Seit das Verzeichnis für digitale Gesundheitsanwendungen im vergangenen Herbst an den Start ging, hat es sich gut gefüllt. Mittlerweile können Patient:innen sich elf verschiedene Apps und Browseranwendungen von der Krankenkasse erstatten lassen. Sie versprechen Hilfe bei Erkrankungen wie Adipositas, Angststörungen, Migräne, Tinnitus, Depressionen und Arthrose.
Ein Problem bleibt allerdings ungelöst: Wenn Patient:innen die Apps benutzen, fallen personenbezogene Gesundheitsdaten an. Einige der Krankheiten, bei deren Behandlung die Apps helfen sollen, sind gesellschaftlich stigmatisiert, beispielsweise psychische Erkrankungen. Weil Betroffene im Alltag Nachteile erleiden könnten, wenn solche Daten an die Öffentlichkeit gelangen, unterliegen Gesundheitsdaten einem besonderen Schutz.
In der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die den Zugang zum Verzeichnis regelt, ist festgelegt, wie Hersteller die Daten ihrer Nutzer:innen schützen müssen. Unter anderem geht es dort auch um Regelungen zur Datenverarbeitung im Ausland:
Im Rahmen einer digitalen Gesundheitsanwendung darf die Verarbeitung von personenbezogenen Daten durch die digitale Gesundheitsanwendung selbst sowie bei einer Verarbeitung personenbezogener Daten im Auftrag nur im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen.
Neue Rechtslage nach Ende des EU-US-Privacy-Shields
Der Haken: Nach dem Ende des EU-US-Privacy-Shields gibt es kein Abkommen mehr, das die Datenübermittlung zwischen der EU und den USA regelt. Der Europäische Gerichtshof (EuGH) hatte im Sommer 2020 entschieden, dass US-Datenschutzgesetze nicht den europäischen Standards entsprechen, da sie dort dem Zugriff amerikanischer Geheimdienste ausgeliefert sein könnten. Deshalb dürfen Daten europäischer Verbraucher:innen nicht mehr in die USA übermittelt werden. Es sollte demnach also auch nicht möglich sein, die personenbezogenen Daten, die bei der Nutzung von digitalen Gesundheitsanwendungen anfallen, in den Vereinigten Staaten zu verarbeiten.
Schon kurz nach dem Start des DiGA-Verzeichnisses mit damals noch zwei Anwendungen gab es erste Sicherheitslücken bei velibra, einer Anwendungen, die unter anderem die Behandlung von Angststörungen unterstützen soll. Das Handelsblatt berichtete damals über mangelnde Überprüfung der Datensicherheit und des Datenschutzes und unklare Zuständigkeiten bei den Behörden. So sei vor dem Eintrag von velibra im DiGA-Verzeichnis nicht aufgefallen, dass die Anwendung auch nach dem Urteil des EuGH noch Daten in den USA verarbeitet habe.
Ende Januar veröffentlichte das Bundesinstitut für Arzneimittel und Medizinprodukte ein Papier, das die Rechtsauffassung des Institutes bezüglich einer möglichen Datenverarbeitung im außereuropäischen Ausland darlegt. In den meisten potenziell strittigen Fällen wird es hier um die Vereinigten Staaten gehen, da dort viele Rechenzentren stehen, die auch Dienste aus Europa für ihre Datenverarbeitung nutzen.
Verschlüsselung bei Unternehmen mit US-Mutterkonzern vorgeschrieben
Das Institut macht hier deutlich, dass Daten aus den digitalen Gesundheitsanwendungen auch nicht nach einer Einwilligung der Nutzer:innen in den USA verarbeitet werden dürfen. Auch US-amerikanische Hersteller können ihre Anwendungen nur im Verzeichnis der erstattungsfähigen Dienste listen lassen, wenn sie ein europäisches Tochterunternehmen haben, das die Datenverarbeitung innerhalb der EU übernimmt.
Unklar wird die Rechtslage allerdings bei Firmen mit Niederlassungen in der EU, die aber einem US-Mutterkonzern angehören. Deren Anwendungen schaffen es nur in die DiGA-Liste, wenn es eine Gewähr dafür gibt, dass sie keine Daten in die USA übertragen. Zusätzlich müssen diese Firmen alle Daten verschlüsselt speichern und auch das Schlüsselmanagement innerhalb der EU verbleiben. Hierfür müssten diese Firmen nicht einmal selbst Gesundheitsanwendungen anbieten. Es genügt, wenn ein DiGA-Hersteller einen „Vertrag zur Datenverarbeitung“ mit einem US-Konzern beziehungsweise dessen Niederlassung in der EU habe. Als Beispiele nennt das Papier Google Limited Ireland und AWS Luxemburg, den Cloud Service von Amazon.
Wenn Hersteller von Anwendungen einen Service einer europäischen Tochtergesellschaft eines US-Unternehmens in Anspruch nehmen, beispielsweise für die Speicherung der Daten, muss diese Tochtergesellschaft zusichern, dass sie keine Daten in die USA übermittelt. Das muss insbesondere auch dann gelten, wenn es ein sogenanntes Herausgabeverlangen der US-Behörden gibt, wenn also beispielsweise Geheimdienste sich auf US-amerikanisches Recht berufen, um an personenbezogene Daten zu gelangen.
Rechtsstreitigkeiten mit US-Behörden nicht ausgeschlossen
Firmen könnten hier in einen rechtlichen Zwiespalt geraten, nämlich dann, wenn der US-Konzern dortigen Gesetzen unterliegt, die Tochtergesellschaft aber der europäischen Datenschutzgrundverordnung und der europäischen Rechtsprechung. Das Papier verpflichtet Unternehmen in solchen Fällen den Rechtsweg voll auszuschöpfen und selbst im Falle eines Urteils nur Daten herauszugeben, wenn es ein Rechtshilfeabkommen oder eine ähnliche Vereinbarung mit dem Drittland gibt. Gleichzeitig sind alle Unternehmen verpflichtet, das Institut über derartige Rechtsstreitigkeiten zu informieren, was zeigt, dass man dort solche Fälle nicht für ausgeschlossen hält.
Das Bundesinstitut für Arzneimittel und Medizinprodukte arbeitet in den Fragen des Datenschutzes nach Aussage einer Sprecherin eng mit dem Bundesgesundheitsministerium zusammen. Auf Anfrage von netzpolitik.org liefert das Ministerium allerdings keine weiterführenden Informationen, die zur Klärung der Rechtslage beitragen. In der Antwort heißt es nur allgemein, eine Nutzung entsprechender Dienstleister dürfe nur unter bestimmten Voraussetzungen für die Verarbeitung personenbezogener Daten herangezogen werden.
Diese müssten eine Gewähr für die Unterbindung eines Datentransfers in die USA bieten. „Hierzu zählen etwa geeignete Verschlüsselungsverfahren sowie begleitende vertragliche Zusicherungen des Dienstleisters an den Hersteller einer digitalen Gesundheitsanwendung“, so ein Sprecher. Keine Infos liefert er zu möglicherweise zu erwartenden Rechtskollisionen, wenn US-Behörden von Unternehmen die Herausgabe von Daten europäischer Nutzer:innen verlangen.
Alle Regelungen nur unter Vorbehalt der Datenschutzbehörden
Das Bundesinstitut versucht also, europäische Daten vor amerikanischen Geheimdiensten zu schützen, schafft aber mit seinem Papier keine ausreichende Grundlage, um das sicherzustellen. Allerdings beginnt das Institut die Veröffentlichung mit einem Disclaimer, dass die Einschätzung für Datenschutzbehörden nicht bindend sei:
Sollten die Datenschutzbehörden im Rahmen ihrer Aufsichtstätigkeit eine abweichende Rechtsauffassung vertreten, ist zur Gewährleistung einer ordnungsgemäßen Datenverarbeitungstätigkeit innerhalb der DiGA ggf. eine technische Anpassung zur Vermeidung der Streichung einer Anwendung aus dem Verzeichnis erforderlich.
Dies gelte insbesondere für die Datenverarbeitung durch europäische Tochterunternehmen amerikanischer Konzerne. Das Papier scheint also nicht geeignet, Herstellern Rechtssicherheit zu geben, wenn sie Dienste amerikanischer Konzerne für ihre Anwendungen nutzen wollen.
Laut einer Sprecherin des Bundesdatenschutzbeauftragten Ulrich Kelber könnten Gesundheitsanwendungen angeboten und die Kosten von den Krankenkassen erstattet werden, sobald die Apps im DiGA-Verzeichnis stehen. Diese Listung halte aber nicht unbedingt einer Überprüfung durch die Datenschutzbehörde stand, sodass sie auch wieder gestrichen werden können.
Vertragliche Absicherung nicht ausreichend
Zur Frage der Rechtssicherheit arbeite Kelber deshalb aktuell mit dem Gesundheitsministerium und dem Bundesinstitut für Arzneimittel und Medizinprodukte zusammen, um die verbindlichen Vorgaben zu verbessern. Diese würden dann auch auf bereits zugelassene Gesundheitsapps angewandt und damit die Rechtssicherheit verbessert.
Die Rechtslage zum transatlantischen Datenverkehr allgemein sei nach dem EuGH-Urteil nur sehr schwer zu beurteilen, so Kelbers Sprecherin. Es müsse immer der konkrete Einzelfall betrachtet werden, wenn Tochterfirmen von US-Unternehmen im Spiel seien. Uneins ist sich die Datenschutzbehörde mit dem Gesundheitsministerium aber über die erforderlichen Schutzmechanismen für Daten europäischer Nutzer:innen, die bei diesen Firmen liegen:
Eine Verarbeitung von Gesundheitsdaten außerhalb der EU und den Staaten, für die es einen Angemessenheitsbeschluss gibt, dürfte nur zulässig sein, wenn die Daten sicher verschlüsselt sind und der Schlüssel vor dem Zugriff insbesondere ausländischer Behörden sicher ist. Eine rein vertragliche Absicherung oder Zusicherung dürfte keine hinreichende Gewähr gegenüber Zugriffen aufgrund außereuropäischer beispielsweise US-amerikanischer Rechtsnormen bieten.
Weiterhin kein Schutz vor Datenzugriff durch Apple und Google
Weiter unklar bleibt auch die Frage das Datenschutzes bei den Anwendungen, die den Nutzer:innen nur über die App-Stores von Apple und Google zur Verfügung stehen. Eine kleine Anfrage der FDP-Fraktion zeigte hier im vergangenen Jahr eine Planlosigkeit der Bundesregierung beim Schutz der Daten auf. Die Bundesregierung vertritt die Auffassung, aus dem Download einer kostenpflichtigen App zur Behandlung einer spezifischen Krankheit könnten die Datenkonzerne noch nicht auf personenbezogene Gesundheitsdaten schließen. Die Apps seien schließlich nicht rezeptpflichtig, also könnte sie jeder herunterladen.
Das Bundesgesundheitsministerium bekräftigt diese Haltung auf Anfrage von netzpolitik.org nochmal: „Da es sich bei digitalen Gesundheitsanwendungen grundsätzlich um frei verfügbare Produkte am Markt zum Download für alle interessierten Personenkreise handelt, ist eine Zuordnung eines bestimmten Gesundheitszustands aufgrund der Nutzung der App nur mit größter Ungenauigkeit möglich.“
Diese Auffassung teilt man in Kelbers Behörde nicht. Die Aussage gelte zwar für diejenigen Anwendungen, die zur Behandlung verschiedener Krankheiten eingesetzt werden können. „Viele Digitale Gesundheitsanwendungen sind aber speziell auf eine Krankheit zugeschnitten. So sind Digitale Gesundheitsanwendungen, die beispielsweise den Blutzuckerwert bestimmen, für Diabetiker gedacht. Wenn eine derartige Digitale Gesundheitsanwendung heruntergeladen wird, ist klar, dass die Nutzerin oder der Nutzer an Diabetes leidet.“
Im aktuelle DiGA-Verzeichnis ist für fünf von elf Anwendungen nur ein Krankheitsbild angegeben, für das die App eingesetzt werden kann. Bei den verbleibenden sechs Apps unterscheiden sich die Krankheitsbilder oftmals nur nach Grad oder Ausprägung einer Erkrankung. Auch die Kombination von heruntergeladenen Apps könnte der Sprecherin des Datenschutzbeauftragten zufolge Rückschlüsse oder konkrete Annahmen ermöglichen.
Von den Maßnahmen zur Digitalisierung des Gesundheitssystems versprechen sich Politiker:innen und Expert:innen positive Effekte auf die medizinische Versorgung. Voraussetzung ist aber, dass die Patient:innen den digitalen Produkten vertrauen können. Die Rechtsunsicherheiten und die Unstimmigkeiten zwischen dem Gesundheitsministerium und den Datenschützer:innen tragen wohl nicht dazu bei.
Eine (provokante) Verständnissfrage:
>Der Haken: Nach dem Ende des EU-US-Privacy-Shields gibt es kein Abkommen mehr, das die Datenübermittlung zwischen der EU und den USA regelt.
>…
>Deshalb dürfen Daten europäischer Verbraucher:innen nicht mehr in die USA übermittelt werden.
Wenn das grundsätzlich(!) für den gesamten Datenverkehr personenbezogener Daten gilt:
Warum macht man (Behörden, Datenwirtschaft, die Gesellschaft) so weiter wie bisher?
Warum gibt es – ein halbes jahr nach dem EuGH-Urteil – immer noch keinen Aufschrei?
Das ist eine gute Frage.
In der DSGVO gibt es Ausnahmen, in denen Daten dennoch in Drittstaaten transferiert werden können, bspw. bei einer ausdrücklichen Einwilligung der Nutzer:innen nach umfassender Aufklärung, was auch immer das im Einzelfall heißen mag (https://dsgvo-gesetz.de/art-49-dsgvo/).
Viele Firme etc. berufen sich noch auf Standardvertragsklauseln, die aber auch nur funktionieren, wenn es im Drittstaat ein vergleichbares Datenschutzniveau wie in der EU gibt, was in den USA nicht der Fall ist, deswegen kippte das Privacy Shield ja überhaupt erst. Da gab es für Facebook zum Beispiel im letzten Jahr schon Ärger von der irischen Datenschutzbehörde: https://netzpolitik.org/2020/blauer-brief-aus-dublin-facebook-datentransfers-in-die-usa-vor-dem-aus/
Beides ist auch explizit nicht für personenbezogene Gesundheitsdaten aus Digitalen Gesundheitsanwendungen gedacht, die stehen nochmal unter einem besonderen Schutz, weil das ja sehr sensible Daten sind. Im BfArM-Papier steht bspw.: „Weiterhin ist eine Datenverarbeitung in den USA im Rahmen einer DiGA nach (datenschutzrechtlicher) Patienteneinwilligung gemäß DSGVO regelmäßig nicht zulässig.“
Ich teile aber den Eindruck, dass da grundsätzlich viel zu wenig passiert und es viel schärfere Sanktionen geben müsste.
„Warum macht man (Behörden, Datenwirtschaft, die Gesellschaft) so weiter wie bisher?“
Weil die Datenschutzbehörden Angst vor den Regierungen und die Angst vor der Wirtschaft haben. Es gibt de jure keinerlei Spielraum mehr, es wird aber de facto nicht geahndet.