Was müssen Anbieter von Gesundheits-Apps aus rechtlicher Sicht beachten?
Die DSGVO bringt viele Herausforderungen mit sich. Insbesondere Unternehmen, die Gesundheitsdaten verarbeiten, müssen strenge Vorgaben einhalten und umsetzen.
In diesem Beitrag klären wir über die wichtigsten Punkte auf.
Erfahren Sie mehr über die Anforderungen an Datenschutz und Datensicherheit bei digitalen Gesundheitsanwendungen.
Was sind digitale Gesundheitsanwendungen?
Zu den Digitalen Gesundheitsanwendungen (DiGA) zählen zum Beispiel Gesundheits-Apps, die mobil auf dem Smartphone genutzt werden können und der Erkennung und Behandlung von Krankheiten, Verletzungen oder Behinderungen dienen.
Die Apps gelten als Medizinprodukte und müssen außerdem in dem BfArM-Verzeichnis eingetragen sein. Eine 12-monatige Erprobungsphase ist möglich. Dann können sie vom Arzt verordnet und von der Krankenkasse erstattet werden.
Besonderer Schutz von Gesundheitsdaten
Grundsätzlich ist die Verarbeitung personenbezogener Daten, aus denen Informationen über den Gesundheitszustand einer Person hervorgehen, untersagt. Dies gilt jedoch in bestimmten Fällen nicht.
Zum Beispiel dann, wenn die betreffende Person in die Datenverarbeitung ausdrücklich eingewilligt hat oder wenn die Verarbeitung zum Schutz lebens-
wichtiger Interessen erforderlich ist (und die Person körperlich oder rechtlich außerstande ist einzuwilligen).
Die Anforderungen
In § 4 DiGAV sind verschiedene Anforderungen an Datenschutz und
Datensicherheit geregelt. Die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik sind einzuhalten.
Erforderlich ist zunächst die Einwilligung, die im Zweifel für jeden Zweck der Datenverarbeitung getrennt eingeholt werden muss.
Zweck der Datenverarbeitung
DiGA-Daten dürfen ausschließlich zu den folgenden Zwecken verarbeitet werden:
- zum bestimmungsgemäßen Gebrauch durch den Nutzer, also z. B. zur Behandlung von Krankheiten
- zum Nachweis in der Erprobungsphase, dass die App einen positiven Effekt hat,
- zur Nachweisführung für Vergütungsverträge mit den Krankenkassen
- zur dauerhaften Gewährleistung der technischen Funktionsfähigkeit, der Nutzerfreundlichkeit und der Weiterentwicklung
Die Verarbeitung zu Werbezwecken ist ausdrücklich verboten.
Ort der Verarbeitung
Die DiGAV enthält strengere Standort-Regelungen als die DSGVO: Die durch DiGAs generierten Daten dürfen nur innerhalb der EU, dem EWR, der Schweiz und Drittstaaten mit Angemessenheitsbeschluss verarbeitet werden.
Die DSGVO lässt dagegen unter bestimmten Bedingungen auch Datenverarbeitungen in Drittstaaten ohne Angemessenheitsbeschluss zu.
Gut zu wissen
Für das Prüfverfahren zur Eintragung in das DiGA-Verzeichnis hat das BfArM auf seiner Website wichtige Handlungshinweise zusammengestellt. Unter anderem müssen die Anbieter der App nachweisen, dass sie die Anforderungen an den Datenschutz und die Datensicherheit nach dem Stand der Technik einhalten.
Zu den speziellen Anforderungen gehören technische Regeln, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt wurden. Ab 01.01.2025 soll eine entsprechende Zertifizierungverpflichtend werden
Fragen Offen? Sie brauchen Unterstützung?
Wir sind auf Beratung im Bereich Datenschutz und IT-Sicherheit für Unternehmen und öffentlich-rechtliche Institutionen in Deutschland und Luxemburg spezialisiert.