Eine DiGA mit einer Cloud-basierten Lösung zu entwickeln, erfordert besondere Sorgfalt bei der Planung. Denn die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) formuliert hohe Anforderungen an die Sicherheit und den Datenschutz von Gesundheits- und personenbezogenen Daten.
Dazu werden in der DiGAV in Anlage 1 und Anlage 2 Fragebögen bereitgestellt, die Hersteller:innen ausfüllen müssen. Dabei sollte das Ziel sein, jede Frage mit „zutreffend“ beantworten zu können. Ist das nicht der Fall, müssen genaue Begründungen dargelegt werden. Der Aufwand für die Umsetzung und Implementierung, um letztlich die Auflagen erfüllen zu können, sollte nicht unterschätzt werden. Insgesamt umfassen die Fragebögen 124 Fragen:
- Anlage 1 besteht aus 77 Fragen zu Datenschutz und Datensicherheit mit zusätzlichen 9 Fragen, die bei einer DiGA mit sehr hohem Schutzbedarf zum Tragen kommen.
- Anlage 2 besteht aus 38 Fragen zu Qualität und Interoperabilität.
DiGA – sehr hoher Schutzbedarf?
Ob eine DiGA einen sehr hohen Schutzbedarf hat, muss mit einer Schutzbedarfsfeststellung ermittelt werden. Dazu wird in der DiGAV auf BSI-Standard 200-2 verwiesen. Dort beschrieben ist eine detaillierte Schutzbedarfsfeststellung sowie Beispielkriterien zur Orientierung. Eines dieser Beispielkriterien ist, Zitat:
“Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Anderenfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen” Quelle: BSI-Standard 200-2
Bei einem sehr hohen Schutzbedarf müssen die zusätzlichen 9 Fragen aus der DiGAV Anlage 1 berücksichtigt werden. Die daraus resultierenden Anforderungen müssen Hersteller:innen schon frühzeitig einplanen. Für eine Cloud-basierte Lösung sind folgende Punkte besonders interessant:
- Penetrationstest, einschließlich aller Backend-Komponenten
- Zwei-Faktor-Authentifikation für mindestens den initialen Authentifikationsprozess
- Verschlüsselung personenbezogener Daten auf Systemen, die nicht in der persönlichen Verfügung der nutzenden Person stehen
Die Art der Verschlüsselung wird allerdings nicht vorgegeben.
DiGA – Personenbezogene Daten
Für den Umgang mit personenbezogenen Daten gilt in erster Linie die DSGVO (Verordnung (EU)2016/679). Zusätzlich zu beachten sind auch nationale Gesetze, wie z.B. zur Informationssicherheit, zur Nachhaltigkeit, zum “gelebten” Datenschutz und zur faktischen Möglichkeit der Geltendmachung von Ansprüchen gegenüber Hersteller:innen. Die DiGAV fordert auch eine granulare Darlegung aller Standorte der Datenverarbeitung von personenbezogenen Daten, einschließlich externer Systeme und Anbieter:innen. Für alle Standorte müssen DSGVO und nationale Gesetze beachtet werden.
Werden im Rahmen einer DiGA personenbezogene Daten in der Cloud verarbeitet, so müssen Cloud-Anbieter:innen hinsichtlich der DSGVO überprüft werden. Dazu gibt es ein Informationspapier des BfArM mit dem Titel:
“Informationen zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands im Zusammenhang mit dem Prüfverfahren des BfArM gemäß § 139e Fünftes Buch Sozialgesetzbuch (SGB V)” Quelle: BfArM
Dort gibt das BfArM eine Einschätzung ab und bieten in einem FAQ konkrete Antworten. Demnach ist eine Verarbeitung personenbezogener Daten außerhalb der EU allein auf Basis von Artikel 46 DSGVO (Standardvertragsklauseln) oder Artikel 47 (Binding Corporate Rules) für DiGA nicht zulässig (vgl. § 4 Abs. 3 DiGAV).
Da das EU-US Privacy Shield Abkommen dafür nicht mehr ausreicht, ist der Einsatz von Dienstleister:innen aus den USA nicht erlaubt. Bei Dienstleister:innen mit Niederlassung in der EU und Mutterkonzern in den USA, ist der Einsatz von Diensten „unter bestimmten Voraussetzungen“ möglich. Die Hauptvoraussetzung ist, dass der Datenfluss von personenbezogenen Daten in die USA vollumfassend ausgeschlossen wird. Die Verantwortung dafür liegt bei den DiGA-Hersteller:innen.
Als eine mögliche Lösung wird die Verschlüsselung der personenbezogenen Daten mit Speicherung der Schlüssel in der EU genannt. Genauere Informationen dazu gibt es allerdings nicht.
Daher wird DiGA-Hersteller:innen empfohlen, im vertrauten Rechtsraum zu operieren und sich beispielsweise für deutsche Cloud-Anbieter:innen an den Richtlinien des BSI Grundschutz und C5 zu orientieren.
Datenschutz und -sicherheit
Zur Datensicherheit werden in der DiGAV Prozesse, wie ein Informationssicherheitsmanagement (ISMS), nach ISO 27000 oder BSI Standard 200-2 und auch konkrete Maßnahmen vorausgesetzt. Für Cloud-basierte Lösungen sind folgende Maßnahmen interessant:
Weitere Sicherheitsanforderungen gibt es in der Technischen Richtlinie BSI TR-03161. Die darin aufgeführten Prüfaspekte sind nochmals ausführlicher als die Anforderungen der DiGAV, aber widersprechen sich vereinzelt mit Anforderungen der DiGAV.
Im Zweifelsfall sollte die Erfüllung der in der DiGAV formulierten Anforderungen angestrebt werden. Die Technische Richtlinie BSI TR-03161 bezieht sich mehrfach auf die Richtlinien zur Kryptografie BSI TR-02102-1 und BSI TR-02102-2. Wird die Erfüllung der Anforderungen aus BSI TR-03161 angestrebt, muss das rechtzeitig geplant werden. Denn die Auswirkungen auf die Systemarchitektur und Entwicklung der DiGA sollten nicht unterschätzt werden.