Autor

Dr. Tim Jonathan Schwarz

Senior Associate

Read More
Autor

Dr. Tim Jonathan Schwarz

Senior Associate

Read More

27. April 2021

Newsletter Technology April 2021 – 2 von 3 Insights

Digital Health: To-Do’s für DSGVO-Compliance bei Digital Health Apps

  • Briefing

Mit zusätzlichem Treibstoff durch die COVID-19-Pandemie prägt die fortschreitende Digitalisierung die Infrastruktur des Gesundheitssektors. Neben der klassischen ärztlichen Versorgung vor Ort treten digitale Anwendungen, wie Online-Videoberatungen, Patientenportale und digitales Medikamentenmanagement. Mit dem Digitalen-Versorgungs-Gesetz (DVG) ist es Patienten nun sogar möglich, dass digitale Gesundheitsanwendungen als „App auf Rezept“ verschrieben und Kosten erstattet werden können. Auch Krankenhäusern wird finanziell unter die Arme gegriffen – mit dem Krankenhauszukunftsgesetzes (KHZG) können Mittel zur Verbesserung der digitalen Infrastruktur beantragt werden.

Neben der ärztlichen Behandlung hat sich zudem ein rasch wachsender Trend zur Selbstoptimierung etabliert: Kalorien und Schritte zählen, Schlafphasen tracken, Menstruationskalender, Fitnessprogramme, Ernährungspläne, Achtsamkeits- und Wohlfühl-Apps – dies umfasst nur einen Bruchteil dessen, was uns heutige Digital Health Apps bieten.

Für die Anbieter von Digital Health Apps steht dabei stets die gleiche Ressource im Mittelpunkt – Daten. Da bei der Nutzung von Digital Health Apps in der Regel auch hochsensible Gesundheitsdaten von Nutzern verarbeitet werden, stehen diese unter besonderer Beobachtung von Datenschützern. Im Fokus sind dabei die Transparenz – z. B. bei Datenschutzerklärungen und der Weitergabe von Daten an Dritte –, die schiere Menge an gesammelten Daten und den Speicherort – zumeist auf Servern und nicht auf dem lokalen Gerät des Nutzers.

Entscheidend ist deshalb, bei der Bereitstellung von Digital Health Apps sämtliche Vorgaben der Datenschutzgrundverordnung („DSGVO“) einzuhalten. Wird darauf verzichtet oder werden die Daten nicht mit der erforderlichen Sorgfalt behandelt, kann dies erhebliche Folgen für die Reputation und Öffentlichkeitswahrnehmung des App-Anbieters haben und zugleich erhebliche finanzielle Belastungen (allein durch Bußgelder) nach sich ziehen. Die Einhaltung der folgenden To-Do‘s soll Anbietern von Digital Health Apps dabei helfen, das Vertrauen der Nutzer zu gewinnen und zugleich DSGVO-Compliance sicherzustellen.

To-Do’s:

Privacy by design + Privacy by default – es von Anfang an richtig machen

Bereits in der frühesten Phase der App-Entwicklung müssen gemäß Art. 35 DSGVO die Datenschutzanforderungen berücksichtigt und rechtskonform umgesetzt werden („privacy by design“). Standardmäßig sollten die Datenschutzeinstellungen auf die höchste Stufe gesetzt werden („privacy by default“). Die Nutzung von datenschutzfreundlichen Grundeinstellungen und schutzbedarfs- bzw. risikoorientierten Technologien ist der erste und entscheidende Schritt bei der Gestaltung einer DSGVO-konformen Digital Health App.

Datenschutz-Folgenabschätzungen

Datenschutz-Folgenabschätzungen werden für viele Digital Health Apps bereits gemäß Art. 35 DSGVO vorgeschrieben sein – aber selbst dort, wo sie nicht verpflichtend sind, sind sie eine nützliche Übung, um potenzielle Risiken für die betroffenen Nutzer bei der geplanten Verarbeitung zu identifizieren und Wege zu finden, diesen Risiken nutzerfreundlich zu begegnen. Zudem sind Datenschutz-Folgenabschätzungen unerlässlich, um der gemäß Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht nachzukommen und die erforderliche DSGVO-Compliance nachzuweisen.

Ohne Datenschutzerklärung geht nichts

Besonderes Augenmerk muss auf eine transparente und nutzerfreundliche Datenschutzerklärung gelegt werden (Art. 13 und 14 DSGVO). Dabei sollte die Datenverarbeitung so konkret und App-spezifisch wie möglich beschrieben werden. Auch der Zeitpunkt spielt eine Rolle: Die Datenschutzerklärung muss frühzeitig und vor dem Zugriff auf personenbezogene Daten bereitgestellt werden – in der Regel also bereits auf der jeweiligen Download-Plattform, z. B. dem App Store. Schließlich sollte die Datenschutzerklärung auch in der Digital Health App selbst platziert und für den Nutzer leicht auffindbar sein.

Die passende Rechtsgrundlage und Zweckbestimmung finden

Jede Datenverarbeitung muss auf eine taugliche Rechtsgrundlage gestützt werden. Da Digital Health Apps regelmäßig Gesundheitsdaten und damit besonderes sensible Datenkategorien zum Gegensand haben, muss die Verarbeitung in Übereinstimmung mit Art. 9 Abs. 2 DSGVO zulässig sein. Zur Verarbeitung von Gesundheitsdaten mittels Digital Health Apps ist deshalb in der Regel die ausdrückliche Einwilligung des Nutzers erforderlich, an die vom Gesetzgeber gesteigerte Anforderungen, wie insbesondere eine umfassende Transparenz der Datenverarbeitung, gestellt werden.

Schließlich darf hier nicht außer Acht gelassen werden, dass die Daten nach ihrer Erhebung nicht für einen anderen Zweck verwendet werden dürfen, der mit dem ursprünglichen Zweck, für den sie erhoben wurden, unvereinbar ist (Art. 5 Abs. 1 lit. b) DSGVO). Sofern neben der reinen Bereitstellung und Nutzung der App noch weitere Datenverarbeitungszwecke, wie z. B. zur Datenspende oder zu Forschungs- und Entwicklungsarbeiten, beabsichtigt werden, müssen diese Zwecke bei der Datenerhebung ebenfalls schon festgelegt und mittels einer geeigneten Rechtsgrundlage legitimiert werden. Für besondere Datenverarbeitungen, wie z.B. zu Forschungszwecken, können – neben der klassischen Einwilligung – zugleich spezialgesetzliche Rechtsgrundlagen einschlägig sein (z.B. Art. 9 Abs. 2 lit. j) DSGVO).

Die Datenverarbeitung auf das notwendige Maß beschränken

Welche Daten sind für den Betrieb der App erforderlich, und welche Daten müssen wirklich mit einer identifizierbaren Person verknüpft werden? Jede rechtmäßige Datenverarbeitung setzt voraus, dass sie für den Zweck angemessen ist und auf das für die Verarbeitung notwendige Maß beschränkt wird (Art. 5 Abs. 1 lit. c) DSGVO).

Hierbei kommt es stets auf die konkrete App an: Werden maßgeschneiderte Behandlungstherapien verfolgt, ist die Verarbeitung von personenbezogenen Gesundheitsdaten wohl stets erforderlich. Stehen dagegen allgemeinere Themen im Fokus, wie z. B. die Verfolgung von Menstruationszyklen oder Krankheitssymptomen, stellt sich die Frage, ob die Verarbeitung von „personenbezogenen“ Daten tatsächlich notwendig ist. Gerade die Möglichkeit der Anonymisierung oder zumindest der Pseudonymisierung muss hier im Blick behalten werden. Mittels der Pseudonymisierung können personenbezogene Daten ohne Hinzuziehung zusätzlicher Informationen einer individuellen Person nicht mehr zugeordnet werden. Im Gegensatz zu anonymen Daten unterfallen pseudonyme Daten allerdings auch weiterhin der DSGVO, da mittels einer Zuordnungsregel der Personenbezug wiederhergestellt werden kann. Bei der Anonymisierung ist das hingegen nicht mehr der Fall, weshalb die Vorschriften der DSGVO nicht anwendbar und damit auch nicht zu berücksichtigen wären.

Schließlich sollte auch immer geprüft werden, ob es für die Nutzung der App wirklich erforderlich ist, dass sich der Nutzer registrieren muss, um die Digital Health Apps zu nutzen, oder ob die App auch ohne Anmeldung zur Nutzung bereitgestellt werden kann.

Daten auf dem lokalen Gerät des Nutzers speichern

Viele der internationalen COVID-19-Apps zur Ermittlung von Kontaktpersonen haben einen dezentralen Ansatz gewählt, wonach die gesammelten personenbezogenen Daten auf dem Gerät des Nutzers verbleiben. Die Daten werden somit nicht extern gehostet (über einen Server oder eine Cloud), was zugleich das Missbrauchsrisiko erheblich mindert. Ein dezentraler Ansatz stärkt zudem das Vertrauen der Nutzer in eine datenschutzfreundliche und missbrauchssichere Infrastruktur der jeweiligen Digital Health App. Ist es dagegen notwendig, die Daten gesammelt auf einem Server/einer Cloud zu speichern, sollte zumindest die Möglichkeit erwogen werden, die Daten zu anonymisieren oder zu pseudonymisieren, um dem Prinzip der Datenminimierung gerecht zu werden.

Datensicherheit als Top Priorität

Je sensibler die Art der verarbeiteten Daten, desto höher muss das Sicherheitsniveau sein (Art. 32 DSGVO). Zwar kann jede Datenschutzverletzung die Aufmerksamkeit der Aufsichtsbehörden auf sich ziehen und der eigenen Reputation schaden – gerade bei sensiblen Gesundheitsdaten besteht jedoch die erhöhte Wahrscheinlichkeit, dass Aufsichtsbehörden bei ersten Anzeichen einer Verletzung des Schutzes personenbezogener Daten Untersuchungen einleiten und hart durchgreifen werden. Das Einspielen von sicherheitsrelevanten Patches und Updates, Mindeststandards bei Passwörtern, automatische Log-Outs und verschlüsselte Datenübertragungen sind hier der Schlüssel zu einer datenschutzkonformen Gestaltung.

Das Vertrauen der Nutzer gewinnen

Um ein gewisses Misstrauen gegenüber dem Einsatz von Digital Health Apps zu vermeiden, muss die Datenverarbeitung transparent und nachvollziehbar gestaltet sein. Abgesehen davon, dass dies eine zentrale Anforderung der DSGVO ist, gibt auch der „gesunde Menschenverstand“ eine transparente Gestaltung vor: Wenn dem Nutzer klar ist, was mit seinen Daten geschieht, reduziert das zugleich die Wahrscheinlichkeit, dass er der Verarbeitung seiner Gesundheitsdaten misstrauen könnte oder sogar der Auffassung ist, dass seine Daten unrechtmäßig verarbeitet werden. Bei Digital Health Apps kann die verständliche Vermittlung dieser Informationen kompliziert sein – es lohnt sich also, kreativ zu sein, um eine transparente Datenverarbeitung zu gewährleisten.

Der Nutzer sollte zudem jederzeit in der Lage sein, zu kontrollieren, welche Gesundheitsdaten über ihn gesammelt werden. Zugleich bietet es sich an, dem Nutzer durch eine transparente Benutzeroberfläche die Änderung seiner Datenschutzeinstellungen jederzeit und ohne Hindernisse zu ermöglichen.

Betroffenenrechte erleichtern

Nutzer müssen die Kontrolle über ihre Daten haben. Das umfasst die Möglichkeit, auf die Daten zuzugreifen, sie zu korrigieren oder zu löschen. Eine transparente und benutzerfreundliche Umsetzung dieser Möglichkeiten stärkt den Datenschutz und das Vertrauen des Nutzers in die App. Bereits bei der Produktentwicklung muss also darauf geachtet werden, dass die Anbieter durch die Gestaltung der App den Rechten der betroffenen Nutzer auch entsprechen können.

Zu seiner Verantwortung stehen

Es reicht nicht aus, die Vorgaben der DSGVO einzuhalten und umzusetzen. Vielmehr muss der Verantwortliche in der Lage sein, die Umsetzung der DSGVO in den eigenen Datenverarbeitungen gegenüber den Aufsichtsbehörden nachzuweisen (Art. 5 Abs. 2 DSGVO). Das setzt klare Strukturen, interne Richtlinien, Prozesse und Audits voraus. Hand in Hand gehen damit die bereits genannten Datenschutz-Folgenabschätzungen.

Vorsicht bei Datenübermittlungen

Besondere Aufmerksamkeit widmen die Aufsichtsbehörden der Übertragung von Daten. Dies gilt nicht nur dann, wenn die Daten die Europäische Union verlassen. Vielmehr muss stets kritisch geprüft werden, wem Zugriff auf personenbezogene Daten gewährt wird und warum. Bei der Beauftragung von Auftragsverarbeitern muss der App-Anbieter durch den Abschluss geeigneter Verträge über die Auftragsverarbeitung (Art. 28 DSGVO) Vorsorge treffen, dass ihm auch weiterhin ausreichende Möglichkeiten zur Verfügung stehen, die Datenverarbeitung zu kontrollieren.
Bei der Übermittlung von personenbezogenen Daten außerhalb der Europäische Union sind insbesondere die Vorgaben zu Datenübermittlungen in Drittländer gemäß Art. 44 bis 50 DSGVO zu berücksichtigen. Mit Blick auf das kürzlich ergangene EuGH-Urteil „Schrems II“ stehen internationale Datenübermittlungen aktuell besonders stark im Fokus der Aufsichtsbehörden, so dass in jedem Fall die besonderen Empfehlungen des Europäischen Datenschutzausschusses berücksichtigt werden müssen.

Datenspeicherung nicht länger als nötig

Personenbezogene Daten sollten nicht länger gespeichert werden, als es für den Zweck, für den sie erhoben wurden, notwendig ist (Art. 5 Abs. 1 lit. e) DSGVO). Mit dem Grundsatz der Datenminimierung geht einher, dass der Personenbezug von Daten nur so lange bestehen darf, wie dies für den konkreten Zweck erforderlich ist. Hier zeigt sich ein weiterer Vorteil der Anonymisierung: Sind die Daten anonymisiert, gilt keine zeitliche Begrenzung.

Fazit:

Digital Health Apps sind die Grundlage für neue innovative Behandlungsmöglichkeiten, die zugleich einen umfassenden Zugang zu Daten ermöglichen. Angesichts des umfassendes Wertes von Daten ist die Versuchung groß, möglichst viele Daten zu möglichst vielen Zwecken zu sammeln. Genau dies möchte die DSGVO allerdings verhindern.
Um die Akzeptanz zum Einsatz von Digital Health Apps zu steigern, bedarf es deshalb vertrauensbildender Datenschutzmaßnahmen. Wirtschaftliche Interessen des App-Anbieters müssen dabei mit den Vorgaben der DSGVO in Einklang gebracht werden. Die Umsetzung der vorstehenden To-Do‘s bilden dabei eine erste Grundlage für einen datenschutzkonformen Einsatz von Digital Health Apps.

Einen umfassenden Überblick über die wichtigsten Rechtsfragen im Zusammenhang mit der Digitalisierung der Gesundheitsbranche in Deutschland bietet außerdem unserer Legal Guide – Digital Health.

Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren