27.06.2022, Medienrecht, IT-Recht

HealthTec Apps vs. Datenschutz

Häufig nachlässiger Umgang mit besonders sensiblen Daten

Autorin: Sonja Dähnhardt, Rechtsanwältin in Hamburg

Der HealthTec-Markt boomt. Immer mehr Verbraucher greifen für die Optimierung ihrer Gesundheit auf technische Geräte und Anwendungen zurück. Seit einiger Zeit übernehmen sogar die Krankenkassen die Kosten für eine Reihe von Apps. Damit sind Health Tec Apps bzw. digitale Gesundheitsanwendungen (DiGA) im Mainstream angekommen. Zugleich mehren sich jedoch auch die Berichte über teils erhebliche Datenschutzlücken bei den jeweiligen Anbietern.

Immer wieder Datenschutzlücken bei Gesundheitsapps

Zuletzt berichtete der Spiegel darüber, dass das Hackerkollektiv ‚Zerforschung‘ gravierende Schwachstellen in diversen Gesundheits-Apps festgestellt hat.

Beispielsweise im Fall der Mental Health-App Novego. Diese wirbt mit ihrem Depressionsprogramm auf Rezept. Hiermit sollen Nutzer ihre Depressionen mit digitaler Hilfe „schnell und unkompliziert von zuhause aus“ bewältigen können. 3 Monate kosten rund 250,- Euro und werden von den meisten Krankenkassen finanziert. Auch für Burn-Out, Ängste, Schlafprobleme und Stress bietet die App digitale Lösungen an. Ein vielversprechendes Angebot, mit dem diese Patienten die oft quälend langen Monate auf Wartelisten für einen Therapieplatz überbrücken können.

Begleiterscheinung der Anwendung ist jedoch, dass die relevanten Gesundheitsdaten direkt mit der App geteilt werden müssen. Und genau diese sensiblen Daten konnten die Hacker von ‚Zerforschung‘ nun mit einem einfachen Trick abrufen. Hierunter E-Mail-Adresse, Nutzername, Geschlecht, absolviertes Programm (Depressionen, Angststörung, Burn-Out etc.) und die Antworten auf psychologische Fragebögen zum Gesundheitszustand von jedem beliebigen Nutzer.

Im Falle der App Cankado PRO-React Onco, die zur Unterstützung von Brustkrebspatienten und -patientinnen gedacht ist, konnten die Hacker ebenfalls Namen, Adressen, Passwörter, Diagnosen, Arztberichte, Tagebücher und weitere hoch sensible Daten abrufen.

Auch wenn die Anbieter versichern, dass die aufgedeckten Sicherheitslücken mittlerweile geschlossen sind und die strengen datenschutzrechtlichen Anforderungen der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) eingehalten werden, hat das Vertrauen in Gesundheitsapps gelitten.

Die strengen Anforderungen der DiGAV

Selbstverständlich müssen personenbezogene Daten von digitalen Gesundheitsanwendungen DSGVO konform verarbeitet werden. Zusätzliche Anforderungen ergeben sich zudem aus der DiGAV, einer Verordnung speziell über das Verfahren und die Anforderungen der Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in den gesetzlichen Krankenversicherungen.

Für Apps auf Rezept gelten demnach Anforderungen, die über die der DSGVO hinausgehen.

Insbesondere müssen die Anbieter die Einwilligung des Versicherten für die Verarbeitung der Daten zum bestimmungsgemäßen Gebrauch und zur Nachweisführung gegenüber den Krankenkassen und dem Bundesinstitut für Arzneimittel und Medizinprodukte sowie für die Verarbeitung zum Zweck der dauerhaften Gewährleistung der technischen Funktionsfähigkeit, Nutzerfreundlichkeit und Weiterentwicklung einholen.

Eine Verarbeitung zu anderen Zwecken – insbesondere zu Werbezwecken – ist ausgeschlossen. Außerdem werden die Anwender und alle für sie tätigen Personen zur Verschwiegenheit verpflichtet.

Eine Verarbeitung der personenbezogenen Daten darf zudem grundsätzlich nur im Inland, in einem Mitgliedstaat der EU oder einem gleichgestellten Staat erfolgen. Hierdurch soll sichergestellt werden, dass deutsches bzw. europäischen Datenschutzrecht anwendbar ist.

Unklare Datenschutzvoraussetzungen für sonstige gesundheitsbezogene Apps

Dieser letzte Punkt zeigt zugleich eine große Schwachstelle anderer Gesundheits-Apps auf. Denn nur ein sehr geringer Anteil der verfügbaren Health-Apps beantragen überhaupt die Kostenübernahme durch die Krankenkassen. Die allermeisten Apps stehen den Nutzern für nur wenige Euro zum Download im App-Store zur Verfügung.

Von digitalen Abnehm-Apps über Entspannungsanwendungen, Fitness-Apps, Pillenweckern bis zu Zyklustrackern. Es gibt kaum ein körper- und gesundheitsbezogenes Thema, zu dem sich keine passende App findet. Die Kosten für diese Anwendungen halten sich in Grenzen, was in der Regel im Umkehrschluss bedeutet, dass der Anbieter sein Geld über die Nutzung der Daten und das Schalten von Werbeanzeigen verdient.

Diese Apps weisen häufig nur unzureichende Regelungen zum Schutz der persönlichen Daten auf. Oft ist zudem unklar, welche datenschutzrechtlichen Bestimmungen überhaupt gelten. Denn viele App-Anbieter und deren Server befinden sich im Ausland. Die Anforderungen der DSGVO gelten somit unter Umständen gar nicht. Welche Datenschutzvorschriften also gelten beziehungsweise wie die erhobenen Daten genutzt und verarbeitet werden, ist bei vielen Apps für den Nutzer gar nicht herauszufinden.

Künftig strengere Anforderungen für DiGA erwartet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erarbeiten derzeit gemeinsam neue Sicherheitsstandards für Gesundheits-Apps.

Ab April 2023 muss zudem der Nachweis über die Erfüllung der Datenschutzanforderungen durch den DiGA-Hersteller durch Vorlage eines Zertifikates nach Artikel 42 der EU-DSGVO geführt werden.

Aus datenschutzrechtlicher Sicht ist zu hoffen, dass die einzuhaltenden Voraussetzungen für App-Hersteller sowie für Nutzer für Rechtssicherheit und Klarheit sorgen. Der noch relativ junge DiGA Markt dürfte sich in den nächsten Jahren zunehmend professionalisieren, so dass zu hoffen ist, dass Datenschutzlücken der Vergangenheit angehören.

Hinsichtlich sonstiger Apps, die gesundheitsbezogene Daten verwenden, kann Verbrauchern nur zur Vorsicht geraten werden. Je weniger der Hersteller über sich und den Umgang mit den Daten des Nutzers angibt, umso wahrscheinlicher ist es, dass die Daten zu Werbezwecken und ähnlichem verwendet werden.

Kontaktformular für unverbindliche Mandatsanfragen

Schildern Sie uns Ihr Anliegen und/oder lassen Sie sich zurückrufen.

Hiermit willige ich in die Verarbeitung meiner Daten gemäß der Datenschutzerklärung (Ziffer VIII.) ein. Die Daten werden zur Bearbeitung meiner Kontaktanfrage benötigt und nicht an Dritte weitergegeben. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft durch Erklärung gegenüber ROSE & PARTNER widerrufen.