IT-Recht

Datenschutz bei Medizin-Apps

Gesundheits- und Medizin-Apps werden immer beliebter. Verbraucher und Patienten, aber auch Ärzte und Krankenhäuser profitieren davon. Allerdings fehlen noch einheitliche Qualitätskriterien, die solche Apps erfüllen müssen. Auch Fragen des Datenschutzes sind noch nicht abschließend geklärt.

Datenschutz bei Medizin-Apps

© kritiya - Fotolia.com

Datenschutz bei Medizin-Apps

Seit ein paar Jahren sind gesundheitsbezogene Apps auf dem Vormarsch. Laut dem Branchenverband BITKOM gab es bereits im Jahr 2011 etwa 15.000 entsprechende Apps für Smartphones und Tablets in Deutschland - Tendenz weiter steigend.

Gesundheits- und Medizin-Apps bieten Verbrauchern einen einfachen Zugang zu individuellen Gesundheitsinformationen. Sie bekommen beispielsweise Informationen über Ihren Blutzucker, Ihren Blutdruck oder Ihre Sehschärfe. Sie können Ihre Herzfrequenz messen, Ihre Lungenfunktion prüfen oder sich einfach an die Einnahme Ihrer Medikamente erinnern lassen.

Bei Ärzten und Krankenhäusern steht eine bessere Vernetzung und Behandlung der Patienten im Vordergrund. So erleichtern Apps zum Beispiel den Einsatz der elektronischen Patientenakte während der Visite. Experten gehen davon aus, dass die verbesserte Behandlung in der Zukunft mit einer Effizienzsteigerung einhergehen und gleichzeitig für geringere Kosten im Gesundheitssystem sorgen könnte.

Doch was einerseits effizient und zukunftsweisend erscheint, bringt andererseits auch Risiken mit sich. Denn die Bandbreite der angebotenen Apps im Gesundheitswesen ist groß. Wie lässt sich genau ermitteln, welche Gesundheits- und Medizin-Apps unbedenklich sind und welche nicht? Können alle Apps in Krankenhäusern eingesetzt werden oder gibt es Qualitätskriterien, die eine Auswahl vereinfachen oder auch verhindern können? Was ist beim Datenschutz zu beachten? Diese Fragen beschäftigen derzeit die Experten - bisher jedoch ohne nennenswerte Ergebnisse.

Rechtliche Grundlagen

In Deutschland gilt für Medizinprodukte das Medizinproduktegesetz (MPG). Unter die Begriffsbestimmung des Medizinproduktes in § 3 Nr. 1 MPG fällt auch Software. Damit eine App als Medizinprodukt einzuordnen ist, bedarf es einer Zweckbestimmung des Herstellers. Dieser muss die entsprechende Software für einen diagnostischen oder therapeutischen Zweck bestimmen, der in der Norm (§ 3 Nr. 1 MPG) genannt wird.

Wird eine App als Medizinprodukt eingestuft, darf sie nur in den Verkehr gebracht werden, wenn sie eine CE-Kennzeichnung trägt. Die "grundlegenden Gesundheits- und Sicherheitsanforderungen" verpflichten den Hersteller zu gewährleisten, dass die Anwendung des jeweiligen Medizinproduktes keine Gefährdung für Patienten, Anwender oder Dritte darstellt und das Produkt insgesamt ein hohes Sicherheitsniveau aufweist. In der Praxis erhalten die meisten Antragsteller die CE-Kennzeichnung jedoch völlig problemlos.

Was bis heute fehlt, ist ein entsprechendes Gütesiegel, das Aufschluss über die Qualität und den Datenschutz-Standard der App gibt, da diese Punkte im Rahmen der CE-Prüfung nicht berücksichtigt werden. Auch Übertragungswege und Netzwerkkomponenten sind von der Regelung des MPG nicht betroffen.

Geltende Datenschutzregeln

Eine ganz entscheidende Rolle beim Einsatz von Medizin- und Gesundheits-Apps spielen die Regelungen des Datenschutzes. Wenn ein App-Anbieter in Deutschland Daten erhebt und verwendet, sind grundsätzlich deutsches Datenschutzrecht und die Spezialvorschriften des Telekommunikationsgesetzes und des Telemediengesetzes anwendbar. Häufig sind es jedoch ausländische Unternehmen, die Apps anbieten - die Daten werden irgendwo auf der Welt gespeichert. Hier ist es in der Praxis schwierig, deutsches Datenschutzrecht durchzusetzen.

Im Verhältnis einer Privatperson zum Anbieter muss im Falle von Gesundheitsdaten eine ausdrückliche Einwilligung des Betroffenen vorliegen (§ 4 a Abs. 1,3 BDSG). Das heißt, der Einwilligende muss über den Zweck der Datenverarbeitung informiert worden sein, die Abgabe muss freiwillig erfolgen, und die Einwilligung muss sich ausdrücklich auf die Gesundheitsdaten beziehen. Für App-Anbieter bietet es sich an, die Einwilligung schon beim ersten Start der App einzuholen.

Wenn eine Medizin-App von Arzt oder Krankenhaus zur medizinischen Behandlung eines Patienten genutzt wird, gilt das deutsche Datenschutzrecht für die Speicherung und die Erhebung der Patientendaten. Werden die Patientendaten beim App-Anbieter gespeichert, liegt immer eine Übermittlung zwischen dem Arzt oder dem Krankenhaus und dem App-Anbieter vor. Diese Übermittlung bedarf einer gesetzlichen Grundlage (beispielsweise § 28 Abs.6-8 BDSG) oder einer Einwilligung der betroffenen Patienten.

Eine gesetzliche Ermächtigungsgrundlage enthält das Bundesdatenschutzgesetz (BDSG) im § 28 Abs. 7. Danach ist das Erheben von besonderen Arten personenbezogener Daten (§ 3 Abs. 9, darunter fallen auch Gesundheitsdaten) ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen".

Was ist mit der ärztlichen Schweigepflicht?

Im Verhältnis Krankenhaus/Arzt und App-Anbieter ist jedoch auch die strafrechtliche Vorschrift des § 203 Abs. 1 Nr. 1 StGB zu beachten. Danach unterliegen Daten, die dem Arzt in seiner beruflichen Funktion anvertraut wurden, der ärztlichen Schweigepflicht. Sie können demnach nicht einfach an Dritte, wie etwa einen App-Anbieter, weitergegeben werden.

Einige Experten versuchen dieses spezielle Problem durch die Anwendung des § 11 BDSG zu lösen, wonach in diesem Fall eine Auftragsdatenverarbeitung privilegiert werde. Andere sehen dagegen Auftragsdatenverarbeiter (wie etwa Apps) als berufsmäßige Gehilfen des Arztes im Sinne des § 203 Abs.3 S.2 StGB an. So fällt unter bestimmten - unterschiedlich gefassten - Voraussetzungen die Datenweitergabe an Dienstleister nicht unter den Tatbestand des § 203 StGB.

Eine abschließende Klärung dieser Thematik ist noch nicht erfolgt und hängt auch von der einzusetzenden App ab. Entscheidend ist, dass Ärzte und Krankenhäuser sich genau über die datenschutzrechtlichen Anforderungen der jeweiligen App informieren, um möglichen datenschutzrechtlichen "Lücken" der App aus dem Weg zu gehen. Besondere Vorsicht und Prüfung ist bei einer Datenspeicherung im Ausland geboten. Vor der Nutzung von Apps in Gesundheitseinrichtungen wird grundsätzlich empfohlen, einen fachkundigen Rat einzuholen.

Ausblick

Ärzte und Krankenhäuser sollten bei der Verwendung von Gesundheits- und Medizin-Apps die datenschutzrechtlichen Vorschriften genauestens beachten. Denn es wird sich meistens um Auftragsdatenverarbeitungen handeln, die im Hinblick auf die ärztliche Schweigepflicht sehr kritisch beurteilt werden und immer besonderer Vereinbarungen bedürfen.

Außerdem müssen dringend gewisse Qualitätskriterien und Gütesiegel für Medizin-Apps eingeführt werden, damit Verbraucher, Patienten wie auch Ärzte und Krankenhäuser wissen, welche Anwendungen datenschutzrechtlichen Standards entsprechen.

In Deutschland müssen darüber hinaus für die Gesundheits- und Medizin-Apps einige rechtliche Fragen bezüglich der genauen Einordnung dringend gelöst werden, um es den Herstellern zu erleichtern, solche Apps auf den Markt zu bringen. Im Interesse von Patienten, Ärzten und Krankenhäusern sollten unnötig lange Verfahren vermieden werden, die eine schnelle Markteinführung der Apps verhindern. Der Datenschutz darf jedoch nicht vernachlässigt werden.

Mehr zum Thema