Immer mehr Apps erscheinen auf dem digitalen Gesundheitsmarkt. Damit diese von Krankenkassen erstattet werden können, benennt ein neuer Verordnungsentwurf nun konkrete Anforderungen an den Datenschutz und die Datensicherheit. App Anbieter aufgepasst: die Datenverarbeitung zu Werbezwecken ist ausgeschlossen!
Der Inhalt im Überblick
Health-Apps: Innovation sucht Datenschutz
Anbieter von sogenannten Health-Apps müssen hohen Anforderungen bei der Verarbeitung von sensiblen Gesundheitsdaten gerecht werden. Gerade für kleine Anbieter und Entwicklerteams führt das immer wieder zu Problemen. In der Vergangenheit berichteten wir bereits über Datenlecks im Gesundheitswesen und stellten dar, welche datenschutzrechtlichen Anforderungen bei der Verarbeitung von Gesundheitsdaten zu beachten sind:
- Liebe Gesundheits-App-Anbieter: Was soll das?
- Digitale Gesundheit: Herausforderungen für den Patientendatenschutz.
Im Spannungsfeld zwischen Innovation und höchstem Datenschutzstandard schien bisher auch das Bundesgesundheitsministerium (BMG) immer wieder zu taumeln. Der Bundesminister will die Digitalisierung des Gesundheitswesens schnellstmöglich weiter vorantreiben. Dadurch kann nicht nur der Pflegenotstand bekämpft werden. Deutschland könnte sich auch als Innovationsstandort für digitale Gesundheitsanwendungen einen Namen machen. Gleichzeitig müssen Health-App Anbieter aber die hohen Anforderungen an den Schutz sensibler Daten gewährleisten respektive überhaupt gewährleisten wollen. Ist Herrn Spahns neuer Entwurf der gesuchte heilige Gral für die datenschutzkonforme Digitalisierung des Gesundheitswesens? Welche Fragen bleiben offen?
Verordnung nennt konkrete Datenschutzanforderungen
Seit dem 15.01.2020 liegt nun der zweite Aufschlag des BMG für die Datenschutzkonformität von Health-Apps vor. Gemäß dem Referentenentwurf zur Digitalen-Gesundheitsanwendungen-Verordnung (DiGAV) sollen Apps nur dann von Krankenkassen erstattet werden können, wenn,
„die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleistet und umgesetzt werden.“
Der Weg zum Ziel, so heißt es in dem Entwurf, solle durch eine anwenderfreundliche und konkrete Benennung der Anforderungen in verständlichen Prüfanforderungen erfolgen. Bedeutet: das BMG liefert als Anlage zu § 5 des DiGAV-Entwurfs eine umfangreiche Anforderungsliste (ab Seite 26 des Entwurfs), die zum Prüfmaßstab der Erstattungsfähigkeit von Apps werden soll.
Neu hieran ist zwar erst einmal nur, dass es jetzt eine listenmäßige Übersicht über die Datenschutz- und Datensicherheitsanforderungen von Health-Apps gibt, die allen Akteuren gleichermaßen leicht zugänglich ist. Das könnte hoffentlich dazu beitragen, dass sich die Health-App Anbieter unabhängig von der Erstattungsfähigkeit ihrer App für die Materie Gesundheitsdatenschutz und seine Anforderungen sensibilisieren, diese verinnerlichen und umsetzen, bevor sie damit beginnen Gesundheitsdaten zu verarbeiten.
Viel zu oft wurde in der Vergangenheit in naiver Start-Up Manier leider einfach losgelegt, ohne zu beachten, dass die Verarbeitung von Gesundheitsdaten höchst sensibel und vorbehaltlich verboten ist. Der Schaden ist dann nicht nur für den einzelnen datenschutzrechtlich Verantwortlichen hoch, da Verstöße mit massiven Bußgeldern bedroht sind. Die Missachtung des Schutzes sensibler Gesundheitsdaten kann auch dazu führen, dass die Digitalisierung des Gesundheitswesens in Kritik und Ablehnung versiegt.
Datenverarbeitung zu Werbezwecken verboten
Der DiGAV-Entwurf bestimmt in § 5 Abs. 4:
„Eine Verarbeitung von Daten zu Werbezwecken ist ausgeschlossen.“
Das Werbeverbot betrifft zunächst Gesundheitsdaten und allgemeine Nutzerdaten gleichermaßen. Dem Wortlaut nach zielt der Verordnungsentwurf auf Daten im Allgemeinen ab. Hiervon sind somit nicht nur personenbezogene, sondern auch pseudonomysierte und anonymisierte Daten umfasst. Wobei allerdings fraglich ist, ob allgemeine personenbezogene Daten in einer Health-App nicht schon immer Bezug zum Gesundheitszustand einer Person aufweisen und somit auch immer sensible Daten i.S.d. Art. 9 Abs. 1 DSGVO sind.
Grund für das Verbot ist laut Verordnungsentwurf, dass die Finanzierung der App durch die Erstattung der Krankenkassen gesichert ist und keiner Werbefinanzierung bedarf.
Das in § 5 Abs. 4 DiGAV bestimmte Zweckverbot unterstreicht die besondere Integrität von sensiblen Daten und mahnt gleichzeitig App-Anbieter zur Vernunft. Für den Zweck der weiteren Sensibilisierung des Marktes dürfte dies jedenfalls ein wohlgewähltes Instrument sein. Obgleich die Bedeutung relativ gering ist, da auch ohne das hier bestimmte Zweckverbot eine Verarbeitung von Gesundheitsdaten zu Werbezwecken wegen der hohen Anforderungen an eine entsprechende Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO nahezu unmöglich erscheint.
Im Übrigen betrifft das Zweckverbot auch lediglich In-App-Werbung. App Anbieter können weiterhin für ihre Anwendungen werben, nur eben nicht innerhalb der App oder mit den in ihr verarbeiteten Daten.
Native Apps oder progressive Web Apps?
Der Referentenentwurf scheint zunächst lediglich Native Apps in den Blick zu nehmen. Diese werden speziell für ein bestimmtes Betriebssystem entwickelt und können alle Vorzüge des jeweiligen Betriebssystems nutzen. Sie müssen allerdings vom Nutzer je nach Gerät aus dem App Store oder dem Play Store heruntergeladen werden. Daten werden dann bis zum Limit des vorhandenen Speichers auf dem mobilen Endgerät gespeichert. Es müssen jedoch immer mehrere App-Versionen für die unterschiedlichen Betriebssysteme entwickelt, zur Verfügung gestellt und upgedated werden.
Bei Progressive Web Apps (PWA) handelt es sich um eine Art modifizierte Webseite, die sich an das jeweilige Endgerät oder den Browser anpasst. Das Prinzip beruht auf dem Ansatz des Progressive Enhancements, wonach sich eine Webseite sukzessive an das technische Setting eines Endgeräts anpasst. Vorteile hiervon sind, dass der Abruf des Dienstes ohne zwischengeschalteten Drittanbieter möglich ist und der Zugang über alle internetfähigen Endgeräte erfolgen kann.
Wie soll´s gehen?
Es bleibt nun noch die Frage offen, wie die App auf Rezept überhaupt im Anwendungsfall funktioniert. Müssen sich Anwender nach Erhalt eines Rezepts die App erst beim Drittanbieter herunterladen? Wie funktioniert dann die Zuordnung zur jeweiligen Krankenkasse? Umständliche Bürokratie? Kann ein Code auf dem Rezept für eine PWA dann nicht einfacher sein und Datenschutz und Datensicherheit ebenso gut gewährleisten?
Kleiner korrigierender Hinweis: Der „blockierte“ Teil eines ersten Entwurfs (gemeint ist vermutlich das DVG?) der hier angesprochen wird, betraf nicht die digitalen Gesundheitsanwendungen („App auf Rezept“). Die DiGAV ist nicht das PDSG und kein erneuter Anlauf eines Gesetzentwurfs, sondern die gesetzlich vorgesehene untergesetzliche Konkretisierung, die bereits im ersten Entwurf des DVG vorgesehen war. Diesbezüglich wurde kein Entwurf vom BMJV blockiert. Wäre sicher hilfreich für die öffentliche Diskussion, wenn man das sauber trennt.
Danke für den Hinweis, wir haben den Beitrag entsprechend geändert.