E-Health: Professioneller Einsatz von Gesundheits-Apps im ärztlichen Bereich aufgrund der neuen Datenschutzgrundverordnung nur Wunschdenken?

veröffentlicht am 11. Dezember 2018

Der datenschutzkonforme Einsatz von Gesundheits-Apps durch niedergelassene Ärzte und durch Krankenhaus-Ärzte erweist sich auf den ersten Blick als schwierig, da die Apps zu erheblichen rechtlichen Risiken führen können. Die Regelungen der EU-Datenschutzgrundverordnung bestimmen die Anforderungen an den Umgang mit solchen Apps und sollten genau beachtet werden.

Gesundheits-Apps sind heutzutage auch in der ärztlichen Diagnose und Therapie kaum noch aus dem Alltag wegzudenken. Immer mehr Krankenhäuser möchten die fortschreitende Digitalisierung und die mit ihr einhergehende Effizienz für sich nutzen. Kein Wunder, dass sich Krankenhäuser häufig für die Einführung solcher Apps entscheiden.  Im Bereich der Patientenversorgung lässt sich eine Reihe von Beispielen finden: So kann der behandelnde Arzt mittels eines ausgerüsteten Handys die Wundheilung analysieren, fürs eigene Auge vergrößern und in Echtzeit an ein anderes Endgerät zur weiteren Beobachtung oder an die jeweilige Station schicken. Bei akut oder schwer erkrankten Patienten können aktuelle Informationen über deren Vitaldaten von Bedeutung sein.

Rechtfertigen die Chancen die damit einhergehenden Datenschutz-Risiken?

Die Vorteile des Einsatzes liegen klar auf der Hand: Hervorragende Vernetzungsmöglichkeiten und damit einhergehende gesteigerte Effizienz und Kostenreduktion durch individuell zugeschnittene Versorgung.  Im Mittelpunkt steht dabei das Sammeln, Senden sowie Verarbeiten patientenbezogener Daten in Echtzeit. Der Nachteil: ein Graus für alle Datenschützer angesichts der neuen EU-Datenschutzgrundverordnung, zumindest auf den ersten Blick.

Tatsächlich darf nicht außer Acht gelassen werden, dass es sich bei Gesundheitsdaten um hoch sensible Daten handelt, die einen besonderen Schutz erfordern. Solche Daten können für gewöhnlich über den Gesundheitszustand, Lebenswandel sowie über intimste Details umfassend Aufschluss geben.

Krankenhäuser müssen bei der Einführung solcher Gesundheits-Apps beachten, dass, dass hierbei personenbezogene Daten verarbeitet werden. Das bedeutet, dass die Vorschriften der EU-Datenschutzgrundverordnung Anwendung finden, sodass Krankenhäuser für den Einsatz solcher Apps eine Erlaubnisvorschrift aus der EU-Datenschutzgrundverordnung vorweisen müssen. Auch ist es erforderlich, die Einhaltung technischer und organisatorischer Maßnahmen gemäß der datenschutzrechtlichen Bestimmungen sicherzustellen. Zudem ergeben sich Informationspflichten gegenüber den Patienten.

Werden technische und organisatorische Maßnahmen nicht gewährleistet, kann es zu einer unbefugten Offenlegung der Daten kommen. Ebenfalls besteht die Gefahr, dass Datenflüsse nicht mehr kontrolliert werden können und hierdurch den betroffenen Patienten materielle und immaterielle Schäden entstehen. Nicht auszudenken sind die Folgen der unberechtigten Offenlegung von Krankheiten, beispielsweise gegenüber dem Arbeitgeber oder der Öffentlichkeit. Patientenbezogene Daten, die auf die Lebenserwartung schließen lassen, könnten für Kreditinstitute von Relevanz sein.  Ebenfalls könnte es zu einer Flut an Spam-Nachrichten zu bestimmten Medikamenten oder Therapiemethoden kommen. Von erheblicher Bedeutung ist in diesem Zusammenhang auch das Interesse der Versicherungswirtschaft, da Gesundheitsinformationen in allen Personenversicherungssparten einen großen Einfluss auf die Risikoeinstufung und damit die Prämienhöhe oder gar den Ausschluss vom Versicherungsschutz haben. Schafft es also das Krankenhaus nicht, die Datenflüsse in der App unter seiner Kontrolle zu behalten, könnten die offengelegten Daten von verschiedenen Akteuren genutzt und vor allem ausgenutzt werden.

Angesichts der dargestellten Szenarien wird schnell deutlich, dass bereits bei der Konzeption einer solchen App, aber auch bei deren Einsatz durch den Verantwortlichen besonders auf die datenschutzrechtlichen Aspekte, also auf geeignete technische und organisatorische Maßnahmen geachtet werden muss.

Wie schaut es derzeit auf dem Markt der Gesundheits-Apps im professionellen Kontext tatsächlich aus?

Derzeit existiert ein breites Spektrum an Gesundheits-Apps mit Einsatzmöglichkeiten im professionellen Kontext.  Im Vergleich zu herkömmlichen medizinischen Geräten zur Unterstützung in der Diagnostik stellen die Gesundheits-Apps nur selten Medizinprodukte dar. Dies ist deswegen wichtig, weil sich Hersteller von Medizinprodukten den besonderen Anforderungen des Medizinproduktgesetzes und zahlreichen weiteren Rechtsverordnungen unterwerfen müssen.

Dabei sind Medizinprodukte gemäß § 3 Nr. 1 MPG alle einzeln oder miteinander verbunden verwendeten Instrumente, Software (…) oder andere Gegenstände einschließlich der vom Hersteller speziell zur Anwendung für diagnostische oder therapeutische Zwecke bestimmten und für ein einwandfreies Funktionieren des Medizinproduktes eingesetzten Software. Zudem muss der Hersteller den Zweck des Medizinprodukts ganz klar auf die Vorsorge, Diagnostik und Therapie ausrichten (siehe § 3 Nr. 1 MPG). Sobald also der Hersteller den vorgenannten Zweck bestimmt hat, unterliegen Apps den strengen Zertifizierungsanforderungen des MPG, sodass eine staatliche Kontrolle über das Inverkehrbringen der Apps gewährleistet ist. Während des Zertifizierungsprozesses werden jedoch die datenschutzrechtlichen Aspekte des Öfteren kaum hinreichend berücksichtigt, ebenfalls wird eine Prüfung von Übertragungswegen oder Netzkomponenten nicht vorgenommen. Das bedeutet, dass aus einer bestehenden Zertifizierung nach MPG nicht zwangsläufig auch auf die vollständige Einhaltung datenschutzrechtlicher Bestimmungen geschlossen werden kann.

Zusätzlich zu der Beurteilung, ob eine Klassifizierung der jeweiligen App als ein Medizinprodukt vorliegt, stellt sich die Frage, welche datenschutzrechtlichen Maßnahmen bislang ergriffen wurden.

Gemäß einiger vorliegender Studien zeichnet sich ein eher düsteres Bild ab: Auf der einen Seite sind fehlende oder fehlerhafte Verschlüsselung, ungeschützte Übertragung von Daten, Vermischung der Daten aus verschiedenen Quellen sowie mangelhafte Anonymisierung der Daten an der Tagesordnung. Auf der anderen Seite sind es oft die Krankenhäuser selbst, die ihre Patienten über die Nutzung solcher Apps nicht hinreichend informieren. Denn die Verwendung der App bedeutet ja unter Umständen auch, dass die betreffenden Daten an einen Dritten übertragen werden. Hinzu kommt oft auch die Unwissenheit der Ärzte, dass der Einsatz solcher Apps der vorherigen Rücksprache mit der Krankenhausleitung bedarf. Denn auch im Falle einer eigenmächtigen Nutzung der App durch den Krankenhausarzt bleibt das Krankenhaus für den Einsatz am Patienten datenschutzrechtlich verantwortlich und haftet ihm gegenüber.

Trotz der aufgezeigten datenschutzrechtlichen Schwierigkeiten bei der Nutzung von Gesundheits-Apps in Diagnose und Therapie ist eine rechtskonforme Nutzung unter Beachtung folgender Aspekte und Fragestellungen weiterhin möglich:

• Zunächst einmal muss eine Rechtsgrundlage bestehen, die die Nutzung der jeweiligen App erlaubt. Dabei kommt vor allem eine Einwilligung des Patienten oder eine Auftragsverarbeitung zwischen dem Krankenhaus und dem App-Hersteller in Betracht.
• Liegt ein schlüssiges Datenschutzkonzept seitens des Herstellers und des Krankenhauses vor? Besteht ein ausreichender Schutz der betreffenden personenbezogenen Daten, die als besonders sensibel anzusehen sind?
• Ist gegebenenfalls auch eine  Datenschutzfolgenabschätzung erfolgt?
• Werden die wichtigsten datenschutzrechtlichen Grundsätze wie Transparenz und größtmögliche Datensparsamkeit eingehalten?
• In jedem Fall muss zur Einhaltung der gesetzlichen Vorgaben das Bewusstsein auf Hersteller- und Anwenderseite (Krankenhaus und Ärzte) für Qualitäts- und Datenschutzaspekte geschaffen und geschärft werden.