在 2023 年 11 月 6 日的一项决定中,德国数据保护监管机构(German data protection supervisory authorities)对数字健康应用程序提出了要求。未在联邦药品和医疗用品研究所(Bundesinstitut für Arzneimittel und Medizinprodukte)列为数字健康应用程序的健康应用程序将受到影响。总体而言,数据保护对这些应用程序的制造商和运营商提出了很高的要求:
责任
除健康应用程序制造商外,个人数据还可能由其他行为者(如医生或云提供商)处理。因此,从数据保护法的角度来看,有必要逐案审查这些当事方所扮演的角色。可以考虑单独或共同责任以及订单处理。
不使用云功能和用户账户
如果云功能对实现治疗效果并非绝对必要,且数据当事人明确要求使用该功能,则必须能够在不使用云功能和不连接用户账户的情况下使用健康应用程序。
研究和质量保证
出于研究和质量保证目的处理个人数据需要法律依据。如果处理的是匿名数据,则属于例外情况。但在这种情况下,控制者必须在数据保护影响评估(DPIA)中解释匿名化是如何进行的,并证明事实上不可能删除个人参考信息。
数据主体的权利
GDPR 规定的数据主体的所有权利都必须得到保障。由于涉及特别敏感的健康数据,必须对申请人进行安全验证。
数据完整性
控制者和处理者必须确保通过技术和组织措施实现充分的数据安全。为此,数据保护监管机构特别参考了联邦信息技术安全委员会(Bundesamt für Sicherheit in der Informationstechnik,BSI)的《技术指南》(Technical Guidelines,TR)。
国际数据传输
与 DiGAV 规定的数字健康应用程序不同,向第三国传输健康应用程序不再受限制。不过,控制者和处理者在这方面也必须遵守 GDPR 的要求。
任何生产或运营健康应用程序的人都应该以当局的声明为契机,修订现有的数据保护文件。即使数据保护影响评估 (Data Protection Impact Assessment,DPIA) 并不赞同当局的每项评估,但它对数据保护做出了重要贡献,并有助于避免负面影响。
