Health-Apps und Datenschutz – Eine Win-win-Konstellation?
Health-Apps erfreuen sich immer größerer Beliebtheit. Dies gilt nicht nur für den privaten Nutzer, sondern auch für Gesundheitsdienstleister und sogar den Staat, der zunehmend deren Benutzung befürwortet. Parallel zu dieser Entwicklung mehrten sich jedoch auch die Bedenken hinsichtlich des Umgangs mit personenbezogenen Daten beim Einsatz von Health-Apps. Schnell wurde der Ruf nach dem „Schutz von Gesundheitsdaten“ laut. Dieser Forderung müssen Betreiber von Health-Apps grundsätzlich nachkommen und können sich damit zugleich ein seriöses Image und Wettbewerbsvorteile sichern. Allerdings ist auch eine gewisse Vorsicht geboten, denn nicht alle Daten, die im Kontext von Health-Apps verarbeitet werden, sind „Gesundheitsdaten“. Die Unterscheidung zwischen den jeweils verarbeiteten personenbezogenen Daten hat vor allem Auswirkungen auf die mögliche Rechtsgrundlage bei deren Verarbeitung. Gelingt diese Unterscheidung, kann eine daran angepasste Risikobewertung mit entsprechenden Schutzmaßnahmen die teils hohen Bußgelder der DSGVO verhindern.
Arten von personenbezogenen Daten
Natürlich steht bei der Verwendung von Health-Apps die Verarbeitung von solchen Daten im Vordergrund, die die körperliche Leistung, Leistungsfähigkeit und entsprechende Parameter wie Herzfrequenz, Körpergröße oder Gewicht betreffen.
Bevor es aber zu einer Übermittlung dieser Daten von Wearables (Fitnessarmband, GPS-Uhr, Smartphone) auf einer entsprechende App kommt, die dann die Daten, wie vom Nutzer gewünscht, anzeigt und auswertet (z.B. Leistungsfortschritt, Perspektive, „Plus-Punkte“), muss der Nutzer sich zuerst bei einer entsprechenden App anmelden. Die hierzu erforderlichen Login-Daten (Name, E-Mail-Adresse, Anschrift) stellen keine Gesundheitsdaten (oder sonstigen besonders sensiblen Daten im Sinne des Artikels 9 DSGVO) dar. Vielmehr handelt es sich um „normale“ personenbezogene Daten. Für diese Verarbeitung (normaler) personenbezogener Daten „genügen“ die Anforderungen des Artikels 6 DSGVO. In Betracht kommt als Rechtsgrundlage für die Verarbeitung dieser Registrierungs-/ Login-Daten daher insbesondere eine Einwilligung (Artikel 6 Abs.1 lit. a DSGVO) oder eine Interessenabwägung (Artikel 6 Abs.1 lit. f DSGVO), welche auch das Interesse der Unternehmen an der Verarbeitung dieser Daten zu Marketingzwecken berücksichtigt.
Zudem liegt der Nutzung von Health-Apps in der Regel ein Vertrag zugrunde, sodass die Verarbeitung der Login-Daten eine „Erforderlichkeit der Datenverarbeitung zur Vertragsdurchführung“ gemäß Artikel 6 Abs. 1 lit. b DSGVO aufweisen dürfte und auch deshalb gerechtfertigt sein kann.
Gesundheitsdaten und solche, die es werden könnten
Besonders sensibel sind ohne Frage aber diejenigen Daten, welche die Gesundheit einer Person betreffen. Ein unberechtigter Zugriff Dritter könnte hier für Betroffene sehr empfindlich sein. Aus diesem Grund stellt die DSGVO in Artikel 9 Gesundheitsdaten unter einen besonderen Schutz. Zunächst stellt sich jedoch die Frage, wann Gesundheitsdaten vorliegen.
Die DSGVO selbst definiert Gesundheitsdaten in Artikel 4 Nr. 15 DSGVO:
„„Gesundheitsdaten“ [sind] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“
Während die Herzfrequenz offensichtlich unter diese Definition fällt, stellt sich die Frage, ob etwa auch das Körpergewicht allein ein solches Gesundheitsdatum darstellt, da es isoliert noch nichts über den Gesundheitszustand einer Person aussagt. Kombiniert man aber das Körpergewicht mit dem Alter, Geschlecht oder der Größe, sind bereits deutlich mehr Aufschlüsse über den Gesundheitszustand möglich, sodass zur Rechtfertigung der Datenverarbeitung nicht mehr Artikel 6 DSGVO, sondern nur noch Artikel 9 DSGVO und § 22 BDSG-neu herangezogen werden können bzw. müssen.
Neben den unterschiedlichen Rechtsgrundlagen für die Datenverarbeitung ist zu beachten, dass die Betreiber von Health-Apps insbesondere in ihrer Datenschutzerklärung, aber auch darüber hinaus immer den Transparenzgrundsatz der DSGVO beachten müssen. Dem Nutzer muss zu jeder Zeit in einer einfachen und verständlichen Sprache erklärt werden, welche Daten verarbeitet werden und was mit seinen Daten geschieht. Die diesbezügliche Aufklärung bei der Verarbeitung von Gesundheitsdaten muss die Verarbeitung von Gesundheitsdaten als solche erkennen lassen. Der Nutzer muss also wissen, dass die Zusammenführung einzelner Daten (Körpergewicht, Alter, Geschlecht) im Ergebnis zur Verarbeitung von Gesundheitsdaten führen kann. Außerdem muss er über die genaue Verarbeitung seiner Daten aufgeklärt werden. Nach dem gängigen Modell der meisten Anbieter verbleiben die Nutzerdaten nämlich gerade nicht im Endgerät des Nutzers, sondern werden auf zentralen Servern gespeichert und ausgewertet.
Voraussetzungen für die Verarbeitung von Gesundheitsdaten
Die Verarbeitung von Gesundheitsdaten ist zunächst dann zulässig, wenn der Nutzer ausdrücklich in diese einwilligt (Artikel 9 Abs. 2 lit. a DSGVO). Dabei genügt eine allgemeine Einwilligung in die „Verarbeitung von Gesundheitsdaten“ nicht. Vielmehr muss transparent und verständlich erklärt werden, welche Daten genau für welche Zwecke verarbeitet werden. Anders als im Rahmen der Einwilligung nach Artikel 6 Abs. 1 lit. a DSGVO kann die Einwilligung in die Verarbeitung von Gesundheitsdaten nur ausdrücklich – also nicht auch konkludent (d.h. durch schlüssiges Verhalten) – erklärt werden. Unternehmen sollten eine entsprechend erteilte Einwilligung zum Nachweis daher immer dokumentieren.
Eine weitere Rechtfertigungsmöglichkeit für die Verarbeitung von Gesundheitsdaten könnte sich in Zukunft aus Artikel 9 Abs. 2 lit. i DSGVO ergeben. Danach kann die Verarbeitung von Gesundheitsdaten aus Gründen der öffentlichen Gesundheit zulässig sein. Sollten Anbieter von Health-Apps in Zukunft von öffentlichen Stellen mit der Erhebung von Gesundheits- und Leistungsdaten (etwa aus Gründen der Früherkennung von Herzkrankheiten oder Pandemien etc.) beauftragt werden, könnte auch diese Ausnahmevorschrift greifen.
Schutzmaßnahmen für den Umgang mit Gesundheitsdaten
Sorgsame Auswahl und Überwachung von Auftragsverarbeitern
Wie geschildert, besteht das zentrale Modell der Verarbeitung von Leistungs- und Gesundheitsdaten darin, dass diese vom Endgerät des Nutzers auf einen zentralen Server übertragen und dort gespeichert und analysiert werden. Dies kann auch durch externe Dienstleister geschehen, wobei der Zweck und der Umfang der Datenverarbeitung jedoch vom Betreiber der Health-App festgelegt werden. Letzterer ist daher „Verantwortlicher“ im Sinne der DSGVO, während der externe Dienstleister als Auftragsverarbeiter tätig wird. Dessen Pflichten sind in einem Auftragsverarbeitungsvertrag (Artikel 28 Abs. 3 DSGVO) so genau wie möglich – im Idealfall nach umfassender rechtlicher Beratung – festzulegen, um im Falle von Datenschutzverstößen nachweisen zu können, dass der externe Dienstleister über die ihm vom Verantwortlichen erteilten Weisungen hinausgegangen ist. Außerdem muss der Verantwortliche nachweisen können, dass er auch solche Weisungen für technische und organisatorische Maßnahmen beim Auftragsverarbeiter erteilt hat, die dem besonders sensiblen Charakter von Gesundheitsdaten gerecht werden.
Datenschutzfolgenabschätzung und Verzeichnis von Verarbeitungstätigkeiten (VVT)
Grundsätzlich ist nach Artikel 35 DSGVO die Durchführung einer Datenschutzfolgenabschätzung notwendig, wenn besonders hohe Risiken für Rechte und Freiheiten natürlicher Personen bei der Datenverarbeitung bestehen. Die EU-Kommission hat diese Vorgaben für bestimmte Verarbeitungsvorgänge konkretisiert und dabei u.a. für Daten, die durch Fitnesstracker und entsprechende Apps verarbeitet werden, die Durchführung einer Datenschutzfolgenabschätzung vorgesehen. Sollten Unternehmen bereits das von der DSGVO geforderte Verzeichnis von Verarbeitungstätigkeiten (VVT) geführt haben, können sie auf dessen Grundlage die Datenschutzfolgenabschätzung erleichtert durchführen. Das VVT ermöglicht eine übersichtliche Auflistung aller im Unternehmen verarbeiteten personenbezogenen Daten und damit auch eine Differenzierung zwischen Gesundheitsdaten und sonstigen Daten. Auf dieser Basis kann für jede Art von verarbeiteten Daten eine Risikobewertung durchgeführt werden, durch die (auch durch Kooperation mit den Aufsichtsbehörden) Risiken für besonders sensible Daten gezielt behoben werden können. Sollte es dennoch einmal zu Verstößen gegen die DSGVO kommen, kann ein entsprechend nachgewiesenes Bemühen um den Datenschutz die Bußgeldhöhe senken.
Schulungen – Der richtige Umgang mit der DSGVO, speziell mit Betroffenenrechten
Ein weiteres zentrales Mittel zum Schutz von personenbezogenen Daten sind Schulungen der Mitarbeiter im Unternehmen zum richtigen Umgang mit personenbezogenen Daten gemäß der DSGVO. Hierbei sollte ein besonderes Augenmerk auf den Betroffenenrechten liegen, da seit Geltung der DSGVO im Mai 2018 viele der verhängten Bußgelder wegen fehlerhaften Umgangs mit Betroffenenanfragen verhängt wurden. So sollten Mitarbeiter darin geschult werden, Betroffenenanfragen als solche zu erkennen. Außerdem sollten App-Betreiber Konzepte für den Umgang mit Betroffenenanfragen bzw. der Geltendmachung von Betroffenenrechten entwickeln. Dazu gehören neben Löschkonzepten (u.a. Fristenkatalog, Weiterleitung der Löschungsanfrage an Auftragsverarbeiter) auch Strategien und technische Maßnahmen für Anfragen zur Datenübertragbarkeit. Das Recht auf Datenübertragbarkeit in Artikel 20 DSGVO wurde durch die DSGVO erstmalig eingeführt. Es scheint durchaus denkbar, dass Nutzer ihre bisherigen Leistungsdaten von einem Anbieter auf einen anderen übertragen wollen (etwa, weil ein neues Gerät eines anderen Anbieters erworben wurde). Für derartige Fälle müssen Unternehmen nicht nur technische Lösungen (Artikel 20 verlangt die Übertragung in einem gängigen, maschinenlesbaren Format), sondern auch Sicherheitskonzepte entwickeln, die dem besonders sensiblen Charakter von Gesundheitsdaten gerecht werden.
Außerdem müssen für den Fall von Datenpannen konkrete Konzepte für die Umsetzung der Meldepflichten der DSGVO entwickelt werden, sodass Mitarbeiter des Unternehmens zu jeder Zeit wissen, wie sie sich im Falle einer erkannten Datenpanne zu verhalten haben.
Ein falscher Umgang mit Meldepflichten und Betroffenenrechten beim Betroffensein von Gesundheitsdaten dürfte sich mehr als nur kurzfristig negativ auf das Unternehmensimage auswirken.
Das könnte Sie auch interessieren:
- Einwilligungen in die Verarbeitung von Gesundheitsdaten: rechtssicher und verständlich gestalten
- Datenschutzkonformes Outsourcing im Gesundheitswesen
Fazit und Handlungsempfehlung
Neben dem zu vor Gesagtem müssen sich Betreiber von Health-Apps natürlich auch darum bemühen, Maßnahmen zur Datensicherheit zu treffen, um sich gegen Hackerangriffe zu schützen. Eine Anonymisierung von Daten ermöglicht den wohl größten Schutz gegen unbefugte Kenntnisnahme (und schließt zudem die Anwendbarkeit der DSGVO aus). Da diese Anonymisierung aber bei Gesundheitsdaten nur schwer umzusetzen ist – Anonymisierung setzt voraus, dass eine Wiedererkennung der Identität nicht mehr möglich ist – kommt zumindest eine Pseudonymisierung von Daten in Betracht.
Neben diesen Maßnahmen bleibt Unternehmen aber durch Schulungen, Datenschutz-Folgenabschätzungen und die genaue Dokumentation von Verarbeitungsvorgängen viel Spielraum, um auch außerhalb von technischen Sicherheitsmaßnahmen den Schutz von besonders sensiblen Gesundheitsdaten zu gewährleisten und sich damit gerade im internationalen Vergleich ein positives Image und Wettbewerbsvorteile zu sichern.