Gesundheits-Apps: Wie wird der Datenschutz gewährleistet?

02 June 2015

Die Anzahl verfügbarer Apps für Smartphones ist gewaltig. Das Angebot reicht weit – nicht nur in den Bereichen Sport, Lifestyle und Spiele gehen die App-Entwickler immer neue Schritte. Auch die Gesundheitsbranche bedient sich immer mehr dieses Instruments der multimedialen Gesellschaft. So sind nach Angaben der EU-Kommission rund 100.000 mHealth-Apps verfügbar. Die Bandbreite der Funktionen reicht dabei von Einnahme-Erinnerungen für Medikamente über Stressmanagement bis hin zu Programmen, die bei medizinischen Vorgängen wie der Steuerung von Insulinpumpen unterstützen.

Antriebsfeder hinter dieser raschen Entwicklung ist die Zielsetzung, die Eigenverantwortung der Bürger zu stärken, die Gesundheitsversorgung zu verbessern und damit letztlich das Wohlbefinden des Patienten zu erhöhen. Aber nicht nur altruistische Motive sind ausschlaggebend für das Entwicklungspotential in dieser Branche. Im Zusammenhang mit Fitness- und Lifestyle-Apps fällt dies besonders auf. Die Daten, die von diesen Apps erstellt werden, stehen den Entwicklungsunternehmen zur Weiternutzung zur Verfügung. Letztlich kommt es dazu, dass persönliche Daten weitergegeben werden können.

So „fein ziseliert“ wie das Spektrum an mHealth-Diensten ist, so filigran ist auch die datenschutzrechtliche Beurteilung dieser Dienste. So ist etwa zu beachten, dass eine Gesundheits-App nicht mit einer Fitness-App gleichzusetzen ist. Ob Hersteller, Anbieter oder Fachanwender: sie alle begegnen einem Konglomerat aus juristischen Vorschriften und Vorgaben. Der Beitrag versucht diese in einem angemessenen Umfang verständlich zu machen.

Hersteller haben zunächst darauf zu achten, ob es sich bei der App oder dem Zubehör um ein Medizinprodukt handelt. Das ist insbesondere dann der Fall, wenn ein therapeutischer oder diagnostischer Zweck im Vordergrund steht. Lässt sich ein solcher Zweck bejahen, kommt das Medizinproduktegesetz und im Zusammenhang mit der Werbung für solche Produkte das Heilmittelwerberecht zur Anwendung.

Fokussiert man die datenschutzkonforme Entwicklung und Bereitstellung von Gesundheits- und Fitness-Apps kommt es vor allem darauf an, die Art und Kategorie der zu erhebenden und zu verwendenden Daten zu bestimmen. Handelt es sich nämlich um Gesundheitsdaten, so greifen die allgemeinen datenschutzrechtlichen Anforderungen ein. Grund dafür ist, dass es sich bei Gesundheitsdaten gemäß § 3  Abs. 9 Bundesdatenschutzgesetz um besondere personenbezogene Daten handelt, die einem erhöhten Schutzniveau unterliegen.

Wegweisend für die Einordnung der jeweiligen Daten ist dabei die Definition der Artikel-29-Datenschutzgruppe. Danach kommt es nicht auf den Gesundheitszustand der Person an, sondern vielmehr darauf, ob Informationen vorliegen, die aus einem Test oder einer Untersuchung eines Körperteils resultieren und zwar ganz gleich, ob der Test oder die Untersuchung von einem Mediziner oder einer App durchgeführt wurde. Klassisches Beispiel hierfür sind die Gesundheits-Apps. Schwieriger hingegen fällt die Einordnung von Fitness-Apps. Aber auch diese können Gesundheitsdaten beinhalten und zwar dann, wenn die generierten Informationen dazu in der Lage sind, Schlussfolgerungen über die Gesundheit einer Person zu treffen.

In diesen Fällen ist sodann – neben den allgemeinen datenschutzrechtlichen Anforderungen – das erhöhte Schutzniveau für Gesundheitsdaten einzuhalten. Erreicht werden soll dies durch besonders zu beachtende Anforderungen bei der Entwicklung und der Verbreitung eben jener Apps. Dazu hat der Düsseldorfer Kreis in einer Orientierungshilfe zu den Datenschutzanforderungen für App-Entwickler und App-Anbieter vom 16.06.2014 einige Ausführungen gemacht.

Grob lassen sich folgende Anordnungen finden:

  • Der Nutzer muss über die Datenerhebung und die Weiterverwendung durch Datenschutzbestimmungen informiert werden.
  • Die Verfolgung (Tracking) des Nutzers über eindeutige Gerätenummern oder IP-Adressen ist verboten.
  • Die Entwickler müssen konsequent Verschlüsselungen nutzen und erforderlichenfalls weitere Authentifizierungsschwellen einbauen, um die Gesundheitsdaten vor dem Zugriff unberechtigter Dritter zu schützen.

Letztlich bleibt festzuhalten, dass Gesundheits-Apps datenschutzrechtlich nur solange zulässig sind, wie sie auch den dargestellten hohen Schutzanforderungen des Gesetzes entsprechen.

Quellen:
Datenschutzbeauftragter, Apple Health: Ein erster datenschutzrechtlicher Blick auf die neue App
Düsseldorfer Kreis, Orientierungshilfe zu den Datenschutzanforderungen für App-Entwickler und App-Anbieter
HealthBytes, Überblick Datenschutzanforderungen
Staufer, Mobile-Health: Gesundheits-Apps auf dem Prüfstand
Zeitgeist, Gesundheits-Apps: Zwischen Nützlichkeit und Datenschutz

Das könnte Sie auch interessieren

10 June 2020

Jetzt ist wieder Cookie-Zeit

Ab und zu im Leben eines Verantwortlichen sollte / muss man sich mit dem Thema Internetrecht und im speziellen…

Mehr Erfahren
04 June 2020

Besucherlisten nach der…

Das ist wieder so eine Sache. Wir alle wissen im Grunde, dass etwas getan werden muss, fragen uns aber,…

Mehr Erfahren
04 December 2019

Änderung der Personen-Bestellgrenze…

Die Grenze, ab wieviel Personen ein DSB zu benennen ist, wurde von 10 auch 20 angehoben. Mit dem zweiten…

Mehr Erfahren
11 November 2019

Bußgeld in Höhe von 14,5…

Da die Deutsche Wohnen SE in einem Archivsystem Daten jahrelang nach Beendigung von Mietverhältnissen,…

Mehr Erfahren
01 October 2019

Neues EuGH Urteil zu…

Werden Cookies verwendet, sind jetzt auch die Vorgaben des EuGH (Urt. v. 01.10.2019, Az. C-673/17, „Planet49“)…

Mehr Erfahren
17 September 2019

BVerwG Urteil zu Facebook…

Urlaubsbedingt etwas verspätet möchte ich an dieser Stelle auf die Entscheidung des BVerwG Urteil vom…

Mehr Erfahren