Life Sciences/Healthcare11.02.2022 Newsletter
Health-Apps: Datenschutz und Datensicherheit
Die Funktion von Health-Apps basiert auf der Verarbeitung personenbezogener Daten. Bei diesen Daten handelt es sich häufig um sensible Gesundheitsdaten. Deshalb sind angemessene Datenschutzstandards und ausgereifte Datensicherheitskonzepte für Aufsichtsbehörden und Nutzer von großer Bedeutung.
Rechtlich unterscheiden sich dieanwendbaren Vorschriften je nach Funktionsumfang der Apps: Für sämtliche Health-Apps gelten die Regelungen des allgemeinen Datenschutzrechts, also die Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Möchten Betreiber eine App staatlich als erstattungsfähige „digitale Gesundheitsanwendung“ (DiGA) anerkennen lassen, müssen die spezifischen Anforderungen der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) eingehalten werden. Schließlich sind – je nach Einzelfall – unter Umständen zusätzliche bereichsspezifische Datenschutzregelungen zu berücksichtigen.
Allgemeines Datenschutzrecht & Health-Apps
Nach der DSGVO muss der Betreiber der App für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage vorweisen können. Gesundheitsdaten unterliegen dabei den strengen Anforderungen des Art. 9 DSGVO. Daher ist regelmäßig eine informierte Einwilligung des Nutzers jedenfalls in Teile der stattfindenden Verarbeitungen einzuholen. Soweit „nur“ reguläre personenbezogene Daten vorliegen, kann die Verarbeitung auf die Durchführung des jeweiligen Nutzungsvertrags gestützt werden, soweit sie für dessen Erfüllung notwendig ist (vgl. Art. 6 Abs. 1 S. 1 lit. b DSGVO).
Zur Erfüllung der Transparenzpflichten nach Art. 13, 14 DSGVO müssen Health-Apps – wie andere Apps und Webseiten – Datenschutzhinweise enthalten, in denen den Nutzern die relevanten Datenverarbeitungen, Rechtsgrundlagen etc. näher erläutert werden. Die Datenschutzhinweise sollten dabei jederzeit in der App abgerufen werden können.
Neben der Einhaltung der allgemeinen Grundprinzipien der DSGVO, sind App-Betreiber verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen und zu dokumentieren. Zwar ist dies nach Art. 35 Abs. 1 S. 1 DSGVO nur bei Verarbeitungen mit besonders hohem Risiko für die Betroffenen notwendig. Die Datenschutzkonferenz (DSK), das zentrale Gremium der deutschen Datenschutz-Aufsichtsbehörden, hat jedoch klargestellt, dass ein solches hohes Risiko beim Einsatz mobiler Anwendungen unter Verarbeitung von Gesundheitsdaten regelmäßig gegeben sei.
Von besonderer Bedeutung ist die Pflicht der Gewährleistung einer angemessenen Datensicherheit, um die Integrität und Vertraulichkeit der Verarbeitung sicherzustellen. Dazu müssen technische und organisatorische Schutzmaßnahmen implementiert werden. Genaue Vorgaben enthält die DSGVO in diesem Zusammenhang nicht. Die Anforderungen richten sich nach dem spezifischen Risikopotenzial, das wegen der Sensibilität der verarbeiteten Daten im Gesundheitsbereich wesentlich erhöht ist.
Anforderung nach der DiGAV
Health-Apps können in das Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen aufgenommen werden. Voraussetzung ist, dass die jeweilige App erfolgreich ein behördliches Prüfungsverfahren durchläuft. Dieses richtet sich nach den Regelungen der DiGAV.
Für die datenschutzrechtlichen Anforderungen ist § 4 DiGAV zentral. Die Vorschrift dient lediglich der Spezifizierung der geschilderten allgemeinen Regelungen der DSGVO. In der Praxis führt sie zu einer beachtlichen Beschränkung des Spielraums für App-Betreiber, jedoch auch zu einem deutlich erhöhten Maß an Rechtssicherheit.
Zunächst erlaubt § 4 Abs. 2 DiGAV die Verarbeitung personenbezogener Daten im Rahmen einer digitalen Gesundheitsanwendung (DiGA) nur auf der Basis einer Einwilligung und zu vier abschließend definierten Zwecken. Hervorzuheben ist der bestimmungsgemäße Gebrauch der App durch die Nutzer und die dauerhafte Gewährleistung ihrer technischen Funktionsfähigkeit. Damit scheidet dem Wortlaut der Vorschrift nach die oben beschriebene teilweise Verarbeitung ohne Einwilligung – soweit keine Gesundheitsdaten vorliegen – aus. Das ist mit Blick auf die Regelungen der DSGVO, die die DiGAV nach dem Willen des Gesetzgebers eigentlich nur spezifizieren soll, fragwürdig. Eine Verarbeitung zu Werbezwecken ist ausdrücklich ausgeschlossen. Ebenso ausgeschlossen ist die Verarbeitung in einem Drittstaat, für den kein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vorliegt. Ein solcher Drittstaat ist derzeit z. B. die USA.
Die Einzelheiten der Anforderungen nach § 4 DiGAV finden sich in Anlage 1 der Verordnung: Sie enthält eine detaillierte Checkliste zu Aspekten des Datenschutzes und der Datensicherheit. Von den genannten Kriterien können App-Betreiber nur in begründeten Ausnahmefällen abweichen. Teilweise sind in Anlage 1 lediglich Klarstellungen bezüglich allgemeiner Pflichten nach der DSGVO enthalten, z. B. die Pflicht zur Bereitstellung vollständiger Datenschutzhinweise.
Teilweise enthält die Anlage ungewöhnlich klare Anforderungen zu Aspekten, die im allgemeinen Datenschutzrecht nur rudimentär geregelt sind. Ein besonderes Augenmerk liegt auf der Verhinderung eines Datenabflusses an Dienste Dritter, etwa der Betreiber von Betriebssystemen von Mobilgeräten wie z. B. Android von Google. Denn im Rahmen solcher Betriebssysteme sind Apps häufig eng mit Diensten des jeweiligen Anbieters verzahnt.
Ab dem 1. Januar 2023 wird die Checkliste in Anlage 1 DiGAV im Hinblick auf datensicherheitsbezogene Punkte durch neu definierte Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ersetzt. Im Hinblick auf datenschutzbezogene Punktewird die Checkliste ab dem 1. April 2023 durch neu definierte Prüfkriterien des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) ersetzt.
Bereichsspezifische Datenschutzvorschriften
Schließlich müssen Betreiber von Health-Apps unter Umständen bereichsspezifische Datenschutzvorschriften beachten. Dazu gehören etwa die Landeskrankenhausgesetze. Diese enthalten Regeln zum Umgang von Krankenhäusern mit Patientendaten und können anwendbar sein, wenn die Funktion der App auf den klinischen Bereich abzielt. Daneben müssen Vorschriften der Landesdatenschutzgesetze sowie datenschutzrechtliche Vorschriften des Sozialrechts beachtet werden.
Fazit
Health-Apps sind inzwischen Teil der Gesundheitsversorgung. Sie haben das Potenzial, das Arzt-Patientenverhältnis maßgeblich zu verändern. Insbesondere können Patienten durch ihren Einsatz deutlich aktiver in einzelne Behandlungsschritte eingebunden werden.
Hersteller bzw. Betreiber von Health- müssen vor der Markreife ihrer Produkte in einem komplexen regulatorischen Umfeld eine Vielzahl rechtlicher Normierungen beachten. Diese bergen ein hohes Konflikt- und damit Haftungspotenzial. Von zentraler Bedeutung – nicht zuletzt im Hinblick auf die Akzeptanz von Health-Apps bei Patienten – ist die Einhaltung komplexer Vorgaben zum Datenschutz und zur Datensicherheit. Hier gilt es, durch die Umsetzung maßgeschneiderter technischer- und organisatorischer Maßnahmen die Einhaltung der jeweils anwendbaren Vorschriften und behördlichen Vorgaben sicherzustellen.
Mithilfe durchdachter Konzepte kann das Risiko böser Überraschungen in rechtlicher Hinsicht minimiert werden.
Lesen Sie hier in unserem Beitrag auch alles Wichtige über die regulatorische Einordnung von Health-Apps und die damit verbundenen haftungsrechtlichen Themen.
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994
Moritz Schmitz
Junior PartnerRechtsanwalt
OpernTurm
Bockenheimer Landstraße 2-4
60306 Frankfurt am Main
T +49 69 707968 216
M +49 173 6254 756