„Schrems II“: – eHealth: Datenübermittlung in die USA bei DiGA verstößt gegen DiGAV

Der Angemessenheitsbeschluss für die Übermittlung von personenbezogenen Daten in die USA existiert mit dem „Schrems II“-Urteil des EuGH nicht mehr. Die Möglichkeit auf andere Mechanismen für die sichere Datenübermittlung (wie Standardvertragsklauseln) auszuweichen, bestehen nach dem DiGAV nicht. Hintergrund dieser Entscheidung ist offenbar der besondere Schutzbedarf von Gesundheitsdaten. Der deutsche Gesetzesgeber ist der Überzeugung, dass Gesundheitsdaten nur bei einem bestehenden Angemessenheitsbeschluss sicher in einem Drittland sind.

Was bedeutet das für Sie als Hersteller von DiGA? 

Hersteller von DiGA, die verpflichtet sind die Vorgaben der DiGAV einzuhalten, dürfen folglich bis zur Verabschiedung eines neuen Angemessenheitsbeschlusses mit den USA (oder einer Gesetzesänderungen der DiGAV) keine Anbieter aus den USA und/oder mit Serverstandort in den USA einsetzen und sollten stattdessen auf europäische bzw. solche in einem Land mit Angemessenheitsbeschluss umsteigen. 

Was sollten Sie jetzt tun?

  • Prüfen Sie, ob Sie verpflichtet sind, die DiGAV einzuhalten.
  • Prüfen Sie, ob Sie Daten an US-Anbieter oder Anbieter mit Serverstandort in den USA übermitteln.
  • Treffen die oberen Punkte auf Sie zu, weichen Sie auf andere, zulässige Anbieter (europäische bzw. aus einem Land mit Angemessenheitsbeschluss) aus.

Sollten Sie Fragen dazu haben, kontaktieren Sie uns gerne.