Schlagwort: Gesundheitsdatenschutz

Schmerzensgeld aufgrund Weitergabe von Gesundheitsdaten

22. Juni 2021

Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.

Sachverhalt

Zwischen den Parteien bestand ein Unfallversicherungsvertrag. Nachdem der Kläger einen Verkerhrsunfall erlitt und dabei schwer verletzt wurde, führten die Parteien ein Verfahren vor dem Landgericht Meiningen, in dem es um die Ansprüche aus dem Unfallversicherungsvertrag ging. Gleichzeitig führte der Kläger auch ein Verfahren gegen die Haftpflichtversicherung des anderen Unfallbeteiligten vor dem Landgericht Erfurt, in welchem es um die Geltendmachung weiterer Schadensersatzansprüche ging. Die Beklagten aus beiden Verfahren wurden dabei durch dieselbe Anwaltskanzlei vertreten.

Im Rahmen des Verfahrens vor dem Landgericht Meiningen holte der Unfallversicherer ein Gutachten zum Gesundheitszustand des Klägers ein. Mit Einverständnis der beklagten Unfallversicherung, aber ohne Einwilligung des Klägers, zitierte die für beide Verfahren zuständige Kanzlei auch im Erfurter Verfahren wörtlich aus dem Gutachten, das den Gesundheitszustand des Klägers bewertete und im Auftrag der Unfallversicherung erstellt wurde.

Darin sah der Kläger einen Vertoß gegen die vertraglichen Pflichten der Unfallversicherung, insbesondere seine Gesundheitsdaten seien besonders schützenswert, auch datenschutzrechtlich. Außerdem könne ein negativer Einfluss auf den Ausgang des Erfurter Prozesses durch das Bekanntwerden des Gutachtens nicht ausgeschlossen werden. Die Beklagte hingegen sah keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Sie war der Auffassung, sie müsse sich eine etwaige Pflichverletzung Dritter, d.h. der Kanzlei, nicht zurechnen lassen. Diese sei eine eigenständige datenverarbeitende Stelle im Sinne der DSGVO.

Entscheidung

Das Gericht gab der Klage teilweise statt und sprach dem Kläger ein Schmerzensgeld in Höhe von 10.000 Euro aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag zu.

Dazu stellte es fest, dass die Beklagte dem Kläger gegenüber gem. § 241 Abs. 2 BGB zur Verschwiegenheit verpflichtet war. Es führte aus, dass sensible Daten des anderen Teils Dritten nicht ohne Weiteres offenbart werden dürften, und zwar auch dann nicht, wenn die Vertraulichkeit nicht spezialgesetzlich oder in Vertragsbedingungen ausdrücklich geregelt sei. Aus dem Versicherungsvertrag ergebe sich die Nebenpflicht, die aus diesem Vertragsverhältnis erlangten Daten nicht an Dritte weiterzugeben. Bei den Gesundheitsdaten handle es sich um sensible Daten, die besonders geschützt seien. Auch eine Rechtfertigung für die Weitergabe der Daten aus Art. 6 Abs. 1 lit. f DSGVO, einem berechtigten Interesse, verneinte das Gericht. Danach, so das Gericht, sei die Verarbeitung, zu der auch die Weitergabe von Daten an Dritte gehört, rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen und Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Das Gericht sah das Recht des Klägers auf Schutz seines Allgemeinen Persönlichkeitsrechts gem. Art. 2 Grundgesetz gegenüber dem Recht der Versicherung, die in Erfurt verklagt worden war, sich im Prozess zu verteidigen, als überwiegend an. Es erkannte keinen zwingenden Grund für die Verwertung des Gutachtens in dem Verfahren in Erfurt. Zudem hätten in dem Erfurter Verfahren auch noch gerichtliche Gutachten eingeholt werden können.

Die Verletzung des Allgemeinen Persönlichkeitsrechts stufte das Gericht auch als besonders schwerwiegend ein, da es sich bei den Gesundheitsdaten um höchstpersönliche Daten der Intimssphäre handelte.

Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen

28. April 2021

Im Rahmen der Corona-Pandemie setzt die Landesregierung Nordrhein-Westfalen zum Zweck des Gesundheitsschutzes unter anderem auf den Einsatz von Coronaselbsttests für alle an Schulen in Präsenz tätigen Personen. Über datenschutzrechtliche Grundsätze, Voraussetzungen und Grenzen bei der Durchführung dieser Selbsttests informiert die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in einem Schreiben.

Auch wenn die Durchführung von Coronaschnelltests aus datenschutzrechtlicher Sicht laut der LDI NRW nicht zu beanstanden ist, so müssen dennoch bestimmte Grundsätze beachtet werden, um datenschutzrechtliche Voraussetzungen zu erfüllen.

1. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten

Bei der Durchführung von Coronaschnelltests werden durch die Schulen Gesundheitsdaten z.B. von Schülerinnen und Schülern, d.h. personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO verarbeitet. Diese Gesundheitsdaten unterliegen einem besonderen Schutz nach der DSGVO, da deren Verarbeitung grundsätzlich untersagt ist. Nur in Ausnahmefällen nach Art. 9 Abs. 2 DSGVO ist eine Verabeitung zulässig. So z.B. nach Art. 9 Abs. 2 lit. i in den Fällen, in denen die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage nationalen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, erforderlich ist. Hinsichtlich einer solchen Regelung verweist die LDI NRW als Rechtsgrundlage für die Schulen auf § 1 Abs. 2 lit. b und lit. e Coronabetreuungsverordnung (CoronaBetrVO) und bejahte auch dessen Verhältnismäßigkeit.

2. Vertraulichkeit der Testergebnisse

Zudem verweist die Landesbeauftragte darauf, dass die Ergebnisse der Coronaselbsttests Unbefugten gegenüber nicht offengelegt werden dürfen. Das bedeutet, dass die Schulen die Bekanntgabe der Ergebnisse so organisieren müssen, dass sie den Schülerinnen und Schülern oder ihren Erziehungsberechtigten gegenüber einzeln erfolgt. Im Rahmen dessen sieht die LDI NRW den Ausschluss positiv getetester vom Präsensunterricht, durch den grundsätzlich auch ein Rückschluss auf das Testergebnis möglich wäre, als unumgänglich und mithin als datenschutzrechtlich hinnehmbar an.

3. Dokumentation der Testergebnisse

Schließlich müssen die Schulen die Testergebnisse nach § 1 Abs. 2 lit. e CoronaBetrVO erfassen und dokumentieren. Positive Testergebnisse müssen sie dem Gesundheitsamt übermitteln. Die Ergebnisse der durchgeführten Coronaselbsttests dürfen darüber hinaus nicht an Dritte übermittelt werden und müssen nach 14 Tagen vernichtet werden. Hinsichtlich der Vernichtung verweist die LDI NRW darauf, dass eine datenschutzkonforme Vernichtung erfolgen muss, d.h. in der Form, dass die Daten nicht wieder herstellbar sind, wofür sie ein bloßes Zerreißen von Listen und die Entsorgung über den Papiermüll als nicht ausreichend beschreibt. Auch eine Erforderlichkeit, die Testergebnisse zur Schülerakte zu nehmen, verneint die Landesbeauftragte. Sollte im Einzelfall eine Aufbewahrung für erforderlich gehalten werden, so verweist die LDI NRW darauf, dass dies nur in einem verschlossenen Umschlag, auf den nur ein eingeschränkter Personenkreis zur Aufgabenerfüllung der Schule Zugriff haben darf, erfolgen sollte. Auf dem Umschlag sei dann, so die LDI NRW, zu vermerken, wer wann und zu welchem Zweck auf das Testergebnis zugegriffen hat und wann es danach wieder im Umschlag verschlossen wurde.

Gesundheitskarte kann nicht durch Papieralternative ersetzt werden

25. Januar 2021

Das Bundessozialgericht hat festgestellt, dass gesetzlich Versicherte keinen papiergebundenen Berechtigungsnachweis verlangen können.

Nachdem die Kläger bereits erfolglos die unteren Instanzen durchlaufen hatten, entschied auch das BSG zu deren Ungunsten. Den Klägern ging es dabei um die Sicherheit der elektronisch gespeicherten Daten, welche nach ihrer Ansicht nicht ausreichend gewährleistet wird. Auf dem Chip der Geundheitskarte werden Versichertendaten wie Name und Versichertenstatus gespeichert. Als Alternative wollten sich die Kläger mit einem papiergebundenen Berechtigungsnachweis ausweisen.

Entgegen der Auffassung der Kläger entschieden die Kassler Richter, dass die Vorschiften über die elektronische Gesundheitskarte im Einklang mit den Vorgaben des europäischen Datenschutzrechts stehen. Auch der Eingriff in die Grundrechte der Kläger ist nach Ansicht des BSG gerechtfertigt. Insbesondere verhindere die Karte den Missbrauch von Sozialleistungen und diene der Abrechnung. Beides diene der finanziellen Stabilität der Kassen, welche ein überragend wichtiges Gemeinschaftsgut darstelle.

BfDI kritisiert Einführung der elektronischen Patientenakte nach PDSG

28. August 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kündigte an, dass er voraussichtlich aufsichtsrechtliche Maßnahmen gegen die gesetzlichen Krankenkassen ergreifen müsse. Hintergrund ist das Patientendaten-Schutz-Gesetz (PDSG). In seiner derzeitigen Fassung verstoße es hinsichtlich der Einführung der elektronischen Patienake (ePA) stellenweise gegen die europäische Datenschutz-Grundverordnung (DSGVO). Dadurch könne es zu einer rechtswidrigen Verarbeitung von Gesundheitsdaten kommen. Gesundheitsdaten sind als eine besondere Kategorie von personenbezogenen Daten besonders schützenswert.

Schon während des Gesetzgebungsverfahrens des PDSG äußerte der BfDI Bedenken, dass die Patienten bei einer Einführung der ePA nach Vorgaben des PDSG nicht die volle Gewalt über ihre Daten hätten.
Der Zugriff auf die eigene ePA ist für Patienten nur dann datenschutzrechtlich sicher, wenn sie hierzu geeignete Smartphones oder Tablets nutzen. Werden keine geeigneten Smartphones oder Tablets für den Zugriff auf die ePA verwendet, wird nicht dokumentengenau kontrolliert, welche Beteiligte welche in der ePA gespeicherten Daten einsehen können. Darüber hinaus ist besonders problematisch, dass auch diese Zugriffsmöglichkeit über Smartphones oder Tablets erst ein Jahr nach der Einführung der ePA – also nach 2021 – möglich sein wird.

Dadurch, dass nicht dokumentengenau kontrolliert wird, welche Beteiligten welche in der ePA hinterlegten Informationen einsehen können, besteht die Möglichkeit, dass jeder Beteiligte, dem durch den Patienten Einsicht in die ePA gewährt wird, auch alle hinterlegten Informationen einsehen kann. Diese Einsichtsmöglichkeit ist unabhängig davon, ob die Kenntnis der konkreten Informationen erforderlich ist. Daher kann ein Facharzt für Psychiatrie beispielsweise in die vom Zahnarzt des Patienten in der ePA gespeicherten Informationen einsehen.

Patienten, die kein geeignetes Endgerät zur Einsichtnahme in ihre ePA zur Verfügung haben oder keine Einsichtnahme in ihre ePA über Smartphone oder Tablet nehmen möchten, haben keine Möglichkeit, eigenständig ihre ePA einsehen zu können. Auch eine Prüfung der erfolgten Zugriffe auf ihre in der ePA hinterlegten Daten ist somit nicht möglich.

Cybersicherheit für medizinische Einrichtungen

8. Juli 2020

Zunahme von Hackerangriffen

Hackerangriffe werden von der breiten Bevölkerung weder groß gefürchtet, noch wird das Thema Cybersicherheit besonders beachtet. Dabei nimmt ihre Zahl von Jahr zu Jahr zu. Im Jahr 2018 vermeldete das Bundeskriminalamt die Zahl von 87.106 Fällen von Cybercrime. Dies entspricht einer Zunahme von 1,3% im Vergleich zum Vorjahr.

Von Hackerangriffen sind nicht nur Unternehmen betroffen, die über Kundendaten wie Kreditkarten verfügen, sondern auch Justizbehörden und sogar Bundesministerien (siehe Blog vom 05.12.2018).

Sogar das Rote Kreuz ist Anfang des Jahres Opfer eines Hackerangriffs geworden. Glücklicherweise diente dieser Angriff jedoch nur dem Aufsuchen von Sicherheitslücken. Böswillige Hacker hätten hingegen sensible Patientendaten abgreifen können. Eine Krankheitshistorie kann man nicht, wie bei gestohlenen Kreditkartendaten, sperren und ersetzen. Für die Betroffenen wäre eine Veröffentlichung ihrer Gesundheitsdaten mit unangenehmen Konsequenzen verbunden.

Zu diesem Thema hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) eine Prüfliste veröffentlicht, die Empfehlungen zur Cybersicherheit für medizinische Einrichtungen ausspricht.

Die Maßnahmen sind jedoch auch für nicht-medizinische Unternehmen von Relevanz.

Empfohlene Maßnahmen

Bei den empfohlenen Maßnahmen sollten unter anderem folgende Punkte besonders beachtet werden:

  • Regelmäßige Aktualisierung der verwendeten Software.
  • Nutzung von Antiviren-Programmen. Zu beachten ist, dass immer nur ein Antiviren-Programm gleichzeitig installiert sein sollte. Mehrere Programme blockieren sich gegenseitig und schaden mehr, als sie nutzen.
  • Schutz vor Ransomware. Wenn möglich, sollte auf Makros in Office-Dokumenten verzichtet werden und wenn, nur signierte Makros verwendet werden.
  • Nutzung starker Passwörter. Es sollten keine banalen Begriffe wie „1234“ oder „passwort“ genutzt werden. Auch sollten Passwörter niemals am Arbeitsplatz liegen gelassen werden.
  • Nutzung von Zwei-Faktor-Authentifizierung. Näheres dazu ist in unserem Blog nachzulesen.
  • E-Mails sollten nur als Text angezeigt werden. So lassen sich leichter manipulierte Links erkennen. Außerdem sollten E-Mails grundsätzlich von einem Antiviren-Programm überprüft werden.
  • Es sollten regelmäßig Backups durchgeführt werden.
  • Bei der Arbeit im Homeoffice sollte der Zugang über eine VPN-Verbindung gesichert sein. Im Falle der Nutzung mobiler Endgeräte sollten diese über starke Verschlüsselungsmechanismen verfügen.
  • Falls Laborergebnisse online abgerufen werden können, muss der Zugang besonders geschützt werden.
  • Es sollte eine leistungsstarke Firewall installiert sein, um unbefugte Zugriffe von außen zu verhindern.
  • Das Thema Social Engineering darf nicht unterschätzt werden. Hacker versuchen vermehrt Kontakte über Portale wie Xing, LinkedIn oder auch Facebook zu knüpfen, um das Vertrauen ihrer Opfer zu gewinnen und zum Beispiel über manipulierte E-Mails zu missbrauchen.

Ulrich Kelber nimmt Stellung zum zweiten Pandemiegesetz

20. Mai 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.

Mögliche Verfassungswidrigkeit

Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes. 

Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.

Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.

Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.

Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.

Parlament lag Stellungnahme von Kelber vor

Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.

Bundestagsabstimmung am 7.11.19 über das umstrittene Digitale-Versorgung-Gesetz

6. November 2019

Wie bereits am 10.07.2019 berichtet wurde, entwarf Bundesgesundheitsminister Spahn das Digitale-Versorgung-Gesetz.

Das neue Gesetz sieht eine digitale Speicherung der personenbezogenen Daten von 73 Millionen gesetzlich Versicherten vor. Das Einsehen einer digitalen Personenakte soll damit erleichtert werden.

Die Kritik am umstrittenen Gesetz beruht maßgeblich auf der Gefährdung des sensiblen Gesundheitsdatenschutzes. Insbesondere verzichtet das Gesetz auf eine Einwilligung für die Weitergabe der Patientendaten zu Forschungszwecken. Pseudonymisierte Abrechnungsdaten werden von den gesetzlichen Krankenkassen an den Spitzenverband weitergeleitet. Nach nochmaliger Pseudonymisierung können diese Daten dem Forschungsdatenzentrum zur Verfügung gestellt werden. Dieses leitet anonymisierte und zusammengefasste Ergebnisse auf Antrag an Wissenschaftlerinnen und Forscher weiter. Zusätzlich kritisiert wird der Ausschluss des Widerrufsrechts. Es bleibt abzuwarten, ob der Bundestag das Digitale-Versorgung-Gesetz in dieser Form morgen beschließt.

Facebook führt Präventive-Gesundheits-Funktion ein

29. Oktober 2019

Facebook plant künftig auch Gesundheitsdaten seiner Nutzer zu sammeln.

Die neue Funktion soll Nutzern eine bessere Kontrolle über ihre Gesundheit bieten, heißt es in einem Blogbeitrag von Facebook.

Nutzer geben Facebook ihre sensiblen Daten preis und erhalten im Gegenzug die Möglichkeit, über die Gesundheitsfunktion nach einem Arzt zu suchen oder Erinnerungen für Ihre zukünftigen Untersuchungen zu erstellen und diese als erledigt zu markieren. Facebook erhält dabei keinen Zugriff auf die Ergebisse der Untersuchung.

Zu den Daten, die Facebook für diese Funktion sammlt, gehören Alter und Geschlecht, der aktuelle Wohnort und wahlweise der genaue Standort. Basierend auf den Angaben zu Alter und Geschlecht werden dem Nutzer Untersuchungen vorgeschlagen, die von Gesundheitsorganisationen empfohlen werden.

Es werden keine Daten aus der Funktion an Drittanbieter weitergegeben. Ebensowenig wird Werbung auf Basis der Daten aus der Gesundheitsfunktion angezeigt. Dies gilt allerdings nur, solange der Nutzer nicht auf einen vorgeschlagenen Link zu einem Arzt oder einer anderen Gesundheitsorganisation klickt, denn diese Information wird für Werbezwecke genutzt.

Die Gesundheitsfunktion wird erstmal nur in den USA verfügbar sein. Facebook macht keine Angaben dazu, ob das Angebot für Europa geplant wird.

Hochsensible medizinische Daten frei verfügbar im Netz

17. September 2019

Patienten aus Deutschland und den USA betroffen.

Datensätze von weltweit mehreren Millionen Patienten sind im Netz für jedermann frei zugänglich. Auf dieses Datenleck stießen Reporter vom Bayrischen Rundfunk und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, während einer gemeinsamen Recherche.

Teil der betroffenen Datensätze sind auch Bilder aus medizinischen Untersuchungen, welche unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen eines Brustkorbs zeigen. Der Großteil der Datensätze weist einen Personenbezug auf: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Diese sensiblen und damit besonders schützenswerten Daten lagen auf ungeschützten Servern.

Betroffen sind in Deutschland rund 13.000 Datensätze, wovon der größte Teil von Patienten aus dem Raum Ingolstadt (Bayern) und aus Kempen (Nordrhein-Westfalen) stammt. Doch auch weltweit sind nach Auswertungen von ProPublica Patientendaten betroffen. In den USA sei das Ausmaß besonders hoch.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte gegenüber dem BR auf, welche Konsequenzen ein solches Datenleck haben kann: “Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.”

Laut Informationen des Bayrischen Rundfunks wurde der Fall Ingolstadt bei dem Bayerischen Landesamt für Datenschutzaufsicht, der zuständigen Behörde, angezeigt. Welche aufsichtsbehördlichen Maßnahmen die Behörde treffen wird, bleibt abzuwarten.

Gesundheits-Apps unterliegen ab 2020 höheren Anforderungen

15. August 2019

Die Digitalisierung des Gesundheitssystems schreitet weiter voran. Das digitale Versorgungsgesetz (DVG) sieht vor, dass Ärzte künftig Gesundheits-Apps verschreiben können und die Kosten dafür von den Krankenkassen erstattet werden sollen. Viele Patienten nutzen schon jetzt Gesundheits-Apps, die sie zum Beispiel dabei unterstützen, ihre Arzneimittel regelmäßig einzunehmen oder ein Diabetes Tagebuch zu führen.

Bei den Apps werden jedoch in großem Umfang Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO zu den sensiblen Daten zählen. Der Einsatz von Gesundheits-Apps birgt damit erhebliche Risiken für das Recht auf informationelle Selbstbestimmung.

Mit Inkrafttreten der EU-Medizinprodukte-Verordnung am 25. Mai 2017 müssen sich Entwickler von Gesundheits-Apps auf deutlich höhere Anforderungen einstellen. Nicht nur nur die Definition weitet sich aus, weshalb mehr Apps der Verordnung unterfallen, auch die Risikoklasse steigt. Bis zum 26. Mai 2020 gilt allerdings noch eine weniger strenge Übergangsregelung.

Laut dem Bundesministerium für Gesundheit soll für die Gesundheits-Apps ein zügiger Zulassungsweg geschaffen werden.

1 2