Kenntnis der Nutzer an Dritte weiter, beispielsweise zu Forschungs- oder Marketingzwecken. Viele Hersteller
sind in Deutschland nur mit Serviceniederlassungen präsent, während ihr Hauptsitz in anderen EU- oder gar in
Drittstaaten liegt, in denen europäisches Verbraucher- und Datenschutzrecht nicht gilt. Dies wird sich erst nach
Inkrafttreten der Europäischen Datenschutz-Grundverordnung im Mai 2018 ändern (vgl. o. Nr. 1.1).
In einer Entschließung hat sich die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder für
einen effektiven Schutz der sensiblen Gesundheitsdaten der Nutzerinnen und Nutzer von Wearables und Gesundheits-Apps eingesetzt (Anlage 4).
Auf europäischer Ebene existieren verschiedene Initiativen zu diesem Thema. Im April 2014 veröffentlichte die
Europäische Kommission ein Grünbuch über Mobile-Health-Dienste. In der Folge erarbeitet die „mHealth assessment guidelines working group“, die sich aus Vertretern verschiedener öffentlicher und privater Institutionen aus einigen EU-Mitgliedstaaten zusammensetzt, Qualitätskriterien für die Bewertung von Gesundheits-Apps. Der „Code of Conduct on privacy for mHealth“, der ein System der freiwilligen Selbstverpflichtung
etabliert und vordringlich Entwickler sowie Hersteller mobiler Anwendungen anspricht, wurde der Artikel-29-Gruppe im Juni 2016 mit der Bitte um datenschutzrechtliche Bewertung vorgelegt. Eine Arbeitsgruppe
der Artikel-29-Gruppe ist derzeit mit den Verfassern des Code of Conduct im Gespräch, um auf Verbesserungen
des Datenschutzniveaus hinzuwirken. Im Rahmen der Prüfung des Codes of Conduct on privacy for mHealth
werden die wesentlichen datenschutzrechtlichen Vorgaben für mobile Anwendungen auf europäischer Ebene
abgestimmt (vgl. u. Nr. 2.4).
Gesundheits-Apps müssen den Datenschutz sowohl in technischer als auch in rechtlicher Hinsicht gewährleisten. Dies umfasst u. a., bereits bei der Entwicklung von Gesundheits-Apps und den entsprechenden Geräten die
datenschutzrechtlichen Vorgaben hierfür zu beachten. Zudem sind die Nutzer umfassend und verständlich über
bestehende Risiken zu informieren, z. B. die Übermittlung ihrer Daten an Dritte. Neben Selbstverpflichtungen
der Hersteller und einer Sensibilisierung der Nutzer für Risiken und Gefahren bei der App-Anwendung halte ich
gesetzliche Rahmenbedingungen für notwendig. Der Gesetzgeber sollte durch regulatorische Vorgaben für die
Nutzung von Apps und dadurch erhobene Daten die Rechte der Verbraucher schützen, beispielsweise in der
privaten Krankenversicherung. Dazu gehört auch das Verbot der unberechtigten Zusammenführung,
Re-Identifizierung und Auswertung der Daten durch Dritte.
Zu diesem Thema verweise ich ergänzend auf eine Ausgabe meiner Publikationsreihe „Datenschutz kompakt“,
die auf meiner Internetseite unter www.datenschutz.bund.de abrufbar ist.
BfDI 26. Tätigkeitsbericht 2015-2016
– 47 –