Gesundheits-Apps: Anforderungen beim Datenschutz |
Gesundheits-Apps, auch Health Apps genannt, erheben und verarbeiten oft sensible gesundheitsbezogene Informationen. «Im Regelfall übermitteln sie diese Daten auch an den Anbieter der App und/oder Dritte», warnte Rechtsanwältin Tina Weigand beim Gesundheitsrechtstag der Wettbewerbszentrale in Frankfurt am Main. Die Nutzer dieser Apps würden dabei oft nicht oder nicht ausreichend darüber aufgeklärt, was genau mit ihren Daten geschieht. Dann könnten zum Beispiel Unbefugte Zugriff auf die Daten bekommen, und durch die Zusammenführung und Auswertung von Daten könnten umfassende Gesundheitsprofile einzelner Personen erstellt und beispielsweise im Versicherungswesen ohne Wissen der Nutzer gegen sie verwendet werden.
«Die Qualität einer App hängt also auch wesentlich vom Datenschutz ab», betonte Wiegand. Wie der Anbieter mit dem Datenschutz umgeht, könnte Nutzern Anhaltspunkte bei der Entscheidung liefern, ob sie eine Health App nutzen beziehungsweise welche App sie nutzen wollen. Die datenschutzrechtlichen Anforderungen würden derzeit durch das Bundesdatenschutz- und Telemediengesetz geregelt, erklärte Weigand – das gelte allerdings nur, wenn sich der Sitz des App-Anbieters in Deutschland befindet. Bald wird die Rechtslage europaweit vereinheitlicht: Im Mai 2018 sollen die Datenschutz-Grundverordnung und die E-Privacy-Verordnung der EU in Kraft treten.
Momentan sei laut Bundesdatenschutzgesetz eine Erhebung und Verarbeitung von Gesundheitsdaten nur mit Einwilligung des Nutzers möglich, sagte Weigand. «Diese Einwilligung muss freiwillig und informiert erfolgen, das heißt, der App-Nutzer muss über Erhebungs- und Verarbeitungszwecke und über entsprechende Risiken aufgeklärt werden», betonte die Rechtsanwältin. Die Einwilligung müsse für den Nutzer jederzeit abrufbar und auch widerrufbar sein, sie dürfe zudem nicht versteckt in Nutzungsbedingungen oder der Datenschutzerklärung eingeholt werden, so Weigand. Der Nutzer müsse sich zudem bereits vor dem Download der App über die Datenschutzerklärung informieren können. «Diese Datenschutzerklärung muss transparent, in deutscher Sprache und in allgemeinverständlicher Form verfasst sein, und sie muss auch auf mobilen Endgeräten gut lesbar sein», listete Weigand die rechtlichen Anforderungen auf.
Ein Sonderproblem seien sogenannte Social Plugins, führte die Rechtsanwältin aus. Das sind kleine Programme oder Programmpakete, die auf einer Webseite eingebunden werden, um diese mit einem sozialen Netzwerk wie Facebook, Twitter oder Instagram zu verbinden. Allein durch die Einbindung des Social Plugins würden personenbezogene Daten an das jeweilige Netzwerk übermittelt, warnte Weigand. «Man muss nicht einmal auf den entsprechenden Button klicken.» Das Landgericht Düsseldorf hatte im März 2016 entschieden, dass das Plugin «Gefällt mir» von Facebook nicht in eine Webseite integriert werden darf, ohne dass der Nutzer darüber aufgeklärt wird, er eine Einwilligung erteilt hat und er darüber informiert wurde, dass er diese Einwilligung jederzeit widerrufen kann. Das Urteil ist allerdings noch nicht rechtskräftig, das Berufungsverfahren steht noch aus. (va)
20.11.2017 l PZ
Foto: Fotolia/maxkabakov
