DiGA: Keine US-Dienstleister zulässig Apps / Medizinrecht

Die „App auf Rezept“ ist durch das Digitale-Versorgung-Gesetz nun möglich, mit dem digitale Gesundheitsanwendungen („DiGA“) eingeführt wurden. DiGA haben jedoch erhebliche, zusätzliche Anforderungen einzuhalten. Einzuhalten ist zwar auch der Datenschutz gemäß der DSGVO. Die zum Teil bereits engen Erlaubnistatbestände der DSGVO werden für DiGA jedoch nochmals eingeschränkt.

Eine der zahlreichen Fragestellungen im Hinblick auf die Ausgestaltung von DiGA ist, wie und welche Dienstleister eingebunden werden dürfen.

Nach § 4 Abs. 2 DiGAV (und entsprechend Nr. 38 Anlage 1 Datensicherheit zur DiGAV) gilt:

„Erfolgt die Verarbeitung von Gesundheitsdaten sowie personenidentifizierbaren Bestandsund Verkehrsdaten ausschließlich

- im Inland,

- in einem anderen Mitgliedstaat der Europäischen Union,

- in [einem EWR-Staat oder der Schweiz], oder

- auf Grundlage eines Angemessenheitsbeschlusses gemäß [Art. 45 DSGVO]?“

Ein Angemessenheitsbeschluss lag über das bisherige EU-US-Privacy-Shield zwischen der Europäischen Union und den USA vor. Der EuGH hat kürzlich jedoch entschieden, dass das EU-US-Privacy-Shield ungültig ist (EuGH, Urt. v. 16.07.2020, Rs. C-311/18 – „Schrems II“). Das EU-US-Privacy-Shield war ein Beschluss der unter den oben in § 4 Abs. 2 DiGAV genannten Art. 45 DSGVO fiel. Die Einbindung von US-Dienstleistern wäre daher möglich gewesen, jedenfalls soweit diese nach dem EU-US-Privacy-Shield zertifiziert waren.

Aktuell wird datenschutzrechtlich allgemein (auch außerhalb der Medizinproduktebranche) fieberhaft nach Möglichkeiten gesucht, um die Einbindung von US-Dienstleistern und Datenübermittlungen zwischen der Europäischen Union und den USA weiterhin zu ermöglichen. Hierbei wird versucht, verschiedene andere, in der DSGVO vorgesehene Möglichkeiten zu nutzen, insbesondere sog. Standarddatenschutzklausel (früher: Standardvertragsklauseln) und sog. Binding Corporate Rules. Allerdings sind dies sämtlich Lösungsansätze, die auf Regelungen außerhalb von Art. 45 DSGVO beruhen. Nur Art. 45 DSGVO ist jedoch in dem oben zitierten § 4 Abs. 2 DiGAV erwähnt.

Insgesamt muss daher aktuell festgestellt werden, dass im Rahmen von DiGA keine Möglichkeit besteht, US-Dienstleister einzubeziehen oder eine Datenübermittlung zwischen der Europäischen Union und den USA zu ermöglichen.

Allerdings sei bemerkt, dass diese zusätzlichen Einschränkungen nur für DiGA gelten. Es ist möglich, eine App als DiGA anzubieten und parallel als Nicht-DiGA. Das BfArM wird dies weder beanstanden noch prüfen. Je nach konkreter App können daher möglicherweise gewisse Funktionen nur außerhalb der erstattungsfähigen DiGA angeboten werden oder Lösungsansätze über Interoperabilitäts- und Exportfunktionen genutzt werden. Hierzu bleibt jedoch die weitere rechtliche Entwicklung abzuwarten und die Ausgestaltungsmöglichkeiten hinsichtlich der konkreten App sind zu betrachten.

Zusammenfassend ist damit äußerste Vorsicht geboten, wenn innerhalb von DiGA Dienstleister eingebunden werden. Denn diese dürfen ihren Sitz nicht in den USA haben und auch keine Datenübermittlung in die USA auslösen. Selbst wenn die Dienstleister ihren Sitz in einem zulässigen Land haben, sind weitere Prüfungen erforderlich. Denn die Dienstleister könnten unerkannt weitere Dienstleister einsetzen, die wiederum ihren Sitz in den USA haben und eine Datenübermittlung in die USA veranlassen.

Stand: 26. Nov. 2020