Zertifizierung von Videosprechstunden

Anlage 31b zum BMV-Ä - Nachweise für Videosprechstunden

Die Digitalisierung der medizinischen Versorgung durch Gesundheits-Apps und Videosprechstunden schreitet voran. Dabei müssen Datenschutz und Informationssicherheit sowie der Patient*innendatenschutz gewahrt werden. 
Die §§ 2, 2a und 5 Abs. 2 der Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß § 365 Absatz 1 SGB V (kurz: Anlage 31b BMV-Ä) legen die Anforderungen fest. Sie schreiben vor, dass Videodienstanbieter*innen die Anforderungen an „Informationstechniksicherheit“ und den „Datenschutz“ erfüllen müssen. Dies muss durch jeweils ein Zertifikat einer akkreditierten Stelle für Datenschutz und für Informationstechniksicherheit nachgewiesen werden, wenn sie bei der Kassenärztlichen Bundesvereinigung (KBV) und dem GKV-Spitzenverband gelistet werden wollen.

Wir bieten Ihnen beide Nachweise an. Als eine der führenden Zertifizierungsstellen für Videosprechstunden stehen wir für höchste Kompetenz in Sachen Datenschutz und Datensicherheit, jahrlange Erfahrung bei der Prüfung von eHealth-Lösungen sowie für eine individuelle und praxisgerechte Betreuung.

Sie möchten als Neukunde bei uns einen Antrag stellen? Dann finden Sie hier das Antragsformular. Fragen dazu beantworten wir gerne.

Sicherlich haben Sie viele Fragen zur Anlage 31b zur BMV-Ä oder zum konkreten Ablauf. Wir haben daher für Sie die wesentlichsten Informationen in den FAQ zusammengestellt. Hierbei fließen unsere Erfahrungen immer wieder aktuell ein. Es lohnt sich daher, ab und an mal wieder in die FAQ zu schauen. Weitere Auslegungshilfen haben wir Ihnen zudem hier zusammengestellt:

FAQ

Nachfolgend möchten wir typische Fragestellungen rund um die Evaluierung von Videosprechstunden beantworten:

1. Was kosten die Nachweise für Videodienstanbieter?

Der Evaluierungsaufwand hängt von den datenschutzrelevanten Funktionen des Portals, der Videosprechstunde und der IT- und Einsatzumgebung ab. In einem Antragsformular beschreiben und bestätigen Sie uns diese Komponenten abschließend. Auf dieser Grundlage kalkulieren wir den Aufwand für die Evaluation und Erstellung der Nachweise (Zertifikate). Im Minimum kalkulieren wir ca. 7 Arbeitstage (AT) für den erstmaligen Vorgang. Im ersten und 2. Jahr kommen sogenannte Überwachungs-Evaluationen hinzu, um das Zertifikat aufrecht zu erhalten. Je nach Änderung können hierfür 2-4 AT angesetzt werden. Für eine Re-Zertifizierung kalkulieren wir dann wieder neu – abhängig von den zwischenzeitlichen Änderungen.

Zusätzlich können Sie bei uns optional einen Penetrationstests von zertifizierten Pentestern*innen (BSI) beauftragen, sofern Sie noch keinen solchen haben. Hierfür kalkulieren wir je nach Umfang der relevanten Serverlandschaft ca. 5 AT.

2. Ich biete mehrere Videosprechstunden an, bekomme ich einen Rabatt?

Jede Videosprechstunde und jedes Datenschutzmanagement müssen von uns sorgfältig geprüft werden. Wir können jedoch Synergien durchaus nutzen und den Aufwand dadurch minimieren. Bieten Sie sogenannte Whitelabel-Portale an, bei denen der Aufbau völlig gleich ist und sich lediglich ein Layout ändert, kommen wir Ihnen preislich gerne entgegen.

3. Ich habe bereits einen der beiden Nachweise, kann ich bei Ihnen den anderen bekommen?

Ja. Wir bieten die Nachweise für Datenschutz und von Informationstechniksicherheit auch separat an. Bitte beachten Sie aber: Nachweis ist nicht gleich Nachweis. Lassen Sie sich die Nachweise einer Akkreditierung der Prüf- und Zertifizierungsstelle unbedingt vorlegen, bevor Sie Prüfungen und Zertifikate beauftragen. Beachten Sie bitte auch, dass Sie dann in der Regel unterschiedliche Laufzeiten der Nachweise haben. Die Zertifizierungsstellen untereinander synchronisieren sich i.d.R. nicht.

4. Ich bin mir nicht sicher, ob wir die Anforderungen erfüllen

Sie sind sich nicht sicher und möchten daher erstmal mit einer GAP Analyse einsteigen? Wir bieten sogenannte Prozessaudits an, in denen wir in einem Workshop mit Ihnen die Anforderungen einer Evaluation und Zertifizierung erörtern. Danach können Sie sich ideal auf die Prüfung vorbereiten.

5. Wie läuft die Evaluierung ab?

Sobald Sie uns beauftragen und wir die Zeitpläne abgestimmt haben, wenden wir unser Evaluierungsverfahren an: Zunächst muss der Evaluationsgegenstand sehr genau definiert und abgegrenzt werden. Sie stellen uns zu Beginn der Evaluation diese Informationen in einem von uns vorgegebenen Formular zur Verfügung (Referenzdokument). Dazu zählen die exakte Bezeichnung des Verarbeitungsvorgangs, die verwendeten Datenarten und die relevanten Standorte und Subdienstleister*innen.
Die Evaluierung wird sodann zweistufig durchgeführt:

  • In einem Voraudit wird der Geltungsbereich zwischen Ihnen und unseren Evaluator*innen final abgestimmt. Ferner vereinbaren wir mit Ihnen einen verbindlichen Startzeitpunkt, zu dem sämtliche Ihrer Systeme und Dokumente final und prüffähig vorliegen müssen. Ist diese Bedingung nicht erfüllt, können wir die Evaluation nicht durchführen!
  • Sie reichen das abgestimmte Dokument und Nachweise bei uns ein und dadurch startet der offizielle Evaluationsprozess. Unsere Evaluator*innen prüfen die Umsetzung der Anforderungen.

Zunächst startet die Basis-Prüfung. Hierbei prüfen unsere Evaluator*innen die vorliegenden Nachweise und die grundsätzliche Schlüssigkeit für eine folgende (Haupot-)Evaluation. 

Die Evaluation findet durch Besichtigung der Videosprechstunde anhand von Testzugängen und durch die Nutzung von Tools (z. B. Qualys SSL Labs, Ghostery, whireshark) statt. In Einzelfällen – je nach Geltungsbereich – kann es erforderlich sein, dass wir auch vor Ort eine Evaluierung durchführen müssen („Site Visit“, z. B. eines Rechenzentrums, eines im Scope relevanten Callcenters oder Arbeitsplätze, aus denen ein Support erbracht wird). Liegen uns hingegen beispielsweise für alle relevanten Rechenzentren bereits gültige, anerkennbare Zertifizierungen vor (etwa ISO/IEC 27001 oder IT-Grundschutz), kann ein Site Visit in der Regel entfallen.

Offene Fragen fassen wir in einem Reviewprotokoll zusammen, in welchem Ihre Rückantworten dokumentiert und rechtsverbindlich garantiert werden (= 1 Durchlauf). Dies bündelt wesentliche Informationen und beschleunigt die Prüfung. In der Regel kommt es zu 1-2 Durchläufen mit dem Reviewprotokoll, die von unserem Projekt und Angebot an Sie umfasst sind. Sollten mehr Durchläufe erforderlich sein, stellen wir unseren tatsächlichen Mehraufwand zusätzlich in Rechnung.

Wird der Nachweis erteilt, erhalten Sie eine Urkunde (pdf) und den umfassenden Evaluierungsbericht, den Sie z. B. Aufsichtsbehörden, Verbänden oder Kund*innen als Prüfnachweis vorlegen können.

 

6. Wie kann ich mich auf die Evaluierung vorbereiten?

Wir evaluieren ausschließlich final aufgestellte Videosprechstunden. Um einen möglichst reibungslosen Ablauf der Evaluierung zu gewährleisten, muss Ihre Videosprechstunde also bereits so aufgestellt sein, dass wir sie testen können. Prüfen Sie intern, ob Sie die in §§ 2, 2a der Vereinbarung genannten Vorgaben erfüllen. So vermeiden Sie zeit- und kostenaufwändige Mehrfachprüfungen.

Bitte orientieren Sie sich bei der Vorbereitung auch an unseren kostenlosen Auslegungshilfen zum Nachweis von Videosprechstunden, abrufbar rechts unter Downloads.

Halten Sie zum Projektstart spätestens u.a. folgende Informationen/Dokumente bereit:

  • Vertragliche Dokumentationen, AGB o.ä. zwischen Ihnen und den Nutzern*innen der Videosprechstunde.
  • Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO bzw. ein entsprechender Auszug, der die Webseiten und die Videosprechstunde beschreibt.
  • Zu allen relevanten Subunternehmen/Dienstleister*innen: Standorte, Dienstleistungen und Verträge zur Auftragsverarbeitung (Art. 28 DSGVO).
  • Einen aktuellen Penetrationstest für die relevanten Server, nicht älter als 6 Monate, durchgeführt von beim BSI zertifizierten Penetrationstestern*innen (siehe auch FAQ zu Penetrationstests).
  • Muster der eingesetzten Verpflichtungserklärung auf den Datenschutz für Ihre Beschäftigten, Nachweise für Schulungen zum Datenschutz und zur Informationssicherheit.
  • Nachweis über die Bestellung eines*einer Datenschutzbeauftragten oder Begründung, warum er*sie nicht bestellt werden musste.
  • Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen (TOMs) für die Webseite und die Videosprechstunde nach Art. 32 DSGVO.
  • Zertifikate zur IT-Sicherheit eines relevanten Rechenzentrums, z.B. gemäß ISO/IEC 27001, vgl. www.datenschutz-cert.de/leistungen/iso/iec-27001. Liegt kein akkreditiertes Zertifikat zur Informationssicherheit vor, prüfen unsere Evaluierenden in der Regel vor Ort. 

Sind Sie sich nicht sicher, ob eine Evaluation schon für Sie Sinn macht, dann bieten wir Ihnen auch vorweg ein Prozessaudit an, in welchem wir Ihnen die Anforderungen in einem Workshop darlegen.

7. Wie lange dauert die Evaluierung?

Ab Angebotsannahme brauchen wir ein paar Tage, um den Evaluierungsstart mit Ihnen gemeinsam zu planen. Die Evaluierung selbst dauert dann 2-6 Wochen, je nachdem, wie viele Abweichungen festgestellt und vom*von der Betreiber*in behoben werden müssen.

8. Ist der Nachweis unbegrenzt gültig?

Nein. Der Nachweis ist bei funktionell gleichbleibendem Evaluationsgegenstand i.d.R. für drei Jahre gültig. Während der Laufzeit werden zwei gesondert zu vereinbarende Überwachungen fällig, um den Nachweis und die Gültigkeit aufrecht zu erhalten. Dies ist eine Akkreditierungsanforderung, um nicht angezeigte Veränderungen der Videosprechstunde, der IT-Systeme oder der verantwortlichen Stelle im Nachgang zu verifizieren und prüfen zu können. Folglich wird die Videosprechstunde jährlich geprüft. Der Aufwand eine Überwachung fällt i.d.R. geringer aus, je nach Änderungen im Geltungsbereich.

Die Laufzeit des Zertifikates ist ferner begrenzt, wenn sich gravierende rechtliche Änderungen für Videosprechstunden ergeben, z.B. hinsichtlich der Drittstaatenproblematik oder sofern Aufsichtsbehörden dies fordern würden. Auch kann sich die Anlage 31b BMV-Ä ändern und eine neue Evaluation erforderlich machen. In diesem Fall müssen wir das Zertifikat ohne Geld-zurück-Garantie entziehen und Sie können eine neue Zertifizierung beantragen.

9. Kann ich eine App oder Software für Videosprechstunden evaluieren lassen?

Unsere Evaluierungsmethodik bezieht sich derzeit nur auf webbasierte Videosprechstunden. Die Kommunikationspartner*innen müssen also immer über eine Webseite gehen können, um an der Videosprechstunde teilzunehmen. Geprüft und ausgezeichnet wird dann die URL. Wird daneben auch eine App angeboten, kann diese aktuell von uns leider noch nicht zertifiziert werden. Wir planen nach Erhalt unserer Akkreditierung unser Prüfschema auch auf Apps und Software anzuwenden. Gerne halten wir Sie hierzu auf dem Laufenden.

10. Helfen Sie mir bei der Konfiguration der Videosprechstunde oder beim Datenschutz?

Nein. Da wir unsere Unabhängigkeit gegenüber unseren Aufsichtsbehörden nachweisen müssen, dürfen wir Sie nicht beraten. Wenn Sie Fragen zur Auslegung der §§ 2, 2a Anlage 31b zum BMV-Ä oder der DSGVO haben, können wir Ihnen unser Vorgehen erläutern. Wir erstellen jedoch für Sie weder AGB noch Datenschutzhinweise und empfehlen Ihnen auch keine Technikprodukte.

11. Ist die datenschutz cert GmbH anerkannt?

Ja. Die Anlage 31b zum BMV-Ä sieht vor, dass entweder akkreditierte Stellen ein Zertifikat für „Datenschutz“ und „Informationstechniksicherheit“ vergeben können oder – als Übergangsregelung – solche Stellen, die bereits gemäß ISO/IEC 17065 akkreditiert sind und die bei der Deutschen Akkreditierungsstelle (DAkkS) entsprechende Anträge auf Akkreditierung für Datenschutz und Informationstechniksicherheit (inkl. Programmprüfung) gestellt haben. Die datenschutz cert GmbH ist bereits nach ISO/IEC 17065 akkreditiert (siehe https://www.datenschutz-cert.de/ueber-uns/akkreditierungen-und-anerkennungen ) und befindet sich für beide Bereiche der Videosprechstunde im Akkreditierungsverfahren (einschließlich Programmprüfung) bei der DAkkS, so dass wir gemäß dieser Übergangsregelung für Sie tätig werden dürfen.

12. Wer reicht den Nachweis bei der KBV ein?

Sie bzw. die Videodienstanbieter*innen. Formulare sind unter https://www.kbv.de abrufbar.

13. Was ist mit dem inhaltlichen Nachweis?

Videodienstanbieter*innen müssen gemäß § 5 Abs. 2 lit. c der Anlage 31b zum BMV-Ä neben der Zertifizierung zudem bestätigen, dass sie die inhaltlichen Anforderungen der Vereinbarungen erfüllen. Dies wird NICHT durch ein Zertifikat nachgewiesen, sondern durch eine Selbstauskunft bzw. Eigenerklärung der Videodienstanbieter*innen. Auch hierfür gibt es ein Formular auf der Seite der KBV: https://www.kbv.de.

14. Welche Anforderungen muss ein Penetrationstest erfüllen und wo kann ich den beauftragen?

Videodienste dürfen keine schweren Sicherheitsrisiken aufweisen. Hier wurde klarstellend zur Sicherstellung eines hohen Schutzniveaus auf die Definitionen des Open Web Application Security Project (OWASP) TOP 10 Katalogs verwiesen. Damit wird eine gewisse Nachhaltigkeit der Penetrationsmethodik sichergestellt. Der Penetrationstest der Systeme der Videosprechstunde muss gängige Angriffsszenarien berücksichtigen, u.a. OWASP Top 10, Cross-Site Request Forgery, Clickjacking und darf nicht älter als 6 Monate sein.

Eine Liste der beim BSI zugelassenen Personen finden Sie hier: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/zertifizierung-und-anerkennung_node.html.

Im Rahmen unserer Angebote bieten wir einen solchen Penetrationstest mit an. Alternativ suchen Sie sich einen*eine Dienstleister*in aus der benannten BSI Liste heraus.

15. Was ist mit Videosprechstunden für Zahnärztinnen / Zahnärzte?

Hierzu gibt es eine eigene Vereinbarung, die sich bislang noch an der alten Vereinbarung der KBV/des GKV Spitzenverbands aus 2020 orientiert. Jedoch soll auch diese Vereinbarung überarbeitet werden. Wenn Sie für diesen Spezialbereich gelistet sind, erkundigen Sie sich bitte bei den dortigen Fachverbänden. Auch hier sind wir bestrebt, eine gemeinsame Evaluierung anzubieten.

16. Ich bin selbst Ärztin / Arzt / Therapeut / Therapeutin, bekomme ich hier den Nachweis für meine Kassenärztliche Vereinigung oder können Sie mir eine Videosprechstunde empfehlen?

Nein. Der Nachweis ist beim*bei der Videodienstanbieter*in erhältlich. Wir dürfen diese Bescheinigung nicht herausgeben, das kann nur der*die Anbieter*in selbst. Leider dürfen wir Ihnen auch keine Videosprechstunde empfehlen. Bitte sehen Sie von derartigen Nachfragen bei uns ab.

17. Wir wollen in der Kanzlei eine Videosprechstunde mit Mandant*innen einsetzen, brauche ich ein Zertifikat?

Die Anlage 31b zum BMV-Ä gilt nur für Heilberufe; sie ist u.a. dafür gedacht, dass heilberufliche Leistungen abrechnungsfähig sind. Für Rechtsanwälte*innen oder Wirtschaftsprüfer*innen sowie für andere Berufe sind derzeit keine gesetzlich verpflichtenden Nachweise gegenüber öffentlichen Stellen oder Verbänden bekannt. Da jedoch alle Stellen u.a. die Datenschutzgrundverordnung (DSGVO) nachweisbar einhalten müssen (vgl. Art. 5 DSGVO), macht es durchaus Sinn, wenn eine Videosprechstunde entsprechend von einer unabhängigen und fachkundigen Stelle geprüft wurde. Gerne unterbreiten wir Ihnen ein Angebot.

18. Wer ist verantwortliche Stelle der Videosprechstunde?

Der*Die Videodienstanbieter*in ist nunmehr ganz klar als verantwortliche Stelle für die Datenverarbeitung im Zusammenhang mit der Videosprechstunde definiert (§ 2a Abs. 2 Anlage 31b zum BMV-Ä). Das bedeutet, dass etwaige vertragliche Gestaltungen, die eine Auftragsverarbeitung der Anbieter*innen der Videosprechstunden für Ärzte*innen/ Kliniken etc. nach Art. 28 DSGVO / § 80 SGB X vorgeben, nicht mehr zulässig sind. In der Regel wird nach dem strengen Wortlaut KEINE gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen den Videodienstanbietern*innen und den Ärzten*innen vorliegen (können).

Aus der Definition des*der Verantwortlichen folgt, dass Webportale ggf. so anzupassen sind, dass im Impressum und der Datenschutzerklärung immer der*die Videodienstanbieter*in als verantwortliche Stelle benannt ist. Für sogenannte White-Label-Videosprechstunden ändert sich dadurch kaum etwas. Diese können vom Layout her durchaus andere Stellen ausweisen (z. B. Kliniken), solange Impressum und Datenschutzerklärung auf den Videodienstanbieter hinweisen. Geprüft und zertifiziert wird derjenige*diejenige, der*die dort ausgewiesen ist. Kliniken können demnach z.B. eigener*eigene Videodienstanbieter*in sein, müssen sich dann aber dem gesamten Evaluierungsprozess unterwerfen.

19. Sind Ton- oder Bildaufzeichnungen zulässig?

Ja, Ton und Bildaufzeichnungen aus der Videosprechstunde heraus sind nunmehr zulässig, sofern beide Seiten damit einverstanden sind. Bei einer Evaluation weisen Sie dann die Wirksamkeit der Einwilligungserklärung nach (sie muss ausdrücklich, freiwillig, informiert und widerruflich erfolgen).

20. Ich setze einen TURN / STUN-Server ein, was ist mit peer-to-peer?

Die Anlage 31b zum BMV-Ä sieht vor, dass die Übertragung der Videosprechstunde über eine Peer-to-Peer-Verbindung (p2p) zwischen Vertragsarzt*ärztin und Patient*in oder der Pflegekraft, ohne Nutzung eines zentralen Servers, erfolgen soll. Dies muss also grundsätzlich möglich sein. Kaum eine Videosprechstunde kann eine 100%-ige p2p anbieten. Anlage 31b zum BMV-Ä verlangt bei Abweichen eines Peer-to-Peer-Verfahrens geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Zudem fordern wir, dass Ausnahmen gegenüber den Kommunikationsteilnehmern*innen deutlich gemacht werden, z.B. durch ein Pop-Up im Anmeldebereich und in AGB oder Nutzungsbedingen / Datenschutzerklärung, wenn keine p2p vorliegt.

21. Sind Anbieter*innen und deren Dienstleister auf die EU beschränkt?

§ 2a Absatz 3 der Vereinbarung sieht vor, dass die Verarbeitung von personenbezogenen Daten (auch im Auftrag) nur im Inland, in einem Mitgliedsstaat der Europäischen Union oder in einem diesem nach § 35 Absatz 7 des Ersten Buches Sozialgesetzbuch gleichgestellten Staat, oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgen darf. Dies bedeutet im Klartext, dass Dienste, die im Rahmen von Videosprechstunden erbracht werden, nur noch dann zulässig sind, wenn die Verarbeitung ausschließlich in der EU/des EWR erbracht werden oder in Staaten, zu denen die EU-Kommission einen gültigen Angemessenheitsbeschluss gemäß Art. 45 DSGVO veröffentlicht hat (siehe Liste unter ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en). Diese Vorgabe ist laut Auskunft der KBV und des GKV uns gegenüber ganz bewusst enger gefasst als die Regelungen der DSGVO zur Drittstaatenverarbeitung und zur Auslegung des EuGHs (Rechtssache „Schrems II“). Sie ist so zu interpretieren, dass Anbieter*innen aus z. B. den USA oder Indien, für welche bekanntlich KEIN Angemessenheitsbeschluss vorliegt, nicht datenschutzrechtlich zulässig im Sinne der Anlage 31b zum BMV-Ä genutzt werden dürfen. Die Nutzung von EU-Standardvertragsklauseln oder Binding Corporate Rules reicht bei diesen Drittstaaten nicht mehr aus für eine Zertifizierung gemäß der Anlage 31b zum BMV-Ä. Hintergrund hierfür ist, dass sich der Wortlaut der Anlage 31b zum BMV-Ä an § 3 Absatz 3 Digitale Gesundheitsanwendungen-Verordnung – DiGAV orientiert. Auf Rückfrage bei der KBV erhielten wir die Auskunft, dass diesbezüglich die enge Auslegung der KBV, des GKV Spitzenverbands und des Bundesministeriums für Gesundheit (BMG) sowie des Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) anzuwenden ist.
Das BMG hat den Hinweis gegeben, dass diesbezüglich das BfArM für DiGA-Anbieter*innen auf seiner Webseite eine Handreichung veröffentlicht hat: "Informationen zur Zulässigkeit der Datenverarbeitung außerhalb Deutschlands im Zusammenhang mit dem Prüfverfahren des BfArM gemäß § 139e Fünftes Buch Sozialgesetzbuch (SGB V)", abrufbar unter https://www.bfarm.de/SharedDocs/Downloads/DE/Medizinprodukte/Datenverarbeitung_ausserhalb_Deutschlands_FAQ.pdf?__blob=publicationFile.

Diese Handreichung kann nach Auskunft der KBV analog auch zur Interpretation der Anforderungen an die Datenverarbeitung im Rahmen der Videosprechstunde herangezogen werden. Näheres zu den Möglichkeiten einer zulässigen Handhabung personenbezogener Daten bei Einschaltung von Dienstleistern in Drittstaaten entnehmen Sie daher bitte der Handreichung oder dem daraus in FAQ 22-24 abgeleiteten Anwendungsbeispielen für Anbieter*innen von Videosprechstunden.

Wir empfehlen Ihnen dringend, diese Drittstaatenproblematik VOR einer Evaluation abschließend zu klären und zwar für alle relevanten Komponenten (Server, Videokommunikation, STUN, TURN, E-Mail, SMS usw.). Auch die von Ihnen ggf. eingesetzten Dienstleister*innen hierfür und deren Subunternehmer*innen sollten möglichst KEINEN Drittstaatenbezug aufweisen, da diese Evaluationen in der Regel sehr aufwändig sind. Sind Dienstleister z.B. konzernbeherrscht durch ein US-amerikanisches Unternehmen, kommt eine Zertifizierung aufgrund der strengen Auslegung in der Regel nicht in Betracht.

22. Im Rahmen der Videosprechstunde nutzen Sie einen*eine Dienstleister*in mit (selbstständiger) Niederlassung oder Tochterunternehmen in der EU, aber einem Mutterkonzern in den USA (oder anderen Drittstaaten).

Sofern die personenbezogenen Daten verschlüsselt sind und die Schlüssel von den Videosprechstundenanbietern*innen in der EU selbst verwaltet oder gespeichert werden (beispielsweise Customer-Managed Encryption Keys, CMEK) ist eine Datenverarbeitung ggf. zulässig, vgl. die Handreichung des BfArM.

Insgesamt müssen jedoch alle folgenden Voraussetzungen erfüllt sein :

  • Vorliegen eines Data Processing Agreements (DPA) mit dem*der Dienstleister*in, auf dessen Grundlage die Datenverarbeitung erfolgt und
  • Serverstandort innerhalb der EU und
  • Verwaltung oder Speicherung des Schlüssels durch den*die Videosprechstundenanbieter*in selbst und
  • der Transport von Informationen als auch die Verschlüsselung selbst müssen stets nach aktuellem Stand der Technik erfolgen und
  • darüber hinaus muss der jeweilige Dienstleister zusichern, dass kein Datentransfer und auch keine Datenverarbeitungen in den USA durchgeführt werden. Sowohl die Videosprechstundenanbieter*innen als auch deren relevante Dienstleister*innen müssen bestätigen, dass im Fall von Herausgabeverlangen von US-Behörden keine Daten zur Verfügung gestellt und auch nicht an das Mutterunternehmen herausgegeben werden. Dienstleister*innen müssen zusichern, dass sie in jedem Fall eines Herausgabeverlangens den Rechtsweg beschreiten und ausschöpfen werden. Selbst im Fall eines höchstrichterlichen Urteils, das eine Herausgabepflicht bestätigt, ist Artikel 48 DSGVO zu beachten. Gemäß Art. 48 DSGVO ist zu beachten, dass ein Datentransfer auch im Falle eines rechtskräftigen Urteils nur erfolgen darf, wenn er auf eine in Kraft befindliche internationale Übereinkunft, wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat, gestützt ist. In jedem Fall eines Herausgabeverlangens hat das Unternehmen den Betroffenen unverzüglich über das Bestehen des Verlangens sowie über die Abhilfemaßnahmen und mögliche Rechtsstreitigkeiten sowie deren Verfahrensstand und Fortschritt zu informieren. Dies muss vorab vertraglich zugesichert werden. Darüber hinaus ist ein Herausgabeverlangen ggf. auch anderen Stellen und Behörden (auch gegenüber der Zertifizierungsstelle) anzuzeigen.

Wichtiger Hinweis: Sie als Videodienstanbieter*in müssen die Umsetzung der Anforderungen im Rahmen der Evaluierung nachweisen, insbesondere durch Verträge o.ä., ein Kryptografiekonzept, Screenshots sowie durch die Konfiguration der Verschlüsselung im Hinblick auf die Speicherung aller personenbezogenen Daten (z. B. IP-Adressen, Namen).

23. Als Videosprechstundenanbieter*in setze ich Amazon Web Service Luxembourg (AWS Europe) ein. Welche Voraussetzungen müssen in diesem Anwendungsbeispiel konkret erfüllt sein?

Folgende Voraussetzungen müssen auch hier erfüllt sein:

  • Vorliegen eines Data Processing Agreements (DPA), auf dessen rechtlicher Grundlage die Datenverarbeitung erfolgt und
  • Serverstandorte innerhalb der EU und
  • Verwaltung oder Speicherung des Schlüssels durch den*die Videosprechstundenanbieter*in selbst (z.B. unter Verwendung des Customer-Managed Encryption Keys, CMEK). Die Anbieter*innen erzeugen, verwalten und speichern dann selbst die Schlüsselpaare (public und private Keys der asymmetrischen Kryptographie) und 
  • sowohl der Transport von Informationen als auch die Verschlüsselung selbst müssen stets nach aktuellem Stand der Technik erfolgen; z.B. Transportverschlüsselung nach TLS, Verschlüsselung nach EC2 und
  • darüber hinaus muss AWS Europe zusichern, dass kein Datentransfer und auch keine Datenverarbeitungen in Drittstaaten durchgeführt werden. AWS und der*die Videosprechstundenanbieter*in müssen bestätigen, dass auch im Fall von Herausgabeverlangen von Behörden aus den Drittstaaten keine Daten zur Verfügung gestellt und auch nicht an das Mutterunternehmen herausgegeben werden. AWS muss auch zusichern, dass das Unternehmen in jedem Fall eines Herausgabeverlangens den Rechtsweg beschreiten und ausschöpfen wird. Selbst im Fall eines höchstrichterlichen Urteils, das eine Herausgabepflicht bestätigt, ist Artikel 48 DSGVO zu beachten. Gemäß Art. 48 DSGVO ist zu beachten, dass ein Datentransfer auch im Falle eines rechtskräftigen Urteils nur erfolgen darf, wenn er auf eine in Kraft befindliche internationale Übereinkunft, wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland (USA) und der Union oder einem Mitgliedstaat, gestützt ist. In jedem Fall eines Herausgabeverlangens hat AWS die Betroffenen unverzüglich über das Bestehen des Verlangens sowie über die Abhilfemaßnahmen und mögliche Rechtsstreitigkeiten sowie deren Verfahrensstand und Fortschritt zu informieren. Dies muss vorab vertraglich zugesichert werden. Darüber hinaus ist ein Herausgabeverlangen ggf. auch anderen Stellen und Behörden (auch gegenüber der Zertifizierungsstelle) anzuzeigen.

Wichtiger Hinweis: Sie als Videodienstanbieter*in müssen die Umsetzung der Anforderungen im Rahmen der Evaluierung nachweisen, insbesondere durch Verträge o.ä., ein Kryptografiekonzept, Screenshots sowie durch die Konfiguration der Verschlüsselung im Hinblick auf die Speicherung aller personenbezogenen Daten (z. B. IP-Adressen, Namen).

24. Als Videosprechstundenanbieter*in verwende ich den Service einer europäischen Tochtergesellschaft eines US-amerikanischen Unternehmens.

Diese Tochtergesellschaft verarbeitet Daten ausschließlich in der EU/EWR/Schweiz oder in Drittländern mit Angemessenheitsbeschluss. Ein Drittstaatentransfer in die USA liegt nicht vor. Gibt es Voraussetzungen, unter denen diese Datenverarbeitung weiterhin zulässig ist?

Die Datenverarbeitung ist unter den gleichen Voraussetzungen wie unter FAQ 22 und 23 genannt zulässig.

25. Meine Subunternehmer*innen erhalten allenfalls Zugriff auf Pseudonyme im Rahmen der Dienste der Videosprechstunde. Ist das ok?

Pseudonyme (z.B. IP-Adressen, ID-Nummern, Patientennummern) sind auch personenbezogene Daten. Sie müssen also nachweisen, dass alle Anforderungen an den Datenschutz und die Sicherheit auch hier gewährleistet sind.

26. Was gilt, wenn Gerichte oder Aufsichtsbehörden in Zukunft eine andere Rechtsauffassung vertreten oder sich die Rechtslage ändert?

Sollten die Datenschutzbehörden oder die Akkreditierungsstellen im Rahmen ihrer Aufsichtstätigkeit oder auch Gerichte eine abweichende Rechtsauffassung vertreten, müssen Videodienstanbieter*innen eine Anpassung vornehmen, um weiterhin bei der KBV und dem GKV Spitzenverband als Videosprechstundenanbieter*in gelistet zu sein. Dies gilt auch, wenn sich die entsprechenden Gesetze oder die Anlage 31b der BMVÄ zwischenzeitlich ändern.

Wenn also die Behörden in Deutschland eine strengere Auslegung anwenden und z.B. den Einsatz von Subunternehmen mit US-amerikanischem Bezug komplett ausschließen, sind wir als Zertifizierungsstelle gezwungen, diese Auslegung mitzutragen und bisherige Zertifizierungen auslaufen zu lassen. Wenn Sie sich für diese Eventualitäten rüsten wollen, sollten Sie möglichst auf einen Einsatz dieser Subunternehmen verzichten.

Ansprechpartner

Dipl.-Betriebsw. (FH)

Katja Starke

Teamassistentin

Telefon: +49 (0) 69 87 007 83-584

kstarke@remove-this.datenschutz-cert.de

Hinweis

Zur Listung der Videosprechstunde bei der KBV müssen folgende Antragsnummern der datenschutz cert GmbH bei der Deutschen Akkreditierungsstelle angegeben werden:
Antragsnummer der DSGVO Akkreditierung: KBP-2019-01


Antragsnummer der Videosprechstunde IT Akkreditierung: KBP-2018-53