DiGA und Datenschutz – Es wird klarer, aber nicht leichter

Am 28.01.2021 veröffentlichte das BfArM ein Informationspapier zur Frage der Zulässigkeit des Einsatzes von Dienstleistern zur Verarbeitung personenbezogener Daten außerhalb Deutschlands, insbesondere durch US-Unternehmen oder deren EU-Niederlassungen oder EU-Tochterunternehmen. Damit schafft das BfArM Klarheit für DiGA-Hersteller, jedoch keine Rechtssicherheit. Denn das BfArM weist gleich eingangs darauf hin, dass das Papier lediglich die eigene Rechtsauffassung wiedergibt, jedoch keine Bindungswirkung für Datenschutzbehörden entfaltet. In Ansehung der richtungsweisenden Entscheidung des obersten französischen Verwaltungsgerichts vom 30.10.2020 zur Zulässigkeit der Datenspeicherung in einer von Microsoft Ireland Operation Ltd. betriebenen Plattform, dürften auch die Datenschutzbehörden keine Einwände gegen die wesentlichen Punkte des Informationspapiers des BfArM haben.

Für DiGA-Hersteller lassen sich mit Blick auf das Zulassungsverfahren drei wesentliche Punkte festhalten:

  1. Eine Verarbeitung personenbezogener Daten durch Dienstleister mit Sitz in den USA ist nach der DiGAV unzulässig. Dabei geht es um Datenverarbeitungen im Rahmen des Betriebs der DiGA. Die Datenverarbeitung im Rahmen des Downloads aus dem App-Store ist hiervon zu unterscheiden und noch nicht vom Anwendungsbereich der DiGAV umfasst.

  2. Eine Verarbeitung personenbezogener Daten durch EU-Niederlassungen eines US-Unternehmens ist nur zulässig, wenn der Server innerhalb der EU/des EWR/der Schweiz oder eines Staates mit Angemessenheitsbeschluss steht und die personenbezogenen Daten durch zusätzliche Maßnahmen vor dem Zugriff durch das US-Unternehmen geschützt sind. Als konkrete Möglichkeit wird die Verschlüsselung der Daten in Kombination mit einer Schlüsselverwaltung durch den Nutzer angeführt.

  3. Eine Verarbeitung personenbezogener Daten durch eine selbstständiges EU-Tochterunternehmen eines US-Unternehmens ist zulässig, sofern vertraglich zugesichert wird, dass die Daten nicht in die USA, sprich weder an das Mutterunternehmen noch US-Behörden oder andere Dienstleister übermittelt werden. Zudem muss der Vertrag die Pflicht zum Beschreiten und Ausschöpfen des Rechtswegs gegen ein Herausgabeverlangen sowie Informationspflichten gegenüber dem DiGA-Hersteller vorsehen.

Das vollständige Papier finden Sie hier

 

Dr. Sabrina Neuendorf