Apps auf Rezept: neue Informationen zur Datenübermittlung in die USA

Kategorie: Datenschutz Branche: Healthcare Autor: Jahr:
Stefan Hessel

Für digitale Gesundheitsanwendungen, also Gesundheits-Apps, die auf Rezept verordnet werden können und für die eine Kostenübernahme durch die gesetzliche Krankenkasse möglich ist, gelten bei der Datenübermittlung in Drittstaaten besondere Voraussetzungen. Nach § 4 Abs. 3 der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) dürfen personenbezogene Daten nämlich nur in Staaten außerhalb des europäischen Wirtschaftsraums (EWR) übermittelt werden, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Seit der Aufhebung des EU-US Privacy Shield durch das Urteil des EuGH in der Rechtssache C 311/18 ("Schrems II"-Fall) ist dies bei den USA jedoch seit dem 16. Juli 2020 nicht mehr der Fall. Dies stellt DiGA-Hersteller, wie wir bereits vor dem Urteil berichtet haben, vor enorme Herausforderungen und wirft sogar die Frage auf, ob eine DiGA überhaupt in den App Stores von Google und Apple angeboten werden kann.

Nachdem das BfArM bereits in seinem DiGA-Leitfaden auf die Herausforderungen bei Datentransfers in die USA eingegangen war, hat die Behörde nun am 28.01.2021 eigene Informationen zur Zulässigkeit von Datenübermittlungen außerhalb Deutschlands veröffentlicht (PDF), die wir im Folgenden näher erläutern möchten.

Nicht europarechtswidrig, da keine Datenschutzregelung?

Gleich zu Beginn der Informationen stellt das BfArM klar, dass sich die Informationen lediglich auf die Voraussetzungen für die Erstattungsfähigkeit einer DiGA beziehen und die Einschätzung keine Bindungswirkung für die Datenschutzbehörden entfalte. Wörtlich heißt es dazu weiter: "Sollten die Datenschutzbehörden im Rahmen ihrer Aufsichtstätigkeit eine abweichende Rechtsauffassung vertreten, ist zur Gewährleistung einer ordnungsgemäßen Datenverarbeitungstätigkeit innerhalb der DiGA ggf. eine technische Anpassung zur Vermeidung der Streichung einer Anwendung aus dem Verzeichnis erforderlich." Für DiGA-Hersteller sinkt damit der Wert der behördlichen Stellungnahme bereits zu Beginn erheblich, denn sie müssen jederzeit befürchten, dass eine Datenschutzbehörde eine strengere Rechtsauffassung als das BfArM vertritt und die Informationen der Behörde damit gegenstandslos werden. Interessant ist die Erklärung jedoch auch unter dem Gesichtspunkt einer möglichen Europarechtswidrigkeit des § 4 Abs. 3 DiGAV. Dieser stellt nämlich eine Einschränkung der Art. 44 ff. DSGVO dar, die eine Datenübermittlung in Drittstaaten grundsätzlich auch auf Basis anderer Garantien, wie z.B. Standardvertragsklauseln, zulassen.

Gerade auch für den Fall, dass kein Angemessenheitsbeschluss der EU-Kommission existiert. Die Mitgliedstaaten können von dieser Regel Art. 49 Abs. 5 DSGVO nur abweichen, wenn wichtige Gründe des öffentlichen Interesses vorliegen. In diesem Fall wäre jedoch die EU-Kommission zu informieren, was aber durch das zuständige Bundesgesundheitsministerium offenbar unterlassen wurde. Vor dem Hintergrund der jetzt veröffentlichten Informationen könnte sich dieses Vorgehen damit erklären lassen, dass das Bundesgesundheitsministerium und das nachgeordnete BfArM die Regelung des § 4 Abs. 3 DiGAV nicht als datenschutzrechtliche Vorschrift, sondern allein als Regelung zur Kostenerstattung interpretieren. Aus europarechtlicher Sicht ist diese Interpretation jedoch ebenfalls fragwürdig, da die Regelung des § 4 Abs. 3 DiGAV praktisch dennoch die Vollharmonisierung der DSGVO untergräbt, wenn kein Fall des Art. 49 Abs. 5 DSGVO vorliegt.

BfArM: Datenübermittlungen an Niederlassungen und Tochtergesellschaften von US-Unternehmen können zulässig sein

Nicht weniger interessant sind jedoch auch die inhaltlichen Ausführungen des BfArM. So stellt die Behörde eindeutig klar, dass "für jegliche Tools, die im Rahmen der Nutzung der DiGA ggfs. zum Einsatz kommen, […] ein Datenfluss von personenbezogenen Daten in die USA vollumfassend ausgeschlossen werden" muss. Dienstleister aus den USA, "mit (selbständiger) Niederlassung in der EU, aber einem Mutterkonzern in den USA", wie z.B. Google Limited Ireland oder AWS Luxemburg, dürfen nach Ansicht der Behörde jedoch genutzt werden, sofern "die personenbezogenen Daten verschlüsselt sind und die Schlüssel vom DiGA-Hersteller in der EU selbst verwaltet oder gespeichert werden" können. Handelt es sich nicht um eine Niederlassung, sondern um eine europäische Tochtergesellschaft, reicht dem BfArM sogar aus, dass der Auftragnehmer "zusichert, dass kein Datentransfer in die USA und auch keine Datenverarbeitungen in den USA durchgeführt werden". Außerdem muss der Auftragnehmer bestätigen, "dass auch im Fall von Herausgabeverlangen von US-Behörden keine Daten zur Verfügung gestellt und auch nicht an das Mutterunternehmen herausgegeben werden".

Ferner muss das Tochterunternehmen zusichern, im Fall eines Herausgabeverlangens den Rechtsweg zu bestreiten und bis zu einer höchstrichterlichen Entscheidung auszuschöpfen. Selbst wenn eine solche Entscheidung ergangen ist, darf eine Herausgabe jedoch nur erfolgen, wenn "sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt" wird. Die Frage, wie Unternehmen mit einer Muttergesellschaft in den USA dies für den Fall einer erwartbaren Kollision der Rechtsordnungen rechtssicher zusichern können, lässt das BfArM offen. Da sich die Behörde bei der Wirksamkeit derartiger Zusicherungen selbst auch nicht sicher zu sein scheint, sieht sie DiGA-Hersteller in der Pflicht "ein Herausgabeverlangen einer US-Behörde dem BfArM gegenüber anzuzeigen".

Versicherte in den USA und App Stores

Aus datenschutzrechtlicher Sicht bemerkenswert sind darüber hinaus die Ausführungen des BfArM für den Fall, dass sich ein Versicherter bei Nutzung der App physisch in den USA aufhält. In diesem Fall geht die Behörde nämlich davon aus, dass für den Versicherten US-amerikanisches Recht gilt, und zwar "insbesondere auch für die Verarbeitung von personenbezogenen Daten." Wie diese Auffassung mit Art. 3 Abs. 1 DSGVO in Einklang zu bringen sein soll, der ausdrücklich festlegt, dass die DSGVO Anwendung auf Datenverarbeitungen findet, "soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen […] in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet", bleibt in der Information der Behörde jedoch unbeantwortet. Üblicherweise könnte eine Datenübermittlung in dieser Konstellation auf Art. 49 DSGVO gestützt werden. Dieser ist nach § 4 Abs. 3 DiGAV jedoch ebenfalls unzulässig.

Inkonsistent ist auch die Argumentation zur Nutzung von App Stores, die erfreulicherweise als zulässig erachtet werden, wenn die „Anmeldedaten von den Gesundheitsdaten der App“ getrennt werden. Für die Nutzung der App Stores gelten demnach uneingeschränkt die Vorgaben der DSGVO und eine Datenübermittlung kann daher auch ohne Angemessenheitsbeschluss stattfinden. Dass die Datenverarbeitung über den App Store – zumindest aus Sicht der Datenschutzaufsicht – jedoch gleichwohl eine Verarbeitung von Gesundheitsdaten darstellen dürfte, da – abhängig von der Ausgestaltung der App – ein eindeutiger Bezug zwischen einem Nutzer und einer bestimmten Erkrankung hergestellt wird, thematisiert die Behörde aber nicht. Ebenso fraglich ist, ob sich die Interpretation des BfArM tatsächlich mit dem Wortlaut von § 4 Abs. 3 DiGAV in Einklang bringen lässt, der ausdrücklich von einer Verarbeitung "im Rahmen einer digitalen Gesundheitsanwendung" spricht.

Fazit

Die neue Information des BfArM ist nicht geeignet, den DiGA-Herstellern eine ausreichende Rechtssicherheit im Spannungsverhältnis zwischen DiGAV und DSGVO zu verschaffen. Die in der DiGAV vorgenommene Einschränkung der DSGVO sorgt vielmehr dafür, dass das BfArM eine "datenschutzrechtliche Parallelwelt" erschaffen muss, um die drastischen Auswirkungen der "Schrems II"-Entscheidung auf Datenübermittlungen in die USA durch die DiGA-Hersteller aufzufangen. Die dafür notwendige eigenwillige Interpretation des Datenschutzrechts kann für DiGA-Hersteller jedoch Probleme mit den Datenschutzaufsichtsbehörden verursachen. Grundsätzlich wäre es daher wünschenswert, wenn das Bundesgesundheitsministerium von seiner europarechtlich fragwürdigen Abweichung von der DSGVO durch eine Änderung der DiGAV Abstand nehmen würde. Solange dies nicht der Fall ist, bleibt Herstellern nur eine genaue tatsächliche und rechtliche Überprüfung ihrer Datenflüsse sowie die Inkaufnahme von erheblichen Risiken, wenn außereuropäische Anbieter oder deren Tochtergesellschaften genutzt werden.

[Februar 2021]