Die deutsche Datenschutzkonferenz hat sich in einem “Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen” gewohnt streng geäussert, u.a. zur Verantwortlichkeit der Hersteller digitaler Gesundheitsangebote:
Die DS-GVO verpflichtet Verantwortliche und Auftragsverarbeiter, Art. 4 Nrn. 7 und 8 DS-GVO. Hersteller nehmen die Rolle eines Verantwortlichen ein, wenn sie neben der Herstellung der digitalen Gesundheitsanwendung zugleich über die Zwecke und Mittel der Datenverarbeitung entscheiden. Sie kommen abweichend hiervon als Auftragsverarbeiter in Betracht, wenn sie für einen Verantwortlichen personen- bezogene Daten nach Maßgabe von Artikel 28 und 29 DS-GVO weisungsgebunden verarbeiten. Erschöpft sich die Beteiligung dagegen in der Herstellung der Gesundheitsanwendung, sodass die Hersteller keine personenbezogenen Daten der Nutzer verarbeiten, sind die Hersteller weder Verantwortliche noch Auftragsverarbeiter.
Neben den Herstellern kommen hinsichtlich der Verarbeitung personenbezogener Daten der digitalen Gesundheitsanwendungen weitere Beteiligte in Betracht, wie etwa Ärztinnen und Ärzte und andere medizinische Leistungserbringer sowie Anbieter von Cloud-Diensten. Dabei ist im Einzelfall zu prüfen, welche Rolle diese Beteiligten aus Datenschutzsicht wahrnehmen.
Aus dem Privacy by Design-Grundsatz – eigentlich eher dem Verhältnismässigkeitsgebot – folge zudem, dass eine Cloud-Anbindung unterbleiben müsse, wenn sie nicht notwendig und gewünscht ist:
Die Verwendung der Gesundheitsanwendung (z. B. einer App zum Auslesen und Speichern der Glukosewerte) muss nach dem Grundsatz „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ nach Art. 25 Abs. 1 DS-GVO auch ohne Nutzung der Cloudfunktionen und ohne Verknüpfung mit einem Benutzerkonto möglich sein, es sei denn, die Cloudfunktion ist unbedingt für die Erreichung eines therapeutischen Nutzens erforderlich und die Funktion wird von der betroffenen Person ausdrücklich gewünscht.
Die betroffene Person muss hierzu eine entsprechende Auswahlmöglichkeit erhalten (z. B. im Registrierungsprozess) und über etwaige bestehende Vorteile und Risiken, die mit der Cloudanwendung verbunden sind, informiert werden. Die Daten dürfen im Falle der Entscheidung gegen eine cloudbasierte Verarbeitung allenfalls lokal auf dem Endgerät gespeichert werden.
Bei der Verwendung von Gesundheitsdaten stellt sich sodann die Frage der Rechtsgrundlage – hier komme die Einwilligung in Betracht, sofern die Daten nicht anonymisiert sind und soweit Hersteller nicht gesetzlich zur Datenbearbeitung verpflichtet sind, etwa nach der Medizinprodukte-Verordnung für die Qualitätssicherung und das Risikomanagement.
Mit dem Zweck unvereinbar seien sodann Bearbeitungen wie Reichweitenanalyse und Software-Fehlerverfolgung:
Die häufig implementierten Mechanismen der Reichweitenanalyse und Software-Fehlerverfolgungsmechanismen, die typischerweise in Software-Entwicklungs-Umgebungen integriert sind und zusammen mit Apps und Webanwendungen ausgeliefert werden, überprüfen das Installationsverhalten und allgemeine Funktionalitätsaspekte der Software (Telemetrie). Diese Datenverarbeitung ist grundsätzlich nicht mit dem Zweck der Anwendung vereinbar.
Im Zusammenhang mit der Datensicherheit nennt die DSK einige Sicherheitsmassnahmen, die in Betracht zu ziehen sind. Ferner:
Auch sollte die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Technische Richtlinie (TR) “Sicherheitsanforderungen an digitale Gesundheitsanwendungen” (BSI TR-03161) für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Grundsätzlich fordert das BSI, Sicherheitsanforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit von Anfang an bei der Software-Entwicklung mit zu betrachten. Diese Technische Richtlinie soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. Sie gliedert sich in drei Teile:
- BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen – Teil 1: Mobile Anwendungen
- BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen – Teil 2: Web-Anwendungen
- BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen – Teil 3: Hintergrundsysteme