Teil 2 dieser Blogserie: Überblick über die DiGA-Datenschutzkriterien

Im ersten Teil unserer Blogserie haben wir beleuchtet, wann eine App-Idee DiGA-tauglich ist und einen ersten groben Überblick über die datenschutzrechtlichen Anforderungen an eine DiGA gegeben. Im zweiten Teil der Blogserie möchten wir Ihnen einen detaillierten Überblick über die wichtigsten Kriterien geben, die eine DiGA aus datenschutzrechtlicher Sicht erfüllen muss. Die Darstellung erhebt keinen Anspruch auf Vollständigkeit.

Praxistipp: Einen umfassenden Überblick finden Sie in den Datenschutzkriterien des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) (abrufbar unter folgendem Link https://www.bfarm.de/DE/Medizinprodukte/Aufgaben/DiGA-und-DiPA/Datenschutzkriterien/_node.html) (nachfolgend auch „BfArM-Datenschutzkriterien“).

Sie möchten eine digitale Pflegeanwendung (DiPA) entwickeln, lesen Sie dennoch weiter. Denn die vom BfArM veröffentlichten Datenschutzkriterien gelten größtenteils auch für DiPA. Wenn Sie eine DiGA oder DiPA entwickeln wollen, empfehlen wir Ihnen, sich intensiv mit den Datenschutzkriterien des BfArM auseinanderzusetzen und sich datenschutzrechtlich beraten zu lassen. Im Folgenden wird jedoch zunächst ein detaillierter Überblick über die Datenschutzkriterien des BfArM gegeben:

1. Rechtmäßigkeit und Zweckbindung (Teil 2 Ziffer 2 und 4 der BfArM-Datenschutzkriterien)

Die digitale Gesundheitsanwendung darf Daten nur für bestimmte in der Verordnung über digitale Gesundheitsanwendungen (DiGAV) festgelegte Zwecke und nur auf der Grundlage der Einwilligung der Nutzer und Nutzerinnen verarbeiten. Die DiGAV sieht die Datenverarbeitung   

  • zur bestimmungsgemäßen Nutzung der DiGA,
  • zum Nachweis positiver Versorgungseffekte,
  • zur Ermittlung erfolgsabhängiger Preisbestandteile sowie
  • zur dauerhaften Sicherstellung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung der DiGA vor.

Die Speicherung und Verarbeitung von Daten zu einem der oben aufgeführten legitimen Zwecken einer DiGA muss technisch getrennt von der Speicherung und Verarbeitung von Daten zu anderen Zwecken erfolgen (Gewährleistungsziel der Nichtverkettbarkeit).

Mit der Freischaltung der digitalen Anwendung ist für den Nutzer bzw. die Nutzerin ein Benutzerkonto anzulegen. Alle zu dem Nutzer bzw. der Nutzerin verarbeiteten Daten müssen an dieses Benutzerkonto gebunden sein. Benutzerkonten müssen pseudonym sein. Auch alle Einwilligungen sind mit diesem Konto zu verknüpfen. Über den Freischaltcode, der als Nachweis für die Kostenerstattung dient, wird die Möglichkeit der Authentisierung ohne Identifizierung eröffnet. Die Erteilung und der Widerruf der Einwilligungen sind auf den elektronischen Weg über die digitale Anwendung beschränkt, um die Pseudonymisierung zu wahren.

Die Anforderung, alle Daten mit einem pseudonymen Benutzerkonto zu verknüpfen, wird viele DiGA-Hersteller vor Herausforderungen stellen. Folgende Fragen sind beispielsweise denkbar: Wie viele Daten können z.B. in einer DiGA abgefragt werden, ohne eine Re-Identifizierung des Nutzers bzw. der Nutzerin zu ermöglichen? Wie versende ich die für die Nutzung der DiGA erforderliche Hardware, wenn ich nur pseudonyme Nutzerdaten verarbeiten darf? Hier könnte ein Datentreuhänder die Lösung sein, der Name und Anschrift der Nutzer und Nutzerinnen ausschließlich zum Versand der Hardware kennt. Ist eine persönliche Ansprache des Nutzers bzw. der Nutzerin mit DiGA möglich? Diese ist laut BfArM möglich, wenn klar erkennbar ist, dass nur die Eingabe des Vornamens oder eines Pseudonyms erwünscht ist. Wie kann technisch sichergestellt werden, dass z.B. andere für DiGA notwendige Funktionen des Smartphones wie Adressbuch oder Kamera genutzt werden können, ohne dass eine Identifizierung des Nutzers direkt oder über Dritte möglich ist?

Verarbeitung nach Treu und Glauben (Teil 2 Ziffer 3 der BfArM-Datenschutzkriterien)

Die digitale Anwendung muss die vernünftigen Erwartungen der betroffenen Personen in Bezug auf die Verarbeitung personenbezogener Daten berücksichtigen. Mit anderen Worten: Die digitale Anwendung darf keine Datenverarbeitungen vornehmen, die ein vernünftiger Betroffener nicht erwarten würde. Die vernünftige Erwartung des Betroffenen orientiert sich an dem, was in der Branche im Allgemeinen und bei mutmaßlich gleichartigen Anwendungen üblich ist. Auch Werbeversprechen des DiGA-Herstellers beeinflussen die Erwartungen der Nutzerinnen und Nutzer. Ein Hersteller, der für eine digitale Anwendung mit einer verschlüsselten Datenspeicherung wirbt, suggeriere nach Auffassung des BfArM damit, dass auch für ihn ein Zugriff auf die gespeicherten Daten technisch ausgeschlossen sei. Eine Verschlüsselung nur der Festplatte widerspreche zwar nicht der Aussage einer verschlüsselten Speicherung, ist aber nicht die Lösung, die ein Betroffener aufgrund der Werbeaussagen vernünftigerweise erwarten kann. Das BfArM erkennt allerdings an, dass es für innovative Lösungen möglich sein muss, vom Branchenstandard abzuweichen und disruptive Ansätze zu verfolgen. Hier treffen den DiGA-Hersteller erhöhte Aufklärungs- und Informationspflichten.

Transparenz (Teil 2 Ziffer 4 der BfArM-Datenschutzkriterien)

DiGA müssen die Transparenzanforderungen der Art. 13, 14 DSGVO erfüllen. Die Nutzer und Nutzerinnen müssen klar und nachvollziehbar über den Verantwortlichen und seine Kontaktdaten, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke der Verarbeitung, die in der DiGA verarbeiteten personenbezogenen Daten, die Empfänger, die Speicherdauer ihrer Daten und ihre Rechte als Betroffene informiert werden. Darüber hinaus muss der Verantwortliche in der Datenschutzerklärung der digitalen Anwendung und/oder auf der Website der Anwendung eine konkrete und verbindliche Zusicherung abgeben, innerhalb welcher Frist schriftliche Anfragen zum Datenschutz und zur Privatsphäre beantwortet werden. Darüber hinaus muss er Angaben zur Erreichbarkeit für telefonische Anfragen zum Datenschutz und zur Privatsphäre machen. Bei schriftlichen Anfragen hält das BfArM eine Antwortzeit von 2 Werktagen nach unverzüglicher Rücksendung einer Eingangsbestätigung für angemessen. Hersteller einer DiGA müssen darüber hinaus an Werktagen 8 Stunden telefonisch erreichbar sein. Eine Wartezeit von 10 Minuten ist für die betroffenen Nutzer und Nutzerinnen nach Auffassung des BfArM zumutbar. Der DiGA-Hersteller muss somit ausreichend geschultes Personal vorhalten und die Datenschutz-Organisation an diese DiGA-spezifischen Anforderungen ausrichten.

Der Verantwortliche muss in der Datenschutzerklärung und in Antworten auf schriftliche Anfragen auf die Möglichkeit einer Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde hinweisen. Dabei sind zumindest die Postanschrift und die E-Mail-Adresse der zuständigen Datenschutzaufsichtsbehörde anzugeben. Nach Art. 13 DSGVO muss an sich „nur“ über das Recht auf Beschwerde bei einer Aufsichtsbehörde informiert werden (vgl. zum Beschwerderecht bei einer Aufsichtsbehörde auch Art. 77 DSGVO). Um dieser Anforderung gerecht zu werden, könnte eine Übersicht aller deutschen Aufsichtsbehörden mit Postanschrift und E-Mail-Adresse in der Datenschutzerklärung verlinkt werden.

Praxistipp: Einen Link mit den Kontaktdaten der deutschen Landesdatenschutzbehörden bietet zum Beispiel der Bundesdatenschutzbeauftragte unter  https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html an.

Der betroffene Nutzer bzw. die betroffene Nutzerin einer DiGA muss einer einseitigen Änderung der Datenschutzerklärung ausdrücklich zustimmen. Ohne diese Zustimmung wird die Änderung nicht wirksam. Daten des Nutzers bzw. der Nutzerin, die einer Änderung noch nicht zugestimmt haben, sind zu sperren und dürfen vorerst nicht weiterverarbeitet werden. Dabei müssen Nutzer und Nutzerinnen spätestens 14 Tage vor Inkrafttreten der einseitig vom Verantwortlichen geänderten Datenschutzerklärung über die vorgenommenen Änderungen und deren Auswirkungen auf die Verarbeitung personenbezogener Daten informiert werden. Nach Auffassung der deutschen Aufsichtsbehörden handelt es sich bei Datenschutzhinweisen an sich nicht um Vertragsbedingungen, sondern um datenschutzrechtliche Informationen oder Tatsachenmitteilungen. Die betroffene Person muss Datenschutzhinweisen daher nicht zustimmen oder sie gar gelesen haben. Vielmehr muss die betroffene Person lediglich die Möglichkeit haben, von den Datenschutzhinweisen Kenntnis zu nehmen. Hier scheint die DiGAV über die Anforderungen der DSGVO hinauszugehen.

Praxistipp: Herstellern von DiGA wird daher empfohlen, die Datenschutzerklärung sorgfältig zu formulieren und die Verarbeitungsvorgänge gut zu durchdenken, um auf diese Weise aufwendigen Änderungen vorzubeugen.

Datenminimierung und Speicherbegrenzung (Teil 2 Ziffer 6 der BfArM-Datenschutzkriterien)

Der DiGA-Hersteller muss den Beitrag aller Kategorien verarbeiteter personenbezogener Daten zu den legitimen Zwecken begründen und nachweisen können, dass diese Zwecke oder Anforderungen ohne diese Daten nicht erfüllt werden können. Gelingt dieser Nachweis nicht, dürfen die Daten nicht verarbeitet werden. Dieses Kriterium soll auch die Bedeutung der Pseudonymisierung von personenbezogenen Daten in der DiGA unterstreichen. Verarbeitungen, die eine Identifizierung des Nutzers bzw. der Nutzerin ermöglichen, sind zu unterlassen.  Medizinische und pflegerische Daten dürfen nur erhoben werden, wenn die darauf aufbauenden Algorithmen und Verarbeitungen medizinisch-technisch nachweislich sinnvoll sind, um positive Versorgungseffekte zu erzielen.

Der DiGA-Hersteller muss für die Anwendung ein an den Vorgaben der DIN 66398 orientiertes Löschkonzept erstellen und nachweisen können, dass die im Löschkonzept festgelegten Löschregeln rechtmäßig und wirksam sind. Die DIGAV macht teilweise Vorgaben zu Löschfristen. Systemprotokolle, die für Zwecke des sicheren Betriebs geschrieben werden, müssen spätestens nach drei Monaten gelöscht werden. Darüber hinaus ist eine sogenannte Grace-Period von maximal drei Monaten vorgesehen, um die Versorgungskontinuität bei Folgeverordnungen zu gewährleisten. Der DiGA-Hersteller ist also nicht verpflichtet, die einem Benutzerkonto zugeordneten Daten unmittelbar nach Beendigung der Nutzung zu löschen, sondern darf diese noch maximal drei Monate aufbewahren. Die Daten sind allerdings während der Grace-Period zu sperren. Nutzer und Nutzerinnen sind in den Datenschutzhinweisen der DiGA über die Inanspruchnahme dieser Grace-Period zu informieren.

Intervenierbarkeit (Teil 2 Ziffer 7 der BfArM-Datenschutzkriterien)

Die DiGA muss technisch so gestaltet sein, dass sie den Grundsätzen von Privacy by Design entspricht und die Erfüllung der Rechte der Betroffenen wie Auskunft, Berichtigung und Löschung wie bei jeder anderen Anwendung ermöglicht. Die DiGA kann z.B. eine Datenliste und ggf. eine Suchfunktion zur Verfügung stellen, damit der Nutzer bzw. die Nutzerin personenbezogene Daten auffinden und dort ändern und/oder löschen kann. Über das Benutzerkonto muss der Nutzer bzw. die Nutzerin jederzeit in der Lage sein, seine bzw. ihre Daten zu aktualisieren.  

Wenn personenbezogene Daten durch die DiGA in die elektronische Patientenakte der betroffenen Person geschrieben wurden und diese später von der betroffenen Person gelöscht, gesperrt, berichtigt oder ergänzt wurden, muss die digitale Anwendung den Betroffenen darauf hinweisen, dass er einen aktualisierten Datenauszug in die elektronische Patientenakte einstellen kann. Die DiGA muss so konfiguriert werden können, dass eine Änderung der Daten automatisch zu einer Aktualisierung der in der elektronischen Patientenakte gespeicherten Daten führt, wobei Löschung, Sperrung, Berichtigung und Ergänzung der Daten zu beachten sind. Die digitale Anwendung informiert die betroffenen Leistungserbringer über die Löschung, Sperrung oder Berichtigung personenbezogener Daten durch die betroffene Person, wenn sie ihnen personenbezogene Daten übermittelt oder zur Verfügung gestellt hat.

Richtigkeit, Integrität und Vertraulichkeit (Teil 2 Ziffer 8 der BfArM-Datenschutzkriterien)

Der DiGA-Hersteller muss Maßnahmen festlegen, mit denen regelmäßig überprüft werden kann, ob die verarbeiteten Daten im Hinblick auf die Anforderungen der rechtmäßigen Zwecke, für die sie verarbeitet werden, sachlich richtig, vollständig und auf dem neuesten Stand sind. Der DiGA-Hersteller muss nachweisen können, dass diese Maßnahmen dem Stand der Technik entsprechen und im Hinblick auf die in der Datenschutz-Folgenabschätzung (DSFA) identifizierten Risiken ausreichend sind.

Technische Maßnahmen zur Sicherstellung von Integrität können bspw. Hash-Funktionen, digitale Signaturen, eine Versionskontrolle der Daten, Sicherstellung der Relationen und Transaktionsprotokolle sein. Die Vertraulichkeit von Daten kann u. a. durch Verschlüsselung, Zugriffssteuerung und Audit-Logs realisiert werden. Zur Prüfung der Richtigkeit bieten sich automatisierte Tests an, die mittels vorgegebener Test-Cases die korrekte Verarbeitung sicherstellen. Durch manuelle Stichproben können ebenfalls Abweichungen festgestellt werden.

In jedem Fall sind Maßnahmen einzuführen, um Verletzungen der Integrität oder der Vertraulichkeit der verarbeiteten Daten zu erkennen. Zu diesen Maßnahmen muss auch die Sperrung oder Löschung von Daten gehören, bei denen nicht festgestellt werden kann, dass ihre Integrität oder Vertraulichkeit ausreicht, um die Zwecke der Verarbeitung zu erfüllen und/oder den Schutzbedarf zu decken.

Rechenschaftspflicht (Teil 2 Ziffer 9 der BfArM-Datenschutzkriterien)

Für die digitale Anwendung muss zur Erfüllung der Rechenschaftspflicht eine Protokollierung (Audit Trail) erfolgen. Der Audit Trail muss die Dokumentation von Zugriffen, Datenweitergaben und -änderungen, den Nachweis der Herkunft der über die digitale Anwendung erhobenen Daten sowie die Protokollierung von (auch automatisierten) Sperrungen und Löschungen von Daten enthalten. Der Audit Trail muss alle Zugriffe von Administrations-, Betriebs- und Support-Personal auf personenbezogene Daten einschließlich des Audit Trails erfassen, um interne Datenschutzverletzungen aufdecken zu können.

Fazit

Die DiGA hat unbestritten Versorgungsvorteile für Patienten und Patientinnen und die App auf Rezept schafft finanzielle Anreize für Unternehmer, die die Entwicklung einer Gesundheits-App planen. Dennoch ist der Aufwand für Entwicklung und Betrieb nicht zu unterschätzen. Denn es sind nicht nur vielfältige datenschutzrechtliche Anforderungen zu erfüllen. Eine DiGA muss beispielsweise zunächst als Medizinprodukt zertifiziert werden. Mit Hilfe von Studien muss ihr positiver Versorgungseffekt nachgewiesen werden. Das BfArM unterstützt Antragssteller beim Antragsverfahren. Der Antragsteller sollte unbedingt den vom BfArM angebotenen Beratungstermin wahrnehmen und diesen nutzen, um Fragen und kritische Punkte der DiGA-Idee offen mit dem BfArM zu diskutieren.

Wir unterstützen Sie gerne in allen IT- und datenschutzrechtlichen Fragen rund um DiGA. Aufgrund unserer technischen Expertise können wir Sie auch beraten, ob die von Ihnen geplante Umsetzung den Datenschutzkriterien des BfArM aus technischer Sicht genügt.

Sprechen Sie uns an. Wir freuen uns auf Sie!

planit legal dr. anna roschek

Dr. Anna-Kristina Roschek

Rechtsanwältin

E-Mail: anna.roschek@planit.legal
Telefon: +49 (0) 40 609 44 190