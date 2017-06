Ärzte Zeitung, 01.06.2017 1

Konkrete Regeln zum Schutz von Daten der Patienten fehlen häufig

Sind Daten über Puls, Fitness und Medikamenteneinnahme in einer App sicher? Die Bundesbeauftragte für den Datenschutz, Andrea Vosshoff, ist davon nicht überzeugt und fordert schärfere Gesetze für mehr Transparenz. Experten greifen ihre Vorschläge aber zu kurz.

Von Marco Hübner

Gesundheits-Apps und Wearables sind im Trend – allerdings besteht bei den auf dem Markt befindlichen Produkten großer Nachholbedarf in Sachen Datenschutz. Momentan birgt die Verwendung solcher Anwendungen häufig "erhebliche datenschutzrechtliche Risiken" – derer sich die Nutzer oftmals gar nicht bewusst sind. Das ist eine der Hauptaussagen zu Gesundheitsthemen aus dem Tätigkeitsbericht 2015/2016, den die Bundesbeauftragte für den Datenschutz, Andrea Vosshoff, am Dienstag veröffentlicht hat (wir berichteten kurz). Vosshoff attestiert in ihrem Bericht Bedarf für schärfere Regeln in Deutschland: "Der Gesetzgeber sollte durch regulatorische Vorgaben für die Nutzung von Apps und dadurch erhobene Daten die Rechte der Verbraucher schützen", heißt es weiter. Denn: Den Anwendungen mangele es vielfach an Transparenz.

Grundsätzlich fehle es schon an einer einheitlichen Definition für Gesundheits-Apps. Momentan werden Anwendungen mit gesundheitlichem Bezug gemeinhin unter diesem Begriff zusammengefasst – obwohl die medizinische Relevanz selten gegeben sei, heißt es. Was mit den erfassten Köperdaten der Nutzer passiere, bleibe zudem in vielen Fällen ebenfalls ungewiss. "Überwiegend werden sie per App an Dritte übermittelt", schreiben die Autoren des Tätigkeitsberichts. Unklar sei, ob die Daten etwa im Ausland analysiert werden, unter welchen Sicherheitsbedingungen dies geschehe und in welcher Form sie weiterverarbeitet werden.

Eine große Gefahr sei dabei die unkontrollierte Zusammenführung von Daten. Selbst per App anonymisierte Gesundheitsdaten könnten in Kombination mit Informationen, die der Nutzer beispielsweise frei verfügbar ins Netz stellt, Patienten im Nachhinein identifizierbar machen. Auf diese Weise ließen sich umfangreiche Gesundheitsprofile erstellen, die im Versicherungswesen oder anderen Zusammenhängen ohne Wissen der Nutzer gegen diese verwendet werden können, mahnt Vosshoff.

GKV-Apps sollen geprüft werden

Gegenwärtig gibt es bereits erste private Kassen, die ihren Kunden für gesundheitsbewusstes Verhalten, das durch Messdaten aus Apps belegt wird, bessere Konditionen bieten (wir berichteten). Doch wer Versicherten digitale Gesundheitsanwendungen anbiete, gleich ob im Rahmen solcher oder anderer Modelle, müsse ausreichenden Schutz für die Gesundheitsdaten gewährleisten. Hier sieht die Bundesbeauftragte ebenfalls Anlass zur Kritik und für Nachbesserungen seitens des Gesetzgebers. Auch viele gesetzliche Kassen würden heute eigene Apps zur Verfügung stellen. Das Sozialgesetzbuch regele hier den Datenverkehr. Eine darüber hinausgehende Verarbeitung von Sozialdaten sei unzulässig – auch dann, wenn die Versicherten zuvor für die Nutzung eingewilligt hätten. In jedem Fall sei daher zu prüfen, ob die mithilfe von Apps gewonnenen Daten von den Erlaubnistatbeständen des Sozialgesetzbuches erfasst sind. "In der Regel ist dies nicht der Fall", wird im Bericht moniert. Im Bereich der privaten Krankenversicherung ist die Nutzung solcher Apps dem Versicherungsvertrags- und Bundesdatenschutzgesetz unterworfen. Das ist dem Bericht zufolge nicht ausreichend.

Ruf nach Rechtsgrundlage

Vosshoff ruft den Gesetzgeber dazu auf, auch den Versicherten privater Kassen Schutz über das Sozialrecht zu ermöglichen. Die Erhebung von Gesundheitsdaten über entsprechende Apps dürfe für private Krankenversicherer nur dann erlaubt sein, "wenn es hierfür eine spezifische Rechtsgrundlage gibt". In dem Bericht arbeitet sich die Bundesbeauftragte aber auch an konkreten Gesetzen ab: Es sei bedenklich, dass das E-Health-Gesetz in seiner jetzigen Form kaum Datenschutzregelungen enthalte.

Beispiel: Zwar ist im Gesetzestext die Rede von der Einbeziehung mobiler Endgeräte – also Smartphones – von Versicherten, jedoch fehlten dafür festgelegte datenschutzrechtliche Voraussetzungen. Diese müssten bei künftigen Gesetzen unbedingt verankert werden, wenn Apps und Wearables sicher in die Versorgung integriert werden sollen. Orientierung könne dabei die EU-Datenschutz-Grundverordnung liefern. Die Verordnung soll den Datenschutz innerhalb der EU vereinheitlichen und gilt nach Inkrafttreten am 25. Mai 2018 in allen Mitgliedsstaaten als direkt geltendes Recht.

Der Rechtsanwalt und Experte für Datensicherheit im Gesundheitswesen, Gerald Spyra, hält die Anregungen Vosshoffs für richtig. Allerdings greifen sie ihm zu kurz, da sie nur am Symptom aber nicht der Ursache ansetzen: "Die Smartphone-Systeme der Patienten sind an sich unsichere Blackboxen, die häufig im Hintergrund ohne Wissen des Nutzers arbeiten", betont Spyra auf Anfrage der "Ärzte Zeitung". Eine Gesundheits-App sei immer im Zusammenspiel mit dem Smartphone und den anderen darauf befindlichen Anwendungen zu sehen. "Was wir brauchen, sind offene, auditierbare Systeme", sagt der Datenschutzexperte. Dies müsse der Gesetzgeber als wichtigen Schritt zuerst in Angriff nehmen.

Die Industrie befürchtet indes eine zunehmend verwirrende Zahl an Datenschutz-Gesetzen und Auflagen. Für Ekkehard Mittelstaedt, Geschäftsführer des Bundesverbands Gesundheits-IT, sollte es vornehmlich Ziel sein, zügig eine Harmonisierung der Datenschutzvorgaben im Gesundheitswesen zwischen den Ländern herbeizuführen. "Die komplexen Vorgaben des deutschen Datenschutz-Dschungels können schnell vor allem für neue Anbieter auf dem Markt zu Verwirrung führen", erklärt Mittelstaedt im Gespräch mit der "Ärzte Zeitung". Seiner Auffassung nach sollten die staatlichen Stellen darüber hinaus Aufklärungsarbeit leisten. Etwa dadurch, dass sie Hersteller über die Möglichkeit informieren, sich selbst dem europäischen Code of Conduct on Privacy for mHealth zu verpflichten.