Hohe rechtliche Anforderungen für Gesundheits-Apps
Nutzer digitaler Gesundheitsanwendungen (DiGA) teilen oftmals besonders sensible Informationen über den eigenen Körper. Daraus folgen hohe datenschutzrechtliche Anforderungen für die Anbieter der jeweiligen Apps. So müssen derartige personenbezogene Daten gemäß der Datenschutz-Grundverordnung (DSGVO) verarbeitet werden. Weitere Vorgaben für die Anbieter können sich aus der Verordnung für Digitale Gesundheitsanwendungen (DiGAV) ergeben: Diese regelt die Erstattungsfähigkeit der Anwendungen in den gesetzlichen Krankenkassen.
Eine zentrale Voraussetzung der Erstattungsfähigkeit ist dabei die Einwilligung des Versicherten zur Datenverarbeitung. Diese Einwilligung ist vom Anbieter zu speichern und gegebenenfalls gegenüber dem Bundesinstitut für Arzneimittel und Medizinprodukte, sowie gegenüber den Krankenkassen als Nachweis zu führen. Eine Verarbeitung der personenbezogenen Daten zu einem anderen Zweck als dem bestimmungsgemäßen Gebrauch der Anwendung wird von der Verordnung ausgeschlossen. Daraus folgt insbesondere ein Verbot der Datenverarbeitung zu Werbezwecken. Zudem verpflichtet die DiGAV die Anbieter und dessen Bedienstete auf Verschwiegenheit. Eine Verarbeitung der Daten darf im Übrigen nur im Inland, im EU-Ausland oder in einem sonstigen Staat mit gleichwertigen datenschutzrechtlichen Standards erfolgen.
Oftmals nachlässige Handhabung sensibler Nutzerdaten
Doch trotz der hohen rechtlichen Anforderungen mehren sich Berichte über teils gravierende Datenschutzlücken in einzelnen Gesundheits-Apps. Dies ist vor allem im Hinblick darauf bedenklich, dass diese auf dem Weg sind ein fester Bestandteil der medizinischen Regelversorgung zu werden: Immer mehr Verbraucher greifen auf solche Anwendungen zurück, zählen Kalorien oder führen digitale Krankheitsprotokolle, Krankenkassen übernehmen für die Apps inzwischen oft die Kosten. Mittlerweile gibt es kaum ein Gesundheitsthema, zu dem sich keine entsprechende DiGA im App-Store finden lässt. Dass dort viele der Anwendungen sehr günstig erworben werden können, heißt im Umkehrschluss meist: Der Nutzer zahlt mit seinen Daten - und muss mit Werbung rechnen. Denn eine Kostenübernahme durch die Krankenkassen wird nur von einem Bruchteil der Anbieter beantragt. Auch weisen viele Apps oft nur unzulängliche Regelungen zum Schutz der Nutzerdaten auf. Häufig befinden sich Anbieter und deren Server zudem im Ausland, außerhalb der Geltungsreichweite deutscher Datenschutzbestimmungen.
Hier kann Nutzern nur zur Vorsicht geraten werden: Je zurückhaltender sich ein Anbieter über seinen Umgang mit personenbezogenen Daten äußert, desto größer dürfte die Wahrscheinlichkeit sein, dass diese zu Werbezwecken und ähnlichem verwendet werden.
Zukünftig noch strengere Vorgaben für DiGA
Diese problematische Datenrechtslage rief die Politik auf den Plan. Derzeit erarbeiten mehrere Bundesbehörden gemeinsam neue Sicherheitsstandards für die Gesundheits-Apps. Zudem sind die Anbieter ab April 2003 dazu verpflichtet, per Vorlage eines Zertifikats einen Nachweis über die Einhaltung der Datenschutzanforderungen zu führen.
Aus datenschutzrechtlicher Sicht bleibt dabei der Wunsch, dass die künftigen Regeln Anbietern wie Nutzern Transparenz und Rechtssicherheit verschaffen werden. ZU hoffen ist auch. dass mit der zunehmenden Professionalisierung des noch relativ jungen DiGA-Marktes, Sicherheitslücken im datensensiblen Gesundheitsbereich schnell der Vergangenheit angehören.
Weitere Informationen zum Datenschutzrecht finden Sie auch auf unserer Homepage unter: https://www.rosepartner.de/datenschutz-datenschutzrecht.html
