In 7 Schritten ins DiGA-Verzeichnis

Seit 2020 ermöglicht der Gesetzgeber die Erstattung von Digitale Gesundheitsanwendungen (DiGA). Die DiGA-Hersteller müssen dafür einige Voraussetzungen erfüllen.

Dieser Artikel beschreibt die dazu notwendigen Schritte.

1. Schritt: Den Business Case bestimmen

a) Zweckbestimmung der DiGA festlegen

Die Basis für alle weiteren Schritte ist die Zweckbestimmung. Sie beantwortet u. a. folgende Fragen:

• Welchen medizinischen Zwecken dient das Produkt? Dient es der Diagnose, der Therapie, der Überwachung oder der Vorhersage? Für welche Krankheiten, Verletzung oder anderer Gesundheitszustände soll es verwendet werden?
• Welchen weiteren Nutzen soll das Produkt bieten?
• Welchen Patienten, Anwendern und Dritten soll dieses Produkt dienen?
• Welche Nutzergruppen sollen das Produkt verwenden?
• In welcher Umgebung soll das Produkt verwendet werden?
• Wie soll das Produkt diese genannten Nutzen ermöglichen? Welches physikalische Prinzip liegt dem Produkt zugrunde? (Bei DiGA müssen das im Wesentlichen digitale Technologien sein.)

b) Finanzierung klären und Rentabilität berechnen

Wenn Sie die Zweckbestimmung kennen, wissen Sie, ob Ihr Produkt überhaupt eine DiGA sein kann. Sie können damit auch abschätzen, wie groß der Markt ist und welche Erstattungsformen infrage kommen.

Falls das Produkt voraussichtlich als DiGA erstattungsfähig ist, können Sie die Erstattungssätze und die Erstattungsvolumina abschätzen.

Liegen ein Projektplan und eine erste Aufwandsschätzung vor, sind Sie in der Lage, die erwarteten Erträge und die Profitabilität zu berechnen.

c) Projektrisiken identifizieren

Bevor die Hersteller mit der Entwicklung einer DiGA starten, sollten sie die Projektrisiken identifizieren. Dazu zählen:

• Direkter und indirekter Wettbewerb
  Anbieter alternativer Untersuchungs- und Therapieformen zählen zum indirekten Wettbewerb.
• Scheitern des Nutzennachweises
  Die Anforderungen an diese Nachweise sind hoch. Oft gelingt es nicht, den erwarteten Nutzen mit der notwendigen statistischen Signifikanz zu belegen.
• Scheitern des Projekts
  Viele junge Firmen unterschätzen die Herausforderungen von Software-Entwicklung und dem Aufbau eines Unternehmens sowie die regulatorischen Anforderungen.
• Unzureichende Akzeptanz bei Ärzten und Patienten
  Gleichzeitig überschätzen sie regelmäßig die Akzeptanz von DiGA durch Ärzte und Patienten.

2. Schritt: Regulatorische Anforderungen identifizieren

a) Qualifizierung und Klassifizierung durchführen

Anhand der Zweckbestimmung müssen die Hersteller prüfen, ob das Produkt tatsächlich als Medizinprodukt zählt.

Ist das der Fall, müssen Sie die Klasse des Medizinprodukts bestimmen.

b) Sicherstellen, dass das Produkt als DiGA zählt

DiGA dürfen nur Medizinprodukte der Klassen I und IIa sein. Zudem muss sichergestellt sein, dass die Hauptfunktionen dieser Produkte „wesentlich auf digitalen Technologien beruhen“.

c) Anwendbare gesetzliche und normative Anforderungen ermitteln

Zu den wichtigsten regulatorischen Anforderungen zählen bei DiGA üblicherweise:

• Anforderungen an Medizinprodukte im Allgemeinen
  • MDR mit Anforderungen an die Produkte und Wirtschaftsakteure (Die Anforderungen der IVDR gelten nur für die Auswertung von IVD-Daten, falls dies in der medizinischen Software nach MDR vorgesehen ist. Achtung: Diese Datenauswertungen dürfen nur einen kleinen Anteil haben, da IVD-Software keine DiGA werden kann!)
  • IEC 62304 (Software-Lebenszyklus-Prozesse)
  • IEC 62366-1 (Gebrauchstauglichkeit)
  • ISO 14971 (Risikomanagement)
  • ISO 13485 (Qualitätsmanagementsystem)
• Spezifische Anforderungen an DiGA
  • SGB V § 33a, § 135, § 139e (Voraussetzung für die Erstattungsfähigkeit)
  • SGB XI § 40 DiGA-Verordnung
    
  • ISO 27001 (IT-Sicherheitsmanagementsystem)
  • BSI-Prüfkriterien zur Datensicherheit (s. a. TR 03161 1-3)
  • BfArM-Prüfkriterien für den Datenschutz

Die meisten DiGA-Hersteller wird auch der EU Data Act betreffen.

Viele Änderungen u. a. am Sozialgesetzbuch wurden über das Digitale-Versorgung-Gesetz DVG und das Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz DVPMG eingeführt.

3. Schritt: Nachweisstrategie festlegen

Die DiGAV fordert einen Nachweis positiver Versorgungsaspekte. Diese definiert die Verordnung als

entweder [einen] medizinischen Nutzen oder patientenrelevante Struktur- und Verfahrensverbesserungen in der Versorgung

DGV

Mehr zu diesen Voraussetzungen lesen Sie im Kapitel 3 dieses Artikels.

a) Claims festlegen

Um positive Versorgungsaspekte nachweisen zu können, müssen die Hersteller die Leistungs- und Akzeptanzkriterien („Claims“) zuerst (möglichst) quantitativ  spezifizieren. Das klingt banal. Aber genau dabei unterlaufen Herstellern regelmäßig Fehler. Beispielsweise sind die Claims

• nicht ausreichend spezifisch (und quantitativ), um damit eine Studie zu designen,
• zu breit oder/und zu anspruchsvoll formuliert, weshalb der Nachweis nicht, nicht zeitnah oder nicht im Rahmen der gegebenen Mittel gelingt,
• zu schmal oder/und nicht ausreichend anspruchsvoll formuliert. Damit ist der Nutzen zu klein, um eine Aufnahme des DiGA ins DiGA-Verzeichnis zu ermöglichen.

b) Über den Zeitpunkt entscheiden

Sobald diese Claims spezifiziert sind, müssen die Hersteller entscheiden, ob sie die direkte oder nur die vorläufige Aufnahme in das DiGA-Verzeichnis anstreben. Letzteres verschafft den Herstellern ein zusätzliches Jahr Zeit für die Studie, aber keine Gewissheit über die endgültige Aufnahme.

Ein Vorteil des „Erprobungsjahres“ besteht darin, dass die gesetzlichen Kassenkassen (GKV) die DiGA bereits erstatten müssen und der Hersteller den Preis selbst bestimmen darf. Die Verhandlungen mit der GKV erfolgen erst nach dem Erprobungsjahr. So lässt sich die teure Studie zumindest teilweise gegenfinanzieren.

c) Studie planen

Anschließend gilt es, die Studie zu planen und das Evaluationskonzept inklusive Studiendesign festzulegen.

Hersteller sollten spätestens am Ende dieses dritten Schritts Kontakt mit dem BfArM aufnehmen (wie, wird in Schritt 7 beschrieben).

Eine Voraussetzung für die Erprobung ist eine Pilotstudie mit einer systematischen Datenauswertung.

4. Schritt: Integriertes Managementsystem etablieren

Gleich zwei Rechtsbereiche verpflichten die DiGA-Hersteller zu Managementsystemen:

1. Das Medizinprodukterecht (insbesondere die MDR in Artikel 10) setzt ein Qualitätsmanagementsystem voraus (typischerweise konform mit ISO 13485).
2. Das Sozialrecht (insbesondere die DiGAV) verlangt ein IT-Sicherheitsmanagementsystem (typischerweise konform mit ISO 27001).

Die Anforderungen an diese Managementsysteme überlappen stark, wie die folgenden Beispiele zeigen. Beide fordern:

• Festlegung von Unternehmenszielen (bezüglich Qualität bzw. IT-Sicherheit)
• Bewertung der Systeme durch die oberste Leitung (Managementbewertung)
• Interne Audits
• Lenkung von Dokumenten und Aufzeichnungen
• Management von Ressourcen (Mitarbeitende, Infrastruktur)
• Prozessorientierter Ansatz

Diese Übereinstimmungen zeigen sich auch in den Verfahrensanweisungen (SOPs):

QMS nach 13485	ISMS nach 27001
Qualitätsmanagement-Handbuch	(x)
Qualitätsziele	(x)
Organigramm, Rollen festlegen	x
SOP Management Review / VA Leistungsmessung	x
SOP Datenanalyse / VA Leistungsmessung	x
SOP Lenkung von Dokumenten und Aufzeichnungen	x
SOP CAPA (incl. ISMS)	x
SOP Audits	x
SOP Meldung von Vorkommnissen und Rückrufen EU	(x)
SOP IT-Infrastruktur	x
SOP Computer System Validation	x
SOP Recruiting and Training	x
SOP Einkauf und Lieferantenmanagement	x
SOP Software-Entwicklung	x
SOP Support, Rückmeldungsbearbeitung, Reklamationsbearbeitung	(x)

Daher sollten DiGA-Hersteller nicht zwei isolierte, sondern ein integriertes Managementsystem etablieren und dieses gemeinsam auditieren und zertifizieren lassen.

Ab dem Jahr 2024 sind die Hersteller nicht nur zu einem zertifizierten IT-Sicherheitsmanagementsystem verpflichtet, sondern auch zu einer Datensicherheits- und Datenschutzzertifizierung (Quelle).

5. Schritt: Technische Dokumentation erstellen

a) Allgemeine Nachweise erbringen

Die DiGA-Hersteller erstellen konform mit den Vorgaben des eigenen QM-Systems eine Technische Dokumentation. Damit führen sie den Nachweis, dass ihre Produkte die regulatorischen Anforderungen an Medizinprodukte erfüllen.

Die Technische Dokumentation von DiGA unterscheidet sich nur wenig von der von anderen Medizinprodukten:

• Zusätzliche Nachweise für die Barrierefreiheit und Gebrauchstauglichkeit
• Genauere Nachweise der IT-Sicherheit
• Nachweis der positiven Versorgungsaspekte (die oft über die Nachweise in klinischen Bewertungen hinausgehen)

b) IT-Sicherheit der DiGA nachweisen

Die Zertifizierung des Managementsystems ist allerdings kein Nachweis für die IT-Sicherheit der Produkte. Ein wichtiger und vorgeschriebener Baustein dieses Nachweises sind Penetrationstests.

Das Johner Institut führt Penetrationstests für DiGA-Hersteller durch. Lesen Sie hier mehr zu diesem Angebot.

Bisher haben die Sicherheitsexperten des Johner Instituts immer Schwachstellen identifiziert, sei es in den Backend-Infrastrukturen oder den Produkten selbst (z. B. Apps).

Penetrationstests ersetzen jedoch nicht andere Maßnahmen wie das Einhalten von Coding-Guidelines und das Threat-Modeling. Vielmehr ergänzen sie diese Maßnahmen.

6. Schritt: Nutzennachweis für DiGA führen

Der Nachweis der positiven Versorgungsaspekte erfolgt – wie im Studienplan (s. o.) beschrieben – durch das Sammeln der (klinischen) Daten im Rahmen entsprechender „vergleichender Studien“, wie von der DiGAV in § 10 gefordert.

Wenn die Hersteller zunächst in die Erprobung gehen wollen, starten sie mit einer systematischen Datenauswertung bzw. Pilotstudie. Diese sollte bereits in allen wesentlichen Studiendetails der Hauptstudie entsprechen. Nur die Fallzahl darf etwas geringer ausfallen. Die Ergebnisse der Pilotstudie reichen die Hersteller dann gemeinsam mit dem Evaluationskonzept bei der Antragstellung ein.

Die Erprobung müssen die Hersteller beim BfArM anmelden.

7. Aufnahme der DiGA ins Verzeichnis beantragen

a) Erstgespräch führen

Das Johner Institut legt den DiGA-Herstellern nahe, das Angebot des BfArM zu einem Beratungsgespräch zu nutzen und nicht erst mit der Antragstellung den Kontakt zur Behörde zu suchen. Ein guter Zeitpunkt für eine erste Abstimmung ist gegen Ende des dritten Schritts.

Vorbereitung

Um eine möglichst gute Abstimmung mit der Behörde zu ermöglichen, sollten die Hersteller das Gespräch und ihre Unterlagen gut vorbereiten:

• Produktpräsentationen inklusive Zweckbestimmung
• Begründung für die Qualifizierung und Klassifizierung
• Liste der „geclaimten“ positiven Versorgungseffekte
• Projektplan (Produktentwicklung, Zertifizierung, Studie, Vermarktung)
• Studienplan, zumindest für die Pilotstudie
• Liste der Fragen an das BfArM

Hersteller sollten eine eigene Expertengruppe (Produkt, Regulatorik, Studiendesign/Statistik, Medizin) zusammenstellen, die der Expertengruppe des BfArM gegenübersitzt.

Gesprächsführung

Um ein möglichst effizientes und effektives Gespräch zu ermöglichen, sollten die Hersteller zumindest

• ihre Fragen und die Agenda im Vorfeld mit dem BfArM abstimmen,
• im Gespräch die DiGA vorstellen und Feedback einholen, ob diese interessant erscheint,
• im Gespräch Feedback zum Studienplan (Pilot- und/oder Hauptstudie) einholen.

b) Antrag stellen

Wenn alle bisherigen Schritte erfolgreich durchlaufen wurden, dürfen die DiGA-Hersteller den Antrag stellen. Dafür hat das BfArM eine Ausfüllhilfe bereitgestellt.

Zusammenfassung und Fazit

Deutschland war eines der ersten Länder, das die Möglichkeit zur Erstattung digitaler Gesundheitsanwendungen geschaffen hat. Die Hürden dafür sind allerdings hoch.

Besonders der Nachweis positiver Nutzeneffekte durch Studien (gemeinsam mit bzw. zusätzlich zur klinischen Bewertung und ggf. klinischen Prüfung) ist für viele DiGA-Hersteller herausfordernd.

Wenn Sie die in diesem Artikel geschilderten sieben Schritte befolgen, sollte es leichter gelingen, die Hürden zu bewältigen.

---

Änderungshistorie

• 2023-04-24: Links zu den Veröffentlichungen des BfArM ergänzt und aktualisiert