DiGA: Sichere Daten in der Cloud?

Seit letztem Juli können Entwickler von digitalen Gesundheitsanwendungen (DiGA) hierzulande sensible Personendaten nicht länger bei amerikanischen Cloud-Providern hosten. Dr. Philipp Kircher vom Health Innovation Hub erklärt, unter welchen Vorkehrungen dies dennoch möglich ist – und was die Cloud-Anbieter dazu sagen.

von
Anna
Engberg

Ein kürzlich veröffentlichtes Dokument des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) hat gezeigt, dass es trotz des außer Kraft gesetzten Privacy Shields Ausnahmeregelungen für Deutschland gibt, die die Speicherung von Daten aus digitalen Gesundheitsanwendungen, sogenannten DiGAs, in europäischen und sogar US-Clouds unter bestimmten Bedingungen erlauben.

Wir haben uns angeschaut, was das für DiGA-Entwickler und Startups bedeutet - und wie sich das auf das Geschäft der Cloud-Anbieter auswirkt.

DER HINTERGRUND

Im Juli 2020 erklärte der Gerichtshof der Europäischen Union (EuGH) das EU-US-Privacy Shield für ungültig. Dadurch dürfen europäische Unternehmen keine personenbezogenen Daten mehr in US-Clouds übertragen. Das Privacy Shield hatte diese Datenspeicherung und -verarbeitung zuvor geregelt und damit erlaubt.

Folglich wurde deutschen und europäischen DiGA-Entwicklern untersagt, sensible Gesundheitsdaten ihrer Anwendungen über einen ausländischen Cloud-Dienst zu speichern, es sei denn, das erforderliche Datenschutzniveau konnte durch einen Angemessenheitsbeschluss nach Artikel 45 DSGVO gewährleistet werden.

Um ihre Apps zugelassen und im DiGA-Verzeichnis gelistet zu bekommen, damit diese im deutschen Gesundheitssystem verordnet und erstattet werden können, mussten sich DiGA-Entwickler seit Juli letzten Jahres von gängigen US-Cloud-Diensten wie Microsofts Azure, Amazon Web Services (AWS) oder Google Cloud Platform abwenden und alternative lokale Anbieter finden.

Das jüngste BfArM-Dokument skizziert, was das für Startups und DiGA-Entwickler bedeutet, und führt aus, wie diese spezifischen Bedingungen bei nicht geltendem Privacy Shield von US-Tochtergesellschaften und anderen "Drittstaaten" erfüllt werden können.

WARUM DIES WICHTIG IST

DiGA-Hersteller, die ihre Daten weiterhin bei einer Tochtergesellschaft eines Mutterkonzerns aus den USA oder eines anderen Landes, für das ebenfalls kein Angemessenheitsbeschluss vorliegt, verarbeiten wollen, müssen sich jetzt bemühen und mit diesem Anbieter konkrete Vertragsanpassungen vornehmen. Dabei müssen sie ausschließen, dass Daten als lesbare, personenbezogenen Daten in dieses Drittland übertragen werden“, stellte Dr. Philipp Kircher, Director Data Protection & Medical Law beim Health Innovation Hub (hih), dem hauseigene Think-Tank des Bundesministeriums für Gesundheit (BMG) zum Thema Digitalisierung.

Er erläuterte weiter: „Das geht so weit, dass Tochterunternehmen im Extremfall den Rechtsweg gegenüber dem Mutterkonzern beschreiten müssen, und selbst wenn sie unterliegen, dürfen sie die Daten nur rausgeben, wenn es ein entsprechendes Abkommen zwischen der EU und den USA gibt – was derzeit nicht der Fall ist.“ Wie der Experte hervorhob, müssen sich die Tochterfirmen verpflichten, dass europäische Datenschutzrecht als prioritär zum amerikanischen anzusehen. 

Dem Experten zufolge dürfte heute keiner der DiGA-Entwickler mehr bei einer echten US-Cloud untergebracht sein, weil dies seit dem EuGH-Urteil für DiGA nicht mehr zulässig ist.

Wie er herausstellte, gibt es derzeit noch einige Start-Ups, die US-amerikanische Cloud-Dienste über Tochterunternehmen in Europa nutzen.

Abhängig davon, ob es nur um Datenspeicher oder zusätzliche Services und Support geht, wählen die DiGA-Hersteller in Abhängigkeit von ihrer Anwendung unterschiedliche Cloud-Provider. Unter diesen waren bisher AWS oder Microsoft sehr beliebt.

Wie Kircher betonte, habe es nach dem sofort wirksamen Urteil vom Juni 2020 etwas gedauert, bis das BfArM sich neu positioniert und den aktuellen Weg als umsetzbar bestätigt habe: „Alle mussten in der Zwischenzeit überlegen, wie sie damit umgehen – und einige haben tatsächlich kurz vor der Antragstellung auf deutsche oder EU-Provider umgestellt.“ 

WAS GESAGT WURDE

Für die Cloud-Provider hat dies offensichtlich unterschiedliche Auswirkungen: „Für europäische Cloud-Provider ist dies ein Anreiz. Sie erhalten eine gute Möglichkeit, sich in Europa als vertrauenswürdige Anbieter zu etablieren und passende Angebote für DiGA anzubieten“, erläuterte Dr. Kircher. 

Für die Tochtergesellschaften von Providern aus den USA und anderen Drittländern ohne Angemessenheitsbeschluss bedeutet es andererseits, dass sehr genau geprüft werden muss, ob man mit den Anforderungen, die das BfArM stellt, tatsächlich umgehen und diese erfüllen kann: „Es kann durchaus zu Problemen in den bisherigen Unternehmensstrukturen führen, wenn für DiGA-Hersteller andere Prozesse und Verträge erarbeitet und implementiert werden müssen, besonders angesichts der Tatsache, dass der DiGA-Markt noch überschaubar ist und nur einen kleinen Teil des Umsatzes ausmacht“, stellte der Experte fest.

Nichtsdestotrotz könnten diese Unternehmen davon profitieren, sich in puncto Vertrauenswürdigkeit und Sicherheit gegenüber amerikanischen Zugriffen aufzustellen.  

Um die Meinung der US-Cloud-Anbieter zu erfahren, wandte sich MobiHealthNews an Microsoft, doch das Unternehmen lehnte eine Stellungnahme ab.

Für AWS kommentierte Dr. Rowland IIlling, Director & CMO, International Public Sector Health, AWS halte alle geltenden Gesetze in jedem Land, in dem AWS tätig sei, vollständig ein. Er bestätigte überdies verstärkte vertragliche Verpflichtungen, die "über das hinausgehen, was derzeit von anderen Cloud-Anbietern angeboten wird, um die personenbezogenen Daten zu schützen, die Kunden AWS zur Verarbeitung anvertrauen."

AWS zeigte außerdem auf, dass Kunden die vollständige Kontrolle darüber haben, wo und wie gespeichert würden einschließlich der Tools für Zugriffsrechte und das Management von Verschlüsselungsmöglichkeiten.

Diese verstärkten vertraglichen Verpflichtungen von AWS gelten dem Anschein nach für alle Kundendaten, die der GDPR unterliegen, unabhängig davon, ob sie außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden oder nicht, und umfassen z.B. die Offenlegung des erforderlichen Mindestmaßes: „Wir verpflichten uns außerdem, dass wir, falls wir trotz unserer Herausforderungen jemals durch eine gültige und verbindliche rechtliche Anfrage zur Offenlegung von Kundendaten gezwungen werden, nur die minimale Menge an Kundendaten offenlegen werden, die notwendig ist, um die Anfrage zu erfüllen“, sagte Illing gegenüber MobiHealthNews.

GUT ZU WISSEN

Der Datenschutzexperte Kircher weist darauf hin, dass die Branche mit einem Nachfolgeabkommen zum Privacy Shield rechnen sollte. Er geht aber davon aus, dass ein solches Abkommen nach wenigen Jahren vom EuGH wieder gekippt werden würde, wenn keine wesentlichen Änderungen am US-Datenschutzrecht vorgenommen werden.


##
Dies ist eine Übersetzung eines englischsprachigen Artikels, erschienen auf MobiHealthNews.

 

Auch für Sie interessant

Your search returned no results.