Wie sicher sind unsere Gesundheitsdaten?
Veröffentlicht: 2022-10-30Kurze Einführung:
Datenschutz spielt insbesondere in der Gesundheitsbranche eine zentrale Rolle, da es sich bei Gesundheitsdaten um besonders sensible Daten handelt, die umfassend geschützt werden müssen. Mit der Entwicklung von eHealth, also gesundheitsbezogenen Dienstleistungen mit mobilen Endgeräten (mHealth), gewinnt die Verarbeitung von Gesundheitsdaten an Bedeutung. Entwickler digitaler Produkte und Apps sollten diese datenschutzrechtlichen Anforderungen frühzeitig berücksichtigen, damit Produkte später nicht zeitaufwendig und kostenintensiv angepasst werden müssen.
„Gesundheitsdaten“ Definition
Laut DSGVO (Art. 4 Nr. 15) sind „Gesundheitsdaten“ personenbezogene Daten , „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsleistungen, und die Aufschluss über ihren Gesundheitszustand geben“ . Zu diesen Daten zählen vor allem personenbezogene Daten, die unmittelbare Rückschlüsse auf den Gesundheitszustand einer Person zulassen (z. B. Angaben zu medizinischen Befunden, Diagnosen, Laborergebnissen etc.), unabhängig davon, woher diese Daten stammen, d. h. ob sie von einem Arzt, Apotheker oder anderen Angehörigen der Gesundheitsberufe, einer Krankenkasse oder durch die Nutzung von mHealth erhoben wurden.
Darüber hinaus können solche Daten erfasst und als gesundheitsbezogen angesehen werden, die nur mittelbar oder in Kombination mit anderen Daten Rückschlüsse auf den Gesundheitszustand einer Person zulassen (z. B. Angaben zu Gewicht, Ernährungsgewohnheiten, Arztbesuchen o Einrichtungen, Einnahme von Medikamenten usw .).
Anforderungen an den Umgang mit Gesundheitsdaten
Wie das Bundesdatenschutzgesetz (neu) erlaubt die DSGVO die Verarbeitung von personenbezogenen Daten bestimmter Kategorien, einschließlich Gesundheitsdaten, nur mit einer wirksamen Einwilligung der betroffenen Person oder auf der Grundlage einer der Ausnahmen von einem allgemeinen Regelsatz heraus in Kunst. 9 Abs. 2 Datenschutz-Grundverordnung. Besonders sensible Daten dürfen daher nur unter strengen Einschränkungen verarbeitet werden. Datenschutzvorfälle gilt es daher dringend zu vermeiden.
Im Einzelnen fordert die DSGVO ein angemessenes Schutzniveau nach Art. 32 DSGVO für die von der Verarbeitung umfassten personenbezogenen Daten. Handelt es sich bei diesen personenbezogenen Daten um Gesundheitsdaten, steigen die Anforderungen an die Maßnahmen, die zu einem angemessenen Schutzniveau für diese Art von Daten führen. Bei der Verarbeitung von Gesundheitsdaten kommen üblicherweise einige technische Maßnahmen aus dem Bereich der Verschlüsselung zum Einsatz. Beispielsweise werden Daten in Anwendungen oft nicht im Klartext gespeichert, sondern nur „gehasht“ – also pseudonymisiert.
Was ist mHealth?
Mobile Gesundheits-Apps oder mHealth-Apps können als Apps definiert werden, die personenbezogene Daten über die körperliche oder geistige Gesundheit einer Person sammeln, einschließlich der Bereitstellung von Gesundheitsdiensten, die Informationen über den Gesundheitszustand und Empfehlungen für eine gesunde Ernährung und Lebensweise bereitstellen. mHealth umfasst auch Technologien, die Vitalparameter wie Herzfrequenz, Blutzuckerspiegel, Blutdruck, Körpertemperatur und Gehirnaktivität messen, sowie physiologische Daten, Lebensstildaten, tägliche Aktivitäten und Umweltdaten.
Leitlinien zum Gesundheitsdatenschutz
Die datenschutzrechtlichen Anforderungen für Entwickler und Anbieter digitaler Gesundheitsprodukte stellen eine große Herausforderung dar. Der Leitfaden zum Gesundheitsdatenschutz soll daher Entwicklern und Anbietern von digitalen Gesundheitsprodukten wie mobilen Apps eine Einführung und Hilfestellung geben. Es stellt sowohl die allgemeinen Datenschutzanforderungen als auch die Bestimmungen für spezielle Bereiche, wie z. B. App-Entwickler, dar.
Darüber hinaus haben die Datenschutzbehörden einen Leitfaden zu den Datenschutzanforderungen für App-Entwickler und App-Anbieter herausgegeben, der sich speziell an mobile Apps richtet, die sensible Daten verarbeiten. Insbesondere die Behörden fordern Sandboxing und andere Verschlüsselungsmöglichkeiten bei der Verarbeitung von Patienten- und Gesundheitsdaten.
Lesen Sie auch: So funktioniert die Krebsnachsorge per APP
Anforderungen an Apps
Apps gelten als wichtiger und elementarer Bestandteil von mHealth. Grundsätzlich gelten für Gesundheits-Apps die gleichen datenschutzrechtlichen Anforderungen wie für jede andere Verarbeitung von Gesundheitsdaten. Darüber hinaus sollten Unternehmen, die Apps im Bereich eHealth (bzw. mHealth) entwickeln oder anbieten wollen, einige datenschutzrechtliche Besonderheiten beachten. Die Verarbeitung von Daten im Rahmen von Gesundheits-Apps muss folgende Anforderungen erfüllen:
- Sie muss immer auf einer angemessenen Rechtsgrundlage beruhen (Art. 6 und 9 DSGVO);
- Sofern es sich um eine Einwilligung handelt, muss diese vor Beginn der jeweiligen Datenverarbeitung eingeholt werden, in diesem Zusammenhang vorzugsweise vor dem Download der App;
- Bei mehreren Nutzern des Mobilgeräts kann eine Einwilligung zur Datenverarbeitung durch Einbindung einer technischen Lösung eingeholt werden. Dadurch ist es möglich, die Zustimmung mehrerer Nutzer einzuholen.
- Für die Verarbeitung von Daten über Minderjährige ist die Zustimmung des Trägers der elterlichen Verantwortung erforderlich.
- Besondere Vorsicht ist geboten, sobald eine App auf Standortdaten zugreift (weitere Informationen im „Orientierungshandbuch des Kreises Düsseldorf“ );
- Soll das Nutzerverhalten in der App gemessen oder nachverfolgt werden, gelten die allgemeinen Gesetzmäßigkeitsanforderungen.
- Bei der Programmierung von Apps sollte primär auf Data Protection by Design/Data Protection by Default geachtet werden.
- Handelt es sich um eine digitale Gesundheitsanwendung (DiGA), sind die besonderen Anforderungen der DiGAV bzw. des BfArM zu beachten.
Anzeigen auf mHealth
Grundsätzlich können Sie unter folgenden Voraussetzungen auch Werbung auf der mHealth-App nutzen:
- Die Einblendung von Werbung muss vor der Installation der App vom Nutzer eindeutig freigegeben werden.
- Verwendet die App kontextbezogene Werbung, die dem Nutzer der App angezeigt wird, ohne dass personenbezogene Daten an Dritte (z. B. ein Werbenetzwerk) weitergegeben werden und ohne dass Gesundheitsdaten des Nutzers verarbeitet werden, muss dem Nutzer die Möglichkeit gegeben werden, das Kontextuelle zu sehen Werbung ablehnen, bevor eine Datenverarbeitung stattfindet.
- Wenn die Werbung von einem Dritten bereitgestellt wird oder wenn die Gesundheitsdaten verarbeitet werden, um die Werbung auszurichten, sollten Sie vor der Installation eine ausdrückliche und separate Zustimmung einholen.
Darüber hinaus sollten ggf. nationale Gesetze und EU-Verordnungen zum Online-Marketing berücksichtigt werden, um Datenschutzverstöße zu vermeiden.
Fazit
Der Bereich der mHealth-Apps entwickelt sich mit der zunehmenden Nutzung solcher Apps rasant weiter. Daher wird es auch in dieser Branche in naher Zukunft zu einschneidenden gesetzlichen Änderungen kommen. Daher ist es wichtig, auf die Einhaltung der Datenschutzverordnung und der relevanten nationalen Gesetze vorbereitet zu sein und die unterstützenden Richtlinien und Verfahren zu berücksichtigen. Dies wird dazu beitragen, saftige Bußgelder wie z. B. Bußgelder für Gesundheitsdatenlecks zu vermeiden.