Gesundheitsapps: Datenschutzrechtliche Grenzen

Simone Rosenthal ist Rechtsanwältin bei Schürmann, Wolschendorf Dreyer.

Simone Rosenthal ist Rechtsanwältin bei Schürmann, Wolschendorf, Dreyer.

Auf dem App-Markt sind immer mehr „Health Apps” zu finden. Das sind Anwendungen, die einen schnellen Austausch von Gesundheitsdaten zwischen Patient und behandelndem Arzt ermöglichen. Ein aktuelles und besonders prominentes Beispiel ist „Apple Health”: eine App, die künftig Daten ganz unterschiedlicher Gesundheitsanwendungen zusammenführen und analysieren soll. Der vorliegende Beitrag führt App-Entwickler und -Anbieter (zum Beispiel Krankenhäuser) in die datenschutzrechtliche Problematik solcher medizinischer Apps ein.

Der Markt der mobilen Gesundheits-Apps wächst rasant. Ist 2008 für den europäischen Markt noch ein Umsatzvolumen von einer Million Euro berechnet worden, so prognostizieren neue Analysen für 2017 ein Volumen von umgerechnet 5,1 Milliarden Euro. Aktuell sind ca. 97.000 Mobile-Health-Apps über verschiedene Plattformen weltweit erhältlich.

Die medizinischen Vorteile der neuen (app-basierten) Anwendungen für Patienten, Ärzte und anderes medizinisches Personal sind unbestritten. Hervorzuheben ist die erhöhte Vernetzung von Patientendaten. Patienten können ihre Daten eigenständig und standortunabhängig eingeben; Ärzte können diese flexibel abrufen und ggf. schnell weiterleiten.

Datenschutzrechtliche Grenzen

Entwickler und Anbieter solcher Apps sollten jedoch die datenschutzrechtlichen Vorgaben der Vernetzung nicht aus dem Blick verlieren. Medizinische Daten unterliegen schon per Gesetz einem besonders hohen Schutz, was verstärkte Anforderungen an die Entwicklung und den Vertrieb von Medical Apps stellt.

Verarbeitung medizinischer Daten über Apps

Die Erhebung, Nutzung und Verarbeitung personenbezogener Daten unterliegt in Deutschland und in Europa rechtlichen Voraussetzungen. Diese sind hinsichtlich Apps insbesondere im Telemediengesetz (TMG) und im Bundesdatenschutzgesetz (BDSG) zu finden. Für die datenschutzrechtliche Beurteilung eines Sachverhalts ist entscheidend, ob überhaupt ein personenbezogenes Datum vorliegt. Personenbezogene Daten sind solche Daten, über die eine natürliche Person direkt oder indirekt identifiziert werden kann.

Hinsichtlich Apps kommen hier vor allem folgende Daten infrage: Die IP-Adresse des mobilen Endgeräts (Smartphone etc.), die eindeutigen Geräte- und Kartenkennungen (z.B. IMEI, UDID, IMSI, MAC-Adresse, MSISDN), der Name des Geräts, soweit dieser Rückschlüsse auf den Gerätenutzer zulässt, Standortdaten, Audiodaten, Daten für biometrische Erkennungsverfahren sowie Informationen über die App-Nutzung.

Gesundheit-Apps erheben darüber hinaus besonders sensible personenbezogene Daten – etwa zu Krankheiten des App-Nutzers. Für solche sensiblen Daten sieht das Datenschutzrecht sowohl besondere Sicherungsmaßnahmen als auch besondere Einwilligungsbedingungen für Erhebung und Verarbeitung vor.

Wer ist verantwortlich?

Mindestens so wichtig wie die Frage, welcher Art die App bzw. die erhobenen Daten sind, ist die Frage, wer für die Erhebung und die weitere Verarbeitung verantwortlich ist. Datenschutzrechtlich spricht man hier von der „verantwortlichen Stelle“.

Folgende Stellen kommen grundsätzlich infrage: der App-Entwickler, der App-Anbieter (z.B. ein Krankenhaus), der Betreiber des Stores, in dem die App – neben vielen anderen – ggf. angeboten wird sowie ein evtl. beauftragter Cloud-Anbieter. Da der App-Anbieter derjenige ist, der das Interesse an den Daten hat, ist dieser in erster Linie für den datenschutzkonformen Einsatz der App verantwortlich.

Das Krankenhaus als App- Verantwortlicher muss folglich jederzeit über die Funktionsweise seiner App informiert sein, um gegenüber Auskunftsbehörden und den Nutzern der App Auskunft geben zu können. Auch der Betreiber des App-Stores, in dem die App ggf. angeboten wird, kann für den Datenschutz mitverantwortlich sein. Dies ist dann der Fall, wenn er zu eigenen Zwecken personenbezogene Daten des App-Nutzers erhebt oder verwendet. Schließlich könnte auch ein ggf. beauftragter Cloud-Dienst datenschutzrechtliche Verantwortung tragen. Dies wird in den meisten Fällen jedoch zu verneinen sein, da der Cloud-Dienst die Daten jedenfalls nicht zu eigenen Zwecken verwaltet und dem App-Anbieter bzw. dessen Beauftragtem lediglich seine Cloud zur Verfügung stellt.

Die einzelnen Verarbeitungsprozesse: So erfolgt die Datenverwendung rechtskonform.

Erhebung der Daten

Personenbezogene Gesundheitsdaten werden entweder vom Patienten selbst, von dessen Angehörigen oder vom medizinischen Personal in das mobile Gerät eingegeben. Werden die Daten nicht vom Patienten selbst eingegeben, ist der datenschutzrechtliche Grundsatz der Direkterhebung (§ 4 Abs. 2 BDSG) zu beachten. Dieser sieht vor, dass die Daten nur unter Mitwirkung des Betroffenen erhoben werden dürfen. Die Erhebung darf also nicht heimlich erfolgen – etwa durch Ausführen eines Hintergrundprozesses auf dem Smartphone.

Das deutsche Datenschutzrecht beinhaltet ferner den Grundsatz des sogenannten „Verbotes mit Erlaubnisvorbehalt“. Danach ist es grundsätzlich verboten, personenbezogene Daten zu erheben und zu verwenden.

Eine Erlaubnis kann sich entweder aus einer Rechtsvorschrift oder aus einer Einwilligung des Nutzers ergeben. Für Gesundheitsdaten sieht das BDSG besonders strenge Einwilligungsbedingungen vor. Danach muss der Betroffene ausdrücklich darauf hingewiesen werden, dass (besonders sensible) Gesundheitsdaten erhoben werden. Die Einwilligung muss vom Patienten spätestens beim ersten Start der App – besser noch vorher– eingeholt werden.

Verarbeitung und Verwaltung der Daten

Die einmal erhobenen Daten dürfen nur für die in der Datenschutzerklärung angegeben Zwecke verwendet werden. Sollen dem Nutzer folglich neue Funktionen innerhalb der installierten App angeboten werden – und sollen die bereits erhobenen Daten auch für die neuen Funktionen genutzt werden – muss hierfür eine neue Einwilligung des Nutzers eingeholt werden.

Um einem unberechtigtem Zugriff durch Dritte vorzubeugen, der etwa einem Verlust des Geräts folgen könnte, sollte eine entsprechende Authentifizierung innerhalb der App eingerichtet sein. Der Nutzer sollte zur Verwendung eines ausreichend sicheren Passworts „gezwungen“ werden.

Spätestens beim Deinstallieren der App müssen die gespeicherten Daten vom Gerät gelöscht werden. Die Datenübertragung zwischen mobilem Gerät und App-Anbieter (bzw. dessen Beauftragtem) sollte durch eine Transportverschlüsselung abgesichert sein. Das Backend und

die App müssen folglich ermöglichen, dass eine sichere Verbindung auf Basis einer dem Stand der Technik entsprechenden Protokollvariante (TLS 1.1 oder höher; für kurzen Übergangszeitraum ggf. SSL 3.0 bzw. TLS 1.0) ausgehandelt wird.

Übermittlung der Daten

Betreibt der App-Anbieter die App nicht selbst, sondern hat er hiermit bspw. den Entwickler der App beauftragt, müssen die erhobenen Daten von diesem zum Anbieter weitergeleitet werden. Da die Daten für den App-Anbieter erhoben werden, liegt zwischen Anbieter und erhebendem Service-Dienstleister eine sogenannte „Auftragsdatenverarbeitung“ vor. Damit diese zulässig ist, müssen sämtliche im Katalog des § 11 BDSG aufgeführten Punkte in einem besonderen Vertrag ausgehandelt werden. Die Auftragsdatenverarbeitung privilegiert den Auftragnehmer (Service-Dienstleister), da dieser grundsätzlich nicht überprüfen muss, ob die Erhebung der personenbezogenen Daten rechtmäßig ist oder nicht. Die Prüfung obliegt vielmehr allein dem Anbieter als Auftraggeber. Keine Auftragsdatenverarbeitung im Sinne des § 1 BDSG liegt hingegen vor, wenn der Auftragnehmer weder in Deutschland noch in einem anderen Land der Europäischen Union oder des Europäischen Wirtschaftsraums (umfasst zusätzlich zu den EU-Mitgliedsstaaten noch Island, Norwegen und Liechtenstein) eine datenverarbeitende Niederlassung bzw. seinen Sitz hat, wie dies bspw. bei US-amerikanischen Cloud-Anbietern denkbar ist. Für diesen Fall müssen besondere Übermittlungsvorschriften des Bundesdatenschutzgesetzes beachtet werden.

Die Sicherstellung des Datenschutzes ist eine anspruchsvolle Daueraufgabe, der bei Entwicklung, Vertrieb und Betrieb der App höchste Priorität eingeräumt werden muss. Die datenschutzrechtlichen Betriebsvoraussetzungen für Gesundheits-Apps sollten daher noch vor dem ersten Entwicklungsstadium der App präsent sein, damit unnötige nachträgliche Anpassungen, Bußgelder sowie vertrauensschädigende Datenschutzvorfälle vermieden werden. Es empfiehlt sich daher immer, datenschutzrechtlich geschultes Personal hinzuziehen.

Autorin: Simone Rosenthal ist Rechtsanwältin bei Schürmann, Wolschendorf, Dreyer und berät vorwiegend zu Fragen des gewerblichen Rechtssschutzes, des IT-Rechts sowie des Handels- und Gesellschaftsrechts.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>