Überblick Datenschutzanforderungen (Gesundheits-)Apps

Datenschutzs für (Gesundheits-)AppsDer Datenschutz ist wohl eines der unbefriedigensten Themen für Anbieter von Online-Diensten: Mustergültiges Verhalten taugt kaum, um selbst positiv aufzufallen, das Fehlverhalten anderer hingegen schürt generelles Misstrauen gegen alle Angebote. Jüngster Aufreger: WhatsApp ändert seine Nutzungsbedingungen ohne die Nutzer zu informieren und ihr Einverständnis abzufragen. Doch zumindest für in Deutschland ansässige Anbieter gibt es klare Spielregeln. Die Orientierungshilfe des Düsseldorfer Kreises vom Juni 2014 gibt zu diesen einen guten Überblick und geht auch explizit auf Gesundheits-Apps ein. Ausgewählte Erkenntnisse im Überblick:

  • Information des Nutzers zur Verwendung der Daten: Vor der erstmaligen Nutzung ist der Nutzer durch Datenschutzbestimmungen über die erhobenen Daten und muss deren Verwendung zustimmen. Dabei muss auch der Zweck der App definiert sein, denn nur von diesem Zweck abgeleitete Daten dürfen überhaupt erhoben werden.
  • Tracking des Nutzers: Die Verfolgung des Nutzers über eindeutige Gerätenummern, IP-Adressen o.ä. ist nicht erlaubt. Grundsätzlich muss der Nutzer die Möglichkeit haben, ein etwaiges Tracking zu deaktivieren. Beim Ad-Tracking bietet Apple eine entsprechende Deaktivierung seit iOS7 auf Systemebene an und baut den Schutz der Privatsphäre mit iOS8 noch weiter aus.
  • Besondere Anforderungen an Gesundheits-Apps: Gesundheitsdaten zählen zu der Gruppe Daten mit „besonderem Schutzbedarf“. Für Entwickler bedeutet dies den konsequenten Einsatz von Verschlüsselung sowie ggf. die Integration zusätzlichen Authentifizierungsschwellen, um die Daten vor dem Zugriff unberechtigter Dritter zu schützen. Sofern eine App mit Patientendaten im gesetzlichen Sinne umgeht, sin die Anforderungen noch höher.

Die gut 30-seitige Orientierungshilfe beschreibt verständlich die Anforderungen und zeigt, dass der Nutzer in Deutschland sehr gut vor Missbrauch seiner Daten geschützt ist – theoretisch. Beispiele wie WhatsApp zeigen, dass konsequenter Datenschutz in der Praxis international einheitliche Mindesstandards erfordert.

Dass sich auch jenseits der Regulierung etwas tut, hat Apple mit der Veröffentlichung der jüngsten iOS8-Beta gezeigt. Im Rahmen dieser hat der Konzern auch die Nutzungsbedingungen für HealthKit angepasst: Eine Verwendung der Daten für nicht-gesundheitliche Zwecke – also z.B. zur Zuspielung von Werbung – schließt Apple nun explizit aus. Ein deutliches Zeichen für die Wichtigkeit des Nutzervertrauens für den Erfolg digitaler Gesundheitsangebote.

 

HealthKit: Apple schafft Grundlage für Boom bei Gesundheits-Apps


Das Echo auf Apple’s Ankündigung von HealthKit war gemischt: Für die einen ist es revolutionär, für andere nur ein weiterer Anlauf. Aus unserer Sicht hat Apple gerade mit Blick auf die Entwickler alles richtig gemacht und wird mit HealthKit Gesundheits-Apps in den Massenmarkt befördern. Dafür sehen wir sechs Gründe: „HealthKit: Apple schafft Grundlage für Boom bei Gesundheits-Apps“ weiterlesen

Sicherheitsstandards bei Gesundheits- und Fitness-Apps

Das jüngste Datenleck der App runtastic zeigt: Die Sicherung von Nutzerdaten ist auch bei Gesundheits-Apps im Wesentlichem dem jeweiligen Anbieter überlassen. Während in den USA mit HIPAA grobe Richtlinien existieren, scheint es in Deutschland bisher lediglich für Medizinprodukte eine – wenn auch schwammige – Regelung zu geben. So lautet es im §6 DIMDIV:

„Bei der Datenübermittlung sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten; im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden.“

Für Anbieter von Apps, die kein Medizinprodukt darstellen, bleiben damit neben dem Handeln „nach bestem Wissen und Gewissen“ vor allem generische Sicherheitsstandards (z.B. die Vorgaben des BSI zum Cloud Computing). Diese Lücke versuchen bekannte und neue Zertifizierungsanbieter zu füllen

  • Der TÜV Süd erteilt sein Prüfsiegel nach einer Prüfung von Datensicherheit, Funktionalität und Usability
  • Neue Anbieter wie mediaTest digital versuchen sich mit Zertifikaten wie „Trusted App„. Mediatest hat im Rahmen seiner Recherchen auch die jüngste Sicherheitslücke bei RunTastic entdeckt.
  • Die DEKRA zertifiziert die Konformität mit §9 Anlage Datenschutzgesetzes

Nach aktuellem Stand scheint es somit den Anbietern überlassen, den richtigen Sicherheitsstandard zu wählen und diesen glaubwürdig an seine Nutzer zu kommunizieren.