Mobile Apps im Gesundheitswesen: Anforderungen aus dem Datenschutz
Es werden immer mehr mobile Anwendungen („Apps“) auf dem App-Markt in den verschiedenen App-Stores angeboten, welche Gesundheitsdaten verarbeiten. Einige der angebotenen Apps dienen zur Steigerung des Wohlbefindens oder Stärkung der Resilienz (sog. „Wellness-Apps“), andere Apps dienen der Diagnostik, Therapie oder auch Vorbeugung von Krankheiten.
Dabei stellen Mobile Apps Softwareprodukte dar wie jegliche andere Software auch. Insbesondere gibt es keine Sonderregeln oder gar Ausnahmen für mobile Apps bzgl. Datenschutz und IT-Sicherheit, auch mobile Apps müssen allen rechtlichen und regulatorischen Anforderungen genügen. Insbesondere müssen bei der Entwicklung bzw. Programmierung von Software und somit auch von Apps die zwei in Art. 25 DS-GVO verankerten Grundsätze datenschutzkonformer Entwicklung (Datenschutz by Design) und datenschutzfreundlicher Grundeinstellung einer Anwendung (Datenschutz by Default) zwingend beachtet und umgesetzt werden: Die Werkseinstellung einer App muss den maximalen Grad von Datenschutz und IT-Sicherheit darstellen, den die App bieten kann..
Gesundheitsdaten gehören zu den in Art. 9 Abs. 1 DS-GVO genannten „besonderen Kategorien“ personenbezogener Daten. Eine Verarbeitung dieser Datenkategorien beinhaltet immer „erhebliche Risiken für die Grundrechte und Grundfreiheiten“ betroffener Personen (ErwGr. 51 DS-GVO), d. h. diese Daten haben immer einen hohen Schutzbedarf. Der Begriff Gesundheitsdaten ist sehr weitreichend. In Art. 4 Ziff. 15 DS-GVO findet sich die Definition „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Somit werden alle entsprechenden Daten vom Begriff Gesundheitsdaten umfasst und fallen unter den hohen Schutzbedarf, also beispielsweise auch Daten, die bei Nutzung von Geräten wie Fitnesstrackern erhoben werden.
Diese Praxishilfe soll dabei unterstützen, entsprechende Anforderungen aus Datenschutz und IT-Sicherheit bei der Anforderungsanalyse wie auch bei Implementierung und Betrieb aufzunehmen und zu berücksichtigen. Die Praxishilfe richtet sich gleichermaßen an Entwickler und Anwender von Apps wie auch an Datenschutzbeauftragte, welche entsprechende Apps prüfen sollen oder müssen. Die unten ebenfalls zum Download angebotene Excel-Tabelle enthält die Anforderungen in tabellarischer Form, sodass eine Abbildung in Anforderungsdokumente erleichtert, gleichermaßen auch die Prüfung der Umsetzung der Anforderungen unterstützt wird.
Die Praxishilfe wurde von den Verbänden
