellungnahme an das BfArM räumt Geschäftsführer Timo Schinköthe "ein konkretes, jedoch nicht ausgenutztes Sicherheitsrisiko" ein. Allerdings sei nur "die abstrakte Gefährdungslage als hoch einzustufen". Tatsächlich, so habe eine firmeninterne Recherche ergeben, hätte in den vergangenen 500 Tage niemand diese Sicherheitslücke angesteuert - außer eben das Team von "zerforschung".
App wirft bislang keinen Gewinn ab
Schinköthes App für Menschen mit Brustkrebs kostet 499,80 Euro im Quartal. Dennoch sagt er, es sei "ein reines Zuschussgeschäft", die Firma hätte "noch gar nicht die direkten Kosten erwirtschaftet", die die Entwicklung der App gekostet habe. Das liegt vermutlich auch an den bisher geringen Nutzerzahlen. Nur etwa 300 Patientinnen hätten sich die App bislang verordnen lassen, erklärt Schinköthe.
Der Spitzenverband der Gesetzlichen Krankenkassen musste zum Ende des vergangenen Jahres einen ersten Bilanzbericht über die neuen DiGAs an den Bundestag schicken. Darin steht zwar, dass im ersten Jahr die Apps insgesamt nur Kosten von zwölf Millionen Euro verursacht hätten. Aber es hätten sich eben auch erst 50.000 Patientinnen und Patienten eine App verordnen lassen - von insgesamt 73 Millionen Versicherten der Krankenkassen. Mit Sorge beobachten die Kassen aber, dass die Apps vor allem für jene Krankheiten entwickelt werden, die "mit einer hohen Prävalenz einhergehen", die also weit verbreitet sind, wie Adipositas, Angststörungen, Schlafstörungen oder Rückenschmerzen.
Fragwürdige Preispolitik
Fragwürdig scheint aber vor allem die Preispolitik. So beobachtet das BfArM bei Apps, die bisher schon auf dem Markt sind, "teilweise gravierende Preissteigerungen", wenn sie von den Krankenkassen erstattet werden. "Die Preise sind völlig utopisch", findet auch Gerhard Schillinger vom AOK-Bundesverband. "Manche Apps haben ihre Preise verzehnfacht." Eine App gegen Migräne zum Beispiel habe bisher 64,99 Euro gekostet, der Preis für die Krankenkassen sei dann auf 879,96 Euro pro Jahr angehoben worden, berichtet die AOK.
Das Gesetz über die Apps, für das Spahn verantwortlich ist, ermöglicht den Herstellern, den Preis im ersten Jahr vollkommen frei zu wählen, ähnlich wie bei neuen Medikamenten. Die Hersteller müssen weder nachweisen, wie teuer die Entwicklung war, noch welchen therapeutischen Zusatznutzen die App tatsächlich hat. Erst im Laufe des ersten Jahres sollen die Hersteller dann den Nutzen belegen und sich mit den Kassen auf einen angemessenen Preis einigen.
"Bisher sind aber alle Vergütungsverhandlungen zu den DiGAs, die dauerhaft in das BfArM-Verzeichnis aufgenommen worden sind, gescheitert", teilt der AOK-Bundesverband auf Anfrage mit. Eine Schiedsstelle musste deshalb die Preise festlegen. Der Preis der Apps wurde dabei jeweils deutlich herabgesetzt. So darf die App Somnio gegen Ein- und Durchschlafstörungen nur noch 225 Euro im Quartal kosten statt bisher 464 Euro. Für die App Velibra, die gegen Angst- und Panikstörungen helfen soll, bekommt der Hersteller nur noch 230 Euro statt bisher 476 Euro. Und der Preis der App Elevida, die Patienten mit Multipler Sklerose helfen soll, wurde von 744 Euro im Quartal auf 243 Euro gekürzt.
Krankenkassen sehen keine Transparenz
In ihrem Bericht an den Bundestag kritisiert Stefanie Stoff-Ahnis, Vorstand beim Spitzenverband der Krankenkassen, dass die Kassen die Apps finanzieren müssen, obwohl "keine Evidenz vorliegt". Wie die von den Herstellern verlangten Preise zustande kommen, sei "gänzlich unbekannt und intransparent", heißt es in dem Bericht. "Die Hersteller haben die Möglichkeit, einen beliebigen Preis zu bestimmen, der in keinem Verhältnis zu dem mit der digitalen Gesundheitsanwendung bewirkten positiven Versorgungseffekt stehen muss."
Neu und teuer sind auch viele Medikamente in Deutschland. Doch sie müssen immerhin vom Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen (IQWiG) überprüft werden. Der Preis, den die Pharmaunternehmen bekommen, misst sich anschließend daran, wie groß der tatsächliche Nutzen für Patientinnen und Patienten ist. Auf Anfrage teilt das IQWiG jedoch mit, vom Ministerium bisher noch keinen einzigen Auftrag erhalten zu haben, eine DiGA zu bewerten.