22
Sep
2015
100658932_Newsletter_Quarter_Small (edit)
Dr. Christian Tinnefeld
Dr. Christian Tinnefeld
Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
E-Mail: christian.tinnefeld@hoganlovells.com
Telefon: +49 40 41993 238
» zur Autorenseite
Dr. Christian Tinnefeld
Dr. Henrik Hanßen
Dr. Henrik Hanßen
IPMT, Datenschutzrecht, IT-Recht / Hamburg
E-Mail: henrik.hanssen@hoganlovells.com
Telefon: +49 40 419 93 0
» zur Autorenseite
& Dr. Henrik Hanßen

Datenschutzrechtliche Anforderungen an mHealth-Lösungen (Teil 2)

Personenbezogene Daten und sensitive
Gesundheitsdaten bei mHealth-Produkten

In unserem ersten Beitrag hatten wir einen Überblick über die datenschutzrechtlichen Problemfelder von mHealth-Lösungen gegeben. Doch wie können Entwickler, Hersteller und Anbieter von mHealth Apps und Geräten diese in datenschutzkonformer Weise gestalten und betreiben? Eine Antwort auf diese Frage erfordert zunächst Klarheit darüber, in welchem Umfang überhaupt personenbezogene Daten oder sogar sensitive Gesundheitsdaten der Nutzer betroffen sind. Dieser Artikel gibt einen Überblick, wann der Personenbezug einer Information gegeben und damit der Anwendungsbereich des Datenschutzrechts eröffnet ist. Ferner wird erläutert, was Informationen zu sensitiven Gesundheitsdaten macht. Sind auch über Fitness- und Lifestyle-Apps erhobene Daten zu Lebensgestaltung und Wohlbefinden sensitive Gesundheitsdaten? – Wir stellen die wichtigsten rechtlichen Regelungen sowie die jüngsten Stellungnahmen der Artikel-29-Gruppe und des Europäischen Datenschutzbeauftragten vor, die gerade vor dem Hintergrund der künftigen Europäischen Datenschutzgrundverordnung von besonderer Bedeutung sind.

Welche Informationen sind speziell von mHealth-Lösungen betroffen?

mHealth-Lösungen zeichnen sich aus datenschutzrechtlicher Sicht dadurch aus, dass über sie große Mengen an Informationen vor allem über die physische Verfassung des jeweiligen Nutzers gesammelt werden können, und zwar über längere zusammenhängende Zeiträume hinweg. Populär sind etwa Kalorienzähler-Apps zur Erfassung der Nahrungsmittelaufnahme, Apps zur Dokumentation des Körpergewichts und Body-Mass-Indexes, Apps, mit denen sich die Einnahme von Medikamenten organisieren lässt bis hin zu Apps, die Schlüsse aus dem Geräusch eines Hustens ziehen. Schlafphasen, Dauer des täglichen Zähneputzens oder der Konsum von Zigaretten oder Alkohol lassen sich mit Hilfe von Apps genauso dokumentieren wie die Einnahme der Anti-Baby-Pille, der Verlauf einer Schwangerschaft oder das Wachstum eines Babys.

Besonders erfolgreich sind zudem Fitness-Apps, die in Verbindung mit Wearables (z.B. Sportarmbänder, Activity Tracker oder Smart Watches) sportliche Aktivitäten, Ausdauer und Trainingserfolge (insbesondere Tempo und Strecke beim Jogging) dokumentieren. Meistens geschieht dies unter Verarbeitung von Standortdaten. Daneben werden Schrittzähler sowie Geräte zur Erfassung von Herzfrequenz und Blutdruck immer beliebter.

Während die vorgenannten Apps und mobilen Geräte vorwiegend weniger einen professional medizinischen als einen Lifestyle-Bezug aufweisen, existieren daneben Angebote, die speziell für die Benutzung im Verhältnis zwischen Arzt und Patient bestimmt sind und eine Datenübermittlung an den behandelnden Arzt ermöglichen. Über entsprechende Apps können Informationen zu allgemeinen Vitalwerten bis hin zu konkreten Symptomen erhoben und übertragen werden. Auch hier ist die Kombination mit zusätzlichen mobilen Geräten, insbesondere zur Erfassung von Herzschlag, Blutdruck oder Blutzuckerspiegel denkbar. Es sind sogar spezielle Fieberthermometer erhältlich, die eine Datenübertragung an Smartphones ermöglichen.

Wann sind Daten personenbezogen?

Zunächst stellt sich die Frage, in welcher Hinsicht und in welchem Umfang diese gesammelten Informationen datenschutzrechtlich überhaupt von Bedeutung sind. Bekanntlich ist eine Erhebung und Verarbeitung von Daten nur dann relevant, wenn es sich um personenbezogene Daten handelt. Personenbezogene Daten werden in Art. 2 b) der Datenschutzrichtlinie (Richtlinie 95/46/EG) bzw. auf deutscher Ebene in § 3 Nr. 1 BDSG als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person und damit extrem weit definiert. Wichtig ist, dass die bloße Bestimmbarkeit einer Person ausreicht, um den Personenbezug zu begründen. Nach der Erwägungsgrund 26 der Datenschutzrichtlinie ist für die Bestimmbarkeit auf alle Mittel abzustellen, die vernünftigerweise entweder von der verantwortlichen Stelle selbst oder einem Dritten eingesetzt werden können. Auch in der künftigen Europäischen Datenschutzgrundverordnung (“EU-DSGVO“) wird die Bestimmbarkeit einer Person für einen Personenbezug ausreichen (s. Art. 4 Abs. 1 EU-DSGVO-E).

Beispiele personenbezogener Daten

Zu beachten ist, dass gerade bei der Benutzung über Smartphones, Tablets und andere Devices zahlreiche andere Daten herangezogen werden können, die Rückschlüsse auf eine konkrete Person ermöglichen. Dies gilt etwa, wenn Daten einer konkreten Nutzerregistrierung zugeordnet werden, aus welcher der Name der Person ersichtlich ist. Aber auch über Adressen, E-Mail-Adressen, Telefonnummern oder die Geräte- und Kartenkennung, die dauerhaft mit dem Gerät oder der Karte verbunden ist (z.B. IMEI, UDID, IMSI oder MAC-Adresse), sowie über den vom Nutzer selbst vergebenen Namen des Smartphones lässt sich häufig ein Personenbezug herstellen. Mit der Frage, ob auch dynamische IP-Adressen als solche personenbezogene Daten sind, befasst sich gegenwärtig der EuGH.

Personenbezogen sind zudem Daten für biometrische Erkennungsverfahren, mit denen eine Person eindeutig identifiziert werden kann (etwa Fingerabdruck, Irisaufnahmen oder Gesichtsgeometrie). Auch Kontaktdaten im Adressbuch eines Smartphones sowie Kalendereinträge, Registrierungsdaten und Nachrichten (SMS, E-Mails etc.) weisen regelmäßig Personenbezug auf und dürfen daher nur im Einklang mit dem Datenschutzrecht erhoben und verarbeitet werden. Schließlich gehören Audiodaten mit Stimmaufnahmen sowie Foto- und Filmaufnahmen einer Person zu den personenbezogenen Daten. Auch Standortdaten können personenbezogen sein, wenn neben dem bloßen Standort ein weiteres Datum mitgesendet wird, das den Schluss auf eine konkrete Person zulässt oder die Person aufgrund ihres Bewegungsprofils identifizierbar wird (s. die Orientierungshilfe für App-Entwickler und -Anbieter des Düsseldorfer Kreises vom 16. Juni 2014, S.5).

Am wichtigsten ist allerdings, dass auch die von einem Sensor erfassten oder von einem Nutzer in eine App eingegebenen “Rohdaten” über Gesundheitszustand, körperliche Aktivitäten, Vitalwerte, Ernährung, Medikamenteneinnahme, Tabakkonsum usw. personenbezogene Daten sein können, wenn sie einer konkreten Person zugeordnet werden. Nach der weiten Definition der Datenschutzrichtlinie und auch nach der aktuell vorgesehenen Regelung in Art. 4 Abs. 1 EU-DSGVO-E, liegt ein Personenbezug vor, wenn die verantwortliche Stelle oder ein Dritter imstande ist, die Daten unter vertretbarem Aufwand einer konkreten Person zuzuordnen. Hier kommt es stets auf den Einzelfall an, jedoch wird häufig ein Personenbezug vorliegen.

Der Europäischen Datenschutzbeauftragte (“EDSB“) vertritt in seiner Stellungnahme vom 21. Mai 2015 (s. dort Rz. 10) entsprechend die Position, “dass im Zusammenhang mit mHealth verarbeitete Daten grundsätzlich personenbezogene Daten sind […].”

Lassen Anonymisierung oder Pseudonymisierung den Personenbezug entfallen?

Ist der Personenbezug einmal festgestellt, stellt sich die Frage, ob der Personenbezug dadurch entfällt, dass die erhobenen Daten vom Anbieter oder Betreiber des mHealth-Produkts pseudonymisiert oder anonymisiert werden, bevor sie verarbeitet und mit Dritten geteilt werden.

Anonymisierung oder Pseudonymisierung von Daten dienen zweifellos dem Schutz der Nutzerdaten und sind daher gesetzlich verpflichtend, soweit dies technisch möglich und zumutbar ist (§ 3a BDSG, § 13 Abs. 6 TMG, sog. Gebot der Datenvermeidung und Datensparsamkeit). Allerdings ist eine Pseudonymisierung nur bedingt geeignet, den Personenbezug von Daten entfallen zu lassen. Nach dem im deutschen Datenschutzrecht vertretenen Konzept des relativen Personenbezugs sind Daten unter Umständen nach ihrer Pseudonymisierung (also nach dem Austausch personenidentifizierender Merkmale durch Platzhalter) für einen Empfänger dieser pseudonymisierten Daten nicht mehr personenbezogen. Dagegen kann die verarbeitende verantwortliche Stelle (z. B. der mHealth-App Anbieter) die pseudonymiserten Daten regelmäßig wieder dechiffrieren, mit anderen Worten den Personenbezug herstellen.

Auf europäischer Ebene hat der EDSB festgestellt, dass auch pseudonyme Daten personenbezogen sind, “da nicht nur der für die Verarbeitung Verantwortliche, sondern auch Dritte durch Kombination mit externen Informationen die Person erneut bestimmen können.”

Nach Ansicht der Artikel 29-Gruppe soll selbst eine Anonymisierung den Personenbezug nicht mit absoluter Sicherheit ausschließen, vgl. die Stellungnahme der Artikel 29 Gruppe zu Anonymisierungstechniken vom 10. April 2014. Vielmehr soll die angewendete Anonymisierungstechnik sowie die Art der Daten entscheidend sein. Unter Verweis auf diese Stellungnahme vertritt auch der EDSB die Auffassung, dass auch anonymisierte Daten aufgrund ihrer Einzigartigkeit in Einzelfällen den Schluss auf eine bestimmte Person zulassen können (Stellungnahme des EDSB vom 21. Mai 2015, Rz. 11).

Nach derzeitigem Stand der Diskussion ist bei vorsichtiger Betrachtungsweise somit davon auszugehen, dass die zuständigen Behörden selbst im Fall einer Anwendung von Anonymisierungsmethoden annehmen könnten, dass wegen der Kombination mit weiteren Informationen personenbezogene Daten in mHealth-Produkten erhoben und verarbeitet werden.

Wann handelt es sich bei personenbezogenen Daten um sensitive Gesundheitsdaten?

Hieraus ergeben sich weitere Folgefragen, insbesondere, ob es sich bei den von mHealth-Produkten gesammelten Informationen zur Gesundheit und körperlichen Verfassung ihrer Nutzer um Gesundheitsdaten im datenschutzrechtlichen Sinn handelt, die als sensitive Daten einen besonderen Schutz genießen (§ 3 Abs. 9 BDSG, Art. 8 Datenschutzrichtlinie). Kommt man zu diesem Ergebnis, dürften diese Informationen nur unter besonderen Voraussetzungen erhoben und verarbeitet werden (§ 28 Abs. 6 BDSG). Insbesondere müssten sich Einwilligungen der Nutzer dann ausdrücklich auf die konkret erhobenen Gesundheitsdaten beziehen (§ 4a Abs. 3 BDSG). Diese Anforderungen werden auch nach der künftigen Datenschutzgrundverordnung gelten (Art. 9 EU-DSGVO-E).

Nach Ansicht der Europäischen Kommission in ihrem Grünbuch über mobile-Health-Dienste vom 10. April 2014 (dort Ziffer 3.1) betreffen mHealth-Lösungen regelmäßig Gesundheitsdaten.

Auch der Düsseldorfer Kreis verweist in seiner Orientierungshilfe für App-Entwickler und –Anbieter auf die häufige Betroffenheit von Gesundheitsdaten (dort Ziffer 7). Richtigerweise ist im jeweiligen Einzelfall festzustellen, ob und in welchem Umfang Gesundheitsdaten erhoben und verarbeitet werden, so auch der EDSB (Stellungnahme des EDSB vom 21. Mai 2015, Rz 12).

mHealth-Produkte zur medizinisch-professionellen Nutzung

87632371_Newsletter_Quarter_SmallJedenfalls medizinisch-fachliche Informationen über eine Person, insbesondere konkrete Angaben zu ihrem physiologischen Zustand, zu Krankheiten, Behinderungen sowie Krankheits- und Behandlungsverläufen, sind stets Gesundheitsdaten. Apps und Geräte, die im Arzt-Patienten-Verhältnis eingesetzt werden, betreffen daher regelmäßig sensitive Gesundheitsdaten.

 

Sind Informationen über “Lifestyle” und Wohlbefinden Gesundheitsdaten?

Die meisten mHealth-Angebote beziehen sich jedoch nicht auf medizinische Daten zu Krankheitsbefunden und -behandlungen, sondern betreffen vielmehr allgemeinere personenbezogene Informationen zur Lebensgestaltung einer Person.

Für die Frage, wann derartige personenbezogene Informationen zu Gesundheitsdaten werden, stellen die Artikel-29-Gruppe und der EDSB nicht allein auf die Art der Informationen als solche ab, sondern auch auf die Umstände und Zwecke ihrer Erhebung und Verarbeitung.

So sollen nach Auffassung des EDSB nicht-medizinische Daten über Lifestyle und Wohlbefinden als Gesundheitsdaten gelten, wenn sie in einem medizinischen Kontext verwendet werden, wenn aus ihnen Informationen über den Gesundheitszustand einer Person abgeleitet werden können oder wenn der Zweck der mHealth-Lösung darin besteht, die Gesundheit oder das Wohlbefinden der Person zu überwachen (Stellungnahme des EDSB vom 21. Mai 2015, Rz 12).

Ähnlich will die Artikel-29-Gruppe Informationen über “Lifestyle” und Wohlbefinden als Gesundheitsdaten ansehen, wenn aus ihnen Schlussfolgerungen über die Gesundheit einer Person gezogen werden (unabhängig von deren Verlässlichkeit). Dies soll insbesondere dann der Fall sein, wenn derartige Daten über einen längeren Zeitraum erhoben und ausgewertet werden. Auch sollen personenbezogene Daten zu Gesundheitsdaten werden können, wenn sich in Kombination mit anderen Daten wie Alter und Geschlecht Aussagen über den Gesundheitszustand treffen lassen.

Beispielsweise soll nach Auffassung der Artikel-29-Gruppe die bloß punktuelle Erfassung des Körpergewichts oder Blutdrucks einer Person noch kein Gesundheitsdatum darstellen (Extremfälle ausgenommen). Wird aber die Entwicklung des Körpergewichts über eine gewisse Zeitspanne betrachtet und werden daraus Schlussfolgerungen etwa hinsichtlich Über- bzw. Untergewicht und ein etwaiges Erkrankungsrisiko gezogen, soll es sich um Gesundheitsdaten handeln. Auf diesem Wege können auch Informationen zur täglichen körperlichen und sportlichen Aktivität, Herzfrequenz, Nahrungsmittelaufnahme oder zum Blutdruck als Gesundheitsdaten eingestuft werden, wenn aus Ihnen auf Krankheiten oder Erkrankungsrisiken geschlossen wird. Gleiches gilt für Daten zu Alkohol- und Tabakkonsum oder zur täglich zur Zahnpflege aufgewendeten Zeit, sofern über die mHealth-Lösung daraus Schlussfolgerungen über den Gesundheitszustand ermittelt werden.

Faustformel für die Annahme von Gesundheitsdaten

Als übergeordnete Kriterien, die insbesondere nach Ansicht der Artikel-29-Gruppe und des EDSB zu einer Einstufung als Gesundheitsdaten führen können, sind damit zu nennen (wahlweise):

  • Betroffenheit von medizinisch-fachlichen Informationen
  • Erhebung von nicht-medizinischen, aber den physischen und psychischen Zustand einer Person betreffenden Daten über einen längeren Zeitraum hinweg
  • Verwendung und Auswertung von nicht-medizinischen Daten insbesondere
    • durch Zusammenführung mit anderen Daten, so dass sich eine konkrete Aussage über den Gesundheitszustand einer Person ergibt, oder durch
    • Ziehung von Schlussfolgerungen aus den erhobenen Daten über den Gesundheitszustand einer Person (unabhängig von der Zuverlässigkeit oder Richtigkeit der Schlussfolgerung).

Praxistipp

Es wird deutlich, dass die Behörden den Begriff der Gesundheitsdaten im Zusammenhang mit mHealth-Lösungen sehr weit fassen. Für Entwickler und Anbieter von mHealth-Lösungen bedeutet dies, dass genau geprüft und dokumentiert werden sollte, welche konkrete Art von Daten zu welchen konkreten Zwecken erhoben werden. In einem weiteren Schritt ist stets für den Einzelfall zu prüfen, ob ein Personenbezug besteht und ob die Daten darüber hinaus sogar als Gesundheitsdaten eingestuft werden müssen. Dies ist deswegen wichtig, da hiervon grundlegend die Anforderungen für die Zulässigkeit der Datenerhebung und -verarbeitung abhängen. Wie letztere rechtmäßig gestaltet werden kann, insbesondere durch die Einholung von Einwilligungen, behandeln wir in unserem Folgebeitrag.