Page 13 - IT-S-SPECIAL_KKH_2022

Page 13 - IT-S-SPECIAL_KKH_2022_1

P. 13

des Nutzers der Gesundheits-App einzuholen, Art. 9 Abs. 2 lit. a cherter Daten, Authentisierung, Ergreifen der Maßnahmen
DS-GVO. Diese muss sich ausdrücklich auf die Verarbeitung gegen DoS und DDoS sowie Vorkehrungen im Zusammen-
von Gesundheitsdaten für einen festgelegten Zweck beziehen. hang mit eingebetteten Webservern.

Daneben ist unter anderem zu beachten, dass die Betreiber Technische Richtlinie BSI TR-03161
von Gesundheits-Apps insbesondere in ihrer Datenschutzer-
klärung, aber auch darüber hinaus immer den Transparenz- Zusätzlich müssen noch die Sicherheitsanforderungen
grundsatz der DS-GVO beachten müssen. Dem Nutzer muss der vom BSI veröffentlichten Technischen Richtlinie BSI TR-
zu jeder Zeit in einer einfachen und verständlichen Sprache 03161 beachtet werden – diese TR wird in einem „trial use“-
erklärt werden, welche Daten verarbeitet werden und was Status veröffentlicht. Sie kann grundsätzlich für alle mobilen
mit seinen Daten geschieht. Nach dem gängigen Modell der Anwendungen, die sensible Daten verarbeiten und speichern,
meisten Anbieter verbleiben die Nutzerdaten nämlich gerade herangezogen werden. Dabei ist sie als Mindestanforderung
nicht im Endgerät des Nutzers, sondern werden auf zentralen für den sicheren Betrieb einer Anwendung zu betrachten.
Servern gespeichert und ausgewertet. Berücksichtigt werden Grundsätzlich fordert das BSI, Sicherheitsanforderungen von
müssen auch immer die allgemeinen Datenschutzprinzipien Anfang an bei der Software-Entwicklung mitzudenken. Die
wie die Datenminimierung, Zweckbindung oder Speicherbe- TR verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit:
grenzung (Art. 5 Abs. 1 DS-GVO), Betroffenenrechte und Infor- Vertraulichkeit, Integrität und Verfügbarkeit. Nach Angaben
mationspflichten (Art. 13 ff. DS-GVO). des BSI werden in zukünftigen Versionen auf Grundlage der
Erfahrungen und der Rückmeldungen aus der Industrie, Er-
Da die Verarbeitung von Gesundheitsdaten in der Regel weiterungen vorgenommen, die eine Zertifizierung von Apps
sehr umfangreich ist, muss der Verantwortliche zudem eine nach dieser Technischen Richtlinie ermöglichen. Bereits jetzt
Datenschutz-Folgenabschätzung nach Art. 35 Abs. 3 lit. b DS- kann die TR genutzt werden, um als Entwickler erklären zu
GVO durchführen. können, dass die Anforderungen des Zulassungsverfahrens
des BfArM eingehalten wurden.
Darüber hinaus definiert die DiGAV weitere besondere Vo-
raussetzungen. Diese Anforderungen stellen einen wesent- Fazit
lichen Prüfungspunkt bei eingangs erwähnter Prüfung der
BfArM dar. In § 4 DiGAV werden Anforderungen an Daten- Hersteller von Gesundheits-Apps haben viele Anforderun-
schutz und Datensicherheit formuliert, welche insbesonde- gen zu erfüllen; diese ergeben sich nicht nur aus der DS-GVO,
re die Vorgaben aus der DS-GVO ergänzen und konkretisie- sondern auch aus einschlägigen bereichsspezifischen daten-
ren. Diese Anforderungen werden gemäß § 4 Abs. 6 DiGAV schutzrechtlichen Vorschriften im Gesundheitswesen – ins-
in Anlage 1 der DiGAV näher bestimmt. Zu beachten ist, dass besondere auch aus Vorgaben der DiGAV in Bezug auf Da-
die Verarbeitung personenbezogener Daten aufgrund einer tenschutz und Datensicherheit. Auch wenn dies zuweilen
Einwilligung im Sinne von Art. 9 Abs. 2 lit. a) DS-GVO nach etwas unübersichtlich und mühsam sein kann, lohnt sich
§ 4 Abs. 2 DiGAV auf bestimmte Zwecke beschränkt ist. § 4 der Aufwand, um ein sicheres Produkt für Anwender zu
Abs. 3 DiGAV regelt zudem die Datenverarbeitung außerhalb gewähr leisten. n
Deutschlands.

Anforderungen an die Datensicherheit

DiGA – und damit Gesundheits-Apps – müssen auch die
Anforderungen an die Datensicherheit nach dem Stand der Simone Rosenthal
Technik unter Berücksichtigung der Art der verarbeiteten ist Partnerin bei der Technologiekanzlei
Daten und der damit verbundenen Schutzstufen sowie des Schürmann Rosenthal Dreyer und
Schutzbedarfs gewährleisten. Sämtliche über eine DiGA ver- spezialisiert auf das digitale Business.
arbeiteten Daten müssen geschützt werden in Bezug auf Ver- Die Rechtsanwältin hat sich erfolgreich
traulichkeit, Integrität und Verfügbarkeit. Foto: SRD als Expertin für Datenschutz-, IT-Recht
und Wettbewerbsrecht etabliert. Weiter-
hin ist sie Geschäftsführerin der ISiCO
Die wesentlichen Anforderungen werden derzeit in der Datenschutz GmbH – einem Unterneh-
Anlage 1 zur DiGVA geregelt. Diese werden dort in einer Check- men, welches Analyse, Auditierung,
Bild: ©Ardea-studio - stock.adobe.com Schutzbedarf. Diese Checkliste umfasst unter anderem Punk- anbietet – sowie Mitgründerin von
Beratung und Zertifizierung in den
liste „Datensicherheit“ in zwei Rubriken unterteilt: Basisanfor-
Bereichen Datenschutz, Datenschutz-
derungen und Zusatzanforderungen für DiGA mit sehr hohem
Compliance und Informationssicherheit
te wie Stand der Technik, Informationsmanagementsystem
lawpilots, einem E-Learning-Anbieter für
gemäß ISO 27000-Reihe oder BSI-Standard 200-2, Schutzbe-
Datenschutz, IT-Sicherheit und Compli-
ance und seit 2020 Mitgründerin von
darfsanalyse, „Data Leakage Prevention“, unter anderem Ver-
caralegal, einer KI-basierten Daten-
schlüsselung und Anforderungen an das Produkt, wie zum
schutzmanagement-Software.
Beispiel Authentisierung und Autorisierung, Protokollierung,
Härtung. Die Zusatzanforderungen formulieren sieben zu-
www.srd-rechtsanwaelte.de
sätzliche Anforderungen im Bereich Verschlüsselung gespei-
SPECIAL_1/2022 IT-SICHERHEIT IM KRANKENHAUS 13

8 9 10 11 12 13 14 15 16 17 18