Datenspeicherort und DSGVO für Medizinprodukte-Beschaffungsplattformen

Medizinproduktlieferanten, die in Europa tätig sind, stehen bei der Nutzung von KI-Beschaffungsplattformen vor einem doppelten Compliance-Druck: den strengen DSGVO-Anforderungen an die Verarbeitung personenbezogener Daten und den zusätzlichen Anforderungen einiger Mitgliedstaaten an den Speicherort sensibler Geschäftsdaten. Wer diese Fragen in der Plattformauswahl ignoriert, riskiert spätere Compliance-Probleme und Beschaffungshindernisse.

DSGVO-Anwendbarkeit auf KI-Beschaffungsplattformen

Der Anwendungsbereich der DSGVO beschränkt sich nicht auf Verbraucherdaten. Kontaktdaten aus Ausschreibungsunterlagen, Kommunikationsaufzeichnungen von Beschaffungsentscheidungsträgern sowie Bewertungsberichte mit Personenbezug sind personenbezogene Daten im Sinne der DSGVO. KI-Beschaffungsplattformen agieren typischerweise als „Auftragsverarbeiter"; Lieferanten als „Verantwortliche" müssen sicherstellen, dass die Plattform folgende Anforderungen erfüllt:

• Auftragsverarbeitungsvertrag (AVV): Art. 28 DSGVO verlangt einen rechtskonformen AVV, der Verarbeitungszweck, Datenkategorien, Sicherheitsmaßnahmen und Übermittlungsbeschränkungen festlegt.
• Betroffenenrechte: Die Plattform muss die technische Umsetzung von Lösch- und Auskunftsrechten ermöglichen.
• Datenpannenmeldung: Der Auftragsverarbeiter muss Datenpannen innerhalb von 72 Stunden an den Verantwortlichen melden.

Praktische Anforderungen an den Datenspeicherort

Datenspeicherort (Data Residency) und Datensouveränität (Data Sovereignty) sind verwandte, aber unterschiedliche Konzepte. Ersteres bezeichnet den geografischen Ort der physischen Datenspeicherung, letzteres die anwendbare Rechtsordnung. Für Medizinproduktlieferanten sind folgende Konstellationen besonders relevant: Bundesbehörden und einige Landesbehörden in Deutschland verlangen Cloud-Dienste mit Datenspeicherung in Deutschland; für Beschaffungen französischer öffentlicher Gesundheitseinrichtungen kann die HDS-Zertifizierung (Hébergeur de Données de Santé) erforderlich sein; das EU-Datengesetz und der Digital Markets Act verstärken zunehmend die Durchsetzung von Datenlokalisierungsklauseln.

Compliance-Checkliste für die Plattformauswahl

Bei der Bewertung der Datenschutz-Compliance von KI-Beschaffungsplattformen empfiehlt sich die systematische Prüfung folgender Punkte:

1. Bietet die Plattform Datenspeicherung innerhalb der EU an und unterstützt sie die Datenlokalisierung in bestimmten Mitgliedstaaten?
2. Enthält der Standardvertrag einen DSGVO-konformen AVV gemäß Art. 28 mit klar definierten Verarbeitungszwecken?
3. Erfolgen Datenübermittlungen in Drittländer auf Basis von Standardvertragsklauseln (SCCs) oder anderen geeigneten Garantien?
4. Kann die Plattform ISO 27001 oder SOC 2 Type II als unabhängigen Nachweis ihrer Informationssicherheit vorlegen?
5. Erklärt der Anbieter ausdrücklich, dass Ihre Daten nicht für das KI-Modelltraining verwendet werden?