Stellen Gesundheits-Apps ein Sicherheitsrisiko dar?

Apps für Smartphones werden immer populärer und erleichtern Verbrauchern den schnellen Zugriff auf bestimmte Informationen. Seit ein paar Jahren sind auch Gesundheits- und Medizin-Apps auf dem Vormarsch. Doch was einerseits effizient und zukunftsweisend erscheint, bringt auf der anderen Seite auch Risiken mit sich. Im folgenden Fachartikel erläutert Rechtsanwältin Kathrin Schürmann – sie ist als Beraterin für den Datenschutzspezialisten Isico tätig –, welche Anforderungen Gesundheits- und Medizin-Apps erfüllen müssen.

Schon im Jahr 2011 stellte der Branchenverband Bitkom fest, dass in Deutschland etwa 15.000 gesundheitsbezogene Apps angeboten werden. Heute geht der Verband von einem weiteren Wachstum um etwa zehn Prozent aus.

„Mobile Gesundheit“

Durch Gesundheits- und Medizin-Apps bekommen Verbraucher beispielsweise Aufschluss über ihren Blutzucker, ihren Blutdruck oder ihre Sehschärfe. Sie können ihre Herzfrequenz messen, ihre Lungenfunktion prüfen oder sich einfach an die Einnahme ihrer Medikamente erinnern lassen. Bei Ärzten und Krankenhäusern steht eine besser Vernetzung und die damit einhergehende Verbesserung der Behandlung des Patienten im Vordergrund. So erleichtern Apps zum Beispiel während der Patientenvisite den Einsatz der elektronischen Patientenakte. Experten gehen davon aus, dass die verbesserte Behandlung in der Zukunft mit einer Effizienzsteigerung einhergehen und gleichzeitig für geringere Kosten im Gesundheitssystem sorgen könnte.

Doch angesichts der Bandbreite der angebotenen Apps im Gesundheitswesen ist fraglich, wie der Patient in Zukunft genau ermitteln kann, welche Gesundheits- und Medizin-Apps für ihn unbedenklich sind. Können alle Apps in Krankenhäusern eingesetzt werden oder gibt es Qualitätskriterien für Medizin- und Gesundheits-Apps, die eine Auswahl vereinfachen können? Was ist beim Datenschutz zu beachten? Diese Fragen beschäftigen derzeit die Experten – bisher jedoch ohne nennenswerte Ergebnisse.

Medizin-Apps in Deutschland

In Deutschland gilt für Medizinprodukte das Medizinproduktegesetzes (MPG). Unter die Begriffsbestimmung des Medizinproduktes in § 3 Nr. 1 MPG fällt auch Software und damit grundsätzlich auch Apps. Damit eine App als Medizinprodukt einzuordnen ist, bedarf es einer Zweckbestimmung des Herstellers. Dieser muss die entsprechende Software für einen diagnostischen oder therapeutischen Zweck bestimmen, der in der Norm (§ 3 Nr. 1 MPG) genannt wird. Für die Beurteilung der Zweckbestimmung werden die Aussagen des Herstellers in der Gebrauchsanweisung, der Kennzeichnung und der Werbung herangezogen. Wenn eine App dann in Deutschland als Medizinprodukt eingestuft wird, darf sie nur in den Verkehr gebracht werden, wenn sie eine CE-Kennzeichnung trägt.

Fehlt die Angabe des medizinischen Zwecks vom Hersteller, fällt die App nicht unter den Begriff des Medizinprodukts. Um die CE-Kennzeichnung zu erhalten, müssen App-Hersteller die Voraussetzungen in § 7 Abs. 1 MPG erfüllen und ein entsprechendes Konformitätsbewertungsverfahren nach der Medizinprodukteverordnung (MPV) in Verbindung mit der EU-Richtlinie 93/42/EWG durchführen. Die „grundlegenden Gesundheits- und Sicherheitsanforderungen“ verpflichten den Hersteller zu gewährleisten, dass die Anwendung des jeweiligen Medizinprodukts keine Gefährdung für Patienten, Anwender oder Dritte darstellt und das Produkt insgesamt ein hohes Sicherheitsniveau aufweist. Dennoch ist es in der Praxis häufig so, dass die meisten Antragsteller die CE-Kennzeichnung problemlos erhalten.

Gütesiegel fehlt

Was bis heute allerdings fehlt, ist ein entsprechendes Gütesiegel, was Aufschluss über die Qualität und den Datenschutz-Standard der App gibt, da diese Punkte im Rahmen der CE-Prüfung keine Berücksichtigung finden. So bleiben ebenfalls grundsätzlich Übertragungswege und Netzwerkkomponenten von der Regelung des MPG unberücksichtigt.

Eine ganz entscheidende Rolle beim Einsatz von Medizin- und Gesundheits-Apps spielen die Regelungen des Datenschutzes. Diese greifen immer dann ein, wenn personenbezogene Daten in irgendeiner Weise betroffen sind. Wenn ein App-Anbieter in Deutschland Daten erhebt und verwendet, sind grundsätzlich deutsches Datenschutzrecht und die Spezialvorschriften des Telekommunikationsgesetzes und des Telemediengesetzes anwendbar. Häufig sind es jedoch ausländische Unternehmen, die Apps anbieten und die Daten werden irgendwo auf der Welt gespeichert. Hier ist es in der Praxis schwierig, deutsches Datenschutzrecht gegenüber ausländischen App-Anbietern durchzusetzen.

Nach dem Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten nur erhoben, verarbeitet oder gespeichert werden, wenn eine gesetzliche Ermächtigungsgrundlage oder eine Einwilligung gemäß § 4 Abs. 1 BDSG vom Betroffenen vorliegt.

Wann die Einwilligung zur Datenverarbeitung vorliegen muss

Im Bereich der Medizin-Apps muss bedacht werden, dass zwei verschiedene Konstellationen zu betrachten sind. Einmal kann es sein, dass ein privater Nutzer oder Patient die App einsetzt. Weiter können die Apps aber auch von einem Arzt oder einen Krankenhaus verwendet werden.

Im Verhältnis Privatperson zum Anbieter muss im Falle von Gesundheitsdaten eine ausdrückliche Einwilligung des Betroffenen vorliegen (§ 4 a Abs. 1,3 BDSG). Das heißt, der Einwilligende muss über den Zweck der Datenverarbeitung informiert worden sein, die Abgabe muss freiwillig erfolgen, und die Einwilligung muss sich ausdrücklich auf die Gesundheitsdaten beziehen. Für App- Anbieter bietet es sich an, die Einwilligung schon beim ersten Start der App einzuholen.

Wird eine Medizin-App dagegen durch einen Arzt oder ein Krankenhaus für die medizinische Behandlung eines Patienten genutzt, gilt das deutsche Datenschutzrecht für die Speicherung und die Erhebung der Patientendaten. Bei der Speicherung von Patientendaten bei einem App-Anbieter liegt immer eine Übermittlung zwischen dem Arzt beziehungsweise dem Krankenhaus und dem App-Anbieter vor. Diese Übermittlung bedarf einer gesetzlichen Grundlage (beispielsweise § 28 Abs.6-8 BDSG) oder einer Einwilligung der betroffenen Patienten.

Eine gesetzliche Ermächtigungsgrundlage enthält das Bundesdatenschutzgesetz (BDSG) im § 28 Abs. 7. Danach ist das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9, darunter fallen zum Beispiel Gesundheitsdaten) ferner „zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen“.

Es können auch bereichsspezifische Sondervorschriften einschlägig sein, etwa die Krankenhausgesetze der Länder, die dem BDSG grundsätzlich vorgehen. Diese ermächtigen jedoch nicht grundsätzlich zur Nutzung einer App.

Besondere Anforderungen an Träger von Berufsgeheimnissen

Im Verhältnis Krankenhaus/Arzt und App-Anbieter ist jedoch nicht nur das Bundesdatenschutzgesetz, sondern auch die strafrechtliche Vorschrift des § 203 Abs. 1 Nr. 1 StGB zu beachten. Danach unterliegen Daten, die dem Arzt in seiner Funktion als Arzt anvertraut wurden, der ärztlichen Schweigepflicht. Sie können demnach nicht einfach an Dritte, wie etwa dem App-Anbieter, weitergegeben werden.

Einige versuchen dieses spezielle Problem durch die Anwendung des § 11 BDSG zu lösen, wonach in diesem Fall eine Auftragsdatenverarbeitung privilegiert werde. Andere sehen dagegen Auftragsdatenverarbeiter (wie etwa Apps) als berufsmäßige Gehilfen des Arztes im Sinne des § 203 Abs.3 S.2 StGB an. So fällt unter bestimmten – unterschiedlich gefassten – Voraussetzungen die Datenweitergabe an Dienstleiter nicht unter den Tatbestand des § 203 StGB.

Eine abschließende Klärung dieser Thematik ist noch nicht erfolgt und hängt auch von der einzusetzenden App ab. Entscheidend ist, dass Ärzte und Krankenhäuser sich genau über die datenschutzrechtlichen Anforderungen der jeweiligen App informieren, um möglichen datenschutzrechtlichen „Lücken“ der App aus dem Weg zu gehen. Besondere Vorsicht und Prüfung ist bei einer Datenspeicherung im Ausland geboten. Vor der Nutzung von Apps in Gesundheitseinrichtungen wird grundsätzlich empfohlen, einen fachkundigen Rat einzuholen.

Rechtliche Fragen müssen dringend geklärt werden

Für Ärzte und Krankenhäuser ist es ratsam, bei der Verwendung von Gesundheits- und Medizin-Apps die datenschutzrechtlichen Vorschriften genauestens zu beachten. Denn es wird sich meistens um Auftragsdatenverarbeitungen handeln, die im Hinblick auf die ärztliche Schweigepflicht sehr kritisch beurteilt werden und immer besondere Vereinbarungen bedürfen.

Außerdem müssen dringend gewisse Qualitätskriterien und Gütesiegel für Medizin-Apps eingeführt werden, damit Verbraucher, Patienten wie auch Ärzte und Krankenhäuser wissen, welche Anwendungen datenschutzrechtlichen Standards entsprechen.

In Deutschland müssen darüber hinaus für die Gesundheits- und Medizin-Apps einige rechtliche Fragen bezüglich der genauen Einordnung dringend gelöst werden, um es für App-Hersteller leichter zu machen, Medizin- und Gesundheits-Apps auf den Markt zu bringen. Im Interesse von Patienten, Ärzten und Krankenhäusern sollte es vermieden werden, dass es für Hersteller von Medizin-Apps unnötig lange Verfahren gibt, die eine schnelle Markteinführung der Apps verhindern. Das Thema Datenschutz sollte hier dennoch immer groß geschrieben werden.

Über die Autorin:
Kathrin Schürmann ist als Rechtsanwältin in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business. Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers. Als Beraterin ist sie außerdem für die Isico Datenschutz GmbH tätig.