Risiko für Betreiber von Gesundheits-Apps: Datenübermittlung in die USA wegen EuGH-Urteil bald unzulässig?

Dr. Carlo Piltz

Mit dem Digitale-Versorgung-Gesetz (DVG) (PDF) hat der Gesetzgeber Ende des letzten Jahres einen Leistungsanspruch der Versicherten auf digitale Gesundheitsanwendungen – kurz: DiGA – geschaffen. Die speziellen Gesundheits-Apps sollen das Gesundheitswesen revolutionieren und daher möglichst schnell für die Versicherten verfügbar sein. Derzeit läuft die Ausgestaltung des dafür notwendigen Rechtsrahmens daher auf Hochtouren. Wesentliche Meilensteine bisher waren der Erlass der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) durch das Bundesgesundheitsministerium sowie die Veröffentlichung des Leitfadens zum Fast-Track-Verfahren durch das Bundesinstitut für Arzneimittel. Der schnelle Marsch zur digitalen Versorgung könnte aber in Kürze durch ein EuGH-Urteil ins Stocken geraten und Hersteller von Gesundheits-Apps vor große Herausforderungen stellen.

Der EU-US Privacy Shield könnte kippen

Die Rede ist vom Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C-311/18 (Facebook Ireland und Schrems – Schrems II), das am 16. Juli 2020 erwartet wird. Im Rahmen der Entscheidung wird sich der EuGH neben der Frage der Europarechtskonformität der EU-Standardvertragsklauseln 2010/87 voraussichtlich auch zur Wirksamkeit des EU-US Privacy Shields (Durchführungsbeschluss (EU) 2016/1250) äußern. Das Privacy-Shield-Programm beruht auf einem Angemessenheitsbeschluss der EU-Kommission im Sinne von Art. 45 DSGVO (bzw. der vormals geltenden Datenschutzrichtlinie 95/46/EG) und gestattet als solches die Datenübermittlung an Unternehmen in die USA als sog. Drittland. Sind US-Unternehmen unter dem EU-US Privacy Shield zertifiziert, können Verantwortliche Daten an diese übermitteln, ohne dass Konflikte mit der DSGVO auftreten. Der Privacy Shield wird jedoch schon länger unter anderem von der Artikel-29-Datenschutzgruppe wegen eines zu niedrigen Datenschutzniveaus bemängelt. Zweifel an der fortdauernden Gültigkeit des EU-US Privacy Shields bestehen insbesondere auch aufgrund der Kritik durch den EU-Generalanwalt in seinem Schlussantrag im Schrems-II-Verfahren. Die Schlussanträge des Generalanwalts sind für den EuGH zwar nicht bindend, können jedoch durchaus als Indikator für eine Entscheidung gesehen werden. Eine Aufhebung des EU-US Privacy Shields durch den EuGH erscheint daher zumindest möglich.

Mögliche Folgen im digitalen Gesundheitsbereich

Für Hersteller von digitalen Gesundheitsanwendungen, zu denen insbesondere auch Gesundheits-Apps zählen können, wäre eine Datenübermittlung ab diesem Zeitpunkt wegen § 4 Abs. 3 DiGAV tabu. Dieser regelt, dass personenbezogene Daten bei digitalen Gesundheitsanwendungen ausschließlich (!) aufgrund eines Angemessenheitsbeschlusses in Drittländer übermittelt werden dürfen. Eine Möglichkeit, auf andere Garantien zur Übermittlung auszuweichen, besteht im Gegensatz zu anderen – in der DSGVO vorgegebenen – Fällen, nicht. Begründet wird diese Einschränkung im Referentenentwurf zur DiGAV (dort S. 59) (PDF) mit einem regelhaft anzunehmenden besonderen Schutzbedarf der verarbeiteten Daten. Die Vereinbarkeit dieser Abweichung von der DSGVO in der Form einer Beschränkung der Übermittlungsmechanismen für Drittländer sieht der deutsche Gesetzgeber wohl über Art. 49 Abs. 5 DSGVO als zulässig an (vgl. Gesetzesbegründung zu § 80 Abs. 2 SGB 10, S. 115) (PDF). Folgt man dieser Argumentation, müssten Hersteller von Gesundheits-Apps mit dem Wegfall des Privacy Shields das Ziel einer raschen und zuverlässigen Versorgung mit Gesundheitsanwendungen unter Verzicht auf US-Anbieter (insbesondere auch IT-Dienstleister oder Hoster mit Zugriff auf Daten) erreichen. Da diese jedoch gerade im Bereich der App-Entwicklung über zukunftsweisende Technologien verfügen und auch einen relevanten Teil der Infrastruktur stellen, wäre dies eine enorme Herausforderung.

Empfehlungen

Pflicht zur Einhaltung der DiGAV prüfen

Hersteller von Gesundheits-Apps sollten angesichts der aktuellen Situation zunächst prüfen, ob sie die Vorgaben der DiGAV einhalten müssen. Dies wird regelmäßig der Fall sein, wenn eine digitale Gesundheitsanwendung vorliegt und eine Kostenübernahme durch die Krankenkasse angestrebt wird.

Digitale Gesundheitsanwendungen sind nach § 33a SGB V Medizinprodukte niedriger Risikoklasse, deren Hauptfunktion wesentlich auf digitalen Technologien beruht und die dazu bestimmt sind, bei den Versicherten oder in der Versorgung durch Leistungserbringer die Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder die Erkennung, Behandlung, Linderung oder Kompensierung von Verletzungen oder Behinderungen zu unterstützen.

Erfüllt die jeweilige Gesundheitsanwendung diese Voraussetzungen, ist für eine Kostenübernahme durch die Krankenkasse eine Aufnahme in das sog. DiGA-Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) notwendig. Hierfür ist nach § 139e Abs. 2 SGB V ein Antrag beim BfArM notwendig, in dessen Anlage unter anderem Nachweise über die Einhaltung des Datenschutzes und der Datensicherheit zu erbringen sind. Non-Compliance ist für DiGA-Hersteller folglich keine Option.

Prüfen ob Daten an US-Anbieter übermittelt werden

Müssen die Vorgaben der DiGAV eingehalten werden, sollten Hersteller schon jetzt prüfen, inwieweit Daten in die USA übermittelt werden. Ist dies der Fall, sollte schon jetzt nach möglichen Alternativen gesucht werden, um auf eine Aufhebung des EU-US Privacy Shields rechtzeitig reagieren zu können. Die Auswahl von möglichen Alternativanbietern sollte unter Datenschutz und Datensicherheitsaspekten erfolgen.

Rechtliches Assessment durchführen

In unserer Beratungspraxis hat sich überdies gezeigt, dass auch die übrigen Vorgaben der DiGAV eine Herausforderung für die Hersteller darstellen. Im Rahmen der Antragstellung sollte daher stets eine umfassende rechtliche Anforderungsanalyse durchgeführt werden.

[Juni 2020]