Von der DSK und den cloudbasierten digitalen Gesundheitsanwendungen

In dem kürzlich veröffentlichten Positionspapier vom 06. November 2023 hat die Datenschutzkonferenz (DSK) Stellung zum Datenschutz im Kontext cloudbasierter digitaler Gesundheitsanwendungen genommen. Zur Erinnerung – die DSK ist die Konferenz der Datenschutzbehörden des Bundes und der Länder. Zählt man die zuständige Stelle für den nicht-öffentlichen Bereich in Bayern hinzu, haben wir es auf Bundes- und Landesebene somit mit insgesamt 18 Behörden zu tun. Die Beschlüsse und Stellungnahmen der DSK haben damit auf nationaler Ebene bei der Auslegung und Anwendung der DSGVO erhebliches Gewicht.

Im Hinblick auf das nun veröffentlichte Positionspapier nimmt die DSK nun vor allem solche Anwendungen in den Fokus, die nicht unter den Anwendungsbereich der DiGAV fallen, bei denen es sich folglich nicht um erstattungsfähige DiGA im Sinne von § 33a SGB V handelt. Kritisch bleibt jedoch trotzdem die Frage, was seitens der DSK nun alles unter den Begriff der „cloudbasierten digitalen Gesundheitsanwendung“ zu fassen ist. Im Text des Positionspapiers findet sich das Beispiel einer App, die zum Auslesen und Speichern von Glukosewerten verwendet wird. In dieser rudimentären Funktionalität würde es sich bei der App höchstwahrscheinlich nicht einmal um ein Medizinprodukt i.S.v. Art. 2 Nr.1 Verordnung (EU) 2017/745 bzw. MDR handeln. Vielmehr sind ähnlich gelagerte Anwendungen heute zahlreich in den gängigen App Stores als vollständig unregulierte Software vertreten, die zum Teil durch Hobby-Entwickler zur eigenen Lebenserleichterung im Umgang mit ihren eigenen krankheitsbedingten Anforderungen entwickelt worden sind. Sollen solche niedrigschwelligen Angebote nun auch unter erweiterte Anforderungen fallen? – eine klare Definition und Eingrenzung des Begriffs der cloudbasierten digitalen Gesundheitsanwendung könnte an dieser Stelle Abhilfe schaffen, das gelieferte Beispiel tut es jedenfalls nicht.

Darüber hinaus werden nun seitens der DSK allgemeine Anforderungen definiert, die für solche cloudbasierten digitalen Gesundheitsanwendungen Geltung finden sollen. Diese sollen nachfolgend zusammengefasst dargestellt werden:

1. Datenschutzrechtliche Verantwortlichkeit

Die Einordnung, wer für die Datenverarbeitung im Rahmen von cloudbasierten digitalen Gesundheitsanwendungen verantwortlich ist, ist und bleibe auch nach dem Papier der DSK eine Einzelfallentscheidung. Es gelten insoweit weiterhin die Kerndefinitionen aus der DSGVO selbst sowie die Leitlinien zur Abgrenzung der (gemeinsamen) Verantwortlichkeit von der Auftragsverarbeitung auf nationaler und europäischer Ebene. Grundsätzlich ist nach Ansicht der DSK anzunehmen, dass der Hersteller einer solchen Anwendung, der die App lediglich herstellt und nicht selbst die personenbezogenen Daten der Nutzer verarbeitet weder Hersteller noch Auftragsverarbeiter ist. Zu beachten ist weiter, dass jedoch nicht nur die Hersteller, sondern auch Ärzte und andere im Gesundheitsbereich tätige Personen sowie Cloud-Dienstanbieter mit der Datenverarbeitung zu tun und entsprechend eine Rolle im Kontext der DSGVO einnehmen können. Hierbei ist noch einmal die Relevanz der Einzelfallprüfung zur klaren Rollenabgrenzung hervorzuheben.

2. Nutzung ohne Cloudfunktion

Erheblich brisanter kommt da schon die Forderung nach einer Auswahlmöglichkeit für den Nutzer im Hinblick auf die Verwendung oder vielmehr die nicht-Verwendung von Cloudfunktionen. So soll die Nutzung der Anwendung auch ohne Nutzung der Cloudfunktionen und ohne Verknüpfung mit einem Benutzerkonto möglich sein, es sei denn, die Cloudfunktion ist unbedingt für die Erreichung eines therapeutischen Nutzens erforderlich und die Funktion wird von der betroffenen Person ausdrücklich gewünscht. Der Nutzer soll in diesem Zusammenhang (z.B. im Rahmen des Registrierungsprozesses) entsprechende Informationen über mögliche Risiken im Zusammenhang mit der Cloudfunktion sowie eine Auswahlmöglichkeit erhalten, wobei im Falle einer Entscheidung gegen die cloudbasierte Verarbeitung die verarbeiteten Daten ausschließlich lokal auf dem verwendeten Endgerät verarbeitet werden dürfen. Zunächst ist hervorzuheben, dass der Begriff des therapeutischen Nutzens wiederrum darauf hindeutet, dass es sich bei der cloudbasierten digitalen Gesundheitsanwendung mindestens um ein Medizinprodukt nach Maßgabe von Art. 2 Nr.1 MDR handeln muss. Eine Anwendung, die kein Medizinprodukt ist, darf entsprechend auch keinen therapeutischen Nutzen, sondern allenfalls einen nicht-medizinischen Nutzen aufweisen (z.B. eine Tagebuch- oder Erinnerungsfunktion). Im Weiteren verkennt die DSK an dieser Stelle den Stellenwert der Cloud. Es kann nicht entscheidendes Element sein, ob der therapeutische Nutzen ohne Cloudfunktion und/oder Benutzerkonto erreicht werden kann. Vielmehr ist die Frage zu stellen, ob die Anwendung insgesamt ohne Cloudfunktion überhaupt in ihrer gesamten Form angeboten werden kann oder nicht. Diese Forderung erscheint vor dem Hintergrund, dass die technische Infrastruktur zahlreicher Apps heute ausschließlich auf cloudbasierten Lösungen fußt als realitätsfern.

3. Datennutzung zu Forschungszwecken

Auch im Hinblick auf die Verarbeitung personenbezogener Daten zu Forschungszwecken äußert sich die DSK. Leider fehlt in diesem Zusammenhang eine eindeutige Klarstellung dahingehend, ob es sich bei der Anonymisierung selbst um eine Verarbeitung im Sinne von Art. 4 Nr.2 DSGVO handelt. Allerdings wird verdeutlicht, dass die Verwendung personenbezogener Daten zu Forschungszwecken regelmäßig nur auf Grundlage der ausdrücklichen Einwilligung der betroffenen Person gemäß Art. Art. 9 Abs.2 Buchstabe a) DSGVO i.V.m. Art. 6 Abs.1 Buchstabe a) DSGVO möglich sein soll. Im Hinblick auf das Verfahren zur Anonymisierung ist dann seitens des Verantwortlichen eine Datenschutz-Folgenabschätzung i.S.v. Art. 35 DSGVO durchzuführen. Hierzu findet sich jedoch seit langem bereits ein entsprechender Hinweis im Empfehlungskatalog der BayLDA zur Einschätzung der Notwendigkeit zur Durchführung von DSFAs. Interessant ist die Klarstellung, welche die DSK für Hersteller von Medizinprodukten annimmt. In diesem Zusammenhang dürfen die Hersteller entsprechender Produkte die Verarbeitung personenbezogener Daten auf die Rechtsgrundlage des Art. 6 Abs. 1 Buchstabe c) i.V.m. Art. 9 Abs. 2 Buchstabe i) DSGVO und § 22 Abs.1 Nr.1 Buchstabe c) BDSG stützen. Der Zweck der Verarbeitung muss sich in diesem Fall jedoch aus dem Risiko- und Qualitätsmanagement des Herstellers ableiten (z.B. Post-Market Surveillance, Vigilanz).

4. Betroffenenrechte

In Bezug auf die Gewährleistung der Betroffenenrechte durch den Verantwortlichen finden sich ebenfalls keine Neuerungen gegenüber den ohnehin schon geltenden Grundsätzen. So gilt, dass die Umsetzung der Betroffenenrechte zu jedem Zeitpunkt gewährleistet sein muss und Auftragsverarbeiter entsprechend zu verpflichten sind.

5. Sicherheit der Verarbeitung

Bezüglich der Gewährleistung der Sicherheit der Datenverarbeitung müssen technische und organisatorische Maßnahmen (TOMs) ergriffen werden, die dem Schutzniveau der verarbeiteten personenbezogenen Daten nach angemessen sind. Im Zweifel sind die zu ergreifenden TOMs aus der durchgeführten DSFA abzuleiten. Neu ist jedoch, dass die DSK im Rahmen des Positionspapiers neben anderen Maßnahmen zudem die Berücksichtigung der BSI TR-03161 empfiehlt, welche als Technische Richtlinie seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entwickelt worden ist und Sicherheitsanforderungen an digitale Gesundheitsanwendungen formuliert. Zwar ist die vollständige Umsetzung und Verifizierung der BSI TR-03161 für Anwendungen, die keine DiGA sind, weiterhin nicht obligatorisch, jedoch ist hier ein klarer Trend hin zur indirekten Umsetzungspflicht erkennbar, indem ihre Stellung als allgemein anerkannter Stand der Technik nun auch von der DSK untermauert worden ist.

6. Drittstaatenübermittlung

Bezüglich der Datenübermittlung in Drittstaaten sind nach Ansicht der DSK weiterhin nur die in Art. 44 ff. DSGVO geregelten Grundsätze und Maßnahmen zu berücksichtigen. Die Anforderungen für cloudbasierte digitale Gesundheitsanwendungen liegen damit unter denen der DiGA, im Rahmen derer Hersteller noch die ergänzenden Anforderungen aus der DiGAV beachten müssen. Hierbei handelt es sich um sehr gute Nachrichten, haben die Einschränkungen für DiGA doch regelmäßig zu Problemen und Unklarheiten im Rahmen der Umsetzung durch Hersteller geführt.

Fazit

Wir empfinden es als durchaus als sinnvoll, dass sich die DSK um einen Grundrahmen für den Umgang mit personenbezogenen Daten im Kontext von Apps bemüht. Jedoch wirkt insbesondere die Auswahlmöglichkeit im Hinblick auf die Nutzung der Cloudfunktion realitätsfern. Der immer stärker werdende Einfluss der BSI TR-03161 ist ebenfalls ein Faktor, der für die Zukunft eine gewisse Unsicherheit darstellt. Die Implementierung der Anforderungen aus der Technischen Richtlinie stellen für sich genommen ein intensives Projekt dar und könnte gerade kleinere Hersteller abschrecken. Melden Sie sich unbedingt, sofern Sie Hilfe bei der datenschutztechnischen Ausrichtung Ihres Produktes benötigen. Wir stehen jederzeit zur Verfügung und führen Sie durch den Dschungel der Regulation.