24
Jul
2015
100658932_Newsletter_Quarter_Small (edit)
Dr. Christian Tinnefeld
Dr. Christian Tinnefeld
Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
E-Mail: christian.tinnefeld@hoganlovells.com
Telefon: +49 40 41993 238
» zur Autorenseite
Dr. Christian Tinnefeld
Dr. Henrik Hanßen
Dr. Henrik Hanßen
IPMT, Datenschutzrecht, IT-Recht / Hamburg
E-Mail: henrik.hanssen@hoganlovells.com
Telefon: +49 40 419 93 0
» zur Autorenseite
& Dr. Henrik Hanßen

Datenschutzrechtliche Anforderungen an mHealth-Lösungen (Teil1)

mHealth im datenschutzrechtlichen Kontext

Der Bereich der mHealth (Mobile Health) Technologien ist aktuell einer der revolutionärsten und sich am dynamischsten entwickelnden Bereiche im Gesundheitswesen. Immer mehr Verbraucher und Konsumenten nutzen mobile Geräte und Apps dazu, um personenbezogene Gesundheitsdaten etwa zum körperlichen Allgemeinzustand, zu Vitalwerten, Kalorienhaushalt, sportlichen Aktivitäten oder Trainingsergebnissen und indirekt auch Bewegungsprofile zu speichern und mit Dritten zu teilen. Die enorme Beliebtheit und der steigende Erfolg der mHealth-Dienste und -Produkte hat diese aber unweigerlich in den Fokus der Datenschutzbehörden gerückt, die sich vermehrt die Frage nach einer Vereinbarkeit der neuen Technologie mit datenschutzrechtlichen Vorgaben stellen. Erst kürzlich haben eine Reihe von Aufsichtsbehörden und die Bundesbeauftragte für den Datenschutz Stellungnahmen bzw. Pressemitteilungen veröffentlicht, die sich kritisch mit Gesundheits-Apps und -Geräten auseinandersetzen und die Frage der Vereinbarkeit mit dem europäischen und deutschen Datenschutzrecht stellen – Anlass genug, sich mit den Grundlagen derartiger mHealth-Lösungen auseinanderzusetzen und den aktuell strittigen Punkten auf den Grund zu gehen.

Bedenken der Datenschutzbehörden gegenüber mHealth-Lösungen

Ohne Frage haben sich Gesundheits-Apps in Verbindung mit Smartphones, Tablets oder Wearables (wie z.B. Sportarmbänder) in den zurückliegenden Monaten nicht zuletzt wegen ihres großen Potentials zur Verbesserung der Gesundheitsfürsorge zu einer wahren Erfolgsstory entwickelt. Allerdings haben sie hierdurch auch das Interesse der europäischen und deutschen Datenschutzbehörden geweckt, die sich gegenwärtig intensiv mit der Vereinbarkeit derartiger Produkte mit den datenschutzrechtlichen Schutzvorschriften auseinandersetzen. Erst kürzlich hat sich die Deutsche Bundesbeauftrage für den Datenschutz, Andrea Voßhoff, in einer Pressemitteilung kritisch zu dem Einsatz von Fitness-Apps und dazugehörenden Produkten geäußert und vor den Risiken einer unzulässigen Erhebung, Verarbeitung und Nutzung personenbezogener Gesundheitsdaten gewarnt. Aus Sicht der Bundesbeauftragten für den Datenschutz stehen kurzfristige finanzielle Anreize, wie reduzierte Beitragssätze bei Krankenkassen, langfristigen Risiken gegenüber, die sich aus der Nutzung derartiger Daten ergeben können. In eine ähnliche Richtung zielt die Stellungnahme des Düsseldorfer Kreises vom Juni 2014, in der festgestellt wurde, dass derartige Gesundheits-Apps und die dazugehörigen Produkte und Fitness-Geräte gesteigerten datenschutzrechtlichen Anforderungen unterliegen.

Dieser kritischen Linie der deutschen Datenschutzbehörden entspricht die Stellungnahme des Europäischen Datenschutzbeauftragten vom 21. Mai 2015 (Stellungnahme 1/ 2015), der in seiner Untersuchung eine ganze Reihe kritischer Punkte und möglicher Konflikte mit Datenschutzrechtlichen Vorschriften ausgemacht haben will.

In gleicher Weise hat die “Artikel 29-Gruppe” (Zusammenschluss der Vertreter aller europäischen Datenschutzbehörden sowie weiterer Vertreter aus den Institutionen) Bedenken zur Vereinbarkeit von mHealth-Lösungen mit zwingendem Datenschutzrecht geäußert (siehe die Stellungnahme vom 5. Februar 2015, nur Englisch).

Angesichts des Umstandes, dass zahlreiche Aufsichtsbehörden und Vertreter der jeweiligen Datenschutzbehörden Bedenken hinsichtlich der aktuell am Markt vertretenden mHealth-Apps und -Produkte angemeldet haben, ist davon auszugehen, dass weitere Untersuchungen und möglicherweise Anordnungen der jeweiligen Behörden folgen werden. Für Unternehmen, die sich im Bereich mHealth engagieren, ist es deshalb unerlässlich, sich fortwährend über die aktuelle Entwicklung in diesem Bereich zu informieren und mögliche Pressemitteilungen und Stellungnahmen der beteiligten Behörden nahtlos zu verfolgen. Für uns sind die jüngsten Vorstöße der Behörden Anlass genug, die aktuelle Diskussion und Entwicklung in einer Reihe von Beiträgen zur datenschutzrechtlichen Vereinbarkeit von mHealth-Lösungen zu untersuchen und zu besprechen.

Worum geht es bei der datenschutzrechtlichen Diskussion um mHealth-Lösungen?

Zunächst stellt sich die Frage, welche Produkte und Dienstleistungen unter den Begriff “mHealth” fallen und das Interesse der Datenschutzbehörden geweckt haben. In der aktuellen Diskussion wird der Begriff mHealth als Sammelbezeichnung für Technologien und Produkte wie Gesundheits- und Fitness-Apps, Smartphones, Tablets, PDAs (Personal Digital Assistants), Smart Watches, Wearables und andere kabellose Geräte verwendet. Gerade unter den Apps hat sich in letzter Zeit eine nahezu unüberschaubare Fülle an Angeboten und Anwendungen entwickelt, die mit einer immer stärker steigenden Anzahl von Geräten und Produkten verwendet werden können und gesundheitsbezogene Daten austauschen. Denn der Anwendungsbereich von mHealth-Lösungen ist nicht auf den medizinisch-fachlichen Bereich durch Patienten beschränkt. Vielmehr erfreuen sich m-Health-Lösungen gerade im Fitness- und Lifestyle-Bereich stark steigender Beliebtheit, indem sie etwa zur Dokumentation des Trainings- und Fitnesszustands und Überwachung der Ernährung und der allgemeiner Vitalwerte verwendet werden können. In Kombination mit weiteren personenbezogenen Daten aus dritten Quellen (Big Data) sind Gesundheitsdaten aus dem Bereich mHealth geeignet, einen digitalen Ab- und Eindruck von der betroffenen Person zu zeichnen, die derartige Geräte regelmäßig nutzt, was diese datenschutzrechtlich höchstrelevant macht.

Verantwortliche Stellen oder: “Wer sollte diesen Beitrag lesen”?

Es steht außer Frage, dass mHealth-Lösungen mit den zwingenden datenschutzrechtlichen Vorschriften über die Erhebung, Verarbeitung und Nutzung personenbezogener Gesundheitsdaten vereinbar sein müssen. Aus Sicht der Datenschutzbehörden können insbesondere die Entwickler von Gesundheits-Apps, die Betreiber von App Stores, die Hersteller von mHealth-Geräten und -Produkten sowie Diensteanbieter, die derartige Technologien vermarkten und anbieten, sog. verantwortliche Stellen im datenschutzrechtlichen Sinne sein, die für die Datenschutzkonformität ihrer Angebote und Produkte einstehen müssen.

Datenschutzrechtliche Brennpunkte der neuen mHealth-Technologien

Vor dem Hintergrund der rechtlichen Rahmenbedingungen und der jüngst geäußerten Positionen der europäischen und deutschen Datenschutzbehörden stellen sich insbesondere folgende Fragen im Zusammenhang mit mHealth-Angeboten:

FragezeichenWelche personenbezogenen Angaben im Zusammenhang mit der Nutzung von mHealth-Anwendungen und -Produkten stellen “personenbezogene Daten” oder sogar sensitive Daten (“Gesundheitsdaten“) im datenschutzrechtlichen Sinne dar? Welchen besonderen Anforderungen unterliegen sensitive Daten gemäß den geltenden europäischen und deutschen Datenschutzvorschriften?

Diesen Fragen werden wir uns in Teil 2 unserer Beitragsreihe zu den datenschutzrechtlichen Herausforderungen von mHealth-Lösungen widmen. Weitere relevante und spannende Fragen werden sein:

FragezeichenWelche Anforderungen sind an den datenschutzkonformen Einsatz von Gesundheits-Apps und den dazugehörigen Geräten zu stellen? Auf welche Art und Weise können die Anbieter und Hersteller von mHealth-Lösungen am einfachsten und sichersten das datenschutzrechtliche Einverständnis der Nutzer in die Erhebung, Verarbeitung und Nutzung der Daten erlangen? Welche Anforderungen sind an das Teilen derartiger Informationen mit Dritten zu stellen?

Teil 3 unserer Beitragsreihe soll diese Fragen im Detail beantworten. Da viele Anbieter von mHealth-Lösungen und -Produkten ihren Sitz im außereuropäischen Ausland, d.h. weder in der Europäischen Union noch im Europäischen Wirtschaftsraum haben, stellt sich zudem in aller Regel die Frage nach einem zulässigen Transfer von Gesundheitsdaten in Drittstaaten. Konkret geht es um die Frage

Fragezeichen3der rechtlichen und tatsächlichen Anforderungen sowie Zulässigkeit eines internationalen Transfers von mittels mHealth-Lösungen erhobenen Gesundheitsdaten.

Da es sich bei den mit Gesundheits-Apps und mobilen Geräten erhobenen Daten zu großen Teilen um besondere Arten personenbezogener Daten (sensitive Daten) handelt, stellt sich zudem die Frage nach praktikablen technischen Möglichkeiten und Standardeinstellungen zum Schutz der personenbezogenen Informationen der betroffenen Nutzer (“Privacy by Design” bzw. “Privacy by Default“). In einem unserer nächsten Beiträge werden wir uns deshalb intensiv mit der Frage auseinandersetzen:

Fragezeichen3Welches sind die erforderlichen und angemessenen technischen Sicherheitsmaßnahmen und Einstellungen, die zum Schutz personenbezogener Daten bei der Nutzung von mHealth-Apps zur Anwendung kommen müssen?

Unabhängig von der technischen Ausgestaltung der mHealth-Produkte stellt sich für deren Hersteller und Anbieter die Frage nach den erforderlichen rechtlichen Pflichtangaben und einzuhaltenden Informationenpflichten, die beim In-Verkehr-Bringen von mHealth-Lösungen zu beachten sind. Grundsätzlich gelten für derartige Rechtstexte, wie insbesondere Datenschutzhinweise, strenge gesetzliche Anforderungen. Einschlägige Fragen in diesem Zusammenhang sind:

Fragezeichen3Welches sind die inhaltlich zwingenden Angaben, die in diesen Zusammenhang zu machen sind? Und: Gibt es Möglichkeiten, die rechtlichen Risiken beim Anbieten von mHealth-Lösungen durch Nutzungsbedingungen und Datenschutzhinweise zu reduzieren?

Auch diesen Fragen werden wir uns in einem unserer folgenden Beiträge widmen.

Verstöße gegen datenschutzrechtliche Vorschriften können weitreichende Konsequenzen haben und z. B. Untersuchungen, Maßnahmen oder Bußgelder der Aufsichtsbehörden nach sich ziehen. Daneben droht in zivilrechtlicher Hinsicht ein Vorgehen von Wettbewerbern oder Verbraucherschutzverbänden auf Grundlage des Gesetzes gegen den unlauteren Wettbewerb (UWG) im Wege von Abmahnungen oder sogar gerichtlichen Schritten. Deshalb werden wir uns in einem weiteren Beitrag mit der Frage auseinandersetzen,

Fragezeichen3welche Sanktionen den Anbietern von mHealth-Produkten und -Apps drohen, wenn sie sich nicht an die datenschutzrechtlichen Vorschriften halten.


Zu guter Letzt stellt sich die Frage, ob und inwieweit mHealth-Apps und -Produkte den strengen regulatorischen Anforderungen unterliegen, die für Medizinprodukte gelten.

Was folgt daraus?

Die oben aufgeworfenen Fragen nach der rechtlichen Zulässigkeit und den technischen und rechtlichen Rahmenbedingungen von mHealth-Lösungen markieren einen der spannendsten und sich am stärksten entwickelnden Bereiche des Datenschutzrechts. Stück für Stück wollen wir Sie in den nachfolgenden Beiträgen sicher durch das Labyrinth der Meinungen und Ansichten führen und Antworten rund um mHealth geben, die Ihnen helfen sollen, sich in diesem datenschutzrechtlich noch weitgehend ungeklärten Gebiet und geschäftlichen Umfeld sicher zu bewegen.

Nächster Beitrag: Personenbezogene Informationen und sensitive Daten im Zusammenhang mit mHealth-Angeboten