Das eigentlich Überraschende an der Entscheidung ist, dass viele so lange geglaubt haben, die Vereinbarung zwischen der EU und den USA könne den Datenschutz ersetzen. Dies war Illusion, nachdem die USA mit CLOUD Act und dem FISA gezeigt haben, dass ihr Verständnis von Datenschutz mit der DSGVO nicht vereinbar ist.
Digitale Gesundheitsanwendungen sind nun betroffen, wenn sie Funktionalitäten von Anbietern nutzen, die in den USA gehostet werden. Für die Branche und die DiGA ist das wirtschaftlich ein echter Nachteil, denn viele WebOps von dort sind technologisch ausgereifter und deutlich günstiger. Nach den Standardvertragsklauseln ist der Verantwortliche in der EU verpflichtet, Datenschutz und Datensicherheit auf der Seite des datenverarbeitenden Vertragspartners sicherzustellen. Hierzu gilt es, die Serviceangebote genau zu prüfen und aus den Vertragsmodulen und Zusätzen die DSGVO-konformen Verarbeitungsbedingungen auszuwählen. Die Prozesse müssen dann durch eine Datenschutzfolgeabschätzung dokumentiert und regelmäßig monitoriert werden. Die Anbieter müssen gemeinsam mit ihren Kunden Lösungen entwickeln, die den EU-Anforderungen genügen, wenn sie langfristig wettbewerbsfähig in diesem Markt bleiben wollen. Dies ist möglich, aber bis dies zur Zufriedenheit aller, auch der Datenschutzbehörden und des BfArM umgesetzt ist, sollten für wesentliche Funktionalitäten auch Übergangslösungen und Kompromisse in Betracht gezogen werden, sonst koppeln wir uns vom digitalen Fortschritt ab.
Autor:
Prof. Dr. med. Dr. iur. Christian Dierks ist Rechtsanwalt und Facharzt für Allgemeinmedizin in Berlin
Kommentare & Fragen:
christian.dierks(at)dierks.company