Ethik, Datenschutz und Regulatorik

Regulatorische Einordnung der Studien-App

Die CareKit-basierte App muss regulatorisch korrekt eingestuft werden. Nach der EU-Medizinprodukteverordnung (MDR 2017/745) und dem Medizinprodukterecht-Durchführungsgesetz (MPDG) ist Software dann ein Medizinprodukt, wenn sie eine medizinische Zweckbestimmung hat (Diagnose, Überwachung, Therapieunterstützung).

MDR-Einordnung der Studien-App in Abhängigkeit von der Ampellogik-Beschreibung im Studienprotokoll. {#tab-mdr}

Szenario	Einstufung	Konsequenz
App sammelt Daten für retrospektive Forschungsanalyse; Ampellogik nur für Studien-interne Priorisierung	Forschungssoftware – kein Medizinprodukt	Kein CE-Kennzeichnung nötig; Ethikvotum und DSGVO-Compliance ausreichend
Ampellogik triggert klinische Interventionen (Telefonat, Na⁺-Kontrolle, Notaufnahme-Weisung)	Potenziell Medizinprodukt (Klasse IIa nach MDR Anhang VIII, Regel 11)	CE-Konformitätsbewertung, Qualitätsmanagementsystem, Benannte Stelle

Empfohlene Strategie für die Pilotstudie: Die App als Forschungssoftware ohne medizinische Zweckbestimmung einstufen. Die Ampellogik dient der Priorisierung der Study-Nurse-Kontakte, nicht der automatisierten medizinischen Entscheidungsfindung. Die Study Nurse trifft die klinische Entscheidung – nicht der Algorithmus. Diese Formulierung sollte im Studienprotokoll und der Ethikantrag-Dokumentation konsistent verwendet werden. Eine frühzeitige Abstimmung mit der Ethikkommission und dem UKE-Datenschutzbeauftragten ist zu empfehlen.

Ethikvotum und DRKS-Registrierung

Die Studie erfordert ein positives Votum der Ethikkommission der Ärztekammer Hamburg (zuständig für das UKE). Erforderliche Unterlagen: Studienprotokoll, Patienteninformation und Einwilligungserklärung, Datenschutzkonzept, Versicherungsnachweis (Probandenversicherung gemäß AMG/MPG-Analogie). Registrierung: Deutsches Register Klinischer Studien (DRKS) vor Einschluss des ersten Patienten.

Datenschutz (DSGVO)

Hinweis

Die ausführlichen Datenschutz-Dokumente finden sich in Teil V — Regulatorische Dokumente:

• Datenschutz-Folgenabschätzung (DSFA)
• Verarbeitungsverzeichnis nach Art. 30 DSGVO
• Sicherheitskonzept
• Patienteninformation und Einwilligung

Eine Datenschutz-Folgenabschätzung (DSFA) nach DSGVO Art. 35 ist erforderlich – die App verarbeitet Gesundheitsdaten (Art. 9 DSGVO), die als besonders schutzbedürftig gelten.

Technische Maßnahmen: Pseudonymisierung auf dem Gerät (Edge Computing für Ampellogik), nur pseudonymisierte Daten an das Studienbackend (REDCap), Verschlüsselung (HTTPS/TLS 1.3, AES-256 at rest), Zugangsschutz per PIN/Face ID (ORKPasscodeStep).

Drittanbieter-Daten: Withings Health Mate und HidrateSpark speichern Daten auf eigenen Cloud-Servern. Die Datenschutzerklärungen müssen in die Patienteninformation integriert werden. Alternativ: Withings for Researchers-Plattform mit DSGVO-konformem Datenexport direkt in Studiensysteme.

Informierte Einwilligung

Digitale Einwilligung via ORKConsentDocument mit qualifizierter elektronischer Signatur. Die Patienteninformation muss verständlich darstellen: welche Daten erfasst werden (HealthKit, Symptome, Urin-SG), wie lange gespeichert, wer Zugang hat, wie widerrufen werden kann, und dass die Ampellogik kein medizinisches Gerät ersetzt.