03. Mai 2019

Übermittlung von Gesundheitsdaten: Fallstricke bei Health-Apps & Fitnesstrackern

Die Digitalisierung durchzieht mittlerweile sämtliche Lebensbereiche. Auch und vor allem im Gesundheitswesen ist das Bestreben, die digitale Transformation voranzutreiben, immens – von staatlicher wie privater Seite gleichermaßen. So ist der Markt bereits heute gut gefüllt mit den unterschiedlichsten Fitness-Trackern und Gesundheits-Apps. Selbst Krankenkassen fördern mit Prämien die Nutzung eigener Apps und den Kauf von Fitnessarmbändern. Mit Blick auf den zunehmenden Trend der Selbstvermessung ist diese Entwicklung jedoch keine Überraschung. Die Digitalisierung des Gesundheitssektors bietet vor allem das Potential, die Qualität der medizinischen Versorgung bedeutend zu verbessern: Zuverlässigere Diagnosen durch den Einsatz von Künstlicher Intelligenz (KI), großflächige Erschließung ländlicher Gebiete durch neue Kommunikationskanäle, drastische Senkung staatlicher Ausgaben durch eine optimierte Gesundheitsvorsorge.

Die Kernfrage: Was ist bei der Übermittlung von Gesundheitsdaten zu beachten?

Fitness-Tracker entfalten ihr volles Potential nur in Verbindung mit einer entsprechenden App, die die erhobenen Daten ansprechend und verständlich visualisiert. Nutzer müssen sich in der Regel zunächst registrieren und ein Profil erstellen, um die App vollumfänglich nutzen zu können. Dieses Profil und die erhobenen personenbezogenen Daten werden zumeist an einen zentralen Server übermittelt, gespeichert und fortwährend synchronisiert. Die Anforderungen, die an eine solche Datenübermittlung gestellt werden, verschärfen sich aufgrund der Tatsache, dass es sich bei den zu verarbeitenden Daten regelmäßig um Gesundheitsdaten handelt. Hinzu kommt, dass auch Hacker aufmerksam die Entwicklung des Selbstoptimierungsmarktes verfolgen, denn Wearables sind inzwischen zu einem beliebten Angriffsziel geworden. Im Fokus stehen hierbei Zahlungs-, Nutzer- und auch Gesundheitsdaten. Insofern müssen Verantwortliche aus technischer Sicht in erhöhtem Maße für die Sicherheit der Daten sorgen. Was ist im Hinblick auf eine solche Übermittlung also zu beachten?

Rechtliche Herausforderungen – verschärfte Anforderungen im Gesundheitssektor

1. Auch die Kombination einzelner Daten führt zum Personenbezug

Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ist bei der Verarbeitung von Daten, die über ein Fitnessarmband bzw. eine App erhoben werden, aufgrund des direkten Personenbezugs unzweifelhaft eröffnet (Nutzerprofil, IP-Adresse etc.). Hinzu kommt, dass regelmäßig besonders schützenswerte Gesundheitsdaten betroffen sind. So ermöglicht die Kombination von Fitnessarmband und App sogar die Aufzeichnung von EKGs. Auch zusätzliche Daten können vom Nutzer eingegeben werden, um zum Beispiel optimierte Trainingsempfehlungen zu erhalten. Zu bedenken ist hierbei jedoch, dass auch die Kombination einzelner Daten Rückschlüsse auf den Gesundheitszustand eines Betroffenen zulassen kann. So lässt sich aus den zusätzlich angegebenen Daten wie dem Gewicht, dem Alter und der Größe der sog. „Body MassIndex“ (kurz: BMI) ableiten. Unternehmen ist daher der konkrete Umfang an verarbeiteten Gesundheitsdaten oftmals gar nicht bewusst. Eine vollständige Erfassung der verarbeiteten Daten ist jedoch notwendig, um den umfassenden Transparenz- und Informationspflichten nach Artikel 13 DSGVO nachkommen zu können.

2. Datenschutz-Folgenabschätzung für sich nutzen

Aus der gemeinsamen Positivliste der Datenschutzaufsichtsbehörden ergibt sich: Werden Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind (Pulsmesser, Beschleunigungssensoren etc.), zentral gespeichert, so ist regelmäßig eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchzuführen. Diese Pflicht zur Durchführung einer DSFA sollten Unternehmen nicht als lästige Pflicht, sondern als Chance betrachten. Mit Hilfe von DSFAs können Unternehmen besser abschätzen, welche Daten sie in welchem Umfang verarbeiten und worauf sie bei der Übermittlung dieser Daten achten müssen, um die Vorgaben der Datenschutz-Grundverordnung einhalten zu können. Außerdem können auf diese Weise Herausforderungen des Datenschutzes und der Datensicherheit bereits in der Entwicklungsphase identifiziert werden, um so nachgelagerte juristische Komplikationen und Bußgelder zu vermeiden.

3. Spezielle Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten kennen

Werden Gesundheitsdaten verarbeitet (darunter fällt auch die Übermittlung), so stehen Verantwortlichen nicht die regulären Rechtsgrundlagen des Artikel 6 Absatz 1 DSGVO zur Verfügung. Die Verarbeitung von Gesundheitsdaten bleibt demnach trotz etwaigen Vorliegens einer der Rechtsgrundlagen des genannten Artikels unzulässig. Die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten richtet sich ausschließlich nach Artikel 9 Absatz 2 DSGVO. Sollen Gesundheitsdaten also über einen Fitnesstracker bzw. eine entsprechende App erhoben und weiterverarbeitet werden, so ist regelmäßig die Einwilligung der betroffenen Person einzuholen.

Grundsätzlich werden an die Erteilung einer Einwilligung nach Artikel 9 Absatz 2 Buchstabe a DSGVO dieselben Anforderungen gestellt, wie auch an die Erteilung einer Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO. Dennoch sollten Verantwortliche aufgrund der Sensibilität von Gesundheitsdaten und der aus diesem Grund gebotenen engen Auslegung der Ausnahmetatbestände bei der Formulierung von Einwilligungserklärungen besonders gründlich sein und umfassend über die beabsichtigte Verarbeitung informieren. Insbesondere die Tatsache, dass die Daten nicht auf dem Endgerät verbleiben, sondern an einen zentralen Server des Unternehmens übermittelt werden, sollte hervorgehoben und verständlich dargestellt werden.

Beabsichtigen Unternehmen zudem die personenbezogenen Daten zu einem Zweck weiterzuverarbeiten, der für die Erbringung der eigentlichen Leistung nicht erforderlich ist, so ist das sog. Kopplungsverbot zu berücksichtigen. Sollen die Daten zum Beispiel zu Marketingzwecken weiterverarbeitet werden, darf eine entsprechende Zustimmung nicht mit der zentralen Einwilligungserklärung kombiniert, sondern muss gesondert eingeholt werden. Gleiches gilt für den im Bereich von Gesundheits-Apps häufig vorkommenden Fall der Weitergabe an Dritte.

Checkliste Einwilligung

  • freiwillig
  • für bestimmten Fall (Generaleinwilligungen sind unzulässig)
  • in informierter Weise unmissverständlich abgegeben
  • verständliche, leicht zugängliche Form
  • klare und einfache Sprache

4. Verantwortungsbewusste Auftragsverarbeiter auswählen

Oftmals sind Server-Betreiber und Anbieter von Apps sowie Fitnesstrackern nicht identisch. Vielmehr wird der Server-Betrieb an einen spezialisierten Dienstleister ( sog. Outsourcing ) ausgelagert, dem somit die Einsichtnahme in die gespeicherten, personenbezogenen Daten möglich ist. Ein solcher Dienstleister ist regelmäßig als Auftragsverarbeiter zu qualifizieren, sodass der Abschluss eines Auftragsverarbeitungsvertrages notwendig ist. Bei der Verarbeitung von Gesundheitsdaten durch Dienstleister haben Verantwortliche gemäß Artikel 28 Absatz 1 und Absatz 3 Buchstabe c DSGVO vertraglich dafür Sorge zu tragen, dass auch der Dienstleister adäquate, dem Stand der Technik entsprechende Vorkehrungen zum Schutz dieser Daten (Technische und Organisatorische Maßnahmen) trifft, um meldepflichtige Datenpannen zu vermeiden. Dies gilt vor dem Hintergrund hochsensibler Gesundheitsdaten in besonderem Maße.

Gern wird aufgrund bestehender oder vorteilhafter Infrastrukturen auf Anbieter aus dem Ausland wie etwa Amazon Web Services zurückgegriffen. Hierbei müssen sich Verantwortliche unbedingt folgende Frage stellen: Wurde dem jeweiligen Land ein angemessenes Datenschutzniveau per Beschluss der Kommission attestiert? Ist der Anbieter nach dem EU-U.S. Privacy Shield zertifiziert? Sofern dies nicht der Fall ist, müssen Verantwortliche und ihre Auftragsverarbeiter geeignete Garantien nach Artikel 46 Absatz 1 DSGVO wie etwa Standardvertragsklauseln vorsehen.

Der Sicherheit von Gesundheitsdaten kommt eine tragende Rolle zu

Der Datensicherheit kommt im Zusammenhang mit der Verarbeitung von Gesundheitsdaten eine besondere Bedeutung zu. Dem gesteigerten Interesse von Hackern an Wearables und Health-Apps werden vonseiten der Anbieter bedauerlicherweise in den seltensten Fällen entsprechende Schutzvorkehrungen entgegengestellt. Besonders kritisch zu betrachten ist dieser Missstand, wenn es sich um eine App handelt, die von Krankenhäusern etwa zum Zwecke des Monitorings ihrer Patienten genutzt wird. In diesem Kontext ist die ständige Verfügbarkeit, Vertraulichkeit und Integrität von Gesundheitsdaten überragend wichtig: Die Kompromittierung bloß einzelner Verbindungen und die dadurch ermöglichte Manipulation einzelner Messwerte kann bereits zu gesundheitsschädigenden oder sogar lebensbedrohlichen Fehldiagnosen führen.

Verantwortliche sollten in diesem Zusammenhang zudem nicht bloß die Verbindung zwischen Endgerät und Server vor sog. „Man-in-the-middle“-Angriffen absichern, sondern den Blick vor allem auch auf die Übertragung zwischen Wearable und App richten, da diese ebenfalls ein beliebtes Angriffsziel von Hackern ist. Eine Verschlüsselung von Verbindungen (Secure Sockets Layer, kurz: SSL) sollte daher von der Verschlüsselung der übertragenen Daten (Stichwort „Hashing“) standardmäßig flankiert werden.

Vor allem aus technischer Sicht besteht also die Möglichkeit, sich von Mitbewerbern abheben zu können.

Zuverlässige Anonymisierung von Gesundheitsdaten gestaltet sich schwierig

Wann immer möglich, sollten personenbezogene Daten anonymisiert werden. Auf diese Weise wird der Anwendungsbereich der DSGVO verlassen, so dass deutlich weniger Verwaltungsaufwand betrieben werden muss, um die betroffenen Daten nutzen zu können.

Mit Blick auf Gesundheitsdaten erscheint eine erfolgreiche Anonymisierung im Sinne der DSGVO (Re-Identifikation unmöglich) jedoch zweifelhaft. Eine Studie aus dem Jahr 2013 hat zum Beispiel gezeigt, dass 4 bis 5 Blutzucker- oder Cholesterinwerte von rund 60 000 Patienten ausreichen, um eine eindeutige Identifizierung betroffener Personen zu ermöglichen.

Insofern sollte zumindest die Pseudonymisierung personenbezogener Daten forciert werden.

Handlungsempfehlung und Fazit

Die datenschutzrechtlichen und technischen Herausforderungen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten sind beachtlich. Unternehmen müssen sich aus diesem Grund in der Pflicht sehen, um auch langfristig auf dem Markt der Fitnesstracker und Health-Apps bestehen zu können.

Damit Datenpannen und lebensbedrohliche Vorfälle vermieden werden können, sollten Verantwortliche sich vor allem um besonders sichere Verbindungen zwischen Tracker, App bzw. Smartphone und Server kümmern. Auf die Weitergabe an Dritte sollte zudem nach Möglichkeit verzichtet werden. Stattdessen betreiben Unternehmen die Server optimalerweise selbst. Zwecks Finanzierung bietet es sich an, auf Werbung zu verzichten und alternativ bezahlpflichtige Apps zu entwickeln, die mit besonders hohem Datensicherheitsniveau überzeugen.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!