1.5
Gesundheits-Apps und Wearables - mit Datenschutz gesünder
Gesundheits-Apps erfreuen sich einer steigenden Beliebtheit. Die Nutzer sind sich der datenschutzrechtlichen
Risiken oft nicht bewusst. Es fehlen nicht nur ausführliche und verständliche Datenschutzerklärungen, auch im
Übrigen mangelt es an der erforderlichen Transparenz.
Das Angebot von Apps im Gesundheitsbereich wächst zusehends und wird immer unüberschaubarer. Fitness-,
Gesundheits-, Lifestyle-, Sport- und „medizinische“ Apps haben alle einen gesundheitlichen Bezug und werden
gemeinhin in Ermangelung einer einheitlichen Definition mit Gesundheits-App bezeichnet, wobei die wenigsten
eine medizinische Relevanz besitzen. Gemeinsames Merkmal dieser Apps ist, dass sie die Körperdaten ihrer
Nutzer in einem großen Umfang elektronisch erfassen. Nur in wenigen Fällen werden diese Daten lediglich im
Gerät selbst (z. B. Smartphone, Tablet, Smartwatch, Tracker) gespeichert. Überwiegend werden sie per App an
Dritte übermittelt. Dabei ist oft unklar, wo, ob im Inland oder Ausland, durch wen und unter welchen Sicherheitsbedingungen diese Daten erhoben, verarbeitet und gespeichert werden. Es mangelt hier an ausführlichen
und verständlichen Datenschutzerklärungen. Die Nutzer wissen nicht, was mit ihren Körper- bzw. Gesundheitsdaten geschieht, die zu den sensibelsten aller personenbezogenen Daten zählen und besonders schützenswert
sind. Die Gesundheits-Apps bergen somit erhebliche datenschutzrechtliche Risiken.
Zudem ermöglichen oft Mängel in der technischen Datensicherheit Unbefugten den Zugriff auf die sensiblen
Daten. Ein weiteres erhebliches Risiko für die Nutzer ist die unberechtigte und unkontrollierte Zusammenführung sowie Auswertung der Daten. Selbst wenn personenbezogene Daten aus Apps anonymisiert verwendet
würden, können die erfassten Körperdaten mit Daten kombiniert werden, die an anderer Stelle über die Nutzer
frei verfügbar sind, und so zu ihrer Re-Identifizierung führen. Dadurch ließen sich umfassende Gesundheitsprofile einzelner Menschen erstellen und im Geschäftsverkehr, im Versicherungswesen oder in anderen Zusammenhängen ohne Wissen der Nutzer gegen diese verwenden.
Eine Vielzahl von Apps zu diversen Themenfeldern (u. a. Ernährung, Bewegung, Stressbewältigung, Impfungen, Gesundheitswissen, ärztliche Versorgung, Marketing, Service) werden mittlerweile auch durch die gesetzlichen Krankenkassen und privaten Krankenversicherungen angeboten. Soweit gesetzliche Krankenkassen Apps
zur Verfügung stellen, mit denen Gesundheitsdaten und somit Sozialdaten erhoben werden, sind die spezialgesetzlichen Regelungen des Sozialgesetzbuches zu beachten, die abschließend regeln, welche Sozialdaten sie zu
welchem Zweck erheben und verarbeiten dürfen. Darüber hinausgehende Verarbeitungen von Sozialdaten sind
unzulässig, auch wenn die Betroffenen hierin eingewilligt haben (falls nicht im Einzelfall vom Gesetzgeber die
Einwilligung vorgesehen ist). Daher ist in jedem Fall zu prüfen, ob die mit Hilfe von Apps gewonnenen Daten
von den Erlaubnistatbeständen des Sozialgesetzbuches erfasst sind. In der Regel ist dies nicht der Fall.
Der Einsatz von Apps in der privaten Krankenversicherung unterliegt dagegen den Vorgaben des Versicherungsvertrags- und des allgemeinen Zivilrechts. Die Nutzung von Apps muss individuell vertraglich geregelt
werden. Datenschutzrechtlich gelten hier nicht die Vorschriften des Sozialgesetzbuches, sondern das Versicherungsvertrags- und das Bundesdatenschutzgesetz. Aber auch hier sind die Anforderungen an eine datenschutzkonforme Einwilligung und an die technisch-organisatorische Ausgestaltung der Datenerhebung, -verarbeitung
und -nutzung einzuhalten. Besonders wichtig sind u. a. Transparenz und Aufklärung der Nutzer. Der Gesetzgeber sollte erwägen, den Schutz, den er über das Sozialrecht den gesetzlich Versicherten bietet, hier auch den
Versicherten privater Kassen zu gewähren und die Erhebung von Gesundheitsdaten über entsprechende Apps
für private Krankenversicherer nur dann erlauben, wenn es hierfür eine spezifische Rechtsgrundlage gibt.
In 2016 haben Datenschutzaufsichtsbehörden aus Bund und den Ländern stichprobenartig Geräte und Apps von
verschiedenen Anbietern überprüft. Dabei zeigte sich, dass Hersteller, Betreiber und Verkäufer der getesteten
Geräte und Apps die Nutzer nicht ausreichend darüber informieren, was mit ihren Daten geschieht. Die meisten
der untersuchten Datenschutzerklärungen erfüllten nicht die gesetzlichen Anforderungen, waren zu pauschal
oder lagen nicht einmal in deutscher Sprache vor. Viele Geräte, und die damit verbundenen Nutzerkonten, boten
keine Möglichkeit, Daten selbst vollständig zu löschen. Außerdem gaben viele der Geräte und Apps Daten ohne
– 46 –
BfDI 26. Tätigkeitsbericht 2015-2016