Datenschutz und cloudbasierte Gesundheitsanwendungen – Neue Hinweise der Datenschutzkonferenz für App-Anbieter

Hintergrund ist, dass bei dem Einsatz eine Vielzahl von Nutzerdaten, insbesondere Gesundheitsdaten, erhoben, gespeichert und weiterverarbeitet werden. Vor dem Go-live der Anwendung sollte daher eine umfassende datenschutzrechtliche Prüfung erfolgen. So können Anbieter und Hersteller spätere Maßnahmen der Datenschutzaufsichtsbehörden oder (monetäre) Ansprüche der Betroffenen verhindern.

Anbieter bzw. Hersteller von digitalen Gesundheitsanwendungen sollten unter anderem die folgenden Punkte berücksichtigen:

1. Datenschutzrechtliche Verantwortlichkeit
   Hersteller und Anbieter müssen prüfen, ob sie datenschutzrechtlich für die Verarbeitung der Nutzerdaten verantwortlich sind. Das kann unter anderem der Fall sein, wenn sie neben der Herstellung der App zugleich über die Zwecke und Mittel der Datenverarbeitung entscheiden. Das ist stets im Einzelfall zu prüfen.
   
   Neben dem Hersteller und Anbieter kommen darüber hinaus weitere Akteure in Betracht, die an einer Datenverarbeitung beteiligt sind. Hierbei kann es sich um Cloud-Anbieter, Ärzte und sonstige Dienstleister handeln. Dabei kommt es aus Datenschutzsicht entscheidend im Einzelfall darauf an, welche Rolle die Beteiligten einnehmen. Sofern sie beispielsweise Daten weisungsgebunden verarbeiten, dürfte mit ihnen ein Auftragsverarbeitungsvertrag abzuschließen sein.
   
   Mit der Verantwortlichkeit sind diverse datenschutzrechtliche Pflichten verbunden, die bei Nichteinhaltung im schlimmsten Fall ein Bußgeld der Aufsichtsbehörde nach sich ziehen können.
    
2. Beachtung der Grundsätze privacy by design und privacy by default
   Aus Sicht der Datenschutzaufsichtsbehörde ist die Anwendung im Hinblick auf die datenschutzfreundliche technische Ausgestaltung so aufzusetzen, dass sie ohne Nutzung der Cloudfunktion und ohne Anlegen eines Benutzerkontos genutzt werden kann.
   
   Ausnahmsweise soll die Cloudfunktion zulässig sein, wenn diese unbedingt für die Erreichung des therapeutischen Nutzens erforderlich ist und von dem Nutzer ausdrücklich gewünscht ist. Sofern sich der Nutzer gegen eine cloudbasierte Verarbeitung entscheidet, sollen die Daten allenfalls lokal auf dem Endgerät gespeichert werden dürfen.
   
   Der Nutzer muss eine entsprechende Auswahlmöglichkeit erhalten und über bestehende Vorteile und Risiken der Cloudfunktion informiert werden. Im Hinblick auf den Einsatz von Cloudlösungen bleibt die datenschutzrechtliche Einordnung der DSK damit weiter streng.
    
3. Datennutzung für Forschung und Qualitätssicherung
   Die Nutzung der Anwenderdaten zu Forschungszwecken und zur Qualitätssicherung ist grundsätzlich nur aufgrund einer Rechtsgrundlage möglich. Hierfür kommt regelmäßig die Einwilligung des Nutzers in Betracht. Hinsichtlich der Datennutzung zu Forschungszwecken kann ausnahmsweise bei Vorliegen der Voraussetzungen von einer Einwilligung abgesehen werden (§ 27 BDSG). Eine Ausnahme sieht das Gesetz auch für Hersteller von Medizinprodukten vor. Diese benötigen für die Qualitätssicherung ebenfalls keine Einwilligung der Nutzer, da sie gesetzlich nach der EU-Medizinprodukte-Verordnung 2017/745 (MPV) zur Qualitätssicherung und zum Risikomanagement verpflichtet sind.
   
   Die regelmäßig in Apps und Webanwendungen implementierten Funktionen der Reichweitenanalyse und Software-Fehlerverfolgungsmechanismen sind nach Ansicht der DSK hingegen grundsätzlich nicht mit dem Zweck der Anwendung vereinbar.
   
   Über die vorgenannten Punkte hinaus sind die weiteren Anforderungen des Datenschutzes einzuhalten. Das kann beispielsweise die Gewährleistung und Einhaltung der Betroffenenrechte sowie der Datensicherheit (Umsetzung technischer und organisatorischer Maßnahmen) sein und die Verpflichtung eine Datenschutz-Folgenabschätzung vorzunehmen.

Apropos Datensicherheit:

Für erstattungsfähige digitale Gesundheitsanwendungen gemäß der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) treten Änderungen im Hinblick auf die Anforderungen an den Datenschutz und der Datensicherheit in Kraft:

• ab dem 1. August 2024 müssen digitale Gesundheitsanwendungen die von dem Bundesinstitut für Arzneimittel und Medizinprodukte nach § 139e Abs. 11 SGB V festgelegten Prüfkriterien für die von digitalen Gesundheitsanwendungen nachzuweisenden Anforderungen an den Datenschutz umsetzen (§ 4 Abs. 8 DiGAV). Der Nachweis der Erfüllung der Anforderungen erfolgt durch Vorlage eines anhand der Prüfkriterien nach Satz 1 ausgestellten Zertifikates nach Artikel 42 Datenschutz-Grundverordnung (DSGVO).
• ab dem 1. Januar 2025 müssen digitale Gesundheitsanwendungen die von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nach § 139e Abs. 10 SGB V festgelegten Anforderungen an die Datensicherheit erfüllen (§ 4 Abs. 7 DiGAV). Das BSI bietet ab dem 1. Juni 2024 Verfahren zur Prüfung der Einhaltung der Anforderungen sowie zur Bestätigung der Einhaltung der Anforderungen durch entsprechende Zertifikate an. 

Zum Paper der Datenschutzkonferenz (DSK)