Bildnachweis: © stock.adobe.com, Heuking Kühn Lüer Wojtek.
Die digitale Transformation im Gesundheitswesen hat nicht zuletzt durch die Coronapandemie einen erheblichen Schub erlebt. Aufgrund aktueller Entwicklungen in der Rechtsprechung und der Vielzahl an neuen gesetzlichen Reformen stellt dieser Transformationsprozess die Verantwortlichen vor große Herausforderungen. Von Michael Kuska
Der Schutz der eingesetzten IT-Systeme sowie der datenschutzkonforme Austausch von personenbezogenen Daten auf internationaler Ebene sind große Herausforderungen. Die aktuellen Entwicklungen zeigen dabei nicht nur die in diesen Bereichen bestehenden Risiken auf, sondern auch das enorme Entwicklungspotenzial der gesamten Branche.
Internationale Datentransfers unter Beschuss: neue Herausforderungen nach dem Schrems-II-Urteil des EuGH
Auch der digitale Gesundheitsbereich ist durch den internationalen Transfer von (personenbezogenen) Daten geprägt. Dies gilt etwa für internationale Forschungsprojekte, bei denen die beteiligten Einrichtungen Daten untereinander austauschen. Auch die Bereitstellung von digitalen Healthcareangeboten erfolgt oftmals unter Verwendung von IT-Systemen, die außerhalb der EU betrieben werden und daher Datentransfer in sogenannte Drittländer umfassen. Namentlich US-amerikanische Technologieanbieter dominieren hier seit Jahren mit ihren umfangreichen und preiswerten Angeboten den Markt, sei es in Form von Managed Services oder Infrastrukturdiensten.
Allerdings steht gerade der Datentransfer in die USA seit Jahren im Blickpunkt zahlreicher Rechtsstreitigkeiten. Eine wesentliche Zäsur stellt hierbei das Urteil des EuGH im Jahr 2015 dar, mit dem dieser das damalige Safe-Harbour-Abkommen zur Legitimierung des Datentransfers zwischen der EU und den USA für unwirksam erklärte. Auch den Nachfolger, das sogenannte Privacy-Shield-Abkommen, erklärte der EuGH im letzten Jahr mit Verweis auf die umfassenden Überwachungsgesetze sowie die fehlenden Rechtsschutzmöglichkeiten für EU-Bürger in den USA für unwirksam. Zwar stellte der EuGH die Wirksamkeit anderer Transfermechanismen, insbesondere die von der EU-Kommission veröffentlichten EU-Standardvertragsklauseln, nicht infrage, stellte aber gleichzeitig klar, dass sie ggf. unter Berücksichtigung zusätzlicher Schutzmaßnahmen ein angemessenes Datenschutzniveau gewährleisten müssen. Da die konkreten Anforderungen zur Gewährleistung eines angemessenen Datenschutzniveaus bislang nicht klar definiert sind, ist die Nutzung der EU-Standardvertragsklauseln aktuell mit erheblichen Risiken verbunden. Dies gilt insbesondere für Forschungs- und Versorgungseinrichtungen sowie Diensteanbieter im Gesundheitsbereich, da diese regelmäßig sensible Gesundheitsdaten verarbeiten und daher erhöhten Anforderungen für den Schutz dieser Daten unterliegen. Zumindest die aktuellen Entwicklungen zeigen allerdings die Tendenz, dass technische Schutzmaßnahmen einen geeigneten Ausweg zur Sicherstellung des internationalen Datentransfers darstellen können. Primär geht es hierbei um die Implementierung von Verschlüsselungs- und Pseudonymisierungstechniken.
Datentransfer mit USA bleibt riskant
Im digitalen Gesundheitssektor hat der deutsche Gesetzgeber zudem die Übermittlung von personenbezogenen Daten in Nicht-EU-Länder explizit reglementiert. So sieht etwa die neue Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) explizit vor, dass eine Datenspeicherung grundsätzlich innerhalb der EU und den nach § 35 Abs. 7 SGB I gleichgestellten Staaten zulässig ist. Hierunter fallen die Mitgliedstaaten des EWR und die Schweiz. Ausnahmsweise kommt auch eine Übermittlung in Drittstaaten in Betracht – allerdings nur, wenn ein Angemessenheitsbeschluss der EU-Kommission gemäß den Vorgaben der DSGVO (vgl. § 4 Abs. 3 DiGAV) vorliegt. Zwar bestehen entsprechende Angemessenheitsbeschlüsse etwa für Kanada, Israel, Japan, die Schweiz und weitere Länder. Wie aufgezeigt, ist der wirtschaftlich relevanteste Datentransfer in die USA durch den Wegfall des Privacy-Shield-Abkommens aber erheblichen Risiken ausgesetzt.
Einrichtungen und Diensteanbieter speziell im Gesundheitsbereich stehen daher vor der Frage, auf welcher Grundlage sie ihre Datentransfers zukünftig durchführen. Ein aktuell erkennbarer Trend ist hierbei, dass Unternehmen vielfach dazu übergehen, ihre Datenflüsse insgesamt neu zu organisieren, indem sie ihre Infrastruktur in die EU verlagern bzw. auf entsprechende Dienste von europäischen Anbietern zurückgreifen. Allerdings greift dieser Ansatz nicht für solche Einrichtungen und Organisationen, die auf den internationalen Datenaustausch zwingend angewiesen sind (z.B. bei internationalen Forschungskooperationen). Hier wird es vor allem darauf ankommen, dass die Beteiligten geeignete technische Schutzmaßnahmen implementieren. Auch hier bieten sich daher vielfältige Möglichkeiten für Anbieter von entsprechenden Angeboten, die ihren Fokus auf die spezifischen Anforderungen im Gesundheitssektor ausrichten.
Der Schutz von IT-Systemen und kritischen Infrastrukturen …
Aus technischer Sicht eng mit dem internationalen Datentransfer verknüpft ist der Schutz der eingesetzten IT-Systeme. Im digitalen Gesundheitsbereich steht die Verarbeitung von besonders sensiblen Informationen, insbesondere in Form von Patientendaten, im Vordergrund. Entsprechend hoch sind auch die Anforderungen an den Schutz der eingesetzten IT-Systeme inkl. der dazugehörigen (kritischen) Infrastrukturen. Gleichwohl zeigen aktuelle Beispiele, dass sowohl klassische Forschungs- und Versorgungseinrichtungen (z.B. Krankenhausbetreiber) als auch Anbieter von innovativen Healthcareanwendungen und Onlinediensten das Thema Cybersecurity oftmals nicht mit den erforderlichen Ressourcen behandeln. Dies erscheint insbesondere vor dem Hintergrund fragwürdig, dass mangelnde IT-Sicherheit nicht nur erhebliche regulatorische Risiken birgt, etwa in Form von Bußgeldern, sondern auch zu erheblichen materiellen und immateriellen Schäden führen kann.
Exemplarisch für die mit einer unzureichenden IT-Sicherheit verbundenen Risiken stehen etwa die wiederholten Hackingangriffe auf verschiedene Versorgungseinrichtungen in den letzten Monaten. Prominentes Beispiel ist hier der Ransomeware-Angriff auf die Uniklinik Düsseldorf, bei dem wesentliche IT-Systeme zeitweise nicht verfügbar und dadurch angeblich sogar die Notfallversorgung eingeschränkt war. Dass es sich hierbei nicht um Ausnahmen handelt, zeigen vergleichbare Fälle, wie etwa Cyberangriffe auf Krankenhäuser in Neuss und Lippstadt.
Auch die Datenschutzaufsichtsbehörden in der EU sind sich der Risiken von fehlenden bzw. unzureichenden Schutzmaßnahmen bewusst und reagieren zunehmend in Form von Bußgeldern. So wurden etwa in Schweden, Norwegen und Portugal Betreiber von klinischen Einrichtungen jeweils mit Bußgeldern belegt, deren Höhe von 400.000 bis 3.000.000 EUR reicht. Ursache für die Bußgelder war in allen Fällen, dass die Betreiber es u.a. versäumt hatten, in ihren Krankenhausinformationssystemen geeignete Sicherheitsmaßnahmen für den Zugriff auf Patientendaten umzusetzen.
Daneben stehen aber auch vermehrt Anbieter von digitalen Lösungen im Fokus der Aufmerksamkeit. Ein prominentes Beispiel ist die App luca, die die deutschen Gesundheitsämter bei der Kontaktnachverfolgung von COVID-19-Infektionen unterstützen soll. Im Vordergrund der Diskussion stehen hier angebliche Sicherheitslücken und Datenschutzmängel.
… vom notwendigen Übel zum Verkaufsargument?!
Vor diesem Hintergrund ist bereits eine Trendwende dahin gehend zu erkennen, dass sowohl Anbieter von digitalen Healthcarelösungen als auch Betreiber von klassischen Forschungs- und Versorgungseinrichtungen das Thema Cybersecurity verstärkt angehen und erkennen, dass es sich hierbei nicht nur um ein notwendiges Investment zur Einhaltung regulatorischer Anforderung handelt, sondern durchaus auch Wettbewerbsvorteile generiert werden können. Da die Verantwortlichen oftmals auf externe Expertise und Lösungen von Drittanbietern angewiesen sind, steigt entsprechend die Nachfrage im Beratungs- und Dienstleistungsumfeld. Diese wird zukünftig auch noch weiter zunehmen, da sowohl der europäische als auch der deutsche Gesetzgeber die regulatorischen Anforderungen an den Schutz von IT-Systemen und kritischen Infrastrukturen (z.B. durch das neue IT-Sicherheitsgesetz sowie die geplante zweite europäische NIS-Richtlinie) kontinuierlichen ausbauen und verschärfen werden, um die Widerstandsfähigkeit digitaler Systeme zu verbessern. Im Ergebnis besteht daher auch hier enormes Potenzial für den digitalen Gesundheitsbereich, sowohl auf Anbieter- als auch auf Nachfrageseite.
ZUM AUTOR
Michael Kuska ist Salaried Partner im Düsseldorfer Büro der Kanzlei Heuking Kühn Lüer Wojtek. Seine Tätigkeit umfasst die Unterstützung von mittelständischen als auch international agierenden Unternehmen im Bereich des IT- und Datenschutzrechts.
Autor/Autorin
Michael Kuska, LL.M., LL.M.
Michael Kuska ist Salaried Partner bei Heuking. Er ist zertifizierter ISO 27001 Security Officer und Mitglied der Arbeitsgruppe IT-Sicherheitsrecht beim Bundesverband IT-Sicherheit e.V. (TeleTrusT). Er berät nationale wie auch internationale Unternehmen und Organisationen in den Bereichen Tech, Data und Security mit einem Schwerpunkt im Gesundheitsbereich.