Digitale Gesundheitsanwendungen in der Cloud?

Juni 23, 2020/QuR.digital/Kommentare deaktiviert für Digitale Gesundheitsanwendungen in der Cloud?

Im Rahmen des kürzlich veröffentlichten DiGA-Leitfadens hat sich das Bundesamt für Arzneimittel und Medizinprodukte (BfArM) erstmals als einer der Big-Player im Bereich der Regulatorik zur Nutzung cloudbasierter Backend-Dienste amerikanischer Anbieter wie Amazon, Google und Microsoft geäußert.  

Zur Erinnerung: Die Diskussion um die Nutzung ausländischer Cloud-Dienste, auch im Zusammenhang mit digitalen Gesundheitsanwendungen, kam ursprünglich mit dem Zerfall des Safe-Harbour-Abkommens auf. Dieses Abkommen war vom EuGH am 6. Oktober 2015 für ungültig erklärt worden, nachdem die Enthüllungen des Whistleblowers Edward Snowden im Jahr 2013 ans Licht gebrachten hatten, dass US-Geheimdienste unbeschränkten Zugriff auf die in den Vereinigten Staaten gespeicherten Daten hatten.

Das gescheiterte Safe-Harbour-Abkommen wurde nur ein Jahr später durch das EU-US-Privacy Shield abgelöst, welches zwar bis heute fort gilt, sich jedoch immer wieder harscher Kritik ausgesetzt sieht.

Auch das BfArM scheint dem EU-US-Privacy Shield grundsätzlich kritisch gegenüber zu stehen. So heißt es auf S. 40 des DiGA-Leitfadens wörtlich:

„Sofern Backend-Dienste in einer kommerziellen Cloud eines amerikanischen Anbieters laufen, reicht es nicht aus, dass der Cloud-Anbieter unter das EU-US-Privacy Shield fällt. Da die Nutzung der Cloud in diesem Fall über einen AV-Vertrag erfolgt, muss auch die Kontrolle des DiGA-Herstellers über die Datenverarbeitung durch den Cloud Provider abgesichert sein. Hier enthalten die AGB der Cloud-Anbieter oftmals Klauseln, die dieses erschweren, sodass hier in jedem Fall eine genauere Analyse der konkreten Formen der Cloud-Nutzung im Rahmen einer Risikobewertung erforderlich ist“

Das BfArM trifft jedoch keine Aussage darüber, welche Klauseln in den AGB der gängigen Cloud-Dienstleister kritisch zu beleuchten sind. Damit liegt es allein beim DiGA-Hersteller, die jeweils kritischen Passagen erst zu ermitteln und anschließend im Hinblick auf ihr Datensicherheitsrisiko hin zu bewerten (Risikobewertung).

Gerne unterstützen wir Sie bei dieser Aufgabe und führen Sie Schritt für Schritt durch die jetzt notwendigen To-dos. Kontaktieren Sie uns.

Neue Beiträge

Kategorien

Tags

Arzt (7) BfArM (6) Bundesanstalt für Medizinprodukte und Arzneimittel (2) Corona (9) Covid-19 (3) Datenschutz (8) Datenschutz-Grundverordnung (3) Datenschutzgrundverordnung (3) DiGA (9) DiGAV (3) Digitale Gesundheitsanwendung (6) Digitale Medizin (3) Digitale Versorgung Gesetz (3) Digital Health (2) Digitalisierung (4) DSG-VO (3) DSGVO (7) DVG (4) ehealth (5) Erstattung (3) EU-US-Privacy Shield (2) Gesundheits-App (5) Gesundheitsdaten (2) Gesundheitswesen (2) GKV (3) Hilfsmittel (2) Infektionsschutz (2) Klasse I (3) Klasse IIa (3) Krankenkasse (3) Krankenkassen (3) Lifestyle (2) MDR (3) Medical Device Regulation (3) Medizin (4) Medizin-App (2) Medizin-Apps (2) Medizinprodukt (8) Patient (2) QuR.digital (2) Risikoklasse (3) Robert Koch Institut (3) Vorberg.Law (2) Ärzte (3) Ärztekammer (2)

Archiv