07

Kernpunkte:

  • Facebook-Fanpages
  • Verbraucherschutzvorschriften über digitale Produkte

 

7    Neue Medien

7.1          Datenzugriffe öffentlicher Stellen in Drittländern

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich mit der Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten befasst. Im Rahmen der gemeinsamen Beratungen der Datenschutzaufsichtsbehörden gewann die Konstellation an Bedeutung, in der eine in einem Drittland ansässige Muttergesellschaft eine im Europäischen Wirtschaftsraum (EWR) niedergelassene Tochtergesellschaft im Wege einer Auftragsverarbeitung beauftragt, personenbezogene Daten zu verarbeiten.

Allein der Umstand der Beauftragung des im EWR niedergelassenen Tochterunternehmens oder die damit verbundene Gefahr einer rechtswidrigen Datenweitergabe an die Muttergesellschaft im Drittland begründen dabei noch nicht eine „Übermittlung“ personenbezogener Daten, die für sich einer Rechtsgrundlage bedürfte.

Art. 28 Abs. 1 DSGVO
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Das Augenmerk liegt in solchen Konstellationen vielmehr auf der Frage, ob das beauftragte Tochterunternehmen im EWR in seiner Funktion als Auftragsverarbeiter eine hinreichende Zuverlässigkeit aufweist, die Vorgaben der DSGVO einzuhalten, und in diesem Kontext etwaigen rechtswidrigen Weisungen des Mutterkonzerns zur Datenweitergabe nicht Folge leistet und mögliche nicht mit der DSGVO im Einklang stehende Verpflichtungen zur Datenherausgabe an staatliche Stellen in Drittländern unberücksichtigt lässt. Die Zuverlässigkeit der Auftragsverarbeiter wird in der DSGVO explizit erwähnt:

Soweit eine Norm oder Praxis eines Drittlands die abstrakte Gefahr einer nach EU-Recht unzulässigen Übermittlung personenbezogener Daten aus dem EWR in ein Drittland durch eine als Auftragsverarbeiter tätige Stelle in dem EWR – z. B. die EWR-Tochtergesellschaft eines Drittlandsunternehmens – begründet, sind an die Sorgfalt der Zuverlässigkeitsprüfung im Sinne von Art. 28 Abs. 1 DSGVO besonders hohe Anforderungen zu stellen, die dieser Gefahr Rechnung tragen. Die DSK hat mit Beschluss vom 31. Januar 2023 wesentliche Prüfpunkte zusammengefasst, die für eine Bewertung des Einzelfalls von Bedeutung sind. Die Punkte umfassen das Folgende:

  • das Ergebnis einer Prüfung hinsichtlich einer extraterritorialen Anwendbarkeit des Drittlandsrechts und einer gegebenenfalls darüber hinausgehenden praktischen extraterritorialen Anwendung,
  • bei einer extraterritorialen Anwendbarkeit und/oder Anwendung: das Ergebnis einer Prüfung, ob das Recht oder die Praxis des Drittlands die Verpflichtungen aus dem Auftragsverarbeitungsvertrag beeinträchtigen könnten (in Anlehnung an die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses),
  • das Risiko, dass die Drittlands-Muttergesellschaft eines EWR-Tochterunternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln (Prüfung der Erkenntnisse zur Rechtslage/-praxis),
  • ob der Auftragsverarbeitungsvertrag nach europäischen Maßstäben unzulässige Verarbeitungen auf der Grundlage von Drittlandsrecht erlaubt,
  • etwaige Zusicherungen der Drittlands-Muttergesellschaft und des EWR-Unternehmens zum Umgang mit kollidierenden Anforderungen des Rechts eines Drittstaates und der EU,
  • eine Bewertung der Rechtslage und -praxis des Drittlands, ob derartige Zusicherungen auch tatsächlich eingehalten werden können,
  • eine Bewertung aller weiteren Aspekte, ob derartige Zusicherungen auch tatsächlich eingehalten werden,
  • etwaige in der Vergangenheit festgestellte Datenschutzverstöße,
  • die Schwere und Wahrscheinlichkeit einer Sanktionierung von Zuwiderhandlungen nach EU-Recht und dem Recht des Drittlands sowie
  • der Ausschluss unzulässiger Übermittlungen durch geeignete technische und organisatorische Maßnahmen.

Der Beschluss der DSK ist unter dem folgenden Link abrufbar:
www.datenschutzkonferenz-online.de/media/dskb/20230206_DSK_Beschluss_Extraterritoriale_Zugriffe.pdf
Kurzlink: https://uldsh.de/tb42-7-1a

 

7.2          Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mit Beschluss vom 6. November 2023 ein Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen erarbeitet, das unter dem folgenden Link abrufbar ist:
www.datenschutzkonferenz-online.de/media/dskb/2023_11_06_Beschluss_cloudbasierte_digitale_Gesundheitsanwendungen.pdf
Kurzlink: https://uldsh.de/tb42-7-2a

Digitale Gesundheitsanwendungen (DiGAs) sind nach den Vorgaben des SGB V Medizinprodukte niedriger Risikoklasse, deren Hauptfunktion wesentlich auf digitalen Technologien beruht und die dazu bestimmt sind, bei den Versicherten oder in der Versorgung durch Leistungserbringer die Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder die Erkennung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen zu unterstützen und für welche den gesetzlich Versicherten ein Versorgungsanspruch zusteht

Datenschutzrechtliche Vorgaben für DiGAs sind in der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) normiert.

Art. 4 Abs. 1 DiGAV
Digitale Gesundheitsanwendungen müssen die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten.

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) führt ein Verzeichnis erstattungsfähiger DiGAs und entscheidet auch über die Anträge der DiGA-Hersteller zur Aufnahme in das Verzeichnis. Dabei weisen die Hersteller digitaler Gesundheitsanwendungen die Erfüllung der datenschutzrechtlichen Anforderungen nach. Das DiGA-Verzeichnis ist unter dem folgenden Link erreichbar:
https://diga.bfarm.de/de/verzeichnis
Kurzlink: https://uldsh.de/tb42-7-2b

Neben diesen gesetzlich geregelten DiGAs gibt es jedoch eine Vielzahl weiterer Gesundheitsanwendungen, die nicht von diesen Regelungen erfasst sind. Für den Einsatz dieser Vielzahl der weiteren Anwendungen sind aus Sicht der DSK folgende Punkte zu beachten, die hier auszugsweise wiedergegeben werden:

  • Eine datenschutzrechtliche Verantwortlichkeit kommt für verschiedene Beteiligte in Betracht, je nachdem ob diese im Einzelfall die Zwecke und Mittel der Datenverarbeitung bestimmen. Dies kann neben Ärztinnen und Ärzten und anderen medizinischen Leistungserbringern auch Hersteller betreffen.
  • Die Verwendung der Gesundheitsanwendung (z. B. einer App zum Auslesen und Speichern der Glukosewerte) muss nach dem Grundsatz „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ nach Art. 25 Abs. 1 DSGVO auch ohne Nutzung der Cloud-Funktionen und ohne Verknüpfung mit einem Benutzerkonto möglich sein, es sei denn, die Cloud-Funktion ist unbedingt für die Erreichung eines therapeutischen Nutzens erforderlich und die Funktion wird von der betroffenen Person ausdrücklich gewünscht.
  • Für die Nutzung personenbezogener Daten zu Forschungszwecken ist eine datenschutzrechtliche Rechtsgrundlage erforderlich. Hier kommt regelmäßig die ausdrückliche Einwilligung in Betracht.
  • Die Hersteller bzw. Betreiber von cloudbasierten DiGAs müssen Prozesse zur effektiven und unverzüglichen Erfüllung der Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit etablieren. Da hierbei besonders sensible Gesundheitsdaten betroffen sind, muss zunächst eine sichere Authentifizierung der Antragsteller erfolgen.
  • Weil eine Verarbeitung personenbezogener Daten immer mit Risiken für die davon betroffenen Personen einhergeht, müssen der Verantwortliche und Auftragsverarbeiter durch die wirksame Umsetzung technischer und organisatorischer Maßnahmen ein dem Risiko angemessenes Schutzniveau gewährleisten und den Nachweis dafür erbringen können.
  • Auch sollte die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Technische Richtlinie (TR) „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden.
  • Die Technische Richtlinie ist unter dem folgenden Link verfügbar:
    https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03161/BSI-TR-03161.html
    Kurzlink: https://uldsh.de/tb42-7-2c

Was ist zu tun?
Wann immer eine Verarbeitung personenbezogener Gesundheitsdaten erfolgt, sind die geeigneten technischen und organisatorischen Maßnahmen zur Risikoeindämmung zu treffen. Dies gilt auch für Produkte und Anwendungen, die nicht zu den gesetzlich geregelten Digitalen Gesundheitsanwendungen (DiGAs) gehören.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel