Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.
Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.
Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.
Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.
Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.
Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.
Gesetzliche Grundlage der Datenverarbeitung
Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.
Zu beachtende Datenschutzprinzipien
Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.