In den letzten Jahren hat der technologische Fortschritt rasanten Einzug in nahezu alle Bereiche der Industrie erhalten. Die Verbindung von IT und Medizinprodukten hat sich für viele Unternehmen zu einem Milliardengeschäft entwickelt.
Mögliche Anwendungsgebiete dieser Verknüpfungen sind etwa Kontaktlinsen, die Diabetikern die Messung ihres Blutzuckerspiegels ohne Nadelstiche ermöglichen und die Ergebnisse auf dem Smartphone, einem eigenen Messgerät oder sogar in sozialen Medien anzeigen. Sowohl Apple als auch Google bieten Apps an, mittels derer die sog. „Basics“ der Gesundheitsdaten wie Herzrhythmus, Puls und Hauttemperatur erfasst und die ermittelten Daten auf dem Smartphone bzw. auf den Servern von Ärzten und Krankenhäusern gespeichert werden können.
Besonders große Aufmerksamkeit erregte eine Untersuchung von Gesundheits-, Fitness und Lifestyle-Apps, die von der Bundesdatenschutzbeauftragten und den Datenschutzbeauftragten der Länder im Jahr 2016 durchgeführt wurde. Dabei wurde insbesondere kritisiert, dass Hersteller, Betreiber und Verkäufer entsprechender Apps häufig die Informationsrechte der Betroffenen missachteten oder verletzten. So würden entsprechende Anfragen häufig mit pauschalen Verweisen auf die Datenschutzerklärung oder wegen angeblicher Nicht-Zuständigkeit abgewiesen. Problematisch bei der Durchsetzung der datenschutzrechtlichen Anforderungen war, dass viele der betroffenen Unternehmen nur mit Serviceniederlassungen und nicht mit Geschäftssitzen in Deutschland vertreten waren.
Zudem kam die Untersuchung zu dem Ergebnis, dass viele der untersuchten Datenschutzerklärungen unverständlich seien. Sie seien oft zu lang, zu fachspezifisch und zum Teil nicht einmal in deutscher Sprache formuliert gewesen. Zudem erfolge häufig ein Verweis auf die generelle Datenschutzerklärung des Unternehmens, ohne dass der besonders schützenswerte Charakter von Gesundheitsdaten und deren Verarbeitung im Einzelfall berücksichtigt würde.
Zudem würden die erhobenen Daten häufig an Dritte weitergegeben, ohne dass der Nutzer erfahre, um wen es sich dabei konkret handele, wenn etwa auf die Weitergabe der Daten an „verbundene Unternehmen, zu Forschungs-und Marketingzwecken“ verwiesen werde. Dies sei insbesondere vor dem Hintergrund besorgniserregend, dass durch Gesundheits- und Fitness-Apps oft eine Vielzahl von Daten erhoben werde, die ein präzises Bild vom Tagesablauf des jeweiligen Nutzers gebe und eine Profilbildung ermögliche.
Veränderungen durch die DSGVO
Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung („DSGVO“) in den EU-Mitgliedstaaten. Mit ihr unterliegen viele datenschutzrechtliche Aspekte einer inhaltlich verschärften Regelung. Insbesondere die Transparenz- und Informationspflichten gegenüber dem Betroffenen unterliegen strengen Anforderungen. Unter Geltung der DSGVO drohen damit Herstellern und Betreibern von Gesundheits- und Fitness-Apps im Falle ähnlicher Vernachlässigungen, wie sie die Datenschutzbeauftragten des Bundes und der Länder feststellten, hohe Bußgelder.
Im Einzelnen enthält die DSGVO folgende Besonderheiten:
Allgemein sind die Informationspflichten durch die DSGVO gegenüber der betroffenen Person im Vergleich zum bisher geltenden Bundesdatenschutzgesetz (BDSG) deutlich gestiegen. So regelt Artikel 13 DSGVO, dass der betroffenen Person u.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie das Bestehen von Auskunfts- und Widerspruchsrechten mitgeteilt werden. Gleiches gilt für die Rechtsgrundlage der Datenverarbeitung. Vor allem die Angabe des Zwecks der Datenverarbeitung sollte die Hersteller und Betreiber von Gesundheits- und Fitness-Apps aufhorchen lassen. Der bloße Verweis auf „Forschungs- und Marketingzwecke“ dürfte dann nicht mehr genügen, vielmehr muss im Einzelnen genau belegt werden, ob und wofür die Daten noch benötigt werden und dem Betroffenen damit die Möglichkeit der gezielten Einwilligung gegeben werden. Daneben muss der Betroffene über alle Betroffenenrechte informiert werden, also über seine Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und auf Datenübertragbarkeit. Diese Informationen müssen sich auf die konkrete Datenverarbeitung der Gesundheits-Apps beziehen und dürfen nicht durch einen allgemeinen Verweis auf die allgemeine Datenschutzerklärung des Unternehmens ersetzt werden. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht. Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden müssen. Die möglicherweise nachträgliche Profilbildung durch Analysetools der App-Betreiber ist daher unzulässig, wenn der Betroffene nicht von Anfang an darüber informiert wird und eine Widerspruchsmöglichkeit erhält.
Dabei verlangt Artikel 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Die DSGVO lässt eine schriftliche oder auch elektronische, auf spezielle diesbezügliche Anforderung des Betroffenen sogar eine mündliche Übermittlung der Informationen genügen. Demgemäß sind unverständliche, unvollständige oder nicht in deutscher Sprache verfasste Datenschutzerklärungen, wie sie die Datenschutzbeauftragten für viele Gesundheits-Apps feststellten, ein klarer Verstoß gegen eine zentrale DSGVO-Vorschrift.
Artikel 14 DSGVO regelt entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen (z.B. einer Versicherung) selbst, sondern von Dritten (z.B. vom Betreiber der App für eine Versicherung) erhoben wurden. Die Informationspflichten des Verantwortlichen sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar. Hinzu kommt jedoch die Pflicht, die Quelle aus der die Informationen stammen, mitzuteilen. Benutzt die Versicherung hierfür mehrere Apps oder Apps mit ständig aktualisierter Version, ist auf die jeweils aktuell genutzten Varianten zu verweisen.
Enthält die DSGVO spezielle Vorschriften für Gesundheitsdaten?
Ursprünglich war in der DSGVO ein Artikel 81 „Verarbeitung personenbezogener Daten für Gesundheitszwecke“ vorgesehen, dieser entfiel jedoch nach den Beratungen zur letzten Fassung. Insgesamt ist die DSGVO bezüglich Gesundheitsdaten sehr zurückhaltend. Jedoch stellen alle Daten, die von Gesundheits- oder Fitness-Apps, Wearables, Smart Watches usw. erfasst werden, „Gesundheitsdaten“, im Sinne von Artikel 4 Nr. 15 DSGVO dar. Dazu zählt bereits die Information, dass jemand gesund ist oder Kontaktlinsen trägt.
Grundsätzlich ist die Verarbeitung von personenbezogenen Daten nach der DSGVO unzulässig. Sie kann jedoch vor allem dann zulässig werden, wenn eine Einwilligung des Betroffenen vorliegt, eine Interessenabwägung zu dem Ergebnis führt, dass die Interessen des datenerhebenden Unternehmens (z.B. wirtschaftlicher Art) die Rechte und Interessen der Betroffenen Person überwiegen oder eine gesetzliche Grundlage für die Datenverarbeitung besteht.
Für Gesundheitsdaten enthält Artikel 9 DSGVO jedoch eine besondere Regelung. Während die Verarbeitung „einfacher“ (nicht besonderer) Kategorien personenbezogener Daten wie beschrieben durch Einwilligung, Interessenabwägung oder gesetzliche Grundlage rechtmäßig sein kann, bleibt die Verarbeitung von Gesundheitsdaten gemäß Artikel 9 Abs. 1 DSGVO verboten.
Lediglich in den Fällen des Artikel 9 Abs. 2 DSGVO wird die Rechtsfolge des Verbotes, also das „Verboten Sein“ und seine Konsequenzen (z.B. Bußgeldzahlungen) ausgeschlossen. Bei der Auslegung der Ausnahmetatbestände des Artikels 9 Abs. 2 DSGVO ist das grundsätzliche Verbot der Verarbeitung von Gesundheitsdaten demnach zu berücksichtigen, sodass die Ausnahmetatbestände eng auszulegen sind.
Zu beachten ist zudem, dass durch die Spezialregelung des Artikels 9 DSGVO die Verarbeitung von Gesundheitsdaten nur unter den Voraussetzungen des Artikels 9 Abs. 2 DSGVO und nicht unter den allgemeinen Erlaubnistatbeständen der DSGVO (v.a. nicht durch eine Interessenabwägung gemäß Artikel 6 Abs. 1 lit. f DSGVO) zulässig ist.
Wann können Gesundheitsdaten verarbeitet werden?
Zunächst ermöglicht Artikel 9 Abs. 2 lit. a DSGVO die Verarbeitung personenbezogener Daten durch eine Einwilligung des Betroffenen. Wird diese durch die Datenschutzerklärung eingeholt, so ist auf die o.g. Informations- und Transparenzpflichten zu achten. Insbesondere muss eine Einwilligung auf der Grundlage vollständiger Informationen und aufgrund von Freiwilligkeit erfolgen. Dabei ist das Koppelungsverbot zu befolgen, wonach die Einwilligung grundsätzlich nicht mit der Zustimmung zur Verarbeitung von personenbezogener Daten kombiniert werden darf, die für den Vertragszweck nicht erforderlich sind (z.B. Marketingzwecke).
In Anbetracht der Beanstandungen der Datenschutzbeauftragten von Bund und Ländern ist zudem zu bemerken, dass die Weitergabe von Daten von Gesundheits-Apps an Dritte (z.B. Versicherungen nach dem Modell des „Connected Cars“ zur Ermittlung der Versicherungsprämien) ohne Einwilligung unzulässig ist.
Unternehmen ist dringend zu raten, die Gesetzgebung der EU und der Mitgliedstaaten genau zu verfolgen, da Artikel 9 Abs. 2 lit. a DSGVO den jeweiligen Gesetzgebern die Möglichkeit gibt, bestimmte Bereiche der Verarbeitung von Gesundheitsdaten „einwilligungsfest“ zu machen. Machen die Gesetzgeber von dieser Möglichkeit Gebrauch, wäre die Verarbeitung von Gesundheitsdaten, trotz einer Einwilligung unrechtmäßig.
Artikel 9 Abs. 2 DSGVO enthält eine Vielzahl von Verbotsausnahmen, die auch für Gesundheits-Apps greifen können. Ein Beispiel ist etwa die Sicherung lebenswichtiger Interessen, wenn die betroffene Person nicht mehr in der Lage ist, eine Einwilligung zu erteilen (z.B. bei Identifizierung der betroffenen Person bei einem von einer App angezeigten Herzinfarkt). Ebenso stellt die vorherige offensichtliche Veröffentlichung von Daten durch den Betroffenen (etwa das Posten einer erbrachten Gewichtsreduktion oder sportlichen Leistung, die per App (z.B. Runtastic) getrackt wurde) eine Verbotsausnahme dar. Daneben können auch die EU und die Mitgliedstaaten Regelungen erlassen, durch die die Verarbeitung von Gesundheitsdaten ermöglicht wird.
Spezialfall: Individuelle und Öffentliche Gesundheit
Neben der Einwilligung sind jedoch die wichtigsten Verbotsausnahmen des Artikels 9 Abs. 2 die Sicherung der individuellen (Artikel 9 Abs. 2 lit. h DSGVO) und öffentlichen (Artikel 9 Abs. 2 lit. i DSGVO) Gesundheit.
Die individuelle Gesundheit kann es gebieten, bestimmte Krankheiten und Symptome des Betroffenen fachgerecht zu behandeln und dabei auf die hierfür erforderlichen Daten zurückzugreifen. In einem solchen Fall eine Einwilligung zu fordern, könnte den Behandlungserfolg beeinträchtigen. Dabei ist es irrelevant ob die Daten per App erhoben wurden oder nicht.
Die öffentliche Gesundheit erfasst vor allem Fälle von sich ausbreitenden Gesundheitsgefahren, wie Epidemien, deren Ausbreitung per App getrackt wird oder die Erleichterung des Abrechnungssystems in Krankenhäusern. Fraglich ist, wie die Ausnahmemöglichkeit der „Qualitätssicherung für Medizinprodukte“ zu verstehen ist. Aktuell fehlt ein allgemeines Gütesiegel für Medizinprodukte, sodass es fragwürdig ist, an welchem Maßstab dieses Merkmal zu messen ist.
Wichtig ist, dass Artikel 9 Abs. 3 DSGVO für die Fälle des Artikel 9 Abs. 2 DSGVO verlangt, dass die Daten von fachkundigem Personal, das zur Verschwiegenheit verpflichtet ist, verarbeitet werden. Neben Berufsgeheimnisträgern wie Ärzten, kommt dabei somit auch sonstiges Personal in Betracht. Betreiber von Gesundheits-Apps sollten allerdings streng darauf achten, die Verpflichtung ihrer Mitarbeiter zur Verschwiegenheit genau zu dokumentieren.
Worauf ist bei App-Betreibern aus den USA zu achten? EU-US-Privacy-Shield
Viele App-Anbieter haben ihren Firmensitz in den USA, sodass die Daten auf US-Servern gespeichert werden. Aktuell ist unklar, wie die Rechtslage bezüglich des EU-US-Privacy-Shield sich weiterentwickeln und ob der Europäische Gerichtshof (EuGH) vor diesem Hintergrund Datenübertragungen in die USA für rechtmäßig befinden wird. Insbesondere für Gesundheitsdaten dürfte der EuGH hier eine besonders strenge Auslegung praktizieren, die Unternehmen dringend befolgen sollten. Irrelevant ist, ob die Unternehmen einen Geschäftssitz oder nur Servicezentralen in Deutschland haben. Die DSGVO findet immer dann Anwendung, wenn personenbezogene Daten innerhalb der EU oder mit Bezug zur EU erhoben werden.
Privacy by Design und Default
Die DSGVO verlangt gemäß den Grundsätzen des Privacy by Design und Privacy by Default datenschutzfreundliche, technische Voreinstellungen für Geräte und Software, die im Falle ihrer Missachtung ebenfalls bußgeldbewehrt ist. Insbesondere aufgrund des sensiblen Charakters von Gesundheitsdaten ist hier eine besondere Gründlichkeit geboten, die im Zweifel durch rechtliche Beratung abgesichert werden sollte. Insbesondere sollte die App dergestalt ausgerichtet sein, dass die Datenverarbeitung nicht über das Maß hinausgeht, in das der Nutzer eingewilligt hat.
Fazit und Handlungsempfehlung
Unternehmen sollten bei der Entwicklung und dem Anbieten von Gesundheits-Apps vor allem die Vorgaben der DSGVO zu Transparenz und dem besonderen Schutz von Gesundheitsdaten berücksichtigen. Die Bußgelder der DSGVO für Datenschutzverstöße können bis zu 4% des Jahresumsatzes oder 20 Millionen Euro betragen und sind damit deutlich höher als nach der bisherigen Rechtslage. Bei Gesundheits-Apps befinden sich einige rechtliche Entwicklungen noch im Ungewissen und sollten daher genauestens verfolgt und im Zweifel durch rechtliche Beratung verständlich gemacht werden.