Was bei Medical Apps technisch möglich und kommunikativ gewünscht ist, muss nicht unbedingt rechtlich zulässig sein. Ein Überblick über die Fallstricke.
Immer neue Medical Apps kommen auf den Markt, digitale Plattformen vernetzen Ärzte, Leistungserbringer und Patienten, und die patientenzentrierte Kommunikation rückt in den Fokus.
Bei der Entwicklung und dem Marketing digitaler Angebote gilt es, die rechtlichen Rahmenbedingungen rechtzeitig in den Blick zu nehmen. Aus der Beratungspraxis lassen sich fünf Themenkomplexe herausfiltern, die immer wieder im Fokus stehen – wer sie adressiert, hat die wichtigsten Fallstricke bedacht.
Medizinprodukt oder nicht – der Zweck entscheidet
Eine zentrale Frage bei der Entwicklung von Medical Apps und Software-Lösungen ist die regulatorische Einordnung des Produktes. Hier ist vor allem zu klären, ob die App oder Software ein Medizinprodukt ist. Das ist praktisch wichtig, weil Medizinprodukte nur in den Verkehr gebracht werden dürfen, wenn sie nach Durchführung eines Konformitätsbewertungsverfahrens eine CE-Kennzeichnung tragen. Bei falscher oder fehlender Kennzeichnung besteht nicht nur das Risiko einer Abmahnung durch Wettbewerber oder Verbände – das Inverkehrbringen stellt auch eine Ordnungswidrigkeit dar und kann sogar strafrechtliche Folgen haben.
Nach dem Medizinproduktegesetz ist der bestimmungsgemäße Zweck der App oder Software entscheidend. Grob gesagt gilt: Soll die App Krankheiten erkennen oder behandeln, spricht viel für die Einordnung als Medizinprodukt. Als Beispiel kann die App bei der Entscheidung über therapeutische Maßnahmen unterstützen oder die Dosierung von Medikamenten berechnen.
Stellt die App nur Wissen bereit oder speichert sie nur Daten, liegt eher kein Medizinprodukt vor. Da der Hersteller die Zweckbestimmung festlegt, bestehen gewisse Spielräume durch die Funktionsgestaltung der Anwendung. Ein Disclaimer allein, etwa mit dem Hinweis „kein Medizinprodukt″, hilft jedoch nicht. Was durch seine Funktion ein Medizinprodukt darstellt, fällt unter die Medizinprodukteregulierung und damit auch unter behördliche Aufsicht.
Lizenzen und Verträge
In der Entwicklungsphase digitaler Angebote ist das vertragliche Set-Up von großer praktischer Relevanz. Dieses kann sich abhängig vom Projekt stark unterscheiden. Bei Stand-Alone-Lösungen sollten typischerweise vor allem die Punkte Entwicklung, Lizenzen und Vertrieb abgedeckt werden.
Sichergestellt werden sollte unter anderem, dass an sämtlicher Software oder Codezeilen Dritter, die für die App benötigt werden, die notwendigen Nutzungsrechte bestehen. Eigene Entwicklungen sollten zudem soweit wie möglich rechtlich vor unautorisierten Kopien geschützt werden. Dies geschieht etwa durch die Absicherung geistiger Eigentumsrechte – wie Urheberrecht, Patente, Marken – und des eigenen Know-hows. Ein Mindestmaß an Schutz können insoweit auch der Abschluss von Vertraulichkeitsvereinbarungen im Rahmen von Kooperationen bieten.
Bei komplexeren Plattformlösungen empfiehlt sich darüber hinaus eine genaue Abstimmung der verschiedenen Leistungsbeziehungen untereinander, etwa der Elemente IT-Infrastruktur, Geräte-Hardware, App- oder Software-Entwicklung und Datenverwaltung.
Datenschutz
Ein zentraler Aspekt sowohl bei Apps als auch bei digitalen Plattformlösungen ist die Berücksichtigung der einschlägigen datenschutzrechtlichen Vorgaben. Daten über die Gesundheit einer Person unterliegen rechtlich einem besonders strengen Schutz.
Als Grundsatz gilt, dass Gesundheitsdaten der Nutzer nur mit einer ausdrücklichen Einwilligung verarbeitet werden dürfen. Mit einem einfachen Verweis auf die Privacy Policy/Datenschutzhinweise ist es nicht getan. Das Gesetz verlangt eine „informierte″ Einwilligung.
Über die Information und Einwilligung der Nutzer hinaus hat eine umfassende datenschutzrechtliche Prüfung zu erfolgen (sog. Vorabkontrolle). Zu berücksichtigen ist insbesondere:
- Die Beschreibung der Daten und der Nutzungszwecke. Die „informierte″ Einwilligung der Nutzer erfordert, dass in den Anmeldeformularen die Zwecke konkret beschrieben werden. Sollen die Daten später noch für andere Zwecke verarbeitet werden, kann dies dazu führen, dass eine neue Einwilligung eingeholt werden muss.
- Die Datenweitergabe. Insbesondere bei der Einbindung von Cloud-Anbietern muss der Medienanbieter im Vertrag mit Datendienstleistern sicherstellen, dass die gesetzlichen Vorgaben beachtet werden, die bei einer „Auftragsdatenverarbeitung″ gelten. Das bedeutet, dass der Cloud-Anbieter die Daten nur für die vom Portal- oder App-Anbieter vorgegebenen Zwecke verarbeiten darf und dass der Medienanbieter dies sowie die Umsetzung der im Einzelnen festzulegenden Datensicherheitsmaßnahmen kontrollieren kann. Laut Auffassung der (meisten) Aufsichtsbehörden muss dies ggf. sogar vor Ort beim Cloud-Anbieter geschehen. Werden die Daten außerhalb Europas gespeichert, so ist hierauf in der Nutzer-Einwilligung gesondert hinzuweisen.
- Die Datensicherheit. Der App- oder Portal-Anbieter muss die Maßnahmen zur Datensicherheit dokumentieren. Das gilt umso mehr, als bei Verlust der gesundheitsbezogenen Daten in aller Regel eine Information der Aufsichtsbehörden und der Nutzer erforderlich sein wird.
Aktuell wird auf EU-Ebene an einem Code of Conduct für Medical Apps gearbeitet, der die datenschutzrechtlichen Anforderungen und Best Practices zusammenfassen soll („Draft Code of Conduct on privacy for mobile health applications„) – eine zu begrüßende Initiative, um Anbietern akzeptierte Standards zum Datenschutz bieten zu können.
Haftung
Durch entsprechende vertragliche Vorkehrungen lassen sich Risiken wie Schadensersatz wegen Verzögerungen, Funktionsstörungen oder Rückrufen häufig abfedern.
Entwickler und Anbieter von digitalen Lösungen sollten sich zudem bewusst machen, dass sie produkthaftungsrechtliche Risiken tragen. Das in den Verkehr gebrachte Produkt darf keinen Produktfehler aufweisen. Es muss also die Sicherheit bieten, die der Nutzer zu erwarten berechtigt ist.
Mit anderen Worten: Die App, die Software oder die integrierte Lösung muss einwandfrei funktionieren und darf insbesondere keine fehlerhaften Ergebnisse oder Therapieempfehlungen liefern. Je enger die App die Bereiche Diagnose oder Therapie betrifft, desto relevanter ist dieser Aspekt. Wie schon im Rahmen der Einordnung als Medizinprodukt genügen hier einfache Disclaimer nicht, um die bestehenden Haftungsrisiken effektiv in den Griff zu bekommen.
Die Haftungsrisiken können erheblich sein: Gibt eine App aufgrund eines Programmfehlers eine Empfehlung, die einen Patienten schädigt, kann der Anbieter im Grundsatz dafür verantwortlich gemacht werden. Hohe Schadensersatzzahlungen können die Folge sein. Das gilt insbesondere dann, wenn die App nicht nur in Deutschland, sondern auch in anderen Staaten – vielleicht sogar in den USA – vertrieben werden soll.
Neben einem sorgfältigen Testprogramm empfiehlt sich eine engmaschige Beobachtung des Produktes im Markt. Dies gilt nicht zuletzt auch unter dem Aspekt der Meldung unerwünschter Nebenwirkungen, die im Zusammenhang mit der App oder dem Portal bekannt werden, beim Bundesinstitut für Arzneimittel oder einer anderen zuständigen Stelle.
Werbung und Compliance
Für die Vermarktung von Apps und digitalen Lösungen maßgeblich sind vor allem die Grenzen, die das Heilmittelwerbegesetz und das Gesetz gegen den unlauteren Wettbewerb setzen. Obacht ist insoweit zunächst immer dann geboten, wenn eine App in Verbindung mit einem verschreibungspflichtigen Arzneimittel steht, etwa zur Flankierung einer bestimmten Therapie eingesetzt werden soll. Hier führt das Verbot der produktbezogenen Werbung gegenüber Laien zu erheblichen Einschränkungen. Diese gelten auch für digitale Verbreitungskanäle.
Grundsätzlich möglich sind allgemeine Informationen über Krankheitsverläufe oder Therapieoptionen, sofern ein hinreichender Abstand zu produktbezogenen Aussagen gewahrt bleibt. Die Grenzziehung ist oftmals nicht eindeutig. Im Rahmen von Apps oder Portalen für Patienten, die eine bestimmte Therapie bereits verordnet bekommen haben, bestehen etwas größere Spielräume. Aber auch hier sollte vor allem aufgrund der strengen Vorgaben des Heilmittelwerbegesetzes mit Sorgfalt vorgegangen werden – sonst besteht das Risiko, dass ein Wettbewerber den gesamten Auftritt als zu werblich untersagen lässt.
Bei der Werbung gegenüber Fachkreisen sind die hohen Anforderungen an den Grad der wissenschaftlichen Absicherung von Werbeaussagen zu beachten. Entsprechendes gilt bei der – grundsätzlich zulässigen – Werbung gegenüber Laien für nicht verschreibungspflichtige Arzneimittel oder Medizinprodukte. Auch hier sollte zur Vermeidung von Abmahnungen und gerichtlichen Unterlassungsverfügungen darauf geachtet werden, in der Kommunikation nur hinreichend fundierte Aussagen zu treffen.
Eine zuweilen unterschätzte Thematik gerade im Zusammenhang mit der Verbreitung von Apps und digitalen Angeboten sind die Anforderungen der Health Care Compliance. Hier sind neben dem Zuwendungsverbot die Vorgaben der Industrie-Kodices sowie letztlich auch des Strafrechts zu nennen. Die kostenlose Zurverfügungstellung von Software, digitalen Angeboten oder auch von Hardware, die für die Nutzung digitaler Lösungen erforderlich ist, kann Compliance-Risiken mit sich bringen– insbesondere, wenn diese Angebote Fachkreisen zugutekommen. Hier empfiehlt sich eine genaue Orientierung an den einschlägigen – strengen – Vorgaben.
Fallstricke erkennen und Medical Apps rechtssicher gestalten
Die Möglichkeiten, die die Digitalisierung der Gesundheitswirtschaft mit sich bringt, sind enorm. Medical Apps und Angebote im Bereich Digital Health können einen sehr wertvollen Beitrag zur Verbesserung der Patientenversorgung leisten.
Um solche Angebote mit möglichst wenig Reibungsverlusten, möglichst kalkulierbarem Risiko und möglichst guter Absicherung in verschiedene Richtungen auf den Markt bringen und dort bewerben und vertreiben zu können, sollten die rechtlichen Rahmenbedingungen frühzeitig in den Blick genommen werden. Auf diese Weise lassen sich vermeidbare Fallstricke und unangenehme Überraschungen in den Griff bekommen.
Mehr zu Medical Apps, eHealth und Big Data erfahren Sie auf unserer Roadshow #Digital Health, welche am 22. September 2016 in Frankfurt a.M. startet.