Die Digitalisierung durchzieht mittlerweile sämtliche Lebensbereiche. Auch und vor allem im Gesundheitswesen ist das Bestreben, die digitale Transformation voranzutreiben, immens – von staatlicher wie privater Seite gleichermaßen. So ist der Markt bereits heute gut gefüllt mit den unterschiedlichsten Fitness-Trackern und Gesundheits-Apps. Selbst Krankenkassen fördern mit Prämien die Nutzung eigener Apps und den Kauf von Fitnessarmbändern. Mit Blick auf den zunehmenden Trend der Selbstvermessung ist diese Entwicklung jedoch keine Überraschung. Die Digitalisierung des Gesundheitssektors bietet vor allem das Potential, die Qualität der medizinischen Versorgung bedeutend zu verbessern: Zu den Verbesserungen zählen insbesondere zuverlässigere Diagnosen durch den Einsatz von Künstlicher Intelligenz (KI), großflächige Erschließung ländlicher Gebiete durch neue Kommunikationskanäle und die drastische Senkung staatlicher Ausgaben durch eine optimierte Gesundheitsvorsorge.
Die Kernfrage: Was ist bei der Übermittlung von Gesundheitsdaten zu beachten?
Fitness-Tracker entfalten ihr volles Potential nur in Verbindung mit einer entsprechenden App, die die erhobenen Daten ansprechend und verständlich visualisiert. Nutzer müssen sich in der Regel zunächst registrieren und ein Profil erstellen, um die App vollumfänglich nutzen zu können. Dieses Profil und die erhobenen personenbezogenen Daten werden zumeist an einen zentralen Server übermittelt, dort gespeichert und fortwährend synchronisiert. Die Anforderungen, die an eine solche Datenübermittlung gestellt werden, verschärfen sich aufgrund der Tatsache, dass es sich bei den zu verarbeitenden Daten regelmäßig um Gesundheitsdaten handelt. Hinzu kommt, dass auch Hacker aufmerksam die Entwicklung des Selbstoptimierungsmarktes verfolgen, denn Wearables sind inzwischen zu einem beliebten Angriffsziel geworden. Im Fokus stehen hierbei Zahlungs-, Nutzer- und auch Gesundheitsdaten. Insofern müssen Verantwortliche aus technischer Sicht in erhöhtem Maße für die Sicherheit der Daten sorgen. Was ist im Hinblick auf eine solche Übermittlung also zu beachten?
Rechtliche Herausforderungen – verschärfte Anforderungen im Gesundheitssektor
1. Auch die Kombination einzelner Daten führt zum Personenbezug
Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ist bei der Verarbeitung von Daten, die über ein Fitnessarmband bzw. eine entsprechende App erhoben werden, aufgrund des direkten Personenbezugs unzweifelhaft eröffnet (Nutzerprofil, IP-Adresse etc.). Hinzu kommt, dass regelmäßig besonders schützenswerte Gesundheitsdaten betroffen sind. So ermöglicht die Kombination von Fitnessarmband und App sogar die Aufzeichnung von EKGs. Auch zusätzliche Daten können vom Nutzer eingegeben werden, zum Beispiel, um optimierte Trainingsempfehlungen zu erhalten. Zu bedenken ist hierbei jedoch, dass auch die Kombination einzelner Daten Rückschlüsse auf den Gesundheitszustand eines Betroffenen zulassen kann. So lässt sich aus den zusätzlich angegebenen Daten wie dem Gewicht, dem Alter und der Größe der sog. „Body Mass Index“ (kurz: BMI) ableiten. Oftmals ist den Unternehmen daher der konkrete Umfang an verarbeiteten Gesundheitsdaten gar nicht bewusst. Eine vollständige Erfassung der verarbeiteten Daten ist jedoch notwendig, um den umfassenden Transparenz- und Informationspflichten nach Artikel 13 DSGVO nachkommen zu können.
2. Datenschutz-Folgenabschätzung für sich nutzen
Aus der gemeinsamen Positivliste der Datenschutzaufsichtsbehörden ergibt sich: Werden Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind (Pulsmesser, Beschleunigungssensoren etc.), zentral gespeichert, so ist regelmäßig eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchzuführen. Diese Pflicht zur Durchführung einer DSFA sollten Unternehmen nicht als lästige Pflicht, sondern als Chance betrachten. Mit Hilfe von DSFAs können Unternehmen besser abschätzen, welche Daten sie in welchem Umfang verarbeiten und worauf sie bei der Übermittlung dieser Daten achten müssen, um die Vorgaben der Datenschutz-Grundverordnung einhalten zu können. Außerdem können auf diese Weise Herausforderungen des Datenschutzes und der Datensicherheit bereits in der Entwicklungsphase identifiziert werden, um so nachgelagerte juristische Komplikationen und Bußgelder zu vermeiden.
3. Spezielle Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten kennen
Die „normalen“ Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind in Art. 6 Abs. 1 DSGVO aufgelistet. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten, worunter auch Gesundheitsdaten fallen, tritt ergänzend Art. 9 Abs. 2 DSGVO hinzu. Daher sollte darauf geachtet werden, dass die betreffende Verarbeitung nach beiden Regelungen zulässig ist. Art. 9 Abs. 2 DSGVO zieht dafür neben der Einwilligung sehr enge Grenzen. Erlaubt ist die Verarbeitung von Gesundheitsdaten beispielsweise, wenn sie zum Schutz lebenswichtiger Interessen von Personen oder für Zwecke der Gesundheitsvorsorge erforderlich ist. Wenn Gesundheitsdaten über einen Fitnesstracker bzw. eine entsprechende App erhoben und weiterverarbeitet werden, ist daher regelmäßig die Einwilligung der betroffenen Person einzuholen.
Während die Einwilligung nach Art. 6 Abs. 1 DSGVO auch konkludent, das heißt durch schlüssiges Verhalten, erfolgen kann, muss sie für die Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 2 DSGVO ausdrücklich erteilt werden. Zudem sollten Verantwortliche aufgrund der Sensibilität von Gesundheitsdaten und der aus diesem Grund gebotenen engen Auslegung der Ausnahmetatbestände bei der Formulierung von Einwilligungserklärungen besonders gründlich sein und umfassend über die beabsichtigte Verarbeitung informieren. Insbesondere die Tatsache, dass die Daten nicht auf dem Endgerät verbleiben, sondern an einen zentralen Server des Unternehmens übermittelt werden, sollte hervorgehoben und verständlich dargestellt werden.
Beabsichtigen Unternehmen zudem die personenbezogenen Daten zu einem Zweck weiterzuverarbeiten, der für die Erbringung der eigentlichen Leistung nicht erforderlich ist, so ist das sog. Kopplungsverbot zu berücksichtigen. Sollen die Daten zum Beispiel zu Marketingzwecken weiterverarbeitet werden, darf eine entsprechende Zustimmung nicht mit der zentralen Einwilligungserklärung kombiniert, sondern muss gesondert eingeholt werden. Gleiches gilt für den im Bereich von Gesundheits-Apps häufig vorkommenden Fall der Weitergabe an Dritte.
Checkliste Einwilligung
- Freiwillig und ausdrücklich
- Für bestimmten Fall (Generaleinwilligungen sind unzulässig)
- In informierter Weise unmissverständlich abgegeben
- Verständliche, leicht zugängliche Form
- Mit Hinweis auf die jederzeitige Widerrufbarkeit
- Klare und einfache Sprache
4. Verantwortungsbewusste Auftragsverarbeiter auswählen
Oftmals sind Server-Betreiber und Anbieter von Fitnesstrackern bzw. den entsprechenden Apps nicht identisch. Vielmehr wird der Server-Betrieb an einen spezialisierten Dienstleister ausgelagert (sog. Outsourcing), dem somit die Einsichtnahme in die gespeicherten personenbezogenen Daten möglich ist. Ein solcher Dienstleister ist regelmäßig als Auftragsverarbeiter zu qualifizieren, sodass der Abschluss eines Auftragsverarbeitungsvertrages (kurz: AVV) notwendig ist. Bei der Verarbeitung von Gesundheitsdaten durch Dienstleister haben Verantwortliche gemäß Artikel 28 Absatz 1 und Absatz 3 Buchstabe c DSGVO vertraglich dafür Sorge zu tragen, dass auch der Dienstleister adäquate, dem Stand der Technik entsprechende Vorkehrungen zum Schutz dieser Daten (technische und organisatorische Maßnahmen, kurz: TOMs) trifft, um meldepflichtige Datenpannen zu vermeiden. Dies gilt vor dem Hintergrund hochsensibler Gesundheitsdaten in besonderem Maße.
Gern wird aufgrund bestehender oder vorteilhafter Infrastrukturen auf Anbieter aus dem Ausland wie etwa Amazon Web Services zurückgegriffen. Wenn es sich um Staaten außerhalb der EU handelt, müssen sich Verantwortliche unbedingt folgende Fragen stellen: Wurde dem jeweiligen Land ein angemessenes Datenschutzniveau per Beschluss der Kommission attestiert? Ist der Anbieter nach dem EU-U.S. Privacy Shield zertifiziert? Sofern dies nicht der Fall ist, müssen Verantwortliche und ihre Auftragsverarbeiter geeignete Garantien nach Artikel 46 Absatz 1 und 2 DSGVO wie etwa Standardvertragsklauseln vorsehen.
Datensicherheit und Wahrung von Betroffenenrechten als Wettbewerbsvorteil
Mit einem hohen Datenschutzniveau kann nicht zuletzt auch auf dem Markt geworben werden. Denn ganz besonders bei den persönlichen Gesundheitsdaten kann es für Nutzer bei der Auswahl der richtigen App entscheidend sein, wie transparent die Informationen über Datenverarbeitungen sind und wie viele eigene Einstellungsmöglichkeiten sie in diesem Bereich haben. Die Kundenzufriedenheit ist oft höher, wenn die Laufdaten oder die Herzfrequenz ohne „schlechtes Gewissen“ preisgegeben werden. Der Schaden, der durch die Offenlegung der teils sehr persönlichen Informationen an unbefugte Dritte entstünde, erscheint vielen Verbrauchern entsprechend hoch.
Daher sollten auch die Betroffenenrechte im Auge behalten werden. Neben den Erfordernissen an eine transparente Information ist vor allem auch das Recht auf Löschung wichtig. Viele Unternehmen haben eine nur unzureichende technische wie personelle Infrastruktur, um Löschanfragen gemäß der DSGVO schnell aufzunehmen, zu prüfen und umzusetzen. Nutzer dürfen jedoch jederzeit Löschanfragen stellen, woraufhin das Bestehen einer Löschpflicht umgehend geprüft werden muss. Das Recht auf Löschung umfasst übrigens auch Daten, die auf den externen Servern dritter Unternehmen liegen, etwa Cloud-Anbieter. Hier sollte im Vorfeld darauf geachtet werden, dass mit diesen datenschutzrechtliche Verträge geschlossen werden, die die Umsetzung von Löschpflichten garantieren.
Der Sicherheit von Gesundheitsdaten kommt eine tragende Rolle zu
Der Datensicherheit kommt im Zusammenhang mit der Verarbeitung von Gesundheitsdaten eine besondere Bedeutung zu. Dem gesteigerten Interesse von Hackern an Wearables und Health-Apps werden vonseiten der Anbieter bedauerlicherweise in den seltensten Fällen entsprechende Schutzvorkehrungen entgegengestellt. Besonders kritisch zu betrachten ist dieser Missstand, wenn es sich um eine App handelt, die von Krankenhäusern etwa zum Zwecke des Monitorings ihrer Patienten genutzt wird. In diesem Kontext ist die ständige Verfügbarkeit, Vertraulichkeit und Integrität von Gesundheitsdaten überragend wichtig: Die Kompromittierung bloß einzelner Verbindungen und die dadurch ermöglichte Manipulation einzelner Messwerte kann bereits zu gesundheitsschädigenden oder sogar lebensbedrohlichen Fehldiagnosen führen.
Verantwortliche sollten in diesem Zusammenhang zudem nicht bloß die Verbindung zwischen Endgerät und Server vor sog. „Man-in-the-middle“-Angriffen absichern, sondern den Blick vor allem auch auf die Übertragung zwischen Wearable und App richten, da diese ebenfalls ein beliebtes Angriffsziel von Hackern ist. Eine Verschlüsselung von Verbindungen (Transport Layer Security, kurz: TLS) sollte daher standardmäßig auch von der Verschlüsselung der übertragenen Daten (Ende-zu-Ende-Verschlüsselung) flankiert werden.
Vor allem aus technischer Sicht besteht also die Möglichkeit, sich von Mitbewerbern abheben zu können.
Zuverlässige Anonymisierung von Gesundheitsdaten gestaltet sich schwierig
Wann immer möglich, sollten personenbezogene Daten anonymisiert werden. Auf diese Weise wird der Anwendungsbereich der DSGVO verlassen, sodass deutlich weniger Verwaltungsaufwand betrieben werden muss, um die betroffenen Daten nutzen zu können.
Mit Blick auf Gesundheitsdaten erscheint eine erfolgreiche Anonymisierung im Sinne der DSGVO (Re-Identifikation unmöglich) jedoch zweifelhaft. Eine Studie aus dem Jahr 2013 hat zum Beispiel gezeigt, dass 4 bis 5 Blutzucker- oder Cholesterinwerte von rund 60 000 Patienten ausreichen, um eine eindeutige Identifizierung betroffener Personen zu ermöglichen.
Insofern sollte zumindest die Pseudonymisierung personenbezogener Daten forciert werden. Nach einer Pseudonymisierung wird eine Re-Identifikation der betroffenen Person nicht unmöglich, aber aufgrund des Ersetzens des Namens oder anderer Merkmale wesentlich erschwert.
Eine Frage der Ethik: Die Zusammenarbeit mit Krankenkassen
Ob man als Anbieter von Health-Apps mit Krankenkassen zusammenarbeitet oder eine eigene App einer Krankenkasse entwickelt hat – in beiden Fällen erhalten Krankenkassen Daten, zu denen sie zuvor keinen Zugang hatten. Auf diese Weise können Präventionsmaßnahmen besser erforscht werden. Andererseits können aber auch individuelle Gesundheitsprofile erstellt und die Versicherungsleistungen bzw. die Kosten davon abhängig gemacht werden. In Deutschland ist das beispielsweise über umfangreiche Bonusprogramme möglich. Ob das als Zusatzleistung für besonders engagierte Versicherungsnehmer oder als Diskriminierung aller anderen zu bewerten ist, ist eine ethische Frage und kann sicherlich unterschiedlich bewertet werden. Hier dürfte vor allem die jeweilige Ausgestaltung des Bonusprogrammes entscheidend sein. Und schließlich gilt auch hier: Je transparenter das Programm und die App sind, desto vertretbarer dürfte auch das Ergebnis sein.
Handlungsempfehlung und Fazit
Die datenschutzrechtlichen und technischen Herausforderungen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten sind beachtlich. Um auch langfristig auf dem Markt bestehen zu können, sollten Unternehmen bei Fitnesstrackern und sonstigen Health-Apps die entsprechenden Vorgaben umsetzen.
Vor allem eine transparente Gestaltung, die der Nutzer gut überblicken kann, und die Information, welche Daten zu welchen Zwecken erhoben werden, ist dazu erforderlich. Dazu gehört nicht zuletzt auch ein gut zu erreichender Kundenservice. Empfehlenswert ist zudem, das Prinzip der Datensparsamkeit zu beachten und nur solche Daten zu erfassen, die für die Nutzung der App notwendig sind, anstatt pauschal Daten abzugreifen.
Damit Datenpannen und lebensbedrohliche Vorfälle vermieden werden können, sollten Verantwortliche sich vor allem um besonders sichere Verbindungen zwischen Tracker, App bzw. Smartphone und Server kümmern. Auf die Weitergabe an Dritte sollte zudem nach Möglichkeit verzichtet werden. Im besten Fall betreiben Unternehmen die Server selbst. Zwecks Finanzierung bietet es sich an, auf Werbung zu verzichten und alternativ bezahlpflichtige Apps zu entwickeln, die mit besonders hohem Datensicherheitsniveau überzeugen.
Lesen Sie auch folgende Beiträge:
Datenschutz im Krankenhaus: Ein Überblick
Datenschutzvorfälle mit Gesundheitsdaten: Maßnahmen für Verantwortliche
Digitalisierung im Gesundheitswesen und Datenschutz – Zwei, die sich gut verstehen?
Die Datenschutz-Folgenabschätzung im Health-Bereich: (Fast) unverzichtbar?