16. März 2015

Gesundheitsdaten im Fokus von Lifestyle- und Fitness-Apps? [Niclas Krohm]

Lifestyle- und Fitness-Apps erobern zunehmend den digitalen Markt und erfreuen sich offenbar unter den Nutzern von Mobile Devices großer Beliebtheit. Diese Apps sind geeignet, dem Nutzer hilfreiche Hinweise zu seinem Alltag oder zu seinen Lebensgewohnheiten zu geben. Besonders hilfreich erscheint eine App, die den Glukosespiegel messen kann und einen Diabetiker warnt, wenn dieser zu stark ansteigt. Gleichzeitig sind mit solchen Angeboten selbstverständlich auch Datenverarbeitungen verbunden.

Lifestyle- und Fitness-Apps erobern zunehmend den digitalen Markt und erfreuen sich offenbar unter den Nutzern von Mobile Devices großer Beliebtheit. Diese Apps sind geeignet, dem Nutzer hilfreiche Hinweise zu seinem Alltag oder zu seinen Lebensgewohnheiten zu geben. Besonders hilfreich erscheint eine App, die den Glukosespiegel messen kann und einen Diabetiker warnt, wenn dieser zu stark ansteigt. Gleichzeitig sind mit solchen Angeboten selbstverständlich auch Datenverarbeitungen verbunden. Viele Apps sammeln beispielsweise Informationen über die Bewegungsgewohnheiten des Nutzers: Schritte werden gezählt und Aktivitäten gemessen.

Hinsichtlich dieser Angebote wurde bereits seitens der Verbraucher- und Datenschützer deutliche Kritik geäußert. Es ging dabei nicht nur um die Quantität, sondern auch um die Qualität der personenbezogenen Daten, die die jeweiligen Lifestyle- und Fitness-Apps verarbeiten. Einige Kritiker warnen, dass die Apps Gesundheitsdaten und damit besonders sensitive Daten nutzen. Im Zuge dieser Diskussion hat auch die Art.-29-Datenschutzgruppe eine kurze Stellungnahme zu der Problematik veröffentlicht und auf den besonderen Schutzbedarf von Gesundheitsdaten hingewiesen.

Position der Art. 29-Datenschutzgruppe

Zu begrüßen ist zunächst, dass sich die Art.-29-Datenschutzgruppe des Begriffs der Gesundheitsdaten näher angenommen und Konkretisierungsversuche vorgelegt hat. Der Begriff der Gesundheitsdaten taucht zwar sowohl in Art. 8 Abs. 1 der Datenschutzrichtlinie 95/46/EG als auch im nationalen Recht (§ 3 Abs. 9 BDSG) auf, wird gleichwohl jeweils nicht weiter konkretisiert. Für die verantwortlichen Stellen besteht insoweit ein erhebliches Maß an Rechtsunsicherheit, wie weit der Begriff der Gesundheitsdaten reicht (vgl. zu der Thematik im Ganzen auch den Beitrag Mathes/Krohm, PinG 2015, S. 49).

Die Art.-29-Datenschutzgruppe stellt fest, dass sensitive Gesundheitsdaten nicht nur medizinische Daten umfassen. Der Begriff sei wesentlich weiter zu verstehen. Medizinische Daten beinhalten Angaben über den physischen und psychischen Zustand einer Person, die in einem professionellen medizinischen Kontext generiert werden. Konkret benennt die Art.-29-Datenschutzgruppe auch den Beinbruch einer Frau, das Tragen einer Brille oder von Kontaktlinsen, Angaben über Trink- und Rauchgewohnheiten einer Person sowie die Zugehörigkeit zu Weight Watchers oder den Anonymen Alkoholikern als Gesundheitsdaten.

Zusätzlich sollen auch sog. Rohdaten als Gesundheitsdaten angesehen werden, sofern diese einen Schluss auf den Gesundheitszustand einer Person oder Gesundheitsrisiken zulassen. Die Rohdaten können teilweise für sich genommen vollkommen belanglose Daten umfassen, die in Kombination mit weiteren Informationen die Schwelle zum sensitiven Bereich übertreten, sodass man von Gesundheitsdaten ausgehen soll. Beispielsweise kann die Angabe zum Gewicht einer Person noch als relativ unsensibel i.S.v. § 3 Abs. 9 BDSG bzw. Art. 8 Abs. 1 RL 95/46/EG gelten, obgleich einige Menschen dies – aus einer nicht rechtlichen Perspektive – anders sehen. Ein Gesundheitsdatum wird man in der Angabe eines Gewichtes jedenfalls regelmäßig nicht sehen können. Eine Ausnahme könnte allenfalls bestehen, sollte das Gewicht ein eindeutiger Beleg für eine Fettleibigkeit sein. In Kombination mit weiteren Daten oder bei einer Aufzeichnung der Gewichtsentwicklung einer Person über einen längeren Zeitraum, könne man nach Ansicht der Art.-29-Datenschutzgruppe Rückschlüsse auf die Gesundheit einer Person gewinnen. Insoweit seien die Daten nicht neutral und es bedarf des besonderen Schutzes sensitiver Daten. Eine konkretere Grenzziehung ist der Art.-29-Datenschutzgruppe bei dieser komplexen Materie leider nicht geglückt. Es ist allerdings auch verständlich, dass die Datenschutzaufsichtsbehörden an dieser Stelle lieber einen weiteren und ungenauen Anwendungsrahmen der besonderen Verarbeitungsvoraussetzungen für sensitive Daten ziehen, um einen umfassenden Schutz der Betroffenen gewährleisten zu können. Das wird jedoch auch weiterhin zu Lasten der Rechtssicherheit für verantwortliche Stellen gehen, zumal nicht gesichert ist, dass sich die Rechtsprechung einer solch weiten Auslegung des Begriffs der Gesundheitsdaten anschließen wird. Die Beschlüsse der Art.-29-Datenschutzgruppe sind für die Rechtsprechung nicht verbindlich und stellen vielmehr eine zumeist wertvolle Auslegungshilfe dar.

Ausblick

Insgesamt können die Ausführungen der Art.-29-Datenschutzgruppe als nützlich angesehen werden. Eine stärkere Konkretisierung der Abgrenzungskriterien für Gesundheitsdaten würde den verantwortlichen Stellen helfen und sollte insbesondere im Hinblick auf die Datenschutz-Grundverordnung im Auge behalten werden. Wünschenswert wäre zudem, wenn künftig verstärkt noch auf den Kontext der Datenverarbeitung abgestellt werden würde. Die recht pauschale Aussage der Art.-29-Datenschutzgruppe zum Tragen einer Brille als Gesundheitsdatum erscheint wenig zielführend. Diese Information mag oftmals einen gesundheitsbezogenen Kontext haben. Das trifft jedoch grundsätzlich nicht auf das schon mehrfach in der datenschutzrechtlichen Diskussion genannte Beispiel eines Bewerbungsfotos eines Brillenträgers zu. Solange die Bewerbung nicht auf eine Beschäftigung mit der Voraussetzung einer bestimmten Sehstärke gerichtet ist, wird das Foto mit der Brille nicht in einem gesundheitsbezogenen Kontext verarbeitet und es bedarf auch keines besonderen Schutzes des Betroffenen. Eine nach dem Kontext bezogene Differenzierung bei der Beurteilung des sensitiven Charakters eines Datums wäre daher im Sinn der Betroffenen und verantwortlichen Stellen vorzugswürdig.

Bei aller datenschutzrechtlichen Kritik an Lifestyle- und Fitness-Apps ist auch zu beachten, dass Gesundheitsdaten nach derzeitiger Rechtslage mit Hilfe der Einwilligung genutzt werden können. Dies gilt auch für die genannten App-Angebote. Im Zuge der Digitalisierung sollte man sich jedoch fragen, ob dieses strenge Postulat der Einwilligung noch zeitgemäß ist. Eine App, die offensichtlich eine Leistung im medizinischen Bereich erbringt, wird von den Nutzern gerade aus diesem Grund in Betrieb genommen. Die Einholung einer Einwilligung erscheint als reiner Formalismus und die Zulässigkeit der Verarbeitung von Gesundheitsdaten aufgrund eines gesetzlichen Erlaubnistatbestandes wäre wünschenswert. Es ist davon auszugehen, dass auch für den Diabetiker, der eine App zur Messung des Blutzuckerspiegels nutzt, dieser Ansatz wesentlich komfortabler und damit in seinem Sinne wäre. Ein besonderer Schutzbedarf ist nicht erkennbar, der eine ausdrückliche Einwilligung erfordert. Eine umfassende Information des Betroffenen über die Datenverarbeitung sollte ausreichen. Bei Apps mit einem wesentlich größeren Risikopotential für den Betroffenen mag dies wegen einer eher versteckten Verarbeitung von Gesundheitsdaten oder beispielsweise damit verbundenen Data Warehouse-Anwendungen anders aussehen und eine Einwilligung kann dann als erforderlich erachtet werden.
Für ein modernes und zeitgemäßes Datenschutzrecht wäre es erstrebenswert, wenn der Gesetzgeber diese Ansätze im Zuge der Datenschutz-Grundverordnung aufgreifen würde, um den digitalen Fortschritt und den Schutz personenbezogener Daten im Sinne der Betroffenen in Einklang zu bringen.

Autor/in

Dr. Niclas Krohm

Dr. Niclas Krohm ist Referent für Datenschutz/Grundsatzfragen beim Gesamtverband der Deutschen Versicherungswirtschaft e.V. und Rechtsanwalt bei der Kanzlei Schürmann Wolschendorf Dreyer RAe. Der Beitrag gibt ausschließlich die persönliche Meinung des Autors wieder.