Interview: Datenschutz bei Software-Medizinprodukten mit Hinblick auf die DSGVO
Gerald hat dem Verband der Elektrotechnik Elektronik Informationstechnik (VDE) ein interessantes Interview gegeben. Darin beleuchtet er die Auswirkungen für die Medizintechnik-Branche, die mit der ab 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) einhergeht.
Liebe Gruppenmitglieder,
am 24. Mai 2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten und ab dem 25. Mai 2018 ist sie verbindlich anzuwenden. Wir hatten Gelegenheit, mit Herrn Rechtsanwalt Gerald Spyra, LL.M., Partner in der medizinrechtlichen Kanzlei Ratajczak & Partner, Köln, über die Auswirkungen für die Medizintechnik-Branche zu sprechen.
1. Medizinische Apps im Sinne eines Medizinproduktes erheben und verarbeiten erhebliche Mengen an personenbezogenen Daten. Was kommt auf die Hersteller dieser Produkte aufgrund der DSGVO zu?
Die Frage lässt sich nicht pauschal beantworten. Vielmehr kommt es insbesondere darauf an im Einzelfall zu beurteilen, ob der Hersteller Verantwortlicher im Sinne des Datenschutzrechts ist. Zur Beurteilung der Verantwortlichkeit ist es essenziell, den konkreten technischen und organisatorischen Sachverhalt des App-Einsatzes zu beleuchten. Kommt man nach ausführlicher Analyse aufgrund entsprechender Anhaltspunkte zum Ergebnis, dass der Hersteller Verantwortlicher ist, dann gilt es in einem weiteren Schritt zu analysieren, für wessen und welche Daten er, wie weit verantwortlich ist und welche Pflichten er zu erfüllen hat.
Steht seine Verantwortlichkeit fest und weiß man welche Daten, wie, wo verarbeitet werden, sollte ferner überprüft werden, ob die mit der App verbundenen Datenverarbeitungen die Anforderungen der grundsätzlichen Prinzipien der EU-Datenschutzgrundverordnung, die in Art. 5 DSGVO festgelegt sind, erfüllt. Ein Hersteller sollte darüber hinaus als Verantwortlicher dafür Sorge tragen, dass seine App die Anforderungen an „data protection / security by design“ und „by default“ erfüllt. Mithin muss der Hersteller bereits im Design der App darauf achten, dass zum einen in der App selber und zum anderen auch bei den damit in Zusammenhang stehenden Verarbeitungsprozessen, standardmäßig der Datenschutz und die Sicherheit in ausreichendem Maße implementiert sind. All dieses gilt es der Rechenschaftspflicht aus Art. 5 Abs. 2 folgend, entsprechend zu dokumentieren. Denn es gilt, das alles, was nicht dokumentiert ist, auch nicht geschehen ist…
Ob der Hersteller bei der App neben diesen Anforderungen weitere spezielle Datenschutzanforderungen z. B. von der geplanten sog. EU-ePrivacy-Verordnung (ePrivacyVO) zu beachten hat, bleibt abzuwarten. Weil noch nicht abzusehen ist, ob und wann die ePrivacyVO kommt, und in wie weit die Datenverarbeitung der entsprechenden App von dieser Verordnung erfasst ist, sollte ein Hersteller in jedem Fall bereits heute dafür Sorge tragen, dass die Datenverarbeitung mittels seiner App, „compliant“ mit den grundsätzlichen Anforderungen der DSGVO erfolgt…
2. Vernetzte Medizingeräte, z. B. in der Klinik, tauschen ebenfalls personenbezogene Gesundheitsdaten aus. Leiten sich aus der DSGVO nur Pflichten für die Betreiber ab oder müssen die Hersteller auch neue Anforderungen erfüllen?
Auch die Beantwortung dieser Frage steht und fällt mit der korrekten Bestimmung der datenschutzrechtlichen Verantwortlichkeit. Sicherlich wird die primäre Verantwortlichkeit für den Schutz der zu verarbeitenden Daten beim Betreiber liegen. Dieses alleine schon deshalb, weil die Datenverarbeitung in den meisten Fällen auch der ärztlichen Verschwiegenheitspflicht unterliegen dürfte. Darüber hinaus dürfte er aber auch aus datenschutzrechtlicher Sicht (grundsätzlich) verantwortlich für die Verarbeitung dieser Daten sein.
Insofern muss er bei der Datenverarbeitung entsprechender (Software-) Medizingeräte sicherstellen, dass diese rechtskonform im Sinne der DSGVO abläuft. Insbesondere müssen dafür seine Datenverarbeitungsprozesse „compliant“ sein und die grundlegenden Prinzipien an eine ordnungsgemäße Datenverarbeitung gem. Art. 5 DSGVO erfüllen. Eine der größten Herausforderungen für einen Betreiber ist dabei m.A. nach die Schaffung von Transparenz über die konkrete Datenverarbeitung. Denn nur wenn er weiß, welche Datenverarbeitungen bei ihm stattfinden, an wen, welche Daten gehen etc., kann er die an ihn gestellten Anforderungen erfüllen. Erst dann ist er auch in der Lage, den Datenschutz und die Sicherheit „by Design und by default“ in seine Prozesse zu implementieren. Und auch dann ist er erst in der Lage, den durch die DSGVO gestärkten Betroffenenrechten ordnungsgemäß nachzukommen.
Durch die Anforderungen der DSGVO (insbesondere auch nach Schaffung von Transparenz) und damit korrespondierend nach Datenschutz / Sicherheit „by Design“, ist m.A. nach auch der Hersteller gefordert. Dieses selbst auch dann, wenn er nicht primär Verantwortlicher im Sinne des Datenschutzrechts ist.
Denn durch die neuen Anforderungen der DSGVO ist ein Hersteller nun darüber im Bilde, was seine Kunden (die Betreiber) benötigen, um sich rechtskonform zu verhalten. Wirbt ein Hersteller mit der „Rechtskonformität“ seines Produkts, ist er m.A. nach dazu verpflichtet sicherzustellen, dass mit seinem Produkt auch die zwingenden datenschutzrechtlichen Anforderungen abgebildet werden können. Wenn sein Produkt gewisse gesetzliche Anforderungen nicht erfüllen kann, ist er m.A. nach dazu verpflichtet, seine Kunden auch darüber zu informieren. Unterlässt er dieses, dürfte sein Produkt „mangelhaft“ sein, was wiederum entsprechende zivilrechtliche Ansprüche auslösen kann.
Aus diesem Grund sollte ein Hersteller dem Betreiber entsprechende (aussagekräftige) Informationen darüber zur Verfügung stellen, wie sein Produkt funktioniert, welche Datenverarbeitungen stattfinden und wie der Betreiber die ihm obliegenden gesetzlichen Anforderungen im konkreten Produkt abbilden kann. Ohne diese Informationen ist ein Betreiber nicht in der Lage, eine Einschätzung des mit der Datenverarbeitung verbundenen Risikos vorzunehmen. In Konsequenz ist er dann auch nicht in der Lage, die im konkreten Sachverhalt erforderlichen technischen und organisatorischen Schutzmaßnahmen usw. zu treffen. Dadurch dürfte es ihm auch nicht möglich sein, der ihm obliegenden Rechenschaftspflicht nachzukommen, um sich rechtskonform zu verhalten.
Durch die nunmehr gesetzlich vorgeschriebenen Anforderungen, dürfte die DSGVO nun „ganz neuen Wind“ in die Beziehung von Hersteller und Betreiber bringen. Es dürfte damit immer wichtiger werden, dass sie gemeinsam an einem Strang ziehen, um gemeinsam die rechtlichen Herausforderungen, die mit der DSGVO einhergehen, zu lösen.
[…]
Meine Einschätzung: Weder die Medizintechnik-Branche, noch andere Branchen sind aktuell auf die DSGVO vorbereitet. Das wird ein interessantes Jahr 2018.
Der Einsatz von Social Media im Arbeitsleben aus datenschutzrechtlicher Sicht
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2
Sofatutor: Kurzanalyse der Datenschutzinformationen
