Datenschutzrecht: „Privacy Shield“ zerbrochen, und nun?! Auswirkungen für Praxen und Anbieter digitaler Gesundheitsanwendungen

Nach dem „Safe-Harbour“-Abkommen erklären die Luxemburger Richter des EuGH mit Urteil vom 16.07.20 auch das Privacy-Shield-Abkommen zwischen der EU und den USA für unwirksam.
Wie sich das auf Leistungserbringer und Anbieter von digitalen Gesundheitsanwendungen (DiGA) in Deutschland auswirkt und wer nun handeln sollte, fassen wir nachfolgend in Kürze zusammen.

Was war der Vorteil des Privacy-Shield-Abkommens?

Nicht erst seit der EU-DSGVO ist klar: Das datenschutzrechtliche Niveau der EU-Staaten übersteigt das der USA. Problematisch kann das u.a. sein, wenn man Dritte (z.B. Auftragsverarbeiter) aus den USA in einen Datenverarbeitungsprozess einbindet. Als Verantwortlicher haftet man nämlich grundsätzlich auch für Datenschutzverstöße von z.B. (Sub)Auftragsverarbeitern. Bevor man sich für ein solch drittes Unternehmen entscheidet, sollte man daher sicherstellten, dass dieses seinerseits den Anforderungen der DSGVO gerecht wird. Dies gilt erst recht, wenn der Dritte selbst gar nicht der z.B. der DSGVO unterliegt. Für dritte Unternehmen aus den USA gab es hierfür eine Lösung: Das Privacy-Shield-Zertifikat. Bei Einsatz eines solch zertifizierten Unternehmens konnte man grundsätzlich davon ausgehen, dass dieses die Daten nach EU-Niveau verarbeitet. Eine eigene – praktisch kaum durchführbare Prüfung – der datenschutzrechtlichen Maßnahmen des Dritten war nicht erforderlich. Mit dem Wegfall des Privacy-Shield-Abkommens gibt es diese „Erleichterung“ in der Form ab sofort nicht mehr.

Inwieweit betrifft die Entscheidung auch mich als Leistungserbringer oder Anbieter von DiGA´s in Deutschland?

Relevant wird die Entscheidung insbesondere im Hinblick auf Auftragsverarbeitungsverhältnisse. Wer z.B. Cloud-Dienste, für die Terminvergabe, Software-Wartung, telemedizinische Dienste im Bereich der PKV oder die eigene Homepage Drittunternehmen einbindet, sollte einmal genauer hinschauen. Die meisten dieser Auftragsverarbeiter setzen ihrerseits Subunternehmen ein. Werden dabei Daten auf Servern in den USA gespeichert, gibt es den Schutz des „Privacy-Shields“ nicht mehr. Das wird auf kurz oder lang die Aufsichtsbehörden auf den Plan rufen.

Auch die Anbieter von digitalen Gesundheitsanwendungen müssen dann reagieren, wenn sie mit US-Unternehmen zusammenarbeiten. Gemäß § 4 Abs. 3 DiGAV ist eine Verarbeitung von personenbezogenen Daten durch die digitale Gesundheitsanwendung selbst sowie die Verarbeitung im Auftrag in einem Drittstaat außerhalb der EU, des EWR und der Schweiz nur zulässig, sofern ein Angemessenheitsbeschluss der EU-Kommission gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt.

Muss ich jetzt handeln?

Wer bislang z.B. Auftragsverarbeiter einsetzte, die ihrerseits Daten auf Servern in den USA speicherten, sollte achtsam sein und ggf. umdisponieren – und das sofort. Einen Ausweg könnten insoweit die sog. „Standardvertragsklauseln“ der EU-Kommission bieten. Diese wurden seitens des EuGH ausdrücklich nicht beanstandet. Doch auch diese sind kein Allheilmittel, da es bei der Verwendung solcher Klauseln auf den Einzelfall ankommt. Auch hier sollte also eine genauere Prüfung erfolgen. Wer sich unsicher ist, ob ihn der Wegfall des Privacy-Shield-Abkommens überhaupt betrifft, sollte im Zweifel einfach bei seinen Auftragsverarbeitern nachfragen oder selbst einen Blick in den Auftragsverarbeitungsvertrag werfen. Als letzter Ausweg bleibt stets der Wechsel zu einem Anbieter, welcher sich ohnehin an die europarechtlichen Vorgaben halten muss.

Vergleichbares gilt für Anbieter digitaler Gesundheitsanwendungen.

Anästhesisten mit kwm erfolgreich vor dem Bundessozialgericht – zu den Voraussetzungen einer „unvorhergesehenen Inanspruchnahme“ nach GOP 01100 EBM

Mit einer Entscheidung vom 15.07.2020 hat das Bundessozialgericht der Revision einer überörtlichen Berufsausübungsgemeinschaft von Anästhesisten gegen ein negatives Urteil des Bayerischen Landessozialgerichts (L 12 KA 93/17 vom 31.10.2018) stattgegeben.
Die Klägerin betreut ca. 16.000 Patienten im Jahr und hat sich auf Leistungen im Zusammenhang mit ambulanten Operationen und mit belegärztlichen Leistungen spezialisiert. Wegen statistisch auffälliger Tagesarbeitszeiten führte die beklagte KV Bayern eine Plausibilitätsprüfung durch, insbesondere zur sog Unzeitgebühr der GOP 01100 EBM-Ä und nahm Kürzungen i. H. v. ca. 33.000 Euro vor.
Das LSG war der Auffassung, dass „Unvorhergesehen“ im Sinne der Leistungslegende der GOP die Inanspruchnahme nur sei, wenn der Arzt nicht mit der Inanspruchnahme gerechnet habe. Hier seien die Ärzte der Klägerin zwar nicht in einer Sprechstunde in Anspruch genommen worden, weil die Klägerin eine solche nicht anbiete. Die Klägerin habe aber einen Bereitschaftsdienst organisiert und sowohl Patienten wie behandelnden Ärzten eine Mobiltelefonnummer zur Kenntnis gegeben, unter der jederzeit einer ihrer Ärzte erreichbar ist. Die Inanspruchnahme sei unter diesen Umständen nicht wider Erwarten erfolgt.
Das sah das BSG anders und hob die Entscheidung auf. Die (auch regelhafte) Weitergabe einer Telefonnummer an Patienten für den Notfall sei nicht als organisierter Bereitschaftsdienst oder Notfallsprechstunde einzustufen. Auch aus Gründen der Qualitätssicherung sei dieses Verständnis geboten. Eine Abrechnung sei aber nur möglich, wenn der Patient den Anästhesisten kontaktiere, nicht, wenn der Operateur dies unternehme.
Im Gegenzug müsse der Arzt konkret in jedem Einzelfall dokumentieren, welcher Patient zu welchem Zeitpunkt mit welcher med. Fragestellung den Kontakt gesucht habe. Je auffälliger die Statistik zur Abrechnung (Plausibilität) desto höher seien die Anforderungen an die Güte der Dokumentation.
Die Anforderungen zur Dokumentation haben die klagenden Anästhesisten zwar ohne Weiteres erfüllt, nichtsdestotrotz wird sich das LSG Bayern mit dieser einzelfallbezogenen Frage noch beschäftigen müssen.

Datenschutzrechtlicher Durchbruch im Bereich der klinischen Forschung: DSK erkennt „broad consent“ an

Ende April teilte die Medizininformatik-Initiative (MII) mit, sie habe seitens der Konferenz der unabhängigen Datenschutzbeauftragten (DSK) „grünes Licht“ für eine Muster-Einwilligung zur (Weiter)Verarbeitung von Patientendaten zu wissenschaftlichen Forschungszwecken erhalten (hier geht es zur offiziellen Pressemitteilung).

Diese Mitteilung dürften viele (internationale) Forschungsinitiativen mit deutschem Einschlag freudig aufgenommen haben. Endlich wird der datenschutzrechtliche Nebel bei klinischen Forschungsvorhaben etwas gelichtet. Insbesondere die Vielzahl an neben der DSGVO zu beachtenden nationalen Regelungen (z.B. BDSG, LDSG, LKhG) führte zu einem nahezu undurchschaubaren Potpourri von Anforderungen.

Um diese unsichere Lage zu umgehen, wurde die Einwilligung allerdings nicht als geeignetes Mittel angesehen. Lange ging man  davon aus, dass eine wirksame Einwilligung des einzelnen Patienten im Rahmen von Forschungsvorhaben für jeden einzelnen konkreten Forschungszweck einzuholen war. Viele medizinische Fragestellungen stehen zu Beginn eines Forschungsvorhabens allerdings noch gar nicht fest. Damit war die Einwilligung als Rechtsgrundlage für die Forschung praktisch nahezu nicht umsetzbar. Eine „breite Einwilligung“ („broad consent“), um als Patient seine Daten pauschal der Forschung „spenden“ zu können, wurde als nicht wirksam angesehen.

Bis jetzt. Die DSK positionierte sich nunmehr erstmals pro „broad consent“. Damit kann der Patient – unter weiteren Voraussetzungen wie z.B. der Pseudonymisierung seiner Daten – eine breite Einwilligung abgeben. Dies dürfte in der Praxis für erheblich mehr Rechtssicherheit sorgen. Zumindest im Verhältnis zu den Landesdatenschutzbehörden ist mit einer Sanktionierung nicht zu rechnen, sofern sich an die entsprechenden Vorgaben gehalten wird. Ob sich die Rechtsprechung der Meinung der DSK anschließen wird, bleibt allerdings abzuwarten.