Im Zuge der Diskussionen um das COVID-19/Coronavirus haben verschiedene Aufsichtsbehörden Guidelines zu unterschiedlichen datenschutzrechtlichen Aspekten von Corona-Tracing-Apps sowie Gesundheitsapps im Allgemeinen veröffentlich:
(i) Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) publizierte am 30. April 2020 auf seiner Webseite ein Update zur "Proximity Tracing-Application (PTAPP)". Der EDÖB kommt dabei zum Schluss, dass die entsprechende Datenbearbeitung verhältnismässig sei. Er prüfe derzeit den Entwurf einer bundesrätlichen Verordnung über die PTAPP und die ihr zugrundeliegenden gesetzlichen Grundlagen. Schliesslich sei der EDÖB dabei, einen Bericht mit einer Gesamtbeurteilung zur PTAPP zu verfassen.
(ii) Die Europäische Union veröffentlichte im April 2020 u.a. folgende Dokumente im Zusammenhang mit Datenschutz und Gesundheitsapps:
a) Empfehlung der EU Kommission für den Einsatz von Technik und Daten zur Bekämpfung und Überwindung der COVID-19-Krise - insbesondere im Hinblick auf Mobil-Apps und die Verwendung anonymisierter Mobilitätsdaten
b) EU-Instrumentarium (Toolbox) für Mobil-Apps zur Unterstützung der Kontaktnachverfolgung im Kampf der EU gegen COVID-19
c) Leitlinien zur Gewährleistung der uneingeschränkten Einhaltung der Datenschutzstandards durch Mobil-Apps zur Bekämpfung der Pandemie
(iii) Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK) stellte am 24. April 2020 ihren Beschluss online, wonach sie sich zu den Einwilligungsdokumenten der deutschen Medizininformatik-Initiative äussert und diese akzeptiert.
(iv) Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 15. April 2020 seine technische (und damit nicht datenschutzrechtliche) Richtlinie "BSI TR-03161 Sicherheitsanforderungen an digitale Gesundheitsanwendungen". Das BSI beschreibt darin das Vorgehen für Entwickler von mobilen Anwendungen im Gesundheitswesen und fokussiert dabei insbesondere auf die Schutzziele der IT-Security, namentlich die Vertraulichkeit, Integrität und Verfügbarkeit.
(v) Das deutsche Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) publizierte seinen Leitfaden "Fast-Track-Verfahren für digitale Gesundheitsanwendungen (DiGA) nach § 139e SGB V". Er richtet sich an Hersteller, Leistungserbringer sowie Anwender und definiert unter anderem Anforderungsprofile zum Datenschutz und zur Informationssicherheit sowie Nutzerfreundlichkeit und Leistungsfähigkeit.
Michal Cichocki