Teil 3 dieser Blogserie: Weitere Pflichten des DiGA-Herstellers als Verantwortlicher
Im ersten Teil unserer Blogserie haben wir beleuchtet, was eine DiGA ist und was nicht. Im zweiten Teil haben wir Ihnen einen Überblick über die wichtigsten Kriterien gegeben, die eine DiGA aus datenschutzrechtlicher Sicht erfüllen muss. Die Datenschutzkriterien des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) (abrufbar unter https://www.bfarm.de/DE/Medizinprodukte/Aufgaben/DiGA-und-DiPA/Datenschutzkriterien/_node.html, nachfolgend auch „BfArM-Datenschutzkriterien“) bilden insbesondere die Datenschutzgrundsätze des Art. 5 DSGVO ab und orientieren sich an den Gewährleistungszielen des Standarddatenschutzmodels.
Im dritten und letzten Teil dieser Blogserie möchten wir die Pflichten des DiGA-Herstellers als Verantwortlichen näher beleuchten. Denn die Datenschutzgrundsätze müssen nicht nur in der digitalen Anwendung, sondern in der gesamten Organisation des DiGA-Herstellers verankert sein. Im letzten Beitrag unserer Serie geht es daher vor allem darum, wie die Datenschutzorganisation des DiGA-Herstellers aufgebaut sein muss, ob und wie Auftragsverarbeiter eingesetzt werden dürfen und in welche anderen Länder die Daten einer DiGA übermittelt werden dürfen. Wie jeder datenschutzrechtlich Verantwortliche hat auch der DiGA-Hersteller Dokumentationspflichten.
Wahrnehmung von Verantwortung (Teil 3 Ziffer 10 der BfArM-Datenschutzkriterien)
Der DiGA-Hersteller hat eine dem Risiko angemessene Datenschutzorganisation einzurichten. Dazu gehört u. a. die Bestellung eines fachlich geeigneten Datenschutzbeauftragten. Der Datenschutzbeauftragte darf keine Aufgaben im Zusammenhang mit der Entwicklung oder dem Betrieb der digitalen Anwendung wahrnehmen, die zu einem Interessenkonflikt mit der Rolle des Datenschutzbeauftragten führen könnten. Der Datenschutzbeauftragte muss Zugang zu allen Verarbeitungsvorgängen und der entsprechenden Dokumentation haben. Es soll eine Unternehmenskultur gefördert werden, in der der Datenschutzbeauftragte proaktiv einbezogen wird. Er muss aus eigener Initiative Verbesserungen vorschlagen und verlangen können. Eine Ablehnung der Vorschläge des Datenschutzbeauftragten muss begründet und dokumentiert werden.
Alle Mitarbeiterinnen und Mitarbeiter, die mit der Verarbeitung personenbezogener Daten befasst sind, sind auf das Datengeheimnis zu verpflichten.
Der Kreis der Mitarbeiter, die Zugriff auf personenbezogene Daten haben, ist nach dem Need-To-Know-Prinzip auf das notwendige Maß zu beschränken. Der DiGA-Hersteller muss die Rollen seiner Mitarbeiter so definiert haben, dass aus der Stellenbeschreibung hervorgeht, ob ein Zugriff auf personenbezogene Daten, die über die digitale Anwendung verarbeitet werden, erforderlich ist.
Der Entwicklungs- und Betriebsprozess der digitalen Anwendung ist so zu gestalten, dass Datenschutzrisiken erkannt und überwacht werden. Dies bedeutet z. B., dass neue Leistungsmerkmale der digitalen Anwendung erst nach einer Abschätzung der damit verbundenen möglichen Risiken für die Rechte und Freiheiten natürlicher Personen einem konkreten Release zugeordnet werden und die erforderlichen technisch-organisatorischen Maßnahmen mindestens zeitgleich mit dem Release in Kraft gesetzt werden. Kurzfristige Änderungen an der digitalen Anwendung dürfen nicht dazu führen, dass die Wirksamkeit der bestehenden technischen und organisatorischen Maßnahmen geschwächt wird. Die Mitarbeiterinnen und Mitarbeiter, die für die Analyse und Gestaltung der digitalen Anwendung verantwortlich sind, müssen über aktuelle Kenntnisse der technischen Maßnahmen zum Datenschutz verfügen.
Der DiGA-Hersteller muss Prozesse eingerichtet haben, die eine rechtzeitige Benachrichtigung der Aufsichtsbehörden im Falle einer Verletzung des Schutzes personenbezogener Daten gewährleisten. Diese Pflicht beinhaltet die Erstellung eines Ablaufplans. Dieser Plan muss eine klare Definition der Entscheidungsverantwortung enthalten. Der Verantwortliche muss die Möglichkeiten der digitalen Anwendung nutzen, um die betroffene Person über eine Verletzung des Schutzes personenbezogener Daten mit hohem Risiko zu informieren, auch wenn ausschließlich pseudonyme Daten verarbeitet werden. Dies kann z.B. über ein Pop-Up in der digitalen Anwendung erfolgen. Es müssen technisch-organisatorische Maßnahmen vorgesehen werden, um eine Änderung der Anmeldedaten zu erzwingen. Diese können in der Vorgabe einer Richtlinie im Anmeldeverfahren liegen, die nach der ersten Anmeldung oder nach einem festgelegten Zeitraum (z.B. alle drei Monate) eine Änderung erzwingt und ansonsten keine Anmeldung mehr zulässt. Microsoft Entra ID (ehemals Active Directory) und vergleichbare Dienste ermöglichen eine einfache Vorgabe solcher Policies durch vordefinierte Einstellungen. Bei Eigenentwicklungen kann dies durch Datenfelder erreicht werden, die einen Login-Count und die letzte Passwortänderung vorhalten.
Auftragsverarbeitung und Datenübermittlung (Teil 3 Ziffer 11 der BfArM-Datenschutzkriterien)
Grundsätzlich kann der Hersteller den DiGA-Dienstleister mit der Datenverarbeitung beauftragen. Verarbeitet der Dienstleister personenbezogene Daten der DiGA, ist in der Regel ein Auftragsverarbeitungsvertrag abzuschließen. Ein Auftragsverarbeitungsvertrag muss nach Art. 28 DSGVO bestimmte Regelungen enthalten (vgl. Art. 28 Abs. 3 lit a) -h), Abs. 4 DSGVO). Das BfArM fordert in seinen Ausführungen zu den datenschutzrechtlichen Kriterien zum einen, dass die Vorgaben des Art. 28 DSGVO vertraglich abgesichert und im Verhältnis zum Auftragsverarbeiter gelebt werden. So darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen, also des DiGA-Herstellers, verarbeiten. Der Auftragsverarbeitungsvertrag muss eine entsprechende Regelung enthalten. Darüber hinaus muss der DiGA-Hersteller ein Verfahren zur Dokumentation und Kontrolle der erteilten Weisungen einrichten.
Praxistipp: Die EU-Kommission hat EU-Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern veröffentlicht (abrufbar unter https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_de). Es empfiehlt sich, diese vorformulierten und von der EU-Kommission genehmigten Musterklauseln als Auftragsverarbeitungsvertrag zu verwenden. Denn diese erfüllen die Anforderungen des Art. 28 DSGVO. Achtung: Es dürfen nur die Anhänge ausgefüllt und die von der EU-Kommission vorgeschlagenen Optionen gewählt werden. Ansonsten dürfen keine Änderungen an den Klauseln vorgenommen werden.
Vor Abschluss eines Vertrags mit einem Auftragsverarbeiter muss sich der Verantwortliche vergewissert haben, dass der Auftragsverarbeiter aufgrund seines Fachwissens, seiner Zuverlässigkeit und der ihm zur Verfügung gestellten Ressourcen ausreichende Garantien für die Sicherheit der Verarbeitung bietet. Zu diesem Zweck soll er vom Auftragsverarbeiter Nachweise über Zertifizierungen verlangen.
Im Rahmen der Digitalisierung sind Dienstleister aus den USA oft unumgänglich. Der Einsatz von US-Tools in einer DiGA war bis Juli 2023 nicht möglich. Denn die DiGAV beschränkt den Ort der Datenverarbeitung für die von der DiGA verarbeiteten Daten auf die Bundesrepublik Deutschland, die Mitgliedstaaten der Europäischen Union, die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR) und die Schweiz sowie auf Staaten, für die ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt. Mit dem Erlass des Angemessenheitsbeschlusses zum neuen Datenschutzrahmen zwischen der EU und den USA (sog. Data Privacy Framework) durch die Europäische Kommission können seit dem 10. Juli 2023 personenbezogene Daten wieder rechtssicher aus der Europäischen Union in die USA übermittelt werden. Voraussetzung hierfür ist jedoch, dass der US-Anbieter, den der DiGA-Hersteller nutzen möchte, nach dem Data Privacy Framework zertifiziert ist. Die Nutzung z. B. eines europäischen Dienstleisters mit US-amerikanischer Muttergesellschaft ohne entsprechende Zertifizierung bleibt im Rahmen der DiGA weiterhin schwierig und ist nur unter engen Voraussetzungen möglich (siehe weitere Informationen des BfArM unter folgendem Link https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/Datenverarbeitung_ausserhalb_Deutschlands_FAQ.pdf?__blob=publicationFile).
Praxistipp: Ob ein US-Anbieter bereits nach dem Data Privacy Framework zertifiziert ist, kann über eine Suche auf der folgenden Website der US-Handelskammer ermittelt werden: https://www.dataprivacyframework.gov/list.
Datenschutz-Folgenabschätzung und Verzeichnis von Verarbeitungstätigkeiten (Teil 3 Ziffer 12 der BfArM-Datenschutzkriterien)
Der DiGA-Hersteller muss die erforderliche Datenschutzdokumentation erstellen und pflegen. Dazu gehören die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und die Erstellung eines Verarbeitungsverzeichnisses.
Praxistipp: Nutzen Sie eine Datenschutzsoftware für die erforderliche Datenschutzdokumentation. Wir können Ihnen PLANIT//PRIMA empfehlen. Weitere Informationen zu dieser Software finden Sie unter folgendem Link: https://www.planitprima.com/
Das BfArM orientiert sich bei der Durchführung der DSFA am Standarddatenschutzmodell. Danach soll eine DSFA folgende Schritte umfassen:
- Durchführung einer Schwellenwertanalyse
- Ermittlung der Risiken und Abschätzung der Folgen für die Rechte und Freiheiten natürlicher Personen
- Festlegung der technischen und organisatorischen Maßnahmen zur Minimierung der Risiken
- Bewertung der verbleibenden Risiken und ihrer verbleibenden Auswirkungen
- Verbleiben hohe Risiken bedarf es einer Abstimmung mit dem Bundesdatenschutzbeauftragten oder der zuständigen Landesdatenschutzbehörde (Art. 36 DSGVO)
Im Rahmen der Schwellwertanalyse ist zu prüfen, ob die Durchführung einer DSFA für die digitale Anwendung erforderlich ist.
Praxistipp: Die Datenschutzkonferenz (DSK, der Zusammenschluss aller deutschen Bundes- und Landesdatenschutzbehörden) hat eine Liste veröffentlicht, aus der sich ergibt, wann eine DSFA durchzuführen ist. Diese ist unter folgendem Link abrufbar: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf.
Technische und Organisatorische Maßnahmen (Teil 3 Ziffer 13 der BfArM-Datenschutzkriterien)
Der Verantwortliche der digitalen Anwendung und die von ihm als Auftragsverarbeiter eingesetzten Dienstleister müssen geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik treffen, um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten der DiGA zu gewährleisten. Diese Maßnahmen umfassen gegebenenfalls unter anderem
- Pseudonymisierung und Verschlüsselung personenbezogener Daten. Die Pseudonymisierung dient dazu, die Zuordnung von Daten zu Personen zu erschweren. Technisch kann sie z.B. durch Tokenisierung, Verschlüsselung, Datenmaskierung oder Datenshuffling umgesetzt werden: Bei der Tokenisierung werden sensible Daten durch eindeutige Bezeichner (Tokens) ersetzt. Diese Tokens sind nicht direkt mit den Originaldaten verknüpft. Bei der Verschlüsselung werden die Daten so umgewandelt, dass sie ohne den richtigen Schlüssel nicht lesbar sind. Bei der Datenmaskierung werden Datensätze mit Hilfe einer Tabelle bestimmten Pseudonymen zugeordnet. Dabei ist darauf zu achten, dass kein direkter Bezug zu den Originaldaten hergestellt werden kann. Beim Data Shuffling wird die Reihenfolge der Daten verändert, um eine Identifizierung zu erschweren.
- Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten. Dies sind grundlegende Schutzziele der Informationssicherheit.
Vertraulichkeit kann unter anderem durch folgende Mechanismen erreicht werden:
- Zugriffskontrolle: Nur autorisierte Benutzer dürfen auf Informationen zugreifen.
- Verschlüsselung: Informationen werden in einen unlesbaren Code umgewandelt, der nur mit einem gültigen Schlüssel wieder entschlüsselt werden kann.
- Sicherheitsrichtlinien: Festlegung von Regeln für die Speicherung, Verarbeitung und Übertragung innerhalb eines Systems.
Integrität zielt darauf ab, Informationen vor unbefugter Veränderung oder Zerstörung zu schützen. Mechanismen zur Gewährleistung der Integrität sind u.a:
- Prüfsummen: Überprüfung der Integrität von Daten durch Berechnung von Prüfsummen.
- Digitale Signaturen: Authentifizierung und Schutz der Datenintegrität.
- Protokollierung von Änderungen: Nachvollziehbarkeit von Änderungen.
Verfügbarkeit stellt sicher, dass berechtigte Nutzer jederzeit auf Informationen und Systeme zugreifen können. Dies kann z.B. gewährleistet werden durch
- Redundanz: Backup-Systeme zur Vermeidung von Ausfällen.
- Lastverteilung: Verteilung der Last auf mehrere Systeme.
- Sorgfältige Wartung: Regelmäßige Wartung und Überwachung der Systeme.
Resilienz bezieht sich auf die Fähigkeit eines Systems, unter Stress oder Angriffen zu funktionieren. Dies kann unter anderem erreicht werden durch
- Robuste Architektur: Entwicklung von Systemen, die Ausfälle tolerieren können.
- Notfallpläne: Vorbereitung auf unerwartete Ereignisse.
- Regelmäßige Tests: Überprüfung der Belastbarkeit der Systeme.
Diese Eckpfeiler der IT-Sicherheit sind in der Regel auch Bestandteil standardisierter Zertifizierungen wie ISO27001 oder BSI-Grundschutz. Sie sind auch Bestandteil der NIS2-Verordnung.
- die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls schnell wiederherzustellen. Neben den oben genannten Eckpfeilern gibt es weitere beispielhafte Möglichkeiten (z. B. Datensicherung und ein zuverlässiges Backup-Konzept; redundante Systeme und Überwachung der Systemauslastung).
Es sind auch die Bedürfnisse der Zielgruppe und typische Nutzungsmuster zu berücksichtigen. Nutzer und Nutzerinnen der DiGA dürfen nicht durch unüberschaubare Maßnahmen dazu verleitet werden, die digitale Anwendung in einer Weise zu nutzen, die diese Maßnahmen unterläuft oder die Wahrscheinlichkeit des Eintretens anderer Risiken erhöht.
Die technisch-organisatorischen Maßnahmen sind zu dokumentieren. Dies kann zum Beispiel in einem TOMs-Konzept und einem Sicherheitskonzept erfolgen. Der Verantwortliche muss angeben, welche Referenzen (Normen, Standards, Richtlinien usw.) er als Maßstab für den “Stand der Technik” verwendet hat. Im Rahmen der Dokumentation der Maßnahmen muss der Verantwortliche die Wahl der Maßnahmen begründen. Er muss darlegen, welche Alternativen geprüft und aus welchen Gründen sie verworfen wurden. Der Verantwortliche muss ein Verfahren zur regelmäßigen Überprüfung der technischen und organisatorischen Maßnahmen einrichten.
Wenn Sie sich fragen, welche technisch-organisatorischen Maßnahmen Sie konkret ergreifen müssen und ob die von Ihnen geplanten Maßnahmen dem Stand der Technik entsprechen, empfiehlt sich eine Orientierung am IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Praxistipp: Das BSI hat einen Leitfaden für die Entwicklung sicherer Web-Anwendungen erstellt. Dieser enthält ab Seite 45 hilfreiche Checklisten. Er ist abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Webanwendungen/Webanw_Auftragnehmer.pdf?__blob=publicationFile&v=1. Außerdem hat die DSK eine Orientierungshilfe “Anforderungen an Anbieter von Online-Diensten zur Zugangssicherung veröffentlicht (abrufbar unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_anbieter_onlinedienste.pdf). Darin werden Maßnahmen zur Zugangssicherung von u.a. Apps beschrieben, die dem Stand der Technik entsprechen.
Darüber hinaus möchten wir kurz auf folgende Pflichten der Verantwortlichen (DiGA-Hersteller) hinweisen:
Wenn eine Version der digitalen Anwendung für mobile Plattformen bereitgestellt werden soll, muss der Verantwortliche alternative Vertriebskanäle zu den App Stores prüfen. Diese Prüfung ist regelmäßig zu wiederholen.
Sofern die digitale Anwendung über mobile Endgeräte genutzt werden kann, muss der Verantwortliche Maßnahmen zum Schutz der über das Gerät zugänglichen oder abrufbaren personenbezogenen Daten treffen, die auch bei Verlust oder Diebstahl des Endgeräts wirksam sind. Insbesondere darf der bloße Besitz des Geräts nicht dazu führen, dass Unbefugte Zugang zu personenbezogenen Daten der betroffenen Person erhalten. Der Verantwortliche muss beispielsweise ein Verfahren eingerichtet haben, mit dem alle mit einem Benutzerkonto verknüpften Daten für externe Zugriffe gesperrt werden. Der Verantwortliche muss in der digitalen Anwendung bzw. in den damit verbundenen Prozessen der Benutzerverwaltung Maßnahmen verankert haben, die ein sicheres Zurücksetzen von Zugangsdaten bzw. die Ausgabe neuer Zugangsdaten an die betroffene Person ermöglichen. Die Person muss dabei als rechtmäßiger Inhaber des Kontos authentifiziert werden können. Dies wird in der Regel durch eine Multi-Faktor-Authentifizierung erreicht, bei der z.B. über eine Authentifizierungs-App (Microsoft oder Google Authenticator) oder eine SMS eine weitere Ebene der Identitätssicherung hinzugefügt wird.
Im Rahmen der technisch-organisatorischen Maßnahmen geht es neben der Sicherheit der Verarbeitung auch um Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. In der digitalen Anwendung müssen die datenschutzfreundlichsten Systemeinstellungen voreingestellt sein (Privacy by Default). Nutzerinnen und Nutzer müssen in der digitalen Anwendung gewarnt werden, wenn eine Änderung einer Systemeinstellung neue oder erhöhte Risiken für ihre Rechte und Freiheiten mit sich bringt. Außerdem müssen sie in der Lage sein, die datenschutzfreundlichste Systemeinstellung auf einfache und intuitive Weise wiederherzustellen. Die digitale Anwendung muss durchgängig das Prinzip der “Fail-Safe Defaults” anwenden, d. h. jeder nicht explizit autorisierte Zugriffsversuch muss abgewiesen werden. Diese sind ein wichtiger Aspekt bei der Gestaltung von Authentifizierungssystemen. Sie zielen darauf ab, die Sicherheit zu erhöhen, indem sichergestellt wird, dass Benutzer nur Zugriffsrechte erhalten, die ihnen explizit zugewiesen wurden. Dies kann unter anderem durch eine saubere Architektur der Authentifizierung und Autorisierung mit Verschlüsselung und sicherem Hashing der Zugangsdaten zum Schutz vor Hackerangriffen erreicht werden. Entscheidend ist ein Rechtemanagement, bei dem die Zuordnung von Berechtigungsprofilen zu Benutzerrollen so erfolgt, dass Benutzer nur auf die Funktionen zugreifen können, für die sie berechtigt sind. Darüber hinaus muss jeder Zugriff bei jedem Versuch überprüft werden („vollständige Mediation“). Dies verhindert unberechtigte Zugriffe und sichert die Integrität des Systems.
Fazit
Nicht nur die DiGA, sondern auch das Unternehmen des DiGA-Herstellers hat datenschutzrechtliche Anforderungen zu erfüllen. Diese unterscheiden sich nicht wesentlich von den Pflichten anderer Unternehmen als Verantwortliche für personenbezogene Daten. Wenn Sie Ihr Unternehmen gegründet haben, um die DiGA zu vermarkten, können diese vielfältigen Pflichten Sie vor große Herausforderungen stellen. Nutzen Sie daher unsere langjährige Erfahrung im Aufbau risikoadäquater Datenschutzorganisationen auch im pharmazeutischen Umfeld bei Arzneimittel- und Medizinprodukteherstellern.
Gerne übernehmen wir auch die Funktion des Datenschutzbeauftragten. Sprechen Sie uns an. Wir freuen uns auf Sie!
Dr. Anna-Kristina Roschek
Rechtsanwältin
E-Mail: anna.roschek@planit.legal
Telefon: +49 (0) 40 609 44 190