08
Apr
2016

Datenschutz und IT-Recht

Wearables und Gesundheits-Apps

Datenschutzkonferenz veröffentlicht Anforderungen zum Schutz von Gesundheitsdaten und stellt Forderung an den Gesetzgeber.

IT-Sicherheit, Transparenz und Mitverantwortung

Ausweislich der im Auftrag des Bundesministeriums der Justiz und für Verbraucherschutz durch YouGov durchgeführten Online-Befragung von ca. 2.000 Verbrauchern nutzen derzeit 14 % ein Wearable (z. B. Fittnessarmbänder und Smart Watches) und 17 % eine Gesundheits-App.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat nun die folgenden datenschutzrechtlichen Anforderungen zum Schutz von Gesundheitsdaten veröffentlicht und gleichzeitig eine Forderung an den Gesetzgeber formuliert:

  • "Die Grundsätze der Datenvermeidung und Datensparsamkeit sind zu beachten. Insbesondere Hersteller von Wearables und Gesundheits-Apps sind aufgerufen, datenschutzfreundliche Technologien und Voreinstellungen einzusetzen (Privacy by Design and Default). Hierzu gehören Möglichkeiten zur anonymen bzw. pseudonymen Datenverarbeitung. Soweit eine Weitergabe von Gesundheits- und Verhaltensdaten an Dritte nicht wegen einer medizinischen Behandlung geboten ist, sollten Betroffene sie technisch unterbinden können (lediglich lokale Speicherung).
  • Die Datenverarbeitungsprozesse, insbesondere die Weitergabe von Gesundheits- und Verhaltensdaten an Dritte, bedürfen einer gesetzlichen Grundlage oder einer wirksamen und informierten Einwilligung. Sie sind transparent zu gestalten. Für das Persönlichkeitsrecht riskante Datenverwendungen, insbesondere Datenflüsse an Dritte, sollten für die Nutzerinnen und Nutzer auf einen Blick erkennbar sein. Beispielsweise könnte die Anzeige des Vernetzungsstatus die aktuellen Weitergabeeinstellungen veranschaulichen. Eine solche Verpflichtung zur erhöhten Transparenz sollte gesetzlich verankert werden.
  • Einwilligungserklärungen und Verträge, die unter Ausnutzung eines erheblichen Verhandlungsungleichgewichts zwischen Verwendern und den betroffenen Personen zustande kommen, sind unwirksam und liefern keine Rechtsgrundlage für Verarbeitungen. Das gilt namentlich für besonders risikoträchtige Verwendungszusammenhänge, etwa in Beschäftigungs- und Versicherungsverhältnissen.
  • Verbindliche gesetzliche Vorschriften zur Datensicherheit, insbesondere zur Integrität und Vertraulichkeit von Daten, können nicht durch Verträge oder durch Einwilligungserklärungen abbedungen werden.
  • Wer aus eigenen Geschäftsinteressen gezielt bestimmte Wearables und Gesundheits-Apps in den Umlauf bringt oder ihren Vertrieb systematisch unterstützt, trägt eine Mitverantwortlichkeit für die rechtmäßige Ausgestaltung solcher Angebote. In diesem Sinne Mitverantwortliche haben sich zu vergewissern, dass die Produkte verbindlichen Qualitätsstandards an IT-Sicherheit, Funktionsfähigkeit sowie an Transparenz der Datenverarbeitung genügen.

Die Datenschutzkonferenz fordert den Gesetzgeber auf zu prüfen, ob und inwieweit im Zusammenhang mit Wearables und Gesundheits-Apps die Möglichkeit beschränkt werden sollte, materielle Vorteile von der Einwilligung in die Verwendung von Gesundheitsdaten abhängig zu machen."

Autor: Dr. Karsten Krupna

Siehe auch:

Datenschutzprüfung durch BayLDA

Verwendung von „Google Analytics“ ohne Nutzungshinweis wettbewerbswidrig

LG Düsseldorf: Einbinden des Facebook-„Like-Buttons“ datenschutzwidrig

Schutz vor Cyberangriffen: Neue Sicherheitsanforderungen für alle geschäftsmäßig handelnden Onlinedienste

für Start-ups

» zur Übersicht