Dort gibt das BfArM eine Einschätzung ab und bieten in einem FAQ konkrete Antworten. Demnach ist eine Verarbeitung personenbezogener Daten außerhalb der EU allein auf Basis von Artikel 46 DSGVO (Standardvertragsklauseln) oder Artikel 47 (Binding Corporate Rules) für DiGA nicht zulässig (vgl. § 4 Abs. 3 DiGAV).
Da das EU-US Privacy Shield Abkommen dafür nicht mehr ausreicht, ist der Einsatz von Dienstleister:innen aus den USA nicht erlaubt. Bei Dienstleister:innen mit Niederlassung in der EU und Mutterkonzern in den USA, ist der Einsatz von Diensten „unter bestimmten Voraussetzungen“ möglich. Die Hauptvoraussetzung ist, dass der Datenfluss von personenbezogenen Daten in die USA vollumfassend ausgeschlossen wird. Die Verantwortung dafür liegt bei den DiGA-Hersteller:innen.
Als eine mögliche Lösung wird die Verschlüsselung der personenbezogenen Daten mit Speicherung der Schlüssel in der EU genannt. Genauere Informationen dazu gibt es allerdings nicht.
Daher wird DiGA-Hersteller:innen empfohlen, im vertrauten Rechtsraum zu operieren und sich beispielsweise für deutsche Cloud-Anbieter:innen an den Richtlinien des BSI Grundschutz und C5 zu orientieren.