E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Health-IT |

Datenschutz auf Rezept?

Der Entwurf der DiGA-Rechtsverordnung ist da, und er adressiert auch den Datenschutz. Welche Anforderungen sollten Medizin-Apps erfüllen? Wie viel Tracking sollte erlaubt sein? Von Uwe K. Schneider.

Das Smartphone begleitet fast jeden täglich durchs Leben – einschließlich Gesundheit und Krankheit. Und auch für diese Bereiche gibt es inzwischen eine Vielzahl von Applikationen, vom Fitness-Tracker, der Schritte zählt oder schätzt, über das Zyklus-Monitoring bis zu Diagnose-Ratschlägen. Mit diesen Anwendungen werden viele Chancen assoziiert, vom niederschwelligen Zugang zu medizinischem Wissen über eine eventuelle Entlastung der knappen Ressource „Arzt“ bis zur Schaffung einer breiteren Grundlage für medizinische Entscheidungen durch ein Mehr an Messwerten. Sie bergen aber auch Risiken. Zum einen im Hinblick auf ihre medizinische Qualität. Hier stellen sich Fragen wie die nach der Zuverlässigkeit von Messungen und „Diagnosen“, welche primär über das Medizinprodukterecht reguliert werden [1].

 

Zum anderen drohen aber auch Risiken für die Privatheit der Nutzer solcher Apps.  So wirbt Ada Health für seine App mit dem Versprechen, für die eingegebenen Symptome die wahrscheinlichsten Ursachen zu ermitteln. Wie die c’t aufdeckte und Mitte Oktober 2019 berichtete werden die eingegebenen Symptome aber auch an Dritte übermittelt oder wurden dies zumindest, was für die Nutzer nicht oder jedenfalls nicht hinreichend transparent war [2]. Bereits zuvor hatte Privacy International berichtet, dass Zyklus-Apps intime Daten ihrer Nutzerinnen zum Beispiel an Facebook weitergeben [3]. Deshalb hatte die c’t Ende Oktober ein strenges Datenschutzsiegel für Medizin-Apps ins Gespräch gebracht. [4]

 

DVG & DiGA

Ende Dezember letzten Jahres ist dann das Digitale-Versorgung-Gesetz (DVG) in Kraft getreten [5], welches eine erleichterte Aufnahme von Digitalen Gesundheitsanwendungen (DiGA) in den Leistungskatalog der GKV vorsieht. Kernregelung des DVG ist insoweit der neue § 33a des SGB V. Dort wird den Versicherten bei medizinischer Indikation und nach ärztlicher Verordnung oder Genehmigung durch die Krankenkasse ein Anspruch auf Versorgung mit solchen Anwendungen gegeben. Zu diesen Anwendungen können insbesondere Gesundheits-Apps gehören, die auch in der Gesetzesbegründung zum DVG exemplarisch hervorgehoben werden.

 

Vor Verordnung oder Genehmigung müssen entsprechende Gesundheitsanwendungen aber vom Bundesamt für Arzneimittel und Medizinprodukte (BfArM) auf Antrag der Hersteller in ein neu geschaffenes Verzeichnis aufgenommen werden (§ 139e SGB V). Der Hersteller hat dem Antrag unter anderem Nachweise darüber beizufügen, dass seine Anwendung die Anforderungen an Datenschutz und Datensicherheit nach dem Stand der Technik gewährleistet. Das BfArM darf dem Antrag nur bei ausreichenden Nachweisen stattgeben. Da die Kriterien jedoch sehr allgemein gefasst sind, wurde das Bundesministerium für Gesundheit (BMG) ermächtigt, durch Rechtsverordnung (RV) das Nähere zu den Anforderungen zu regeln.

 

In ihrem Beitrag im Oktober 2019 hatte die Computerzeitschrift c’t nach einer Reihe von Negativschlagzeilen zum Datenschutz bei Medizin-Apps eine Liste mit 20 Anforderungen veröffentlicht – Anforderungen aus Sicht jener, die die Diskussionen um Gesundheits-Apps und Datenschutz der letzten anderthalb Jahre maßgeblich mit angestoßen haben. [4] (Tabelle) Der vorliegende Beitrag, dessen Erstellung sich mit der Veröffentlichung des RV-Entwurfs überschnitt, diskutiert die Anforderungen des c’t-Katalogs – und greift dabei auch viele Fragen auf, die bei der jetzt anstehenden Diskussion des RV-Entwurfs von zentraler Relevanz sind.

 

Insgesamt ist der Katalog der c’t recht streng, er geht – wie auch der RV-Entwurf – über die ohnehin zu beachtenden Mindestanforderungen der Datenschutz-Grundverordnung (DSGVO) hinaus. Allerdings dürfen die EU-Mitgliedstaaten und somit auch die BRD aufgrund einer Öffnungsklausel in der DSGVO für die Verarbeitung von Gesundheitsdaten solche zusätzlichen Anforderungen vorsehen. Auch für Gesundheits-Apps bietet es sich an, die sehr allgemeinen Anforderungen in der Rechtsverordnung zu schärfen. Dies gilt gerade vor dem Hintergrund, dass ein Mitbegründer von Ada Health unklare Standards im Bereich Datenschutz für die Kritik an seinem Unternehmen mit verantwortlich gemacht hat [4]. Der c’t-Vorschlag geht nach hier vertretener Auffassung in die richtige Richtung, wenn auch teils etwas zu weit. Exemplarisch werden im Folgenden daher einzelne Punkte aus der c’t-Liste bewertet.

 

Datenweitergabe nur mit Einwilligung

Der c’t-Anforderung Nr. 1 dahingehend, dass der Anbieter vor jeder Form der Datenweitergabe die explizite Einwilligung des Nutzers einholen muss, ist uneingeschränkt zuzustimmen. Zwar sieht die DSGVO unter strengen Bedingungen auch Fälle vor, in denen Gesundheitsdaten auf gesetzlicher Grundlage verarbeitet werden dürfen. Diese können oder sollten bei Medizin-Apps aber nicht zur Anwendung kommen. Das Einwilligungserfordernis bezieht sich im Übrigen auch auf die Weitergabe von Nutzerdaten an den Anbieter, denn grundsätzlich können Apps auch bei rein lokaler Datenverarbeitung auf dem Endgerät des Nutzers funktionieren. In den Fällen, in welchen der Anbieter meint, eine Übertragung der Nutzerdaten auf seine Server oder Cloud-Infrastrukturen sei erforderlich oder für bestimmte Zusatzfunktionen sinnvoll, muss er eben die Einwilligung des Nutzers abfragen.

 

Um die Freiwilligkeit der Einwilligung abzusichern, muss diese im größtmöglichen Umfang entkoppelt von der Nutzung der App erfolgen (Artikel 7 Absatz 4 DSGVO). Die Nutzung der App darf damit nicht von einer Einwilligung abhängig gemacht werden, die für deren Nutzung nicht erforderlich ist, sondern weitergehenden Interessen des Anbieters dient, wie der direkt personenbezogenen oder pseudonymen Auswertung von Nutzungsdaten. Auch sollte die Einwilligung granular ausgestaltet sein, dem Nutzer also verschiedene Optionen für verschiedene Funktionalitäten angeboten werden. Eine Pauschaleinwilligung, mit welcher der Nutzer gezwungen wird, sämtlichen in den Datenschutzbestimmungen aufgeführten weitergehenden Verarbeitungen zuzustimmen, wenn er die App nutzen möchte, wird jedenfalls bei von der GKV finanzierten Angeboten nicht ausreichen.

 

Eine Datenweitergabe an Dritte dürfte nach Nr. 11 des Kataloges zudem nur über eine vom Nutzer einzeln wissentlich veranlasste Datenspende erfolgen. Diese Anforderung ist ebenfalls zu begrüßen, auch wenn der aktuelle Modebegriff „Datenspende“ juristisch letztlich wiederum auf eine gesonderte Einwilligung zurückzuführen ist. Mit gesonderter Einwilligung wäre es aber auch erwägenswert, eine pseudonymisierte Weitergabe von Daten insbesondere für wissenschaftliche Evaluationszwecke zuzulassen. Insofern sollte die Anforderung Nr. 15 der c’t, nach der die Pseudonymisierung für eine Weitergabe medizinischer Daten nicht genügt, auf eine solche ohne gesonderte Einwilligung des Nutzers bezogen werden. Hier ist dann in der Tat eine echte Anonymisierung einschließlich Mikroaggregation angebracht.

 

Speicherung nur in deutschen Rechenzentren

Nach der Anforderung Nr. 17 dürfte die Datenverarbeitung auf Servern, wenn sie denn mit Einwilligung des Nutzers zulässig ist, nur in zertifizierten deutschen Rechenzentren erfolgen. Wenn der App-Anbieter als Angehöriger eines zeugnisverweigerungsberechtigten Heilberufs auftritt, wie z.B. als Arzt, wäre dies im Sinne des Beschlagnahmeschutzes, der durch das deutsche Recht gewährt wird, d.h. die Patientendaten auf diesen Servern dürften genauso wenig beschlagnahmt werden wie solche in Arztpraxen.

 

Jedenfalls wird man aber eine Verarbeitung innerhalb des durch die DSGVO harmonisierten Europäischen Wirtschaftsraums (EU + Norwegen, Island und Liechtenstein) verlangen müssen, was scheinbar auch der Entwurf des BMG zur Rechtsverordnung fordert. Dort wird die Verarbeitungserlaubnis allerdings erweitert auf andere Länder, soweit ein „Angemessenheitsbeschluss“ nach der DSGVO vorliege, was als deutliches Hindernis für Hersteller aus den USA oder China dargestellt wird. Ob ein Angemessenheitsbeschluss wie beim Privacy Shield für die Verarbeitung von Gesundheitsdaten in den USA allerdings wirklich genügt, wird man in Anbetracht der kritischen Stellungnahme des Generalanwalts am Europäischen Gerichtshof hierzu bezweifeln können [6].

 

Freigabe der App als Open Source

Eine Freigabe des Codes der App als Open Source, um die Datensicherheit überprüfen zu können, wie es die c’t fordert (Nr. 18 des Katalogs), wäre zur Gewährleistung der Sicherheit nicht unbedingt erforderlich und würde vor diesem Hintergrund die Rechte der Anbieter zu weitgehend beeinträchtigen. Diese Freigabe würde die kommerzielle Verwertung, welche die meisten Anbieter mit ihren Apps in einer Marktwirtschaft legitimerweise verfolgen, einschränken. So könnte nach den entsprechenden Lizenzen jeder Nutzer, welcher die App auf seinem Gerät installiert hat, vom Anbieter nicht nur die Herausgabe des Quellcodes verlangen, sondern diesen wie auch den ausführbaren Code beliebig vervielfältigen und verbreiten, letztlich also auch zum Erstanbieter in Konkurrenz treten. Dessen Know-how kann sich teils zwar auch auf Servern am Backend einer Internet-basierten Anwendung sowie in den Prozessen zur Aktualisierung usw. befinden, die nicht ohne weiteres herauszugeben wären. Dennoch würde mit dem Quellcode der auf dem Endgerät installierten App u.U. aufwändig erstelltes innovatives Know-how offengelegt, was die Anreize für Anbieter zu einem Antrag auf Aufnahme in das GKV-Verzeichnis verringern dürfte.

 

Auf der anderen Seite besteht natürlich ein legitimes Interesse an einer objektiven Überprüfbarkeit von Datenschutzzusagen der Anbieter. Denn ein sogenanntes Black Box-Testing hilft hier nicht immer weiter. Zwar hat die c’t damit bei Ada Health Verstöße gegen die eigenen Datenschutzbestimmungen nachgewiesen, allerdings nur bei der Android-Version, da solche Tests beispielsweise beim iOS-Betriebssystem des iPhones wesentlich schwieriger bis kaum möglich sind. Auch lässt sich mit diesen Tests zwar der Versand von Datenpaketen von der App an einen Server feststellen, keineswegs aber immer zuverlässig der Inhalt dieser Datenpakete. Dies ist dagegen beim White Box-Testing unter genauer Kenntnis des Systems und des zugehörigen Quellcodes recht zuverlässig möglich.

 

In Abwägung dieser Aspekte böte sich eine Verpflichtung der um Aufnahme nachsuchenden Anbieter zur Herausgabe des Quellcodes der App und der damit zusammenhängenden Systeme an das BfArM oder eine unabhängige Zertifizierungsstelle an, die dann auf dieser Basis Tests durchführen könnten. Dabei müsste der Quellcode selbst von Zertifizierungsstelle bzw. BfArM vertraulich behandelt werden, dürfte also nicht an die Öffentlichkeit und damit möglicherweise in die Hände der Konkurrenz gelangen. Im Hinblick auf die Ergebnisse der Testung wäre noch zu diskutieren, inwieweit diese geheim zu halten oder zu veröffentlichen wären. Jedenfalls dürfte bei negativen Testergebnissen keine Aufnahme ins GKV-Verzeichnis erfolgen und eine Mitteilung an die zuständigen Datenschutzaufsichtsbehörden müsste erlaubt sein.

 

Dagegen sieht der Entwurf der Rechtsverordnung momentan in der Regel keine solchen technischen Prüfungen durch das BfArM vor, sondern setzt auf Selbstauskünfte der Hersteller bzw. Anbieter [7]. Dies ist angesichts der knappen Personalausstattung des BfArM in diesem Bereich nachvollziehbar. Allerdings sollte angesichts der Erfahrungen aus der Vergangenheit doch erwogen werden, Vorgaben hinsichtlich einer Datenschutz-Zertifizierung durch unabhängige akkreditierte Stellen in die Verordnung aufzunehmen.

 

Fazit

Letztlich enthält der c’t-Vorschlag keine Blaupause, die einfach auf die Rechtsverordnung übertragen werden könnte. Eine intensive Auseinandersetzung mit den Punkten der c’t und eine Orientierung an diesen erscheint gleichwohl sinnvoll. Dabei müssen die Anforderungen zwar technikneutral und innovationsoffen sein, aber dennoch streng im Sinne der Privatsphäre der Nutzer. Wenn das BMG in der Verordnung keine nennenswerten Hürden beim Datenschutz für App-Anbieter schaffen würde, um die „Agilität“ des Marktes nicht zu hemmen, ließen sich Risiken für Vorfälle wie bei Ada kaum reduzieren. Diese lägen dann auch in der politischen Verantwortung des Bundesgesundheitsministers.

 

 

Vorschlag der Redaktion der Computerzeitschrift c’t für datenschutzrelevante Anforderungen an Gesundheits-Apps

  1. Privacy by Design, der Nutzer muss jeder Form der Datenweitergabe explizit einwilligen (Opt-In).
  2. Eine rechtsverbindliche, DSGVO-konforme Datenschutzerklärung in deutscher Sprache.
  3. Keine Offenlegung von Nutzerdaten gegenüber Kaufinteressenten und Käufern der Firma ohne erneute Einwilligung des Nutzers.
  4. Verbot des Einsatzes von Werbe-IDs und Trackern von Drittfirmen.
  5. Verbot von Schnittstellen zu sozialen Netzwerken, insbesondere des Facebook SDK.
  6. Nutzer müssen in der App einsehen können, welche konkreten Daten über sie gespeichert sind und wo diese physikalisch liegen.
  7. Die Daten dürfen nur in Deutschland in zertifizierten Server-Zentren gespeichert werden.
  8. Jeder Zugriff auf die Daten muss protokolliert und vom Nutzer nachvollzogen werden können.
  9. Die Daten müssen sich vom Nutzer in der App jederzeit selektiv löschen lassen.
  10. Der Nutzer muss ein Verfallsdatum vorgeben können, nach dem seine Daten automatisch gelöscht werden.
  11. Eine Datenweitergabe an Dritte darf ausschließlich über eine vom Nutzer einzeln wissentlich veranlasste Datenspende erfolgen.
  12. Bei jeder Datenspende muss konkret aufgelistet werden, welche Daten an wen zu welchem Zweck weitergegeben und wie lange sie dort genutzt und gespeichert werden.
  13. Die Datenübertragung und -speicherung muss verschlüsselt nach dem Stand der Technik erfolgen.
  14. Die Schnittstelle zur Datenübertragung muss vollständig dokumentiert sein.
  15. Medizinische Daten dürfen lediglich weitergegeben werden, wenn sie anonymisiert und per Mikroaggregierung zu Clustern zusammengefasst wurden. Eine Pseudonymisierung genügt nicht.
  16. Wurden Daten für ein Forschungsvorhaben gespendet, müssen sie nach dessen Abschluss gelöscht werden.
  17. Forschungsergebnisse, die mit der Datenspende erzielt wurden, sind dem Nutzer mitzuteilen.
  18. Um die Datensicherheit der App jederzeit überprüfen zu können, muss der Code als Open Source freigegeben sein.
  19. Updates der App müssen Änderungen detailliert auflisten.
  20. Der Anbieter muss auftretende Störungen und Datenlecks beheben und die Öffentlichkeit zeitnah, transparent und umfassend informieren.

 

 

Literaturangaben:

[1]      Gießelmann, Kathrin: Medizinprodukte: Risikoklasse für Apps steigt, Deutsches Ärzteblatt 2018, S. A-538

https://www.aerzteblatt.de/archiv/196980/Medizinprodukte-Risikoklasse-fuer-Apps-steigt

[2]     Gieselmann, Hartmut: Massive Datenschutzmängel in der Gesundheits-App Ada, c’t 22/2019, 11.10.2019

https://www.heise.de/ct/artikel/Massive-Datenschutzmaengel-in-der-Gesundheits-App-Ada-4549354.html

[3]      Privacy International: No Body's Business But Mine: How Menstruation Apps Are Sharing Your Data, 09.09.2019

https://www.privacyinternational.org/long-read/3196/no-bodys-business-mine-how-menstruation-apps-are-sharing-your-data

[4]       Gieselmann, Hartmut: Die Folgen des Ada-Datenschutzskandals, c’t 23/2019, 25.10.2019

https://www.heise.de/ct/artikel/Die-Folgen-des-Ada-Datenschutzskandals-4567809.html

[5]      Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgungs-Gesetz – DVG) vom 09.12.2019, Bundesgesetzblatt vom 18.12.2019, Teil I S. 2562

https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=%2F%2F%2A%5B%40attr_id=%27bgbl119s2562.pdf%27%5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl119s2562.pdf%27%5D__1579710708804

[6]  Kaufmann, Annelie: Max Schrems vs. Facebook, Generalanwalt sieht jetzt irische Datenschutzbehörde am Zug, Legal Tribune Online, 19.12.2019

https://www.lto.de/recht/hintergruende/h/eugh-c-311-18-schlussantraege-schrems-facebook-irische-datenschutzbehoerde-datentransfer-eu-usa/

[7]    Grätzel von Grätz, Philipp: Verordnungsentwurf zu „Apps auf Rezept“, Das sind die Anforderungen an Gesundheits-Apps, Ärzte Zeitung Online, 20.01.2020

https://www.aerztezeitung.de/Wirtschaft/Anforderungen-an-Gesundheits-Apps-werden-klarer-405896.html