Endlich gibt es mit „DSGVO – information privacy standard“ nun den ersten Kriterienkatalog für ein DSGVO Zertifikat in Deutschland, mit dem sowohl Verantwortliche Stellen als auch Auftragsverarbeiter zertifiziert werden können. Falls Sie sich fragen, welche Vorteile sich aus einem solchen Zertifikat ergeben, möchten wir in dieser Beitragsreihe Antworten geben. Nach dem es im ersten Teil um Datenschutz als Erfolgsfaktor ging, betrachten wir heute inwiefern eine DSGVO-Zertifizierung gem. Art. 42 DSGVO als Marktzutrittsvoraussetzung werden kann bzw. teilweise schon ist.
Du kommst hier nicht rein – DSGVO-Zertifikat als Marktzutrittsvoraussetzung
Zertifikate werden bei der Vergabe von Aufträgen immer häufiger gefordert, bspw. in Ausschreibungen oder im Rahmen einer Zulassung.
Im Bereich von digitaler Gesundheit zeigt sich bereits jetzt, dass eine DSGVO Zertifizierung eine Marktzutrittsvoraussetzung sein kann. Ein konkretes Beispiel sind Online-Videosprechstunden, welche unter anderem den Zweck haben, ländliche Gegenden mit geringer Ärzt*innendichte besser zu versorgen. Hier können Ärzt*innen Online Tools verwenden, um mit Patient*innen zu sprechen. Damit diese Leistungen von den Ärzt*innen bei den Kassen abgerechnet werden können müssen sie Online Videosprechstunden Tools von Anbietern verwenden, die bei den zuständigen Verbänden, z. B. der Kassenärztlichen Bundesvereinigung und dem GKV-Spitzenverband gelistet sind. Eine solche Listungen erhalten nur Anbieter von ärztlichen Videosprechstunden, die ein Datenschutz Zertifikat vorweisen können. Die gesetzliche Vorgabe hierzu ist die Anlage 31b zum Bundesmantelvertrag-Ärzte. Hierin heißt es: „Der Videodienstanbieter muss gemäß […] b) den Nachweis führen, dass er bzw. der angebotene Videodienst unter Angabe des Produktnamens und Prüfobjekts gemäß Prüfnachweis/Zertifikat der Prüfstelle die Anforderungen an die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten gemäß § 2 und § 2a erfüllt. Diese Nachweise werden erbracht durch: [..] Ein Zertifikat gemäß Artikel 42 DS-GVO für den Geltungsbereich der Verarbeitung von personenbezogenen Daten bei Videodiensten in der vertragsärztlichen Versorgung zur Durchführung von Videosprechstunden gemäß § 365 Absatz 1 SGB V. Das Zertifikat wird erteilt von einer nach ISO/IEC 17065 akkreditierten und zugelassenen Zertifizierungsstelle.“
Übersetzt heißt dies der Anbieter benötigt ein akkreditiertes Zertifikat gemäß Art. 42 DSGVO von einer akkreditierten Zertifizierungsstelle. Eine Selbstbestätigung, ein internes Audit oder ein Gütesiegel ohne Akkreditierung reicht nicht aus. Damit können sich Patient*innen sicher sein, dass der Datenschutz der Videodienste durch eine unabhängige dritte Stelle geprüft und mit einem Zertifikat ausgezeichnet wurde.
DSGVO-Zertifikate auch für DiGA-Gesundheitsanwendungen
Auch im Umfeld der DiGA-Gesundheitsanwendungen sind DSGVO-Zertifikate vorgesehen. Hier werden derzeit sogenannte DiGA und DiPA Datenschutzkriterien nach § 139e Absatz 11 SGB V und § 78a Absatz 8 SGB XI entwickelt. Das BfArM hat die Prüfkriterien für die Anforderungen an den Datenschutz bei digitalen Gesundheitsanwendungen (DiGA) und digitalen Pflegeanwendungen (DiPA) im Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aktualisiert. Diese Kriterien werden laut BfArM künftig Grundlage für neue Zertifikate sein, mit denen Hersteller von Gesundheits- und Pflegeanwendungen nachweisen, dass ihre Anwendungen datenschutzkonform sind. Zum jetzigen Zeitpunkt gibt es laut BfArM noch keine akkreditierten Zertifizierungsstellen zur Durchführung einer Zertifizierung gemäß der Datenschutzkriterien. Die Prozesse hierfür seien gegenwärtig in Arbeit, jedoch wird mit hinreichendem zeitlichem Vorlauf die Vorlage eines Zertifikats eingefordert werden, wenn dies technisch und organisatorisch möglich ist. Dann werden die Hersteller bereits gelisteter DiGA individuell zur Vorlage aufgefordert. Das BfArM ist europaweit eine der ersten Behörden, die ein spezielles Datenschutzzertifikat entwickeln. Die Zertifizierung soll auch in diesem Fall zukünftig durch eine akkreditierte Stelle erfolgen.
Somit bildet sich bereits der Trend ab. Mit einem offiziellen DSGVO-Zertifikat sind Sie in jedem Fall bestens gerüstet und vorbereitet – auch auf zukünftige gesetzliche Regelungen, die einen Nachweis verlangen. Es lohnt sich also die gesetzlichen Anforderungen im Auge zu behalten und sich auf etwaige Vorgaben für Zertifikate vorzubereiten.