Better safe than sorry – 3 essentiell wichtige Prüfungsschritte für die Entwicklung von digitalen Gesundheitsanwendungen

„Hey Siri – wie hoch ist mein Blutdruck?“ – „Alexa, wann muss ich meine Medikamente einnehmen?“ – „Google, starte meine Fitness-Challenge!“. Sätze, die für Sie noch nach Zukunftsmusik klingen? Weit gefehlt!

Bereits seit 2019 bietet die Spracherkennungssoftware Siri des Softwareherstellers Apple Kurzbefehle an, die einen Zugriff auf Gesundheitsgeräte ermöglichen – darunter Blutdruck- und Blutzuckermessgeräte, Fitness-Armbänder oder die eigens von Apple vertriebene Apple Watch (vgl. Apple 2019). Und auch die Konkurrenten Google und Amazon kooperieren mit App-Herstellern, Kliniken und Krankenkassen und integrieren so Gesundheitsanwendungen immer mehr in den Alltag von Patientinnen und Patienten. Klingt erstmal praktisch, oder?

Digitale Gesundheitsanwendungen erfreuen sich in der Praxis einer großen Beliebtheit: Im Jahr 2020 gaben im Rahmen einer Umfrage 35% der Befragten an, Apps zur Überwachung ihrer Gesundheit zu nutzen (vgl. Statista 2020). Sowohl für Anwender als auch für Hersteller stellen sich in Bezug auf Gesundheits-Apps jedoch immer wieder dieselben zentralen Fragen: Siegt der Komfort, (auch) medizinische Daten jederzeit griffbereit zu haben, oder überwiegt die Sorge, zum „gläsernen Patienten“ zu werden? Ist eine Gesundheits-App immer ein Medizinprodukt? Und wer haftet eigentlich, wenn Daten verloren gehen?

Gesundheits-Apps können strengen Regularien unterliegen, die Sie bei der Entwicklung kennen und beachten müssen. Die folgenden Prüfungsschritte sollen Ihnen helfen, erste Antworten auf zentrale rechtliche Fragen bezüglich ihrer digitalen Gesundheitsanwendungen zu finden:

Schritt 1: Die Datenanalyse – unumgänglich und essenziell!

Datenschutz ist ein komplexes und bei manchen wenig beliebtes Thema – wir finden, zu Unrecht, und wollen Sie daher nochmal darauf aufmerksam machen, warum bei der Einhaltung datenschutzrechtlicher Vorschriften Genauigkeit und Vorsicht geboten ist!

Denn: Werden datenschutzrechtliche Vorschriften nicht eingehalten oder das Schutzniveau unterschritten, so haftet der „Verantwortliche“ i.S.d. DSGVO. Aber wer ist dieser „Verantwortliche“? Maßgeblich ist hier die „Entscheidungsgewalt über Zweck und Mittel der Verarbeitung“ – und diese liegt nicht immer beim Konzernvorstand des verarbeitenden Unternehmens, sondern häufig auch in der jeweiligen verarbeitenden Abteilung (vgl. Paal, 2020). Verantwortlicher im Sinne der DSGVO kann also auch eine einzelne Konzernabteilung sein, die zur Haftung herangezogen wird.

Bitte beachten Sie: Diese Verantwortlichkeit ist nicht delegierbar! Die Bestellung eines internen oder externen Datenschutzbeauftragten allein reicht nicht aus, um allen Datenschutzpflichten zu genügen – die verantwortliche Stelle hat vielmehr selbst sicherzustellen, dass Sie umfassend beraten wird (vgl. Schild 2020). Ein eigenverantwortliches Adressieren datenschutzrechtlicher Fragen ist daher essenziell und liegt in der Verantwortung der jeweils handelnden Abteilung. Beraten werden kann nur über diejenigen Aspekte, die ihr Datenschutzbeauftragter auch kennt. Hier gilt: Communication is key!

Gesundheitsdaten gelten nach der Wertung der Datenschutzgrundverordnung als besonders sensibel und entsprechend schützenswert. Hier gilt die allgemeine Faustregel: Je sensibler die Daten, desto höher die Anforderungen an das Schutzniveau. Doch was fällt bereits unter den Begriff des Gesundheitsdatums?

Gesundheitsdaten sind:

• alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen (vgl. Erwägungsgrund 35 DSGVO)
• … weit auszulegen! Anknüpfungspunkte dafür, Daten als Gesundheitsdatum zu kategorisieren, müssen nicht in der tatsächlichen Erkrankung einer Person, sondern können in Informationen über seinen Gesundheitszustand im Allgemeinen liegen, wenn sich daraus Rückschlüsse auf einen Gesundheitszustand ergeben. Ein Beispiel: Wird der Besuch eines Facharztes in einer Gesundheits-App dokumentiert kann bereits dies ein Gesundheitsdatum sein, auch wenn keine Laborwerte, Befunde oder Diagnosen dokumentiert werden – denn der Besuch lässt den Rückschluss zu, dass dieser medizinisch notwendig war.

Auch die reine Dokumentation einer Medikamenteneinnahme in einem Kalender oder die Information über die Inanspruchnahme gesundheitsbezogener Dienste kann daher ein Gesundheitsdatum sein.

Doch was bedeutet es jetzt in der Praxis, wenn die Analyse meiner Daten ergibt, dass in meiner digitalen Gesundheitsanwendung Gesundheitsdaten im Sinne der DSGVO verarbeitet werden…? Wie bereits erörtert, bedeutet die Verarbeitung sensibler Daten, dass ein besonders hohes Schutzniveau im Umgang mit diesen Daten notwendig ist. Relevant sind bei digitalen Gesundheitsanwendungen häufig die technischen Details: Wo werden Daten in die Anwendung eingespeist und wo werden Sie gespeichert? Wie werden Daten verschlüsselt und übertragen? Wie werden die Daten vor unbefugten Zugriffen durch Dritte geschützt? Beachten Sie dabei auch immer diejenigen Daten, die einen Rückschluss auf einen Gesundheitszustand zulassen und so zum Gesundheitsdatum werden können!

Hier lohnt es sich, alle technischen Einzelheiten und Prozessabläufe mit Ihrem Datenschutzbeauftragten oder einem Experten auf dem Gebiet des Datenschutzrechts zu besprechen.

Schritt 2: Die App – Medizinprodukt, ja oder nein?

Eine weitere zentrale Frage für die Bewertung digitaler Gesundheitsanwendungen liegt in der Frage der Bewertung der Anwendung – denn handelt es sich bei der App um ein Medizinprodukt, so sind weitere Aspekte in Bezug auf die Zulassung, Haftung und rechtliche Bewertung der Anwendung zu beachten.

Vorab erneut eine Faustregel: Nicht jede digitale Gesundheitsanwendung, in der Gesundheitsdaten gespeichert oder im Sinne der DSGVO verarbeitet werden, ist ein Medizinprodukt!

Die Bewertung der datenschutzrechtlichen Fragen ist von der Einordnung der Gesundheitsanwendung als Medizinprodukt zu trennen. Denn als „Gesundheitsapp“ werden bisher alle installierbaren Anwendungen angesehen, die Informationen oder Services auf dem Gebiet von Fitness und Gesundheit anbieten (vgl. Münkler 2021).

„Als Medizinprodukt sowie digitale Gesundheitsanwendung werden [hingegen] nur solche Apps qualifiziert, die eine medizinische Zweckbestimmung aufweisen. Dies ist der Fall, wenn die Software eigenständige diagnostische und/oder therapeutische Leistungen erbringt, etwa weil von ihr Daten analysiert oder interpretiert werden, eine Berechnung oder Messung vorgenommen bzw. eine Überwachungsfunktion übernommen wird […] Nur wenn auf individueller Einflussnahme basierend Daten bzw. Informationen erzeugt werden oder eine Entscheidungsunterstützung bzgl. der Therapie […] erfolgt, liegt eine Gesundheitsapp im Sinne des gesundheitsrechtlichen Regulierungsansatzes vor.“ (vgl. Münkler 2021, S.43).

Handelt es sich bei ihrer Gesundheits-App um ein Medizinprodukt, so sind alle rechtlichen Anforderungen zu klären und zu erfüllen, bevor das Produkt in den Verkehr gebracht wird – dies lässt sich dem Medizinproduktegesetz, sowie der Medizinprodukteverordnung MDR entnehmen.

Auch hier liegt die Verantwortlichkeit bei Ihnen – denn für das Inverkehrbringen haftet der Hersteller der App, während AppStores regelmäßig nur als „Händler“ angesehen werden. Stellen Sie daher sicher, dass ihr Medizinprodukt alle regulatorischen Anforderungen erfüllt und planen Sie hierfür vor dem Upload der App einen entsprechenden zeitlichen Vorlauf für etwaige Konformitäts-Bewertungsverfahren und Kennzeichnungen ein.

Schritt 3: Die Regularien – was muss ich jetzt beachten?

Nach Durchführung der Schritte 1 und 2 wissen Sie für ihre App nun womöglich, dass es sich um ein Medizinprodukt handelt, in dem gesundheitsbezogene Daten verarbeitet werden – und auch, wenn sich ihre App nicht in die Kategorie der Medizinprodukte einordnen lässt, so gelten weiterhin die bereits genannten Anforderungen an den zu gewährleistenden Datenschutz.

Wir haben für Sie daher noch einmal die wichtigsten Regularien und Aspekte zusammengefasst, die Sie grundsätzlich kennen und beachten sollten:

• Relevant für das Inverkehrbringen eines Medizinprodukts ist zunächst das Medizinproduktegesetz (MPG), da alle Medizinprodukte vor ihrem Vertrieb auf dem Markt einer Konformitätsbewertung unterzogen werden. Auch hier lohnt sich Expertenrat, da Verstöße gegen das Medizinproduktegesetz nicht nur Ordnungswidrigkeiten, sondern auch Straftaten darstellen können (vgl. Ortner/Daubenbüchel 2016). Haftungsfragen in Bezug auf das Medizinprodukt selbst regelt indes das Produkthaftungsgesetz.
• Personen, die Medizinprodukte errichten, betreiben, anwenden und instandhalten, müssen darüber hinaus die Verordnung über das Errichten, Betreiben und Anwenden von Medizinprodukten (MPBetreibV), sowie die europäische Medizinprodukteverordnung (Medical Device Regulation, EU 2017/745) kennen.
• Für Fragen des Datenschutzes ist zu beachten: § 2 Absatz 4 des Medizinproduktegesetzes stellt klar, dass auch für Medizinprodukte die regulären Datenschutzvorschriften greifen. Diesbezüglich gilt das oben gesagte: Gesundheitsdaten unterliegen einem besonderen Schutzniveau. Für den Verlust oder die Offenlegung von Daten haftet der „Verantwortliche“, also in der Regel das Unternehmen (oder die Abteilung), welches die App bereitstellt und die Daten verarbeitet. Auch eine Datenschutzprüfung sollte daher umfassend erfolgen, da die Datenschutzgrundverordnung empfindliche Strafen vorsieht.
• App auf Rezept? Seit dem Digitalen Versorgungsgesetz (DVG) gilt: (Kostenpflichtige) Digitale Gesundheitsanwendungen können von Krankenkassen erstattet werden, wenn Sie zuvor von Ärzten oder Psychotherapeuten verordnet wurden und Teil des vom BfArM geführten Verzeichnisses sind. Das BfArM prüft vor der Aufnahme insbesondere Qualität und Sicherheit der Anwendung, die Einhaltung der Datenschutzanforderungen sowie das Vorliegen eines positiven Versorgungseffekts.

Die Gestaltung und Konzeption digitaler Gesundheitsanwendungen birgt neben Herausforderungen für Akteure des Gesundheitsmarkt vor allem die Chance, Patientinnen und Patienten zukunftsorientierte Angebote zu machen, die den Alltag und Umgang mit Erkrankungen zu erleichtern.

Sie brauchen dabei Unterstützung? Kommen Sie gerne auf uns zu!

Literaturverzeichnis

Apple (2019): Apple Newsroom, Siri-Kurzbefehle erleichtern alltägliche Gesundheits- und Fitnessroutinen, [online]
https://www.apple.com/de/newsroom/2019/03/siri-shortcuts-boost-health-and-fitness-routines/
[03.02.2021].

Datenschutzgrundverordnung, (EU) 2016/679, Erwägungsgrund 25, [online]
https://dejure.org/gesetze/DSGVO/Erwaegungsgruende.html [09.02.2021].

Münkler (2021): Health-Apps im gesundheitsrechtlichen Regulierungsgefüge, PD Dr. Laura Münkler, 2021 in Neue Zeitschrift für Sozialrecht (NZS), S.41 ff.

Ornter/ Dauerbüchel (2016): Medizinprodukte 4.0 – Haftung, Datenschutz, IT-Sicherheit, Dr. Roderic Ortner und RR Felix Daubenbüchel, 2016 in Neue Juristische Wochenzeitschrift (NJW), S. 2918 ff.

Paal (2020): Verantwortlichkeit und Pflichten des Verantwortlichen nach der DSGVO, HAUFE, Prof. Dr. Boris Paal, M.Jur. (Oxford), 09.06.2020, [online], https://www.haufe.de/compliance/recht-politik/datenschutz-grundverordnung/dsgvo-datenschutzbeauftragter-oder-verantwortlicher_230132_454140.html [19.02.2021].

Schild (2020): BeckOK Datenschutzrecht, Wolff/Brink, 34. Edition, 2020, DS-GVO Art. 4 Begriffsbestimmungen, VII. Verantwortlicher (Nr. 7), Rn. 89.

Statista (2020): Statista-Dossier zum Thema Mobile Health (mHealth), 2020, S. 20, mit Bezugnahme zur Studie der Accenture Plc (durchgeführt durch Oxford Exonomics), [online]
https://www.accenture.com/_acnmedia/PDF-130/Accenture-2020-Digital-Health-Consumer-Survey-US.pdf [03.02.2021].

Weichert (2020): Dr. Thilo Weichert, DS-GVO Art. 4 Abs. 15 Gesundheitsdaten in Kühling/Buchner, Datenschutzgrundverordnung / BDSG Kommentar, C.H. Beck, 3. Auflage 2020.