Health-Apps
Datenhüter geben fünf Spielregeln vor
Die Datenschützer von Bund und Ländern mahnen: Bei Wearables und Health-Apps ist mehr Datenschutz nötig. Und oft wüssten Nutzer nicht, wer alles Zugriff auf ihre gesammelten Gesundheitsdaten hat.
Veröffentlicht:SCHWERIN. Es war ein dickes Programm, das sich die Datenschützer von Bund und Ländern auf ihrer 91. Konferenz - die am 6. und 7. April in Schwerin stattfand - auferlegt haben.
Hauptthema der zweitägigen Sitzung war zwar die neue EU-Datenschutz-Grundverordnung (DSGVO). - Hier fordert die Datenschutzkonferenz den Gesetzgeber auf, die Öffnungs-und Konkretisierungsklauseln der DSGVO konsequent zu nutzen, um "unverzichtbare Datenschutzstandards im Sinne des Grundrechts auf informationelle Selbstbestimmung auch weiterhin zu gewährleisten". -
Doch auch die zunehmende Nutzung von Wearables und Health-Apps, mit denen sensible Gesundheitsdaten gesammelt und ausgewertet werden, veranlasst die Datenschützer zum Handeln.
Einer repräsentativen Umfrage zufolge soll bereits ein Drittel der Bevölkerung ab 14 Jahren sogenannte Fitness-Tracker zur Aufzeichnung von Gesundheitswerten und persönlichen Verhaltensweisen nutzen, erklären die Datenhüter ihre Motivation, nun in einer Entschließung gewisse Spielregeln für die mobilen Datensammelstellen vorzugeben.
Sie spielen damit auf die Studie von Bitkom-Research aus diesem Februar an, bei der auch 32 Prozent der befragten Bundesbürger der Aussage zustimmten, dass die persönlichen Gesundheitsdaten niemanden etwas angingen, weitere 49 Prozent wollten selber bestimmen, wer die Gesundheitsdaten erhält.
Datenhüter geben Spielregeln vor
Die Datenschützer sehen durchaus auch die Vorteile solcher am Körper getragenen Kleincomputer (Wearables) oder Smartphone-Programme.
Die digitale Sammlung und Auswertung der eigenen gesundheitsbezogenen Daten könnten interessante Informationen für Einzelne bieten, die zu einer besseren Gesundheitsversorgung und einem Zugewinn an persönlicher Lebensqualität beitragen könnte, heißt es in der Entschließung.
Sie würden aber auch Risiken für das Persönlichkeitsrecht bergen. Etwa wenn die Daten an Dritte weitergeleitet werden, ohne dass der Nutzer etwas davon weiß.
Fünf Punkte haben die Datenhüter daher zum Schutz der sensiblen Gesundheitsdaten erarbeitet:
Die Grundsätze der Datenvermeidung und Datensparsamkeit sind zu beachten. Dabei sind die Hersteller von Wearables und Gesundheits-Apps aufgerufen, datenschutzfreundliche Technologien und Voreinstellungen einzusetzen (sog. Privacy by Design and Default).
Hierzu gehören laut der Datenschützer auch Möglichkeiten zur anonymen bzw. pseudonymen Datenverarbeitung. Sei eine Weitergabe von Gesundheits- und Verhaltensdaten an Dritte nicht wegen einer medizinischen Behandlung geboten, sollten die Nutzer sie zudem technisch unterbinden können - etwa indem Daten nur lokal gespeichert werden.
Die Datenverarbeitungsprozesse, insbesondere die Weitergabe von Gesundheits- und Verhaltensdaten an Dritte, bedarf nach Ansicht der Datenschützer "einer gesetzlichen Grundlage oder einer wirksamen und informierten Einwilligung".
Für das Persönlichkeitsrecht riskante Datenverwendungen - auch hier geht es wieder hauptsächlich um Datenflüsse an Dritte -, sollten für die Nutzer auf einen Blick erkennbar sein. "Eine solche Verpflichtung zur erhöhten Transparenz sollte gesetzlich verankert werden", fordern die Datenhüter.
Einwilligungserklärungen und Verträge, die unter Ausnutzung eines erheblichen Verhandlungsungleichgewichts zwischen Verwendern und den betroffenen Personen zustande kommen, sind unwirksam, stellen die Datenschützer klar.
Sie würden damit auch keine Rechtsgrundlage für die Verarbeitung der Daten liefern. Das gelte vor allem innerhalb von Beschäftigungs- und Versicherungsverhältnissen. Damit schießen die Datenschützer auch gegen die Krankenversicherungen, von denen die eine oder andere bereits aktiv an Verträgen, die an Datentracking gekoppelt sind, arbeitet.
Verbindliche gesetzliche Vorschriften zur Datensicherheit, insbesondere zur Integrität und Vertraulichkeit von Daten, könnten nicht durch Verträge oder durch Einwilligungserklärungen abgedungen werden, mahnen die Datenschützer von Bund und Ländern.
Wer aus eigenen Geschäftsinteressen gezielt bestimmte Wearables und Gesundheits-Apps in den Umlauf bringt oder ihren Vertrieb systematisch unterstütze, trage zudem eine Mitverantwortlichkeit für die rechtmäßige Ausgestaltung solcher Angebote. Und müsse sich vergewissern, dass die Produkte "verbindlichen Qualitätsstandards an IT-Sicherheit, Funktionsfähigkeit sowie an Transparenz der Datenverarbeitung genügen".
Grüne sehen Handlungsbedarf
Die Datenschutzkonferenz fordert den Gesetzgeber zudem auf, zu prüfen, ob und in wie weit im Zusammenhang mit Wearables und Gesundheits-Apps die Möglichkeit beschränkt werden sollte, "materielle Vorteile von der Einwilligung in die Verwendung von Gesundheitsdaten abhängig zu machen".
Auch die Bundestagsfraktion Bündnis 90/ Die Grünen, setzt sich für eine gesetzliche Regelung ein. "Der Markt der Gesundheits- Apps und Wearables legt schon seit längerem enorme Wachstumsraten hin. Darin liegen nicht nur große Chancen, wie ein stetig wachsender Informationszuwachs auf Seiten der Verbraucherinnen und Verbraucher und vielfältige Motivationsmöglichkeiten, sondern auch erhebliche Risiken auf Seiten des Datenschutzes", erklärt Maria Klein-Schmeink, gesundheitspolitische Sprecherin der Grünen-Fraktion.
Mit dem E-Health-Gesetz habe die Bundesregierung zuletzt eine weitere Chance verpasst, hier endlich für ausreichenden Schutz der gesundheitsbezogenen Daten der Verbraucher zu sorgen.
Klein-Schmeink: "Die Entschließung der Datenschutzkonferenz zeigt sehr deutlich, wo in diesem Bereich noch Handlungsbedarf besteht."
Die Grünen-Fraktion fordere daher schleunigst Regelungen, "mit denen die Verbraucherinnen und Verbraucher die Hoheit über ihre Gesundheitsdaten zurückbekommen".