Ein Papier der Datenschutzkonferenz (DSK) wirft große Fragen auf: Sollen Anbieter von cloudbasierten Gesundheitsanwendungen dazu verpflichtet sein, alternativ eine lokale Speicherung anzubieten? Die Positionierung der DSK sieht dies vor. Wir ordnen dies für Sie ein, gerade auch mit Blick auf die rechtlichen Anforderungen und die (fehlende) Rechtsverbindlichkeit einer solchen DSK-Positionierung.
Die DSK äußert sich in ihrem Positionspapier zunächst zu erstattungsfähigen digitalen Gesundheitsanwendungen nach § 33a SGB V – deren Anbieter müssen zukünftig auf anderem als bisherigen Wege nachweisen, dass sie die Anforderungen an den Datenschutz erfüllen. Doch primär behandelt die Datenschutzkonferenz in ihrem Papier den Umgang mit anderen Gesundheitsanwendungen, die nicht vom Regelungsbereich des SGB V umfasst sind. Hierbei sind insbesondere interessant – und fragwürdig – die Forderungen der DSK hinsichtlich der Umsetzung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 1 DSGVO.
Die DSK stellt sich auf den Standpunkt, dass jede Gesundheitsanwendung auch ohne Nutzung der Cloudfunktion sowie ohne eine Verknüpfung mit dem Benutzerkonto möglich sein muss – dies gelte nur dann nicht, wenn die Cloudfunktion ausdrücklich vom Nutzer gewünscht wird und erforderlich ist, um einen therapeutischen Nutzen zu erreichen. Der Wunsch des Nutzers müsse abgefragt werden, indem dieser etwa im Registrierungsprozess eine entsprechende Auswahlmöglichkeit erhält und über Vorteile und Risiken der Nutzung der Cloudanwendung informiert wird. Sofern der Nutzer dies jedoch ablehnt, dürften Daten nur lokal auf dem Endgerät gespeichert werden. Ohne eine, wenn auch nur kurzfristige, Zwischenspeicherung von personenbezogenen Daten, ist eine Gesundheitsanwendung mit therapeutischem Nutzen indes schwer vorstellbar.
Richtig ist: Bei der Nutzung von Gesundheitsanwendungen werden mitunter sehr sensible personenbezogene Daten, insbesondere Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO, verarbeitet – und deren Schutz ist besonders wichtig. Fraglich ist aber, ob dadurch zwangsläufig eine Verarbeitung in der Cloud außer unter den genannten Voraussetzungen verboten sein sollte.
Rechtlich wäre dies dann geboten, wenn nur so eine angemessene Datensicherheit i.S.d. Art. 25, 32 DSGVO mit datenschutzfreundlichen Voreinstellungen erreicht werden könnte. Dies ist indes für uns nicht ersichtlich: Zum einen sieht das BSI in seinen Technischen Richtlinien BSI TR-03161 selbst diverse Anforderungen an die Bereitstellung mobiler Gesundheitsanwendungen auf und definiert auch die Cloud-Voraussetzungen für eine sichere Datenverarbeitung, ohne anklingen zu lassen, dass für eine nach dem Stand der Technik sichere Verarbeitung stets eine lokale Variante verfügbar sein müsse. Zum anderen gibt es diverse Fälle, in denen gerade die cloudbasierte Verarbeitung einen besonders hohen Sicherheitsstandard ermöglicht, da der Anbieter dann die Sicherheit deutlich weitergehend beeinflussen kann, als dies teils auf den lokalen Endgeräten der Fall ist. Insofern ist es umso wichtiger, festzuhalten: Das Positionspapier der DSK entfaltet keine rechtliche Verbindlichkeit! Es dokumentiert die Position der Behörden, ist aber weder Bescheid noch bindet es Verantwortliche oder Gerichte. Selbst eine Datenschutzaufsichtsbehörde ist befugt, von der Positionierung in einem konkreten Verfahren abzuweichen, sei es aufgrund der konkreten Einzelfallkonstellation oder in Änderung einer möglichen Behördenpraxis