Direkt zum Inhalt wechseln

Die Datenschutzkonferenz (DSK) legt in den letzten Monaten einen größeren Fokus auf den Datenschutz in der medizinischen Forschung und im Gesundheitskontext. In einem Positionspapier adressiert die DSK verschiedene datenschutzrechtliche Fragestellungen bei cloudbasierten digitalen Gesundheitsanwendungen, welche im folgenden Beitrag – auch unter Berücksichtigung der jüngsten EuGH-Rechtsprechung – näher beleuchtet werden.

Im achtseitigen Positionspapier vom 6. November 2023 zu cloudbasierten digitalen Gesundheitsanwendungen untersucht die DSK die aus ihrer Sicht wichtigsten datenschutzrechtlichen Fragestellungen hinsichtlich dieses Bereichs. Ausgeklammert sind dabei jene digitalen (erstattungsfähigen) Gesundheitsanwendungen, die in den Anwendungsbereich der Digitalen Gesundheitsanwendungen-Verordnung (DiGAV) fallen und in einem Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte geführt werden (auch gemeinhin „Apps auf Rezept“ bezeichnet).

Unter diese „normalen“ digitalen Gesundheitsanwendungen fallen dabei einerseits jegliche Gesundheits-, Fitness- oder Bewegungsapps, die Menschen bei einer gesundheitsbewussten Lebensweise unterstützen und helfen sollen. Auch Anwendungen mit Ernährungsratgeberfokus, zur Schwangerschaft, für Alltagsstressbewältigung oder das Führen von Tagebüchern zur Symptom- und Verlaufskontrolle zählen dazu. In dieses weite Feld von Apps, die im weitesten Sinne der Krankheitsprävention dienen, sind auch viele App-Angebote der gesetzlichen und privaten Krankenkassen einzuordnen.

Die Veröffentlichung des Positionspapiers fällt dabei in den Zeitraum Herbst 2023, in welchen die DSK noch weitere thematisch verwandte Entschließungen veröffentlicht hat: Datenschutz in der medizinischen Forschung und Datenschutz für die gesetzliche Regulierung medizinischer Register.

Datenschutzrechtliche Verantwortlichkeit

Unter dem ersten Gliederungspunkt weist die DSK darauf hin, dass im Rahmen von digitalen Gesundheitsanwendungen die datenschutzrechtlichen Rollen bestimmt werden müssen und deren Einordnung sich insbesondere unter Berücksichtigung des oftmals vorkommenden Auftreten von mehreren Beteiligten mitunter sehr komplex gestalten kann. Neben dem Hersteller der digitalen Gesundheitsanwendungen kommen dabei in Betracht: ein ggf. vom Hersteller abweichender Betreiber, Ärztinnen und Ärzte, andere medizinische Leistungserbringer, Cloud-Dienste-Anbieter und andere Dienstleister.

Im Hinblick auf die erfolgenden Datenverarbeitungsvorgänge sowie die Datenverarbeitungszwecke und deren Kontext/Lebenssachverhalt, in welchen diese eingebettet sind, müssen anschließend die datenschutzrechtlichen Rollenbeziehungen der verschiedenen Beteiligten bestimmt werden. Hier kann es zu unterschiedlichen Konstellationen kommen, beispielweise da ein Auftragsverarbeiter hinsichtlich eines anderen Verarbeitungsvorgang als Verantwortlicher (Art. 4 Nr. 7 DSGVO) einzustufen ist und mithin eine Doppelrolle einnimmt. Die Herausforderung besteht darin, das datenschutzrechtliche Vertragswerk entsprechend an den tatsächlichen Gegebenheiten auszurichten und ein Nebeneinander von Auftragsverarbeitung und getrennter/gemeinsamer Verantwortlichkeit abzubilden.

Die Schwelle zu einer gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO ist dabei nach den Grundsätzen, die der EuGH in seiner Rechtsprechung der letzten Jahre aufgestellt hat, in der Regel schnell erreicht. Nach dem EuGH kann die sich Mitwirkung an der Festlegung über die Zwecke und Mittel der Verarbeitung sowohl aus einer gemeinsamen als auch aus einer übereinstimmenden Entscheidung ergeben. Eine gleichwertige Verantwortlichkeit unter den verschiedenen Beteiligten ist nicht erforderlich, ausreichend ist der Einbezug in verschiedenen Phasen der Datenverarbeitung. Der Grad der Verantwortlichkeit ist unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen. Für die Annahme einer gemeinsamen Verantwortlichkeit ist es nicht erforderlich, dass jeder Beteiligte Zugang zu den betreffenden personenbezogenen Daten hat.

Mit Urteil vom 5. Dezember 2023 (Rechtssache C-683/21) hat der EuGH diese Grundsätze dahingehend ergänzt, dass die Einstufung zweier Beteiligter als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen überhaupt eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder allgemein eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind. Vorausgegangen war eine Vorlagefrage aus Litauen, welche die Rollenbeziehung eines staatlichen Gesundheitszentrum und einem IT-Unternehmen im Rahmen der Entwicklung einer Softwareanwendung anlässlich der COVID-19-Pandemie betraf. Das staatlichen Gesundheitszentrum hatte die Softwareanwendung beauftragt und war im Rahmen der Entwicklung auch teilweise einbezogen. Ein Erwerb der Anwendung fand jedoch nicht statt, dennoch hatte das IT-Unternehmen die Anwendung zum Download öffentlich bereitgestellt.

Für einen Überblick zu den datenschutzrechtlichen Rollen(-beziehungen) sowie dem EuGH-Dauerbrenner „Gemeinsame Verantwortlichkeit“: Übersichtsbeitrag und Webinar von Andreas Lewald.

 

Cloud-Funktionen und Benutzerkonten

Nach Ansicht der DSK muss die Verwendung der digitalen Gesundheitsanwendung auch ohne Nutzung von Cloudfunktionen und ohne Verknüpfung mit einem Benutzerkonto möglich sein, es sei denn, die Cloudfunktion ist unbedingt für die Erreichung eines therapeutischen Nutzens erforderlich und die Funktion wird von der betroffenen Person ausdrücklich gewünscht. Die betroffene Person müsse eine entsprechende Auswahlmöglichkeit erhalten (z.B. im Registrierungsprozess) und über etwaige bestehende Vorteile und Risiken, die mit der Cloudanwendung verbunden sind, informiert werden. Zur Begründung führt die DSK den Grundsatz „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ nach Art. 25 Abs. 1 DSGVO an, ohne dies aber näher zu auszuführen. Es bleibt bei dieser pauschalen Ansicht, die einzelfallabhängig auf ihre Belastbarkeit hin überprüft werden sollte.

Werden im Rahmen einer digitalen Gesundheitsanwendung (in Kombination oder als Ergänzung) auch Waren oder Dienstleistungen angeboten, sind darüber hinaus die ähnlich gelagerten DSK-Hinweise aus dem Beschluss „Datenschutzkonformer Online-Handel mittels Gastzugang“ vom 24. März 2022 zu berücksichtigen. Ausgehend von der diskussionswürdigen Position der Aufsichtsbehörden zu Art. 7 Abs. 4 DSGVO fordert darin die DSK, dass Kunden immer eine Bestellung per Gastzugang als Möglichkeit zur Verfügung stehen muss.

Woraus die DSK eine spezifische Informationspflicht über Vorteile und Risiken der Nutzung von Cloud-Funktionen ableiten will, bleibt unklar. Soweit sie dies mit Art. 13 DSGVO begründen möchte, bleibt festzuhalten, dass die Norm eine solche Pflicht schlicht nicht vorsieht.

 

Datenübermittlungen in Drittländer

Bei Drittlandsübermittlungen müssen Datenexporteure die Anforderungen des Kapitel 5 der DSGVO einhalten und laut DSK gegebenenfalls zusätzliche Maßnahmen ergreifen, damit ein ausreichendes Schutzniveau gewährleistet werden kann. Zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten, die nach Art. 28 DSGVO im Auftrag innerhalb der EU/des EWR verarbeitet werden, weist die DSK auf ihren Beschluss vom 31. Januar 2023 hin.

In diesem Beschluss stellt die DSK zwar fest, dass die Gefahr allein, dass eine Drittlands-Muttergesellschaft die Tochtergesellschaft anweisen könnte oder öffentliche Stellen aus Drittländern unmittelbar diese Tochtergesellschaft zur Übermittlung anweisen könnten, nicht genügt, um eine Übermittlung nach Kapitel V (Artt. 44 ff. DSGVO) anzunehmen. Dem Risiko, dass eine Norm oder Praxis, die nach EU-Recht unzulässige Verarbeitungen personenbezogener Daten verlangen kann, auf die Tochtergesellschaft von Drittlands-Unternehmen anwendbar ist, erfordert nach Ansicht der DSK jedoch eine umfangreiche Überprüfung der Zuverlässigkeit des Auftragsverarbeiters gem. Art. 28 Abs. 1 DSGVO.

Biete der Auftragsverarbeiter nach dieser Prüfung keine hinreichenden Garantien, seien die Risiken einer europarechtswidrigen Datenverarbeitung durch technische und organisatorische Maßnahmen auszugleichen, die genau diejenigen Defizite der Rechtslage oder -praxis des drittstaatlichen Rechts mitigieren, die zu der mangelnden Zuverlässigkeit des Auftragsverarbeiters geführt haben. Für die Frage, welche Maßstäbe an diese Maßnahmen zu stellen sind, verweist die DSK ohne weitere Differenzierung auf die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses, die aber wohlgemerkt für explizite Übermittlungen in Drittländer gelten.

Mit dieser Rechtsauffassung verlagert die DSK im Ergebnis die aus dem „Schrems II“-Urteil des EuGH (Urteil vom 16. Juli 2020 – C-311/18) resultierenden und bereits bekannten Prüfanforderungen bezogen auf Drittlandübermittlungen auf die Zuverlässigkeitsprüfung des Auftragsverarbeiters vor. Die Anforderungen, die die DSK dabei an die Zuverlässigkeit des Auftragsverarbeiters und die korrespondierende Prüfung des Verantwortlichen stellt, sind zu weitgehend, systematisch nicht überzeugend und abzulehnen.

Von der DSK unerwähnt bleibt zu berücksichtigen, dass sich aus fachgesetzlichen Vorschriften unter Umständen ein Verbot der Verarbeitung in Ländern im EU-Ausland und ohne Angemessenheitsbeschluss nach Art. 45 DSGVO ergeben kann, beispielsweise §§ 77 Abs. 3 S. 1, 80 Abs. 2 SGB X.

 

Weiternutzung von Daten

In Bezug auf die Weiternutzung und -verarbeitung von personenbezogenen Daten beispielweise zu Forschungszwecken oder zur Qualitätssicherung verweist die DSK auf viel Bekanntes:

  • Erfordernis einer Rechtsgrundlage,
  • Hinweise zur Verarbeitung anonymisierter Daten,
  • Mögliche Rechtsgrundlage zur Qualitätssicherung für Hersteller von Medizinprodukten (Verpflichtung aus der EU-Medizinprodukte-VO i.V.m. Art. 6 Abs. 1 S. 1 lit. c, Art. 9 Abs. 2 lit. i DSGVO, § 22 Abs. 1 Nr. 1 lit. c BDSG).

Mit Urteil vom 21. Dezember 2023 (Rechtssache 667/21) hat der EuGH nunmehr klargestellt, dass bei der Betrachtung der Frage der Zulässigkeit bzw. Rechtmäßigkeit einer Datenverarbeitung von Gesundheitsdaten Art. 9 DSGVO in Kombination mit Art. 6 Abs. 1 DSGVO heranzuziehen ist. Dies entspricht der bereits weitläufig angewandten Praxis. Daraus ergibt sich auch, dass bei Gesundheitsdaten die Interessenabwägung zur Rechtfertigung nicht möglich ist, sondern im Regelfall allein die Einwilligung der Betroffenen als Rechtfertigungsinstrument zur Verfügung steht.

Im gleichen Urteil hat der EuGH zudem eine Präzisierung zu Art. 6 Abs. 4 DSGVO (Zweckänderung) vorgenommen. Wie hier anhand eines Vergleiches der Entscheidungsgründe des EuGH mit einem Urteil aus dem Jahr 2021 dargelegt, sieht der EuGH nunmehr allein in Art. 6 Abs. 1 DSGVO die „erschöpfende und abschließende Liste der Fälle […], in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann“ (Rn. 75). Zuvor hatte der EuGH noch pauschal auf den gesamten Art. 6 DSGVO abgestellt.

Die Zweckänderung oder zweckändernde Weiterverarbeitung unter den Voraussetzungen von Art. 6 Abs. 4 DSGVO ist damit nach dem EUGH gerade keine eigenständige die Datenverarbeitung rechtfertigende Erlaubnisnorm. Es bedarf immer zusätzlich auch einer Bedingung aus Art. 6 Abs. 1 Satz 1 DSGVO, damit die Weiterverarbeitung für einen anderen (kompatiblen) Zweck rechtmäßig ist. Die Auswirkungen dieser Präzisierung der Rechtsprechung des EuGH hat aber keine große Auswirkungen: die Erfüllung der Anforderungen aus Art. 6 Abs. 4 DSGVO dürfte in aller Regel auch die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO zugunsten des Verantwortlichen ausschlagen lassen.

Daneben vertritt die DSK die Ansicht, dass häufig vorkommende Mechanismen der Reichweitenanalyse und Software-Fehlerverfolgungsmechanismen, die beispielsweise das Installationsverhalten und allgemeine Funktionalitätsaspekte der Software überprüfen (Telemetrie), nicht mit dem „Zweck der Anwendung“ vereinbar seien. Aus dem Gesamtkontext lässt sich zwar schließen, dass die DSK hier die zweckändernde Weiterverarbeitung im Blick hat. Eine weitere Begründung, insbesondere zu der Frage, woraus sie die Unvereinbarkeit ableitet, liefert die DSK nicht. Einzelfallabhängig und diskussionswürdig ist hierbei jedoch die Frage, ob und inwiefern Telemetrie-Datensätze einer zweiten/weiteren Zweckbestimmung durch einen weiteren Beteiligten unterliegen (können) und eine Verarbeitung damit zusätzlich auch in dessen Verantwortlichkeit erfolgt. Die DSK scheint eine solche Möglichkeit nicht in Betracht zu ziehen.

 

Betroffenenrechte

Die Wahrung der datenschutzrechtlichen Betroffenenrechte ist per se kein gesondert erwähnungsbedürftiger Umstand. Ausgehend von der erhöhten Sensibilität der betroffenen personenbezogenen Daten weist die DSK allerdings zutreffend darauf hin, dass eine vorgeschaltete sichere Authentifizierung des Antragstellers erfolgen muss.

Ergänzend sei im Kontext von Betroffenenrechten auf das Urteil des EuGH vom 26. Oktober 2023 (Rechtssache C 307/22) hingewiesen, wonach Patienten das Recht auf die Bereitstellung einer unentgeltlichen ersten Kopie ihrer Patientenakte haben und demnach die Kostenregelung aus § 630g Abs. 2 S. 2 BGB, der vor Inkrafttreten der DSGVO erlassen wurde, diesem Grundsatz widerspricht.

 

Sicherheit der Verarbeitung

Da mit Verarbeitungstätigkeiten im Rahmen von digitalen Gesundheitsanwendungen in der Regel in nicht unerheblicher Anzahl Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) betroffen sind und somit besondere Kategorien personenbezogener Daten verarbeitet werden (Art 9 DSGVO), weist die DSK auf das Prüfungserfordernis für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO hin. Die Erforderlichkeit zur vorherigen Durchführung einer DSFA dürfte regelmäßig gegeben sein, da eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten besteht (vgl. Art. 35 Abs. 3 lit. b DSGVO).

Neben zahlreichen technischen und organisatorischen Maßnahmen empfiehlt die DSK die Orientierung an den technischen Richtlinien des Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Informationssicherheit und Best-Practice-Guidelines zur sicheren Implementierung von Anwendungen (z.B. des Open Web Application Security Projects). Zu den BSI-Richtlinien zählen: BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen – Teil 1: Mobile Anwendungen, BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen – Teil 2: Web-Anwendungen sowie BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen – Teil 3: Hintergrundsysteme.