Berlin Das Aus des Privacy-Shield-Abkommens hat Cara-Care-CEO Jesaja Brinkmann „kalt erwischt“, wie er sagt. Mitte Juli erklärte der Europäische Gerichtshof das Datenabkommen zwischen der EU und den USA für ungültig. Die Befugnisse von US-Behörden beim Zugriff auf personenbezogene Daten seien zu groß, hieß es in der Begründung. Hersteller digitaler Gesundheitsanwendungen (DiGa) dürfen seither keine Daten mehr in den USA verarbeiten.

Das Urteil traf viele Hersteller mitten im DiGa-Bewerbungsverfahren. So auch das Berliner Start-up Cara Care, das eine digitale Reizdarm-Therapie anbietet. „Wir waren kurz davor, unsere Bewerbung als DiGa abzuschicken – und mussten diese durch das Gerichtsurteil noch einmal verschieben“, sagt Brinkmann Handelsblatt Inside.

Softwaredienste, die das Unternehmen nutzt, haben Server und Niederlassungen in Europa. „Manche davon können wir jetzt ohne Privacy Shield nicht mehr für unsere Gesundheitsanwendung verwenden, da die Mutterkonzerne in den USA ansässig sind“, sagt Brinkmann. Für seine Daten, die vorher lange auf einem Server von Microsoft in Westeuropa lagerten, habe das Start-up bereits einen neuen Server in Deutschland gefunden.

Für komplexere Anwendungen wie Daten-Analyseprogramme seien die Angebote in Europa allerdings schlechter. „Das führt am Ende dazu, dass auch die DiGa erst einmal schlechter werden und bedeutet einen Wettbewerbsnachteil für die Hersteller“, sagt Brinkmann. Insgesamt habe das Urteil Cara Care und andere DiGa-Hersteller gewaltig zurückgeworfen. „Wir standen in den Startlöchern – und mussten erstmal zurückrudern“, sagt er.

Manche Start-ups haben früh reagiert

Auch Investoren sind wegen des Endes des Abkommens besorgt. „Es kostet sie Kapital und Zeit, die Services umzustellen“, sagt Jürgen Graalmann, Geschäftsführender Gesellschafter bei dem Berliner Wagniskapitalgeber Brückenköpfe, Handelsblatt Inside.

Die Portfolio-Unternehmen selbst hätten sich hingegen rechtzeitig auf das Urteil aus Brüssel eingestellt. „Wir haben unsere Start-ups frühzeitig sensibilisiert, das Thema mit hoher Priorität auf ihre Agenda zu nehmen“, sagt er. „Auch weil wir sicher sind, dass es angesichts der hohen Datenschutzansprüche von Krankenkassen als mögliche Kooperationspartner sinnvoll ist, vorrangig auf europäische Anbieter zu setzen.“

Grund für die Aufregung ist ein Passus im Leitfaden der zulassenden Behörde, dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Darin steht: „Da § 4 Absatz 3 DiGAV grundsätzlich nur die Verarbeitung von personenbezogenen Daten in Drittstaaten zulässt, wenn ein Angemessenheitsbeschluss nach Art. 45 DSGVO (wie dem Datenschutzschirm, Anm. d. Red.) vorliegt, ist eine Verarbeitung von personenbezogenen Daten in den USA nicht zulässig.“

Dienstleister aus den USA, auch solche mit Niederlassung in der EU, dürften deswegen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nicht für die Verarbeitung personenbezogener Daten herangezogen werden. Dies gelte auch für jegliche Tools, die im Rahmen der Nutzung der DiGa zum Einsatz kommen. „Eine Lösung über Standardvertragsklauseln ist nicht erlaubt.“

Teure Eigenentwicklungen

Die EU-Kommission hatte mit ihrem Urteil über das Privacy-Shield-Abkommen die Übermittlung personenbezogener Daten in Drittländer eigentlich durch solche Standardvertragsklauseln weiterhin ermöglicht. Dass DiGa-Hersteller davon im BfArM-Leitfaden ausgenommen werden, kritisieren Gründer wie Brinkmann.

„Man sollte also die DiGa-Verordnung so schnell wie möglich wieder in Einklang mit europäischem Recht bringen“, sagt er. Obwohl man als Hersteller komplett DSGVO-konform sei und alles richtig gemacht habe, werde verlangt, die Software über Nacht komplett umzustellen. „Ich halte das für unverhältnismäßig“, sagt er.

Ähnlich sieht das Kaia-Health-Mitgründer Manuel Thurner. Das Start-up bietet eine App für Rückentrainings an und ist hauptsächlich in den USA aktiv. Die Regelung zerstöre jede Planungssicherheit.

Die deutsche Digital-Health-Szene würde in die „Softwareentwicklungs-Steinzeit“ zurückgeworfen, warnt er gegenüber Handelsblatt Inside. Denn weltweit führende Software-as-a-Service-Anbieter seien hauptsächlich in USA ansässig. In der Praxis sei es außerdem schwer zu prüfen, ob europäische Firmen mit US-Mutterkonzernen zusammenarbeiten würden. Die Regelung dazu hält er deswegen für „bedenklich“.

Dass sich die Regelung allerdings in absehbarer Zeit ändern wird, ist nicht absehbar. Beim Health Innovation Hub (HIH) des Bundesgesundheitsministeriums (BMG) kann man der Lage sogar etwas Gutes abgewinnen.

„Wenn alle Gesundheitsdaten nach Europa zurückgeholt wurden, bin ich mir sicher, dass hier genauso gute Services entstehen“, sagt Henrik Matthies, Managing Director des HIH. „Insgesamt erhoffe ich mir, dass eine Rückbesinnung darauf stattfindet, wo Gesundheitsdaten gespeichert und verarbeitet werden“, sagt er.

HIH sieht Regelung positiv

Diesen Optimismus hört man durchaus auch von Gründern wie Admir Kulin, CEO von M Doc und Sprecher für Health-Start-ups beim Verband Deutscher Start-ups. Zwar musste Kulin bislang einen hohen sechsstelligen Betrag in die Entwicklung von Software investieren, die das Start-up eigentlich mit US-Anbietern hätte abdecken können, sagt er Handelsblatt Inside. Aber: „Langfristig werden wir dadurch in Europa jedoch unsere Innovationskraft stärken und vielleicht sogar einen Vorsprung rausholen, der dringend nötig wäre.“

Juristen wie Sabrina Neuendorf, Rechtsanwältin bei der Kanzlei D+B, halten die strengeren Regeln für DiGa-Hersteller für gerechtfertigt. „Die im Rahmen der DiGa verarbeiteten Gesundheitsdaten erachtet der Gesetzgeber für besonders schützenswert“, sagt sie Handelsblatt Inside.

„Die DSGVO eröffnet dem Gesetzgeber im Bereich der Gesundheitsdaten die Möglichkeit, solch strengere Regelungen zu erlassen. Das halte ich auf den ersten Blick für eine verhältnismäßige Maßgabe“, sagt sie. Eine Alternative für Hersteller sei, auf die Erstattung zu verzichten oder nach praktikablen Lösungen zu suchen.“