Datenschutz Verstehen – Wie sicher sind unsere Gesundheitsdaten?
Kurze Einleitung:
Gerade in der Gesundheitsbranche spielt der Datenschutz eine zentrale Rolle, da es sich bei Gesundheitsdaten um besonders sensible Daten handelt, welche umfassend geschützt werden müssen. Mit der Entwicklung von eHealth, worunter gesundheitsbezogene Dienstleistungen mit mobilen Geräten (mHealth) zu verstehen sind, gewinnt die Verarbeitung von Gesundheitsdaten an Bedeutung. Entwickler digitaler Produkte und Apps sollten diese Datenschutzanforderungen frühzeitig berücksichtigen, damit Produkte später nicht zeitaufwendig angepasst werden müssen und hohe Kosten so vermieden werden können.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
“Gesundheitsdaten” Definition
Gemäß der DSGVO (Art. 4 Nr. 15) handelt es sich bei „Gesundheitsdaten“ um personenbezogene Daten, “die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Zu diesen Daten gehören dabei in erster Linie personenbezogene Daten, die direkte Rückschlüsse auf den Gesundheitszustand einer Person zulassen (z. B. Informationen über medizinische Befunde, Diagnosen, Laborergebnisse usw.), unabhängig davon, woher diese Daten stammen, d. h. ob sie von einem Arzt, Apotheker oder einem anderen Angehörigen der Gesundheitsberufe, eines Krankenversicherers oder durch die Nutzung von mHealth erhoben wurden.
Darüber hinaus können solche Daten umfasst sein und als gesundheitsbezogen gelten, die lediglich indirekt oder in Kombination mit anderen Daten Rückschlüsse auf den Gesundheitszustand einer Person zulassen (z. B. Informationen über Gewicht, Ernährungsgewohnheiten, Aufenthalte in Gesundheitseinrichtungen oder verwandten Einrichtungen, Verwendung von Medikamenten usw.).
Anforderungen an den Umgang mit Gesundheitsdaten
Wie das Bundesdatenschutzgesetz (neu) erlaubt auch die DSGVO die Verarbeitung personenbezogener Daten, die in bestimmte Kategorien fallen, einschließlich Gesundheitsdaten, nur mit der gültigen Einwilligungen der betroffenen Person oder auf der Grundlage einer der Ausnahmen von einer allgemeinen Regel, welche in Art. 9 Abs. 2 der Datenschutz-Grundverordnung Verankerung finden. Besonders sensible Daten dürfen daher nur unter strengen Einschränkungen verarbeitet werden. Hierbei gilt es somit, Datenschutzvorfälle dringlichst zu vermeiden.
Im Detail verlangt die DSGVO ein angemessenes Schutzniveau gem. Art. 32 DSGVO für die personenbezogenen Daten, welche von einer Verarbeitung umfasst sind. Handelt es sich bei diesen personenbezogenen Daten um Gesundheitsdaten, so steigen die Anforderungen an die Maßnahmen, welche zu einem angemessenem Schutzniveau für diese Art der Daten führen. Üblicherweise werden bei Verarbeitungen von Gesundheitsdaten einige technische Maßnahmen aus dem Bereich der Verschlüsselung eingesetzt. So werden oftmals in Anwendungen keine Daten in Klartext gespeichert, sondern nur “gehasht” – also pseudonymisiert.
Was ist mHealth?
Mobile Gesundheits-Apps oder mHealth-Apps können definiert werden als Apps, welche persönliche Daten über die körperliche oder geistige Gesundheit einer Person erfassen, einschließlich der Bereitstellung von Gesundheitsdiensten, die Informationen über den Gesundheitszustand liefern sowie Empfehlungen für eine gesunde Ernährung und Lebensweise. mHealth umfasst weiterhin Technologien, die Vitalparameter wie Herzfrequenz, Blutzuckerspiegel, Blutdruck, Körpertemperatur und Gehirnaktivität messen, dazu physiologische Daten, Daten über den Lebensstil, tägliche Aktivitäten und Umweltdaten.
Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!
Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.
Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.
Orientierungshilfe zum Gesundheitsdatenschutz
Die Anforderungen an den Datenschutz für Entwickler und Anbieter von digitalen Gesundheitsprodukten stellen eine große Herausforderung dar. Die Orientierungshilfe zum Gesundheitsdatenschutz soll daher Entwicklern und Anbietern von digitalen Gesundheitsprodukten wie mobilen Apps als Einstieg und Unterstützung dienen. Sie stellt sowohl die allgemeinen Datenschutzanforderungen als auch die Bestimmungen für spezielle Bereiche, wie z.B. App-Entwickler, dar.
Darüber hinaus haben die deutschen Datenschutzbehörden eine Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter herausgegeben, welche sich speziell an mobile Apps richtet, die sensible Daten verarbeiten. Dabei fordern die Behörden, insbesondere Sandboxing und andere Verschlüsselungsmöglichkeiten bei der Verarbeitung von Patienten- und Gesundheitsdaten.
Anforderungen für Apps
Apps gelten als ein wichtiger und elementarer Bestandteil von mHealth. Grundsätzlich gelten für Gesundheits-Apps die gleichen datenschutzrechtlichen Anforderungen wie auch für jede andere Verarbeitung von Gesundheitsdaten. Darüber hinaus sollten Unternehmen, die Apps im Bereich eHealth (oder mHealth) entwickeln oder anbieten wollen, einige datenschutzrechtliche Besonderheiten beachten. Die Verarbeitung von Daten im Rahmen von Gesundheits-Apps muss die folgenden Anforderungen erfüllen:
- Sie muss stets auf einer geeigneten Rechtsgrundlage beruhen (Art. 6 und 9 DSGVO);
- Sofern es sich um eine Einwilligung handelt, so muss diese vor Beginn der jeweiligen Datenverarbeitung eingeholt werden, in diesem Zusammenhang vorzugsweise vor dem Download der App;
- Bei mehreren Nutzern des Mobilgeräts kann die Einwilligung in die Datenverarbeitung durch die Integration einer technischen Lösung eingeholt werden. So wird ermöglicht, die Zustimmung mehrerer Nutzer zu erhalten.
- Für die Verarbeitung der Daten von Minderjährigen ist die Zustimmung des Trägers der elterlichen Verantwortung erforderlich.
- Besondere Vorsicht ist geboten, sobald eine App auf Standortdaten zugreift (Weitere Informationen in der „Orientierungshilfe des Düsseldorfer Kreises“);
- Soll das Nutzerverhalten in der App gemessen n bzw. getrackt werden, so gelten die allgemeinen Rechtmäßigkeitsvoraussetzungen.
- Datenschutz by design/Datenschutz by default sollte vornehmlich bei der Programmierung von Apps berücksichtigt werden.
- Handelt es sich um eine digitale Gesundheitsanwendung (DiGA), so sind die speziellen Anforderungen des DiGAV bzw. des BfArM zu beachten.
Werbeanzeigen auf mHealth
Grundsätzlich können Sie auch Werbung auf der mHealth-App unter folgenden Bedingungen verwenden:
- Die Darstellung von Werbung muss vom Nutzer eindeutig genehmigt werden, bevor die App installiert wird.
- Sofern die App kontextbezogene Werbung verwendet, die dem Nutzer der App angezeigt wird, ohne dass personenbezogene Daten mit Dritten (z. B. einem Werbenetzwerk) geteilt werden und ohne dass Gesundheitsdaten des Nutzers verarbeitet werden, muss dem Nutzer die Möglichkeit gegeben werden, die kontextbezogene Werbung abzulehnen, bevor eine Datenverarbeitung stattfindet.
- Wird die Werbung von Dritten bereitgestellt oder werden die Gesundheitsdaten zur Ausrichtung der Werbung verarbeitet, sollten Sie vor der Installation eine ausdrückliche und gesonderte Zustimmung einholen.
Darüber hinaus sollten gegebenenfalls die nationalen Gesetze und die EU-Vorschriften für das Online-Marketing berücksichtigt werden, um Verstöße gegen den Datenschutz zu vermeiden.
Fazit
Der Bereich der mHealth-Apps entwickelt sich mit der zunehmenden Nutzung solcher Apps rasant. Daher wird es auch in dieser Branche in naher Zukunft drastische rechtliche Änderungen geben. Daher ist es wichtig, auf die Einhaltung der allgemeinen Datenschutzverordnung und der entsprechenden nationalen Gesetze vorbereitet zu sein und die unterstützenden Leitlinien und Verfahren zu berücksichtigen. Dies wird dazu beitragen, hohe Bußgelder zu vermeiden, wie z. B. Bußgelder für die Leaks von Gesundheitsdaten.
Schon während des Wirtschaftsrechts-Studiums entdeckte Frau Konstanze Krollpfeiffer ihr großes Interesse für den Datenschutz und arbeitete bereits als Werkstudentin bei der Keyed GmbH. Nach dem Abschluss des Studiums unterstützt sie das Team nunmehr als Junior Data Protection Consultant und betreut Kunden bei der Umsetzung datenschutzrechtlicher Vorgaben sowie bei der Etablierung datenschutzrechtlicher Standards. Durch ihre juristische sowie wirtschaftsrechtliche Ausbildung bringt Frau Krollpfeiffer dabei die notwendige Sachkenntnis mit.
