Apps auf Rezept: EuGH macht Probleme

„Es ist eine Herausforderung zur Unzeit. Wir alle hatten gerade besseres zu tun als an die Backendservices zu gehen“, sagt Henrik Emmert, der nicht nur den Arbeitskreis Erstattung bei Spitzenverband Digitale Gesundheitsversorgung leitet, sondern als Geschäftsführer von aidhere auch mit seinem eigenen Unternehmen von dem Urteil betroffen ist. Denn Privacy Shield war bisher die Grundlage, auf der personenbezogene Daten europäischer Bürger in die USA gesendet werden dürfen. Da US-Gesetze den dortige Sicherheitsbehörden aber umfassende Rechte zur Überwachung ausländischer Kommunikation einräumen – also auf dort gehostete ausländische Daten zuzugreifen – sah der EuGH das „angemessene Schutzniveau“ nicht gewährleistet, das die europäische Datenschutzgrundverordnung (DSGVO) für eine solche Übermittlung verlangt.

Das Ende von Plattformen wie Facebook bedeutet das hierzulande keineswegs. Europäische Tochtergesellschaften von US-Internetkonzernen können weiterhin auf Grundlage des Beschlusses der EU-Kommission über Standardvertragsklauseln persönliche Informationen an Dienstleister in den USA senden. Für die Anbieter digitaler Gesundheitsanwendungen gilt das jedoch nicht. Denn die Digitale Gesundheitsanwendungen-Verordnung (DiGAV) schreibt vor, dass deren Daten nur dann in Drittländer gesendet werden dürfen, wenn ein sogenannter Angemessenheitsbeschluss vorliegt. Und das ist nicht mehr der Fall.

Was also tun? „Wir ziehen gerade um. Das ist alternativlos“, sagt Emmert. Sein Unternehmen aidhere, das eine App zur Adipositas-Therapie anbietet, steht vor denselben Problemen wie alle in der Branche: „Die Anwendung selbst wird meist nicht in den USA gehostet, dafür aber oft Hintergrunddienste wie Crash Management, Tracking oder andere wichtige Systemdienste. Da müssen wir jetzt alle schauen, wie wir auf europäische Dienstleister ausweichen können.“

Für aidhere sei das zwar nervig, aber durchaus zu verkraften – die aidhere-Anwendung befindet sich beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) noch in der Prüfungsphase. „Wir waren gerade noch so an der Schwelle und wussten schon, dass wir viel in Europa hosten wollen. Es gibt aber auch andere, die da mehr umbauen müssen“, sagt er. „Es ist schon recht grundlegend, aber nicht absolut kritisch – auch, weil wir gut darauf vorbereitet sind.“

Andere Anbieter könne das je nach Entwicklungsstand und Marktreife aber auch härter treffen. „Für manche Unternehmen könnte das potentiell existenzgefährdend sein. Wer gerade in der Situation ist, dass er ganz schnell Umsätze generieren muss, kann in Schwierigkeiten kommen.“ Dass sich nun massenhaft DiGA-Anbieter zurückziehen, glaubt Emmert hingegen nicht. Auch dass es zu nennenswerten Verzögerungen bei Zulassung und Einsatz von DiGA kommt, hält er für unwahrscheinlich. „Das wird nicht auf den Zeitplan des DVG einspielen, da gibt es ganz andere Themen, um die sich die Anbieter gerade kümmern müssen.“

Im Gegenteil vermutet Emmert sogar, dass ich langfristig ein positiver Effekt einstellen könnte, schließlich könne es das Vertrauen der Verbraucher stärken, wenn sie wissen, dass all ihre Daten in Europa bleiben. Dass auch die europäischen Digitalunternehmen dadurch gestärkt wird, erwartet er hingegen nicht. Dazu sei der DiGA-Markt zu klein. „Mittelfristig sieht es eher so aus, dass die US-Unternehmen jetzt versuchen, sich auf die DSGVO einzustellen und konforme Dienste für europäische Kunden anzubieten, indem sie beispielsweise die europäischen Daten von den anderen abkapseln“, sagt Emmert und scheint das angesichts der aktuellen Lage sogar zu hoffen: „Natürlich kann man auch bei rein lokalen Anbietern hosten, aber andere sind einfach technisch weiter, sodass man aus Sicht der Datensicherheit bei großen Anbietern eigentlich sicherer wäre. Vor solchen absurden Situationen stehen wir gerade.“