Zum Inhalt springen Zur Navigation springen
DSK zu cloudbasierten (digitalen) Gesundheitsanwendungen

DSK zu cloudbasierten (digitalen) Gesundheitsanwendungen

Artikel von Dr. Datenschutz·13. November 2023

Auch wenn es zunächst so scheint, geht es in dem Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 06.11.2023 nicht um digitale Gesundheitsanwendungen im Sinne des § 33a SGB V (DiGA). Auch bei Gesundheitsanwendungen, die nicht der Definition der DiGA unterfallen, sind in gehobenem Maße Datenschutz und Datensicherheit zu gewährleisten. Im Folgenden gehen wir darauf ein, welche Anforderungen nach Auffassung der DSK dabei besonders zu berücksichtigen sind.

Positionen bzw. Hinweise der DSK

Die DSK geht in ihrem Positionspapier auf verschiedene Themen ein, die für Gesundheitsanwendungen relevant sein können – z.B. die Verantwortlichkeiten, datenschutzfreundliche Voreinstellungen und Datenschutz durch Technikgestaltung, Datenverarbeitung zum Zwecke der Forschung und Qualitätssicherung, Betroffenenrechte, technische und organisatorische Maßnahmen und internationale Datentransfers.

Klärung der datenschutzrechtlichen Verantwortlichkeiten

Der Hinweis klingt zunächst gleichermaßen einleuchtend wie banal. Je nach Ausgestaltung einer Gesundheitsanwendung kann sich die Bestimmung der Verantwortlichkeit – allein oder gemeinsam Verantwortlicher oder Auftragsverarbeiter – durchaus als komplex erweisen. Die Komplexität steigt in der Regel mit der Anzahl der beteiligten Akteure.

Handelt es sich darüber hinaus bei einzelnen Akteuren um Arztinnen oder Ärzte oder andere medizinische Leistungserbringende im Sinne von § 203 Abs. 1 Nr. 1 StGB, muss darauf geachtet werden, dass auch die strafrechtlichen Bestimmungen zum Schutze des Privatgeheimnisses im Verhältnis der Akteure zueinander berücksichtigt werden. Die strafrechtlichen Bestimmungen können die beteiligten Akteure im Falle internationaler Datentransfers vor zusätzliche Herausforderungen stellen.

Privacy by Design und by Default

Unter Verweis auf Art. 25 DSGVO stellt die DSK klar, dass Cloudfunktionen standardmäßig deaktiviert und die Nutzung der Gesundheitsanwendung ohne zwingende Einrichtung eines Benutzerkontos möglich sein sollten, soweit sie zur Erreichung des mit der Anwendung verfolgten medizinischen Nutzen nicht unbedingt erforderlich sind.

Art. 25 DSGVO adressiert ausdrücklich den datenschutzrechtlich Verantwortlichen, nicht hingegen den Auftragsverarbeiter und in der Regel auch nicht den Entwickler einer Anwendung. Liegt die Verantwortung für den Einsatz einer Gesundheitsanwendung bei medizinischen Leistungserbringenden, sollte bereits bei der Auswahl einer Gesundheitsanwendung darauf geachtet werden, dass die Vorgaben aus Art. 25 DSGVO umgesetzt werden können.

Forschungszwecke und Qualitätssicherung

Die DSK stellt klar, dass eine Datenverarbeitung für Forschungszwecke oder zum Zwecke der Qualitätssicherung z.B. im Bereich der Medizinprodukte unter Berücksichtigung der gesetzlichen Vorgaben grundsätzlich möglich ist. Sollen anonymisierte Daten verarbeitet werden, muss sichergestellt und nachgewiesen werden können, dass die Anonymität der Daten gewährleistet ist. Maßnahmen zur Reichweitenanalyse sowie Software-Fehlerverfolgungsmechanismen sind nach Auffassung der DSK nicht zulässig.

Betroffenenrechte

Mit Blick auf die Gewährleistung der Betroffenenrechte betont die DSK, dass aufgrund der Sensibilität der Daten zunächst eine sichere Authentifizierung der Betroffenen zu gewährleisten ist.

Sicherheit der Datenverarbeitung

Der Schutz der personenbezogenen Daten muss durch die Einführung geeigneter technische und organisatorischer Maßnahmen gewährleistet sein. Die DSK verweist diesbezüglich u.a. auf die technischen Richtlinien „Anforderungen an Anwendungen im Gesundheitswesen“ (Teil 1 bis 3) des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Zur Orientierung hilft möglicherweise auch ein Blick in die Informationen zu dem Prüfverfahren für digitale Gesundheitsanwendungen, die das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zur Verfügung stellt. Dem DiGA-Leitfaden des BfArM lässt sich entnehmen, welche (datenschutzrechtlichen) Anforderungen eine digitale Gesundheitsanwendung im Sinne von § 33a SGB V erfüllen muss, um das erforderliche Prüfverfahren erfolgreich zu durchlaufen.

Zu den Gefahren beim Einsatz medizinischer Geräte siehe auch unseren Beitrag zu Sicherheitslücken in vernetzten medizinischen Geräten (IoMT).

Gesundheitsanwendung ist nicht gleich Gesundheitsanwendung

In einem für das potenziell sehr komplexe Thema Gesundheitsanwendungen kurzen Positionspapier reißt die DSK verschiedene datenschutzrechtlich relevante Themen an. Die Hinweise der DSK beschränken sich auf bekannte Themen und sind wenig überraschend. Auch wenn es sich bei einer Gesundheitsanwendung im Ergebnis nicht um eine DiGA im Sinne von § 33a SGB V handeln mag, bietet es sich an, dass sich Anbieter, Verantwortliche und Auftragsverarbeiter von Gesundheitsanwendungen grob mit deren Anforderungen vertraut machen. Auf dem Wege ließe sich beurteilen, wo die eigene bzw. genutzte Anwendung datenschutzrechtlich steht. Soll die Option bestehen bleiben, eine bestimmte Gesundheitsanwendung später zur DiGA zertifizieren zu lassen, ließen sich auf dem Wege ein späterer Anpassungsbedarf möglicherweise reduzieren.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.